跳转至

4.4 构建安全计算环境及安全管理中心

课程简介

安全计算环境是信息系统的核心,承载着应用和数据。本课程将深入讲解如何利用腾讯云的安全产品构建固若金汤的计算环境。我们将详细介绍主机安全(CWP)、容器安全(TCSS)、堡垒机(BH)、数据安全审计(DAS)、漏洞扫描(VSS)以及云安全中心(SSC),帮助企业构建从预防、检测、防御到响应的完整安全闭环,并满足等保合规要求。

学习目标

通过本课程的学习,您将能够:

  • 主机安全防护:掌握主机安全产品的预防、检测、响应机制及资产管理能力。
  • 容器全生命周期安全:理解容器镜像扫描、运行时安全及逃逸防御技术。
  • 运维审计管控:熟练使用堡垒机进行身份认证、权限控制及运维审计。
  • 数据安全治理:掌握数据安全审计、敏感数据识别及分类分级策略。
  • 统一安全运营:学会使用云安全中心进行资产纳管、威胁处置及安全大屏监控。

第一部分:主机安全 (CWP) —— 服务器的贴身保镖

本部分导读
主机是黑客攻击的最终目标。主机安全(Cloud Workload Protection)提供端侧的最后一道防线。

一、四大防护环节

腾讯主机安全基于海量威胁数据和机器学习,提供全方位的防护:

  1. 预防 (Prevention):资产清点、漏洞管理、基线检查。通过减少攻击面,从源头降低风险。
  2. 保护 (Protection):防暴力破解、防网页篡改、登录防护。主动拦截攻击行为。
  3. 检测 (Detection):木马文件查杀、异常登录检测、WebShell 检测。实时发现入侵痕迹。
  4. 响应 (Response):隔离受感染主机、封禁恶意 IP、自动修复漏洞。快速止损,防止扩散。

二、核心优势

  • 轻量级 Agent:自研 Agent,资源占用极低,绝大部分计算在云端完成。
  • AI 引擎:集成腾讯 TAV 反病毒引擎及哈勃分析系统,基于机器学习检测加密/变种 WebShell。
  • 自动化运营:自动关联云资产,安全策略云端更新,支持部分漏洞一键自动修复。
  • 统一管理:控制台集中管理多台主机,无需逐一登录服务器。

第二部分:容器安全 (TCSS) —— 云原生的安全防线

本部分导读
容器环境的动态性和共享性带来了新的挑战,如镜像漏洞、容器逃逸等。

一、全生命周期防护

TCSS (Tencent Container Security Service) 覆盖容器的构建、分发、运行三个阶段:

阶段 核心功能 说明
构建 (Build) 镜像扫描 检测基础镜像中的漏洞、病毒木马、敏感信息(如 AK/SK 泄露)。
分发 (Ship) 仓库安全 对接 TCR/CCR/Harbor,确保只有安全的镜像才能被拉取。
运行 (Run) 运行时安全 检测容器逃逸、异常进程、反弹 Shell;实施文件访问控制。

二、关键威胁防御

2.1 容器逃逸 (Container Escape)

攻击者利用内核漏洞或配置错误,突破容器隔离,获取宿主机权限。 - TCSS 防御:实时监控敏感系统调用,阻断逃逸行为。

2.2 镜像漏洞管理

  • 上线前:在 CI/CD 流水线中集成扫描,阻断高危镜像上线。
  • 上线后:持续监测运行中的容器镜像,发现新爆发的 0-day 漏洞并预警。

第三部分:堡垒机 (BH) —— 运维安全的守门人

本部分导读
运维人员拥有高权限,是内部威胁的高发区。堡垒机(Bastion Host)是运维操作的必经之路。

一、核心功能模块

1. 认证管理 (Authentication)

  • 多因子认证 (MFA):支持手机短信、动态令牌 (OTP),防止账号被盗用。
  • LDAP 集成:对接企业现有账号系统(如 AD 域),实现单点登录 (SSO)。

2. 权限管理 (Authorization)

  • 细粒度授权:按用户、资产、协议(SSH/RDP)、时间段进行授权。
  • 命令控制:黑名单机制,禁止执行高危命令(如 rm -rf /),违规操作自动阻断。

3. 操作审计 (Auditing)

  • 全程录像:图形化审计(RDP/VNC)和字符审计(SSH/Telnet)。
  • 指令检索:支持搜索特定命令,快速定位是谁在什么时候执行了什么操作。

二、应用场景

  • 合规要求:满足等保三级对“身份鉴别”和“安全审计”的强制要求。
  • 混合云运维:统一管理腾讯云、非腾讯云及线下 IDC 的服务器资产。

第四部分:数据安全审计 (DAS) & 治理中心 (DSGC)

本部分导读
数据是核心资产。我们需要知道:数据在哪里?谁访问了数据?是否有违规操作?

