騰訊雲技術架構
騰訊雲基礎服務
騰訊雲安全服務
雲防火牆
騰訊雲防火牆(Cloud Firewall,CFW)是一款基於公有雲環境的SaaS化防火牆,為用戶提供互聯網邊界、VPC 邊界的網絡訪問控制,同時基於流量嵌入多種安全能力,實現訪問管控與安全防御的集成化與自動化,是客戶業務上雲的第一個網絡安全基礎設施。
功能
無需任何配置,一鍵開啟雲防火牆,滿足互聯網邊界統一訪問管控的安全運維需要。
防火牆開關
騰訊雲防火牆基於公網 IP 實現互聯網邊界的南北向流量的訪問控制,您可以通過防火牆的開關實現對每個公網 IP 的雲上資產進行訪問控制保護的開啟或關閉。
訪問控制
騰訊雲防火牆在線版本實現互聯網邊界防火牆功能,提供南北向流量的訪問控制保護的安全能力,您可以根據自身安全需要配置出站與入站流量的訪問控制,放行/觀察/阻斷某個公網 IP 與某個外部地址的訪問,實時保護您的公網IP與關聯的雲上資產。
日志記錄
騰訊雲防火牆為您提供規則命中日志與操作日志的留存與審計,規則命中日志記錄被觀察/阻斷的數據流的五元組信息以及對應的生效規則,降低您的安全運維成本;操作日志包括用戶登錄日志、規則操作日志與防火牆開關日志,記錄您的全部賬戶的登錄信息,規則的新增、刪除與編輯信息與防火牆開關的操作信息,提升您的管理效率。
網絡入侵防御系統NIPS
網絡入侵防護系統(Network Intrusion Prevention System,NIPS)基於騰訊近二十年安全技術的積累,通過旁路部署方式,無變更無侵入地對網絡4層會話進行實時阻斷,並提供了阻斷 API,方便其他安全檢測類產品調用;此外,網絡入侵防護系統提供的全量網絡日志存儲和檢索、安全告警、可視化大屏等功能,幫助客戶解決等保合規、日志審計、行政監管、以及雲平台管控等問題。
功能
網絡入侵防護系統提供日志審計、訪問阻斷、安全告警、可視化大屏等功能。
日志審計
網絡入侵防護系統對標雲安全等保和網絡安全法要求,自動采集全協議網絡流量日志,支持海量日志全文檢索功能,提供不低於180天的日志存儲時長,並能還原指定范圍的日志數據,滿足監管部門查詢需求。同時,實現數據生命周期管理,既提供明文數據查詢,也提供脫敏數據查詢,並提供日志類型、五元組(源 IP、源端口、目的 IP、目的端口、傳輸層協議)供用戶靈活搜索,快速進行日志溯源。
安全告警
網絡入侵防護系統能對各類網絡安全事件進行實時預警、防控,如 Web 攻擊、暴力破解、端口掃描等攻擊行為,同時,可以對網絡設備節點故障進行實時告警及故障快速分析溯源,發現傳統安全設備沒有發現的安全威脅,以便對線上故障及威脅快速響應。
訪問阻斷
網絡入侵防護系統會根據流量大數據分析識別出各類攻擊行為,根據系統策略進行自動阻斷。同時,提供 IP、URL、域名黑白名單設置、訪問規則配置、一鍵斷網及頁面防篡改功能,能根據自定義策略進行訪問阻斷。
可視化大屏
網絡入侵防護系統提供多維度可視化大屏及安全報表,如日志審計、安全告警、業務故障監控、流量帶寬分析、網絡質量監控等,為安全決策提供數據支撐。同時,每日推送安全報告,便於安全運維人員全面掌握雲平台安全狀況,提高工作效率。
主機安全防護
主機安全(Cloud Workload Protection,CWP)基於騰訊安全積累的海量威脅數據,利用機器學習為用戶提供黑客入侵檢測和漏洞風險預警等安全防護服務,主要包括密碼破解攔截、異常登錄提醒、木馬文件查殺、高危漏洞檢測等安全功能,解決當前服務器面臨的主要網絡安全風險,幫助企業構建服務器安全防護體系,防止數據泄露。
功能
