6姬生利-騰訊云原生數據安全解決方案（30頁）.pdf

《6姬生利-騰訊云原生數據安全解決方案（30頁）.pdf》由會員分享，可在線閱讀，更多相關《6姬生利-騰訊云原生數據安全解決方案（30頁）.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、姬生利/數據安全總監/騰訊安全云鼎實驗室騰訊云鼎實驗室數據安全總監，在云主機安全和數據安全領域有較深入的研究，目前主要負責騰訊云原生數據安全產品研發和解決方案設計。2019年發布了云原生數據安全中臺，提供了云上合規的密碼計算資源池、密碼應用中間件和云原生數據安全能力，為業務上云提供一站式的數據安全解決方案。產品包括密鑰管理系統KMS，憑據管理系統SSM，云加密機CloudHSM，國密SDK，云訪問安全代理CASB等。同時，也負責推動騰訊商用密碼體系建設和商用密碼技術在云上的實踐。演講主題：騰訊云原生數據安全解決方案騰訊云原生數據安全解決方案騰訊安全云鼎實驗室姬生利騰訊企業面臨的數據安全挑戰和困

2、難騰訊云數據安全架構騰訊云數據安全和隱私保護解決方案介紹123目錄新時代的數據安全命題新環境新環境新技術新技術新產業新產業 國內外政經形勢國內外政經形勢發展發展 疫情影響下的經濟新常態疫情影響下的經濟新常態 國內法規監管日趨完善國內法規監管日趨完善 云計算云計算 大數據大數據 區塊鏈區塊鏈 人工智能人工智能 萬物互聯萬物互聯 數實融合數實融合新時代下，新時代下，“數據數據”成為生產力核心要素成為生產力核心要素 數據安全成為企業發展關鍵命題數據安全成為企業發展關鍵命題數據安全面臨的挑戰：相關法律法規構建合規與監管新要求信創網絡安全法個人信息保護法數據安全法第二十七條開展數據處理活動應當依照法律、

3、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在密碼法第二十一條 國家實行網絡安全等級保護制度。其安全保護義務第4條明確采取數據分類、重要數據備份和加密等措施。第五十一條第三款：采取相應的加密、去標識化等安全技術措施；第六十六條：情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護。關鍵信息基礎設施運

4、營者，應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。密評等保著力在構建自主可控信息技術體系中推進密碼優先發展，構建以密碼技術為核心、多種技術相互融合的新網絡安全體系，建設以密碼基礎設施為支撐的新網絡安全環境。國密既是信創的重要組成部分，又為信創提供安全保障商用密碼管理條例（修訂草案征求意見稿）提出非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，其運營者應當使用商用密碼進行保護。關鍵信息基礎設施安全保護條例商用密碼管理條例（修訂草案征求意見稿，列入2021年國務院立法計劃）數據安全管理條例（列入2021年國務院立法計劃）2021年5月27

5、日，數據安全管理條例納入國務院2021年度立法工作計劃。關鍵信息基礎設施安全保護條例（國令第745號）規定履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度。關鍵信息基礎設施中的密碼使用和管理，應當遵守相關法律、行政法規。上位法規行政細則標準框架企業實踐數據安全面臨的挑戰：新技術新架構的演進帶來挑戰貼近數據貼近數據云數據全生命周期防護貼近應用貼近應用應用開發階段融合貼近云平臺貼近云平臺云平臺原生安全工具集成數據安全應該充分利用云原生特點，以最小化的成本帶來最大化的安全收益數據安全面臨的挑戰：企業經營模式與生命周期變換 傳統開發模式敏捷開發模式 DevSecOps 設計開發測試交

6、付 運營月 年2 4周？云主機容器服務傳統IT架構Server less1-3個月3-10年分鐘級n日-n年秒級n秒-n年3毫秒3-百毫秒資源交付時間與生命周期數據安全面臨的挑戰：密碼技術應用門檻高，改造難密碼算法、密碼產品、密碼應用三者明顯脫節，用戶需要大量的開發工作難用難用難做難做密碼產業人才短缺，開發門檻高，密碼行業尚處于產業規?；l展的初期階段難管難管密碼應用分散，行業缺乏統一化標準，密碼技術應用及運維管理工作復雜數據安全面臨的挑戰：數據安全的關鍵風險面Data Center InfrastructureNetwork InfrastructureServer HardwareHype