一、数据安全审计 (DAS)

定位:数据库的“黑匣子”,全量记录访问行为。

1.1 核心能力

  • 全量审计:记录所有 SQL 操作,包括 SELECT 查询(这是数据库自带日志通常缺失的)。
  • 威胁检测:识别 SQL 注入高危操作(如批量删除、全表扫描)、敏感数据访问。
  • 溯源取证:通过日志还原安全事件全貌,定位责任人。

1.2 技术架构

基于 TKE 的 SaaS 化架构,吞吐量可达 10 万级 QPS,支持弹性扩容,应对业务高峰。

二、数据安全治理中心 (DSGC)

定位:数据资产的“大管家”,解决“数据在哪里、是什么、怎么管”的问题。

2.1 治理流程

  1. 资产发现:自动扫描云上数据库(CDB/TDSQL)、对象存储(COS)。
  2. 敏感数据识别:基于 AI 和规则引擎,识别身份证、手机号、银行卡等敏感信息。
  3. 分类分级:根据数据重要性打标(如 L1/L2/L3/L4),生成数据资产地图。
  4. 风险评估:检测未加密存储、未脱敏展示、权限过大等风险。

第五部分:漏洞扫描服务 (VSS)

定位:非接触式的自动化安全体检医生。

一、核心功能

  • Web 漏洞扫描:检测 SQL 注入、XSS、弱口令、中间件漏洞(如 Struts2)。
  • 主机漏洞扫描:检测系统漏洞、未打补丁的软件。
  • 基线检查:检查服务器配置是否符合安全规范(如 SSH 配置、密码策略)。

二、应用场景

  • 上线前体检:确保新业务系统无高危漏洞。
  • 周期性监测:配合等保合规要求,定期输出扫描报告。

第六部分:安全管理中心 (SSC) —— 一个中心

本部分导读
面对碎片化的安全产品,云安全中心提供了统一的视窗和指挥台。

一、四大核心模块

  1. 资产中心
    • 统一纳管云上(CVM/容器/数据库)及云下资产。
    • 清晰展示资产归属、地域分布及安全状态。
  2. 风险中心
    • 聚合主机漏洞、基线风险、配置风险。
    • 提供修复建议和一键修复功能。
  3. 告警中心
    • 汇聚各安全产品的告警信息(如云防火墙拦截日志、主机安全入侵告警)。
    • 告警分级处理,减少噪音。
  4. 高级安全管理
    • 提供攻击溯源、态势感知大屏。

二、安全大屏

  • 态势感知:实时展示全网攻击趋势、受害资产 TopN、攻击源地域分布。
  • 决策支持:为安全管理员提供直观的数据支持,辅助快速决策。

课程总结

知识体系回顾

本章构建了云上计算环境的立体防护体系:

安全计算环境 & 管理中心
├── 主机层:主机安全 (CWP) —— 查杀木马,修补漏洞
├── 容器层:容器安全 (TCSS) —— 镜像扫描,逃逸防御
├── 接入层:堡垒机 (BH) —— 运维审计,权限管控
├── 数据层:
│   ├── 数据审计 (DAS) —— SQL 审计,异常监测
│   └── 治理中心 (DSGC) —— 分类分级,敏感数据识别
├── 检测层:漏洞扫描 (VSS) —— 自动化体检
└── 管理层:云安全中心 (SSC) —— 统一运营,态势感知

随堂小测

问题:以下不属于等级保护系统安全定级的是哪个? - A. 等保三级 - B. 等保四级 - C. 等保五级 - D. 等保六级

答案D

解析:国家等级保护制度将信息系统分为五个等级(一级到五级),没有六级。

全章总结

通过第四章的学习,我们系统掌握了: 1. 合规标准:等保 2.0 的“一个中心,三重防护”要求。 2. 防御架构:云防火墙、WAF、主机安全构成的纵深防御体系。 3. 核心产品:SSL 证书、堡垒机、数据审计等工具的具体应用。

下一章,我们将进入 第五章:云迁移,探讨如何将传统业务平滑迁移上云。