提供木馬查殺、密碼破解攔截、登錄行為審計、漏洞管理、資產組件識別等多種強大功能,解決當前服務器面臨的主要網絡安全風險,防止數據泄露。
木馬查殺
基於機器學習對各類惡意文件進行檢測,包括各類 WebShell 后門和二進制木馬 。
密碼破解提醒
對密碼惡意破解類進行檢測並提醒,告訴用戶當前正在遭受的密碼破解事件和破解結果。
登錄行為審計
采集服務器上的登錄日志進行分析,對非法登錄進行實時告警。
漏洞管理
對主機上存在的高危漏洞風險進行實時預警和提供修復方案,包括系統漏洞、WEB 類漏洞,幫助企業快速應對漏洞風險。
資產管理
支持對機器進行分組標簽管理,基於組件識別技術,快速掌握服務器中軟件、進程、端口的分布情況,幫助企業構建資產管理全景圖。
Web應用防火牆
騰訊雲 Web 應用防火牆(Web Application Firewall,WAF)幫助騰訊雲內及雲外用戶應對 Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等網站及 Web 業務安全防護問題。企業組織通過部署騰訊雲網站管家服務,將 Web 攻擊威脅壓力轉移到騰訊雲網站管家防護集群節點,分鍾級獲取騰訊 Web 業務防護能力,為組織網站及 Web 業務安全運營保駕護航。
功能
騰訊雲 Web 應用防火牆為用戶輸送頂級安全能力,並結合騰訊自營業務 Web 安全防護實踐,針對性的提供優化 Web 業務安全運營的防護策略。
AI+ 規則雙引擎
傳統 WAF 核心引擎多采用正則表達式集合,存在難以避免“漏判”被繞過,及“誤判”導致影響業務的問題。騰訊雲 Web 應用防火牆率先應用 AI+ 規則雙引擎檢測技術,最大限度地提高已知和未知威脅的檢測率和捕獲率,最大限度減少誤報,並且靈活適應不斷變化的 Web 應用。
AI 威脅人工智能 + 規則雙引擎,交叉驗證,持續學習,精准有效捕捉各類常規 Web 攻擊,0day 攻擊及其它新型未知攻擊。
常見基於語義學習的威脅 AI 技術依然存在被經驗高段黑客繞過的可能,騰訊雲 Web 應用防火牆采用自研基於概率圖的威脅 AI 技術,同時借助騰訊平台海量威脅攻擊及正常訪問的數據訓練,實踐證明,大大提升了威脅 AI 識別能力,並保障了防護可靈活適應不斷變化的 Web 應用。
通過不斷學習海量業務數據特征自動生成基於業務的個性化防護策略,防止特殊業務訪問數據誤判問題。
充分應用騰訊大數據威脅情報
憑借騰訊十九年的海量數據處理經驗及黑產對抗沉淀,騰訊建立了安全大數據威脅情報平台,涵蓋豐富僵屍網絡、全球代理、高匿名代理、tor 代理、億級惡意黑 IP 庫情報(撞庫、暴力破解、掃描、黑產 IP 庫等)、漏洞、爬蟲庫,、聯網攻擊溯源數據、域名攻擊數據等。
騰訊雲 Web 應用防火牆充分應用騰訊大數據威脅情報能力,第一時間感知互聯網空間的已知及未知的攻擊及威脅,通過 Web 應用防火牆平台,受護用戶實現大數據威脅情報共享,迅速感知 Web 業務入侵行為並動態調整威脅防護策略,及時有效防御黑產的 0day 攻擊及各類入侵行為。
漏洞虛擬補丁
0day 漏洞爆發日益頻繁,安全運維團隊應接不暇。依托騰訊頂尖威脅情報能力,騰訊雲 Web 應用防火牆主動檢測並及時發現高危 Web 漏洞、0day 漏洞,並生成針對漏洞的防護規則,受護用戶無需任何操作即可獲取緊急漏洞,0day 漏洞攻擊防護能力,幫助受護網站無憂層出不窮的 Web 漏洞隱患。
騰訊專業安全團隊 7*24 小時持續響應 0day 漏洞,緊急漏洞問題。
12h 內更新高危漏洞防護補丁,24h 內更新常見通用型漏洞防護補丁。
Web 應用防火牆雲端自動升級針對漏洞的攻擊防護策略,全球秒級同步下發。