7、rvisorContainerBare metalGuest OS/RuntimeWebMobileCache/MsgOLTPOLAP/ETLMLReport 黑客攻擊 數據泄露 勒索軟件 拒絕服務 舞弊/濫用 操作失誤 跨租戶攻擊 針對云平臺攻擊 法規強制要求 行業準入 跨域流動 數據治理 數據流動和安全策略 第三方數據交換/外包帶來的信息安全、隱私保護和額外技術攻擊入口 APP、端側等不受控環境的入口風險 內部攻擊 舞弊/濫用 權限失控 操作失誤 Data in TransportData at RestData in Use數據源獲取存儲分析發布消費數據安全治理的主要難點1、數據產生和獲

8、取3、數據存儲2、數據傳輸4、數據使用5、數據退役和銷毀6、數據合規和治理7、數據訪問監控和響應難點難點1 1：合規、治理和策略：合規、治理和策略（合規策略、識別、分類分級、策略落地）難點難點4 4：數據運行時保護技術：數據運行時保護技術（高性能密碼、傳輸加密、機密計算、細粒度訪問控制）難點難點5 5：事件：事件/行為監測分析行為監測分析（數據安全評估、UEBA、審計、API）難點3：密碼技術與密鑰管理（國密技術棧、秘鑰管理、憑據管理）Data compliance and governanceData compliance and governance難點難點2 2：端側及三方非受控環境的數

9、據合規使用：端側及三方非受控環境的數據合規使用（APP隱私、數據脫敏、匿名化、多方安全計算）數據識別數據分類分級端上數據安全數據解密機密計算動態脫敏操作審計行為分析傳輸鏈路加密數據防篡改數字證書傳輸應用層加密數據加解密密鑰管理權限管理審計數據銷毀密鑰銷毀動態脫敏靜態過敏多方計算數字水印數據采集數據傳輸數據使用數據存儲數據交換數據歸檔數據銷毀字段加密透明加密密鑰管理憑據管理加密機HSM今天的數據安全我們需要？安全性經濟性（成本）可靠性效率(易用性)性能騰訊云數據安全架構2數據安全中臺設計思路：一站式的解決方案數據狀態Data-at-RestData-in-TransitData-in-Use安全

10、策略CISO安全團隊應用團隊審計合規團隊加密內容加密方式加密算法管理流程合規策略金融綜合/支付數據電子政務數據企業核心數據后臺服務開發配置證書密鑰數據應用數據庫存儲文件硬盤傳輸終端IoT 數據分級公開內部普通商密核心商密秘密機密合規國內合規標準國際合規標準核心業務敏感數據數據鏈路密鑰策略數據分類分級和安全策略數據安全策略密鑰管理策略生成存儲分發授權審計使用備份恢復歸檔銷毀密鑰管理系統訪問控制數據安全中臺架構：統一易用的接入方式管控層中間件層產品層接入層GVSMEVSMSVSMCloudHSM密碼服務實例FIPS HSM國密 HSM密碼資源統一監控密碼資源統一管理密碼資源動態調配業務調用統計分析

11、告警策略管理日志審計管理KMS 密鑰管理系統Secrets Manager 憑據管理加密基礎組件COSCBSMYSQL數據識別分類分級CASB字段加密脫敏CASB輕量級免改造數據安全端加密TLS/SSL加密組件傳輸加密統一密碼應用接入服務（加密應用API、SDK）CMQ運算層Intel SGXAMD SEVSGX SEV/TEE安全計算環境TDSQL互聯網、政務、金融、行業業務系統 國密SDK硬件加密機審計業務層公有云原生業務云租戶專有云業務大型行業用戶內部業務私有化業務數據安全中臺架構云數據安全中臺CloudHSM/SEM數據加密軟硬件服務KMS&SSM密鑰管理系統&憑據管理系統CASB云訪

