腾讯云安全架构设计与实践

1、腾讯云安全架构设计与实践大纲腾讯云网络架构演进腾讯云安全系统架构演进云安全建设方向关于腾讯腾讯的传统安全系统公共组件SOC有害信息多媒体识别安全漏洞黑客攻击虚拟财产垃圾消息应用运维安全业务 安全信息公共安全平台腾讯云的架构腾讯的网络架构演变long long ago单IDC、同地模式多IDC、异地分布模式支持腾讯云的网络架构云时代的基础网络腾讯云网络架构腾讯云运营中的安全需求培训安全技术安全意识安全规范网络设 计分区规划组件开 发安全开发 工具渗透测试安全API发布应急响应 规范集成环境 安全检测运营安全运维 规范审计代码审计行为审计数据审计问题发 现扫描系统人工巡查安全情报 系统可选服务异常

2、推送修复Double check安全系统的要求：有效隔离安全防御安全服务内部审计腾讯云的网络分区登陆端口远程桌面其它端口私有端口数据库端口 登陆端口服务器办公OA办公网TOOLSNET隔离带MNETOSSNET运营网财付通专区DEVNET普通区安全域管理区核心数据区域X-SVR专区运营访问业务专区常规策略 禁止策略默认策略登陆端口ANYANY私有端口 ANYNTPserver网管server网管/NTP端口网管/NTP端口WEB私有端口WEB端口私有端口WEB端口登陆端口其它端口网管/NTP端口WEB端口其它端口CITRIX访问登陆端口ANY腾讯云安全系统架构防火墙第三方 DB外网安 全检测公

3、网漏洞扫描 内容检测 DNS检测内部安 全检测基线检测 入侵检测 挂马检测安全 审计Log分析Shell审计DB审计 外访检测DDoS防护 云waf网络阻断防火墙业务流量Oauth漏洞API安全API 验证码软token防火墙主劢外访主劢外访用户服务器暴破检测 证书登录腾讯云安全DDoS防御系统大禹OC点：负责用户业务接入、数据转发，以及DDoS攻击流量的过滤宙斯盾：负责攻击流量拦截，和IP 封堵功能大禹系统：负责用户接入，流量调 度，秒级IP封堵策略下发，DDoS攻 击运维等功能腾讯云安全DDoS防御系统大禹2014年累计防御攻击 2w+次，防御攻击时长 12w+分钟， 最大单次攻击108G

4、，清洗流量5T+WAF腾讯云的发布和运营安全规范代码规范发布前安全检测应急安全准备发布规范统一发布平台灰度发布现网观测线上运营运维规范&连续性管理安全检测重点：安全意识腾讯云的审计物理安全代码审计敏感数据 审计行为审计外网监测腾讯云的安全问题发现&修复机制TSRC腾讯云安全功能框架宙斯盾网络层DDoS攻击防范流量清洗TGW空连接攻击防御标志位DDoS攻击外网入口安全主机网络安全APP隔离出入流量白名单主机安全登录安全LDAP证书入侵防护洋葱白名单CMEM白名单CDB密码COSAccess IDSecurity KeyOpenApi白名单服务安全Access IDSecurityKeyIP和MA

5、C欺骗防sniffer异常事件检测流光敏感数据保护业务安全哈勃扫描中心安全基线扫描违规扫描数据透明化登录审计运维操作审计服务和支撑系 统日志审计业务流程审计服务中心WAFDNS劫持检测消息安全验证码反作弊IDC入流量主劢外联OpenApi漏洞扫描用户服务暴力破解检测安全组件腾讯云安全产品介绍DNS劫持检测1）Local DNS劫持监测覆盖全国各主要城市Local DNS2）权威DNS篡改 权威DNS监测腾讯云安全API验证码服务腾讯云安全防御效果用户量腾讯云安全服务开发者1w+DDoS防护2014年累计防护2w+次，最大攻击流量108G，平均防护生效时延10s漏洞防护对使用了云安全漏洞扫描的业务，自劢扫描，日均发现漏洞上千个提供云waf功能，对恶意攻击进行透明过滤，时延毫秒级违规发现分钟级的违规发现能力入侵检测多渠道及时发现客户云服务器被入侵情况，日均发现数十起