獨有基於 AI 的爬蟲 Bot 行為管理模塊
騰訊雲 Web 應用防火牆獨家提供基於 AI+ 規則的 Bot 程序管理功能,對友好及惡意 Bot 爬蟲進行甄別分類,並允許采取針對性的管理策略,如放通搜索引擎類機器人流量,而對惡意數據爬取商品信息流量采取不響應策略,一方面應對惡意 Bot 爬取帶來的資源消耗,信息泄露及業務競爭問題,同時也保障友好爬蟲(如搜索引擎,廣告程序)的正常運行。了解更多:
支持識別多類已知 Bot 行為,包括但不限於:Feed fetcher,廣告,截屏工具,搜索引擎,站點監控,鏈接查詢,工具類,漏洞掃描類,病毒查殺,網頁爬蟲,速度測試等爬蟲類型。
支持智能識別未公開的及惡意爬蟲程序, 采用 AI 技術建模,通過對業務流量特征,正常人類訪問行為,機器人程序訪問行為進行學習,智能甄別異常爬蟲程序流量。
支持用戶自定義 Bot 行為識別規則:針對 referer 特征,UA 特征,請求速率,次數,參數,路徑特征,IP 范圍等定義 Bot 行為識別規則。
支持對 Bot 行為及攔截情況進行分類統計並以圖形化報表展示,提供 Bot 管理決策依據。
支持靈活化設定“監控”“攔截”“放行”策略。
獨有 DNS 劫持檢測模塊
DNS 劫持攻擊將對用戶業務及品牌信譽帶來嚴重損失。借助於騰訊海量終端的檢測探測點與雲端強大數據分析能力,對客戶提交的域名進行全國范圍的 DNS 驗證,感知及詳細地展示受護域名在各個地域的劫持情況,幫助組織規避 DNS 劫持問題所帶來的業務風險問題。
數據防泄漏
Web 攻擊、系統漏洞攻擊等攻擊手段操作后台數據庫,導致數據庫中儲存的用戶身份證信息、聯系方式等敏感信息被攻擊者獲取。針對數據竊取行為,騰訊雲 WAF 提供基於事前,事中,事后的防護策略:
事前:對服務器信息如響應碼,數據庫錯誤信息進行隱藏,並識別攔截黑客的掃描行為,防止黑客的“踩點”探測漏洞的行為,提升黑客入侵難度。
事中:對黑客入侵行為,如 SQL 注入行為,Webshell 上傳行為進行感知攔截,阻止黑客對數據庫的進一步入侵。
事后:提供自定義的信息泄露防護規則,針對檢測到的數據竊取行為,自動啟用數據替換策略,將攻擊響應傳輸中的敏感數據,如電話號碼,ID 身份證號進行替換隱藏,防止黑客獲取業務數據。
CC 攻擊防護
騰訊雲 Web 應用防火牆內置久經實踐的 CC 攻擊防護算法,通過在四層和七層阻斷海量的惡意請求,智能高效的過濾垃圾訪問,有效防御 CC 攻擊,保障業務數據免被惡意爬取及保障正常業務訪問的穩定性。
支持基於訪問頻次,條件匹配模式識別 CC 攻擊。
支持開啟“封禁訪問”或“人機識別”策略模式。
支持自定義懲罰時長。
網頁防篡改
網站部署騰訊雲 Web 應用防火牆后,用戶可設置將核心網頁內容緩存雲端,並對外發布緩存中的網頁內容,實現網頁替身效果。部署設置后,任何網頁內容更改,由用戶操作同步更新雲內緩存后才對外發布,保障受護網頁的更新可控可靠:
當源站由於受到攻擊遭到篡改后,對外發布的內容依然為緩存中的正常網頁,避免篡改事件擴散。
當處於敏感時期,可將網頁內容鎖定為緩存網頁,實現敏感時期防篡改重保。
自定義防護策略
騰訊雲 Web 應用防火牆提供最簡化的雲 WAF 安全防護管理體驗,同時針對用戶特殊業務應用防護的需求,提供了靈活的配置策略以滿足防護靈活化需求:
自定義防御規則:支持精細化基於 IP、URL 路徑、Referer、POST 參數的自定義防御規則設置 Web 攻擊防護措施。
地域封禁:支持粗放式基於地域的封禁功能,對國內大區,省份或國外訪問進行黑名單封禁。