12、問安全代理SparklingSnova數據獲取CKafkaCMQRedisAPIStreamBIEMRTIMongoDBES事務處理和檢索PostgresqlMYSQLTDSQLTDSQL分析與數據服務CFSAPICOSCBSCVMVPN數據訪問與消費原始數據歸一智能分析決策與反饋云數據安全中臺服務日志審計身份認證 密鑰管理 應用加密 網絡加密 計算加密 憑據托管可視化管理同時適配公有云/專有云，TCE/TCS云操作系統緊密集成，無縫銜接超50款云服務，一鍵啟用數據安全能力。騰訊云數據安全和隱私保護解決方案介紹3云上數據安全基礎設施：密鑰管理系統KMS硬件級安全、國密合規密鑰生命周期管理細粒度

13、權限控制騰訊云密鑰管理系統（Key Management Service，KMS）是一款安全管理類服務，使用經過第三方認證的硬件安全模塊 HSM（Hardware Security Module）來生成和保護密鑰，幫助用戶輕松創建和管理密鑰，滿足用戶多應用多業務的密鑰管理需求，符合監管和合規要求。硬件加密機FIPS國密監控審計高可用云原生、云產品集成云上數據安全基礎設施：云加密機CloudHSMCloudHSM是采用國密局認證的云服務器密碼機，利用虛擬化技術，提供可擴展，高可用，高性能的數據加解密和密鑰管理等服務，符合國家監管合規要求，滿足政務、金融、互聯網等行業內的加密應用的需求，保障您的業

14、務安全和數據安全。安全可靠的安全可靠的密鑰管理密鑰管理全業務全業務類型類型VSMVSM支持支持權責分離的權責分離的管理體系管理體系 密碼機內的密鑰生命周期管理完全由用戶自己掌握；密碼機內部采用硬件芯片陣列架構，保障加密機可靠性；硬件虛擬化與隔離，單個用戶獨享密碼芯片。符合國家和行業標準算法：對稱加密算法：SM1，SM4，DES，AES；非對稱加密算法：SM2，RSA(10242048)等算法；摘要算法：SM3，MD5，SHA1，SHA256，SHA384等算法。提供符合國密局、金融，政務等行業應用的規范的要求的VSM實例，包括EVSM、GVSM及SVSM類型，實現數據加密和安全的密鑰管理服務，

15、滿足全行業全業務的數據安全和合規的需求。密鑰的使用權限和服務的身份權限按角色嚴格控制，騰訊云僅提供實例購買，硬件管理，指標監控和維護等服務，除您以外，任何人都無法獲取您的權限，無法使用您的密鑰和數據。合規的數據合規的數據加密算法加密算法基于KMS的數據上云透明加密云硬盤CBS云存儲COS云數據庫MYSQL分布式數據庫 TDSQL文件存儲 CFS文件存儲加密.CBS用戶啟動CBS加密KMS1、create CMK&DEK2.Write plaintext to CBS3.Encrypt by DEK4.Write ciphertext and DEK ciphertext KMS2.Decryp

16、t DEK ciphertext1.Read ciphertext and DEK ciphertext3.Read plaintextDecryptionEncryptionCVMThe flow of CBS TDE表空間加密表空間加密存儲服務端加密云硬盤加密云產品集成KMS提供透明數據加密密鑰所有權歸屬用戶，提供完全自主管控能力用戶對加密流程無感知，一鍵加密KMSDevOps過程中敏感憑據泄漏風險DevOps整個鏈路下各個系統節點均存在憑據泄漏的風險意識疏忽泄露源碼中包含的敏感憑據和密鑰暴露高風險的測試數據庫訪問端口、弱賬號集成環境中的數據訪問憑據，薄弱配置導致的安全問題賬號口令泄露、破

17、解、弱口令，缺乏保護的隱私數據和密鑰開發開發測試測試集成集成/交付交付生產生產/運營運營數據數據 DataData敏感憑據敏感憑據 CredentialsCredentials云訪問賬號配置文件系統賬號源代碼f：數據庫連接賬號等數據加密密鑰測試數據生產數據運營數據統一的憑據托管中心：憑據管理系統SSM 用戶云上各類敏感賬號密碼類憑據管理分散，經常出現賬號泄漏導致的數據安全問題，通過SSM統一憑據托管，解決用戶憑據易泄漏問題。SSM 和各類云產品集成的方案，提供了KMS加密、使用審計、憑據的自動定期輪轉、身份鑒權、CVM一鍵安全登陸等安全易用特性，有效解決 了敏感信息明文編碼，賬號密碼易泄漏，C

