2023国家网安周｜腾讯董志强：云平台高安全等级架构实践

9月15日，2023网络安全宣传周云计算服务安全分论坛在福州举办。分论坛由中央网信办网络安全协调局指导、中国网络安全审查技术与认证中心主办，各地网信部门、云计算服务主管部门、国内主要云服务商等业内人士和专家汇聚一堂，围绕云计算服务安全技术、管理热点，深入交流研讨云计算服务安全的治理之道。

中国网络安全审查技术与认证中心党委书记陈建良在致辞中表示，自2019年以来，中国网络安全审查技术中心每年举办或承办云计算安全相关论坛，旨在加强云计算安全政策标准宣传，加强涉及云安全相关方的交流与合作，共同为我国云计算服务安全能力水平的提升贡献智慧和方案。

腾讯安全副总裁、云鼎实验室负责人董志强出席了该分论坛，并进行了题为《云平台高安全等级架构实践与思考》的主题分享。

（腾讯安全副总裁、云鼎实验室负责人董志强）

近年来，云计算已逐渐成为赋能数字经济的底座和基石，云平台上承载了大量关系国计民生的业务系统和数据，其安全性、稳定性关系到国家安全和社会生产生活有序开展。

董志强表示，云平台成为数字化基座，行业里普遍通过云原生安全实现云平台的安全措施，但腾讯云在具体实践的工作过程中发现，云原生不足以覆盖云平台安全建设的细节和方方面面。因此腾讯云以结果导向，提出云平台高安全等级架构并进行具体实践，建立了一套行之有效的云平台安全体系。

董志强认为，云平台的“基座”性质决定了稳定性是第一要务，因此在安全建设上，如何尽可能地“安全左移”、尽可能地在不改动业务逻辑的情况下提供安全防护，这是云安全建设首要考虑的问题。

其次，由于“责任共担”模式在行业没有形成统一共识，一定程度上存在平台和租户权责不清晰的问题，很多租户对自己云主机上运行的数据和业务缺乏安全责任意识，作为云平台方，如何才能在权限范围内尽可能地为云上租户提供更多的防御机制。

腾讯安全云鼎实验室通过多年的实践，沉淀出了一整套防护体系，包括云的默认安全、云上漏洞治理体系、内核0day漏洞防御机制、全局封堵能力等等，这套体系支撑了腾讯云的安全稳定运行，实现了最小程度上的业务干扰，并为云上租户提供高水位的安全保障。

例如，当某个系统或者客户使用的商业软件以及开源软件等被披露了高危漏洞，并且漏洞利用的代码已经在互联网流传，但仍然有相当比例的云租户没有更新版本或者打补丁，但云鼎实验室通过应用全局封堵能力，将腾讯云上和该漏洞相关的探测、扫描或者代码利用行为予以监测和封堵，以此来保障云上用户的安全性。

云平台的安全性需要持续投入建设和多方协作。董志强也呼吁生态共建，监管部门、云厂商、安全厂商、租户等多方协作，共同把云上安全水位提升，护航产业数字化发展。

腾讯安全云鼎实验室长期专注于云领域前沿安全技术研究与创新，并持续向行业输送经验和方法。2021年，云鼎实验室发布业内首个以及；2022年，云鼎实验室将云上攻防实战经验集结成《》并公开发布；2023年，牵头编制了全球。同时，腾讯安全也积极参与云安全开源社区相关工作，推动行业整体云安全水平提升。