防護模式設定:支持根據實際業務防護需求,定義“攔截模式”及“觀察模式”。
一鍵整合高防能力
對外發布業務常常遭受 DDoS 攻擊威脅問題。針對突發性大量 DDoS 攻擊問題,Web 應用防火牆提供一鍵方便接入騰訊大禹 DDoS 防護體系,核心地域同步覆蓋, 能夠無縫和百 G 大流量高防包整合,將源站隱藏在源站在具備網站安全防護能力的同時,不懼超大流量 DDOS 攻擊。
騰訊大禹 DDoS 防護提供免費 2G 的基礎 DDOS 防護能力,滿足日常安全運營需求。
快速可靠的防護體驗
騰訊雲 Web 應用防火牆獨家支持防護節點30線獨享 BGP IP 鏈路接入, 節點智能調度,有效解決訪問延遲問題,保障 1-18 線城市用戶的站點訪問速度,實現對網站訪問速度影響無感知的雲 WAF 安全防護部署。
騰訊雲 Web 應用防火牆基於騰訊雲平台,保障安全業務流量穩定可用。
提供 WAF 集群多地部署,全球負載,避免單點故障問題。
節點內部采用高可用彈性伸縮架構,故障快速遷移及恢復,防護能力按需靈活彈性伸縮。
各個用戶間防護集群資源相互隔離,保障用戶間業務防護相互不受影響。
堡壘機
騰訊雲堡壘機(Bastion Host,BH) 結合堡壘機與人工智能技術,為企業提供運維人員操作審計,對異常行為進行告警,防止內部數據泄密。
功能
堡壘機能夠審計多種主流運維協議,對服務器、操作系統、數據庫運維工作進行詳盡記錄,確保企業安全問題得到有效追溯。
多協議審計
堡壘機支持 SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS 文件共享等協議。能夠對雲上各類資源的操作命令、文件傳輸、配置更改、數據變動行為進行全量記錄,確保運維過程中的任何事件可控、可查。
全面的賬號管理機制
賬號支持分組管理,分組可以采用樹形方式展現,不限制分組層級數量,且能夠完整的對賬號生命周期管理,實現賬號的創建、維護、修改、刪除的集中維護,同時支持自定義用戶類型,基於用戶類型進行用戶地址策略。從組織、生命周期、控制策略多個維度為企業管好賬號體系。
運維過程安全控制
提供認證服務器組件,所有對資源的訪問都是認證服務器提供的臨時會話號,即使會話號被截獲,也無法通過此會話號再次訪問資源,提高資源訪問的安全性。支持 FTP、telnet、ssh、遠程桌面等協議服務端口變更,可對內部服務真實端口進行隱藏,防止掃描攻擊。
異常行為 AI 預警
擴展模塊支持對運維工作進行日常行為庫建模,從時間、命令語句、下載/上傳操作、訪問 IP、服務器、用戶名等多個維度進行分析,將異常行為篩選並告警,確保內部惡意事件提前有效預防。同時,異常行為告警能夠從邏輯鏈、上下文、異常分析等多個維度詳細闡述異常問題的原因,確保 AI 預警結果具有可解釋性。
數據庫安全審計
騰訊雲數據安全審計(Data Security Audit,DSAudit)是一款基於人工智能的數據庫安全審計系統,可挖掘數據庫運行過程中各類潛在風險和隱患,為數據庫安全運行保駕護航。
功能
數據安全審計具備強大的 AI 威脅檢測引擎和高性能網絡處理器,能夠在高並發環境下檢測出各種變種攻擊,為數據安全提供有力的審計報告
多引擎風險統計
數據安全審計依托騰訊各大安全實驗室的能力基礎,擁有全球最新的安全資訊。結合即時安全情報,數據安全審計具備強大的 CVE 引擎,能夠根據威脅攻擊、惡意操作、SQL 注入等流量特征對安全事件進行告警。除此之外,數據安全審計還具備人工智能引擎監測措施,能有效發現全新的攻擊模式以及各類常見攻擊的變種,極大的減少了漏報問題。在面對不同的業務場景以及管理員特殊的審計需求時,數據安全審計還能夠提供自定義安全規則庫,定義范圍包括訪問源、IP、目標數據庫、訪問時間、操作內容、操作庫表字段、訪問用戶名等,能夠靈活定制出依據使用環境變化的個性化安全策略,確保各類審計需求落實到位。