18、VM 一鍵登陸，人員離職密碼更新等場景的問題。解決痛點數據安全治理的痛點企業管理者視角企業管理者視角1安全和業務團隊視角安全和業務團隊視角2安全性海量數據增和云計算能的提升，給數據安全保護帶 來巨挑戰，尤其是企業核數據資產的泄露，將給業務帶 來潛在的影響，同時也臨品牌信譽以及法律險等問題。合規性絡安全法密碼法數據安全法個信息 保護法等法律法規的陸續出臺，在法律層上加對數據 安全的監管和處罰度。數據黑箱化：對自身敏感數據基本情況不了解數據安全防護孤島：產品堆砌，難以聯動無差異化管理：無法對敏感核心數據針對性管理方案重：業務改造和實施成本高，無法推動成本高：業務改造成本、方案采購成本高面向應用的一

19、站式數據安全產品：云訪問安全代理CASB數據發現分類分級細粒度加密動態脫敏數據審計一站式數據安全一個透明網關，整合敏感數據發現、數據加密存儲、動態數據脫敏、數據安全審計四項核心能力，無縫銜接云應用敏捷化安全能力云原生數據安全能力，高性能、高穩定性，一鍵部署，極簡配置和運維管理應用及數據庫免改造細粒度安全管控高性能國密及國際密碼算法，支持到字段級的細粒度數據加密及訪問控制安全應用程序和數據庫無需二次開發即可無縫接入云原生數據安全能力，即刻部署上線云上數據安全治理方案通過CASB對用戶數據資產進行元數據管理和敏感數據識別，基于靈活的合規組模板，實現各行業數據分類分級要求，基于敏感數據資產進行數據安

20、全策略的管理，實現數據分類分級和安全治理的閉環CASB一站式解決應用數據安全問題，兼顧高效與安全云訪問安全代理CASB一站式解決數據安全問題，提供業務免改造的接入方式集中治理持續保護審計合規CASB數據安全持續防護效果對最終用戶，只看到授權的數據對研發運維，細粒度權限控制對惡意訪問，有效阻斷、告警訪問控制：阻斷非法請求字段加密：保障存儲安全動態脫敏：數據不同場景隱私保護策略配置：安全管理的中心存儲字段級加密防DBA 查看明文防惡意竊取機密信息Data In Use隱私保護：機密計算平臺由傳統安全模型向半誠實安全模型轉型，保障用戶數據在使用中的安全，由傳統安全模型向半誠實安全模型轉型，保障用戶數

21、據在使用中的安全，將安全隔離的粒度縮小到進程級，同時實現云平臺的可信任。將安全隔離的粒度縮小到進程級，同時實現云平臺的可信任。方案案例介紹：智慧城市高性能國密技術及密評合規高性能國密及國際密碼算法，支持到字段級的細粒度數據加密及訪問控制安全，支持密碼應用安全性測評合規云安全基礎設施組件緊密集成TCE/TCS及騰訊公有云平臺，一套標準，一套接口，統一服務無縫銜接50+款云服務KMS、SSM秘鑰管理及敏感姘居管理功能，無縫銜接超50款云服務，一鍵開啟基礎數據安全能力案例介紹：高效安全構建抗疫小程序業務抗疫服務數據庫存儲Internet 騰訊云微信小程序本身是一個入口和通道，微信平臺本身不保存業務數據，會調用后端服務進行數據處理數據采集數據傳輸數據處理數據存儲數據應用數據歸檔數據銷毀終端緩存加密TLS傳輸加密存儲加密應用動態脫敏數據銷毀訪問審計數據全生命周期安全密鑰管理系統（KMS）密鑰刪除重寫與消磁硬盤移交國密、國家密碼管理局認證統一密鑰管理，硬件密碼機生成與存儲密鑰訪問控制-云審計 VPC-密鑰管理系統-白盒密鑰-憑據管理系統 容器服務TKETencent Kubernetes Engine