全量會話統計
數據安全審計具備高性能網絡引擎,即便在會話壓力較大的環境下,依然能夠准確記錄所有與數據庫相關的訪問信息。同時,數據安全審計強大的數據存儲能力最高能夠容納500億條 SQL 語句,將3年以上的數據庫操作信息完整的存儲下來,溯源時效性長,為安全事件追責提供有力依據。
壓力監測
網絡中每台數據庫的語句壓力信息將實時反饋在數據安全審計系統上。壓力監測具體能展示以下幾類數據:
流量曲線圖可向管理員展示歷史的語句壓力走勢。將數據庫往期壓力信息和現在的壓力情況進行對比,得出語句壓力變化的態勢,讓管理員預測可能的性能問題,從而提前指定相關的性能管理解決方案;
語句壓力排行信息可向管理員展示全網各數據庫語句壓力的橫向對比。通過相同類型數據庫之間的壓力比較,得出各數據庫性能負荷情況。管理員可依此制定數據庫業務負載的調整方案,確保各數據庫之間性能平衡,最大化利用現有資源。
定期報告
數據安全審計全方位、多維度的審計報告能夠周期性的反應數據庫系統安全運行信息。為您提供以下幾類重要功能:
周期性的報告展示整個數據系統的安全情況,有助於管理員分析系統整體威脅態勢,制定針對性的防御措施。同時也能夠通過報告的縱向對比,了解新的數據安全措施在實施前后的對比,從而得出安全措施有效性的結論;
數據安全審計提供基於等級保護測評相關要求的整體分析報告。能夠將等保對於數據安全審計相關要求的能力清晰、有條理的展示出來,助力企業更輕松的通過測評。
日志服務CLS
日志服務(Cloud Log Service,CLS)是騰訊雲提供的一站式日志服務平台,提供了從日志采集、日志存儲到日志檢索分析、實時消費、日志投遞等多項服務,協助用戶通過日志來解決業務運營、安全監控、日志審計、日志分析等問題。用戶無需關注資源擴容問題,五分鍾便捷接入,即可享受穩定可靠的日志服務。
功能
實時采集
支持 Agent 與 API/SDK 采集方式。便捷實時采集豐富數據源的日志數據,同時打通多種其他騰訊雲產品日志。
Agent 實時采集
使用騰訊雲 LogListener 采集日志,便捷安裝,服務穩定可靠安全、支持大部分主流 Linux 操作系統,兼顧高性能與低資源占用。
通過 API/SDK
無需安裝 Agent,直接調用 API 上傳日志,支持多種語言。
索引查詢
實時索引
采集的日志數據實時建索引,支持秒級檢索。
查詢性能優異
秒級返回查詢結果,支持億級日志數據檢索,精確快速定位。
查詢靈活
支持全文檢索、多關鍵詞檢索、跨主題查詢等功能。
投遞
打通其他雲產品,利用日志服務投遞至 COS 等雲產品,滿足日志數據的存儲與分析需求。
日志投遞至 COS
日志服務支持將日志數據投遞至您賬戶下的 COS 存儲桶中,實現對日志數據的存儲與管理。
金融行業等保2.0推薦產品清單(騰訊雲)
說明:本產品推薦方案為基於網絡安全等級保護基本要求(安全技術要求)及雲上(騰訊雲)業務用戶系統制定,請結合實際情況配置相關安全產品,並發揮相關安全產品的作用,做到安全產品能夠真正起到相關安全保護功能。本方案不作為保證用戶完全通過等保測評的依據。
安全通信網絡:DDoS防護、網絡入侵防護系統等
安全區域邊界:雲防火牆等
安全計算環境:主機安全、反病毒引擎、數據安全審計、WAF、漏洞掃描、零信任無邊界訪問控制系統(可選)等
安全管理中心:安全態勢感知系統、堡壘機、終端安全管理系統、日志審計等