由騰訊安全云鼎實驗室聯(lián)合GeekPwn發(fā)起的全球首個基于真實通用云環(huán)境的云安全挑戰(zhàn)賽，在10月24日下午正式結束。來自紫荊花、復旦白澤、0ops、AAA、Nu1L、r3kapig 六支國內安全強隊，在為期一天的緊張攻防對抗后，最終0ops戰(zhàn)隊率先突破9道賽題，累計得到2210分，拿下云安全挑戰(zhàn)賽一等獎，復旦白澤、r3kapig分列二、三位。

　　據(jù)悉，參加此次云安全挑戰(zhàn)賽的戰(zhàn)隊成員來自清華大學、復旦大學、上海交通大學、浙江大學、京東、盤古等高校及企業(yè)，幾乎集結了學術圈與產業(yè)界的“最強大腦”，展開一場覆蓋云上全路徑攻擊與防御的對抗。騰訊副總裁丁珂表示，希望借助這次的云上安全挑戰(zhàn)賽，吸引各路極客對多元、復雜的云計算環(huán)境，展開前沿技術探索，預演云上安全攻防。相信通過這次比賽，積累的云攻防研究、技術、經驗以及人才，將為產業(yè)提供一個更為安全的云環(huán)境。

　　守護云安全新實踐：打造真實云端攻防比賽環(huán)境

　　作為全世界首個基于真實云環(huán)境復原的云安全攻防競賽，比賽還未開始，就已受到了來自行業(yè)、企業(yè)的關注。騰訊安全云鼎實驗室副總監(jiān)李濱解釋稱，“在今天這樣一個云聯(lián)萬物的時代，產業(yè)互聯(lián)網(wǎng)面臨的最大挑戰(zhàn)，就是用戶對云安全性的疑問。對于這個疑問，我們嘗試通過前沿攻防技術的研究和落地，以及今天通過構建比賽的真實環(huán)境來驗證和解答。”

　　在今天的比賽現(xiàn)場上，為了真實復原真實云環(huán)境，騰訊安全云鼎實驗室通過采用最主流的云平臺開源組件，結合實驗室的云攻防靶場黑科技，構建了這樣一個真實的可以完整工作的全棧云環(huán)境，完全復現(xiàn)主流云平臺的架構、技術和系統(tǒng)軟硬件環(huán)境。不僅包括了云上的典型應用，如租戶VPC、虛擬機IaaS服務、各類數(shù)據(jù)庫DaaS服務、容器云PaaS服務及最前沿的多方數(shù)據(jù)安全計算服務，還有完整的云管理調度平臺。

　　在本次比賽的賽題設置中，騰訊云鼎實驗室選取真實云上攻擊場景，根據(jù)攻擊難度和攻擊成功后的影響，設定了四個難度級別，共十六道真實攻擊場景賽題。涵蓋從租戶應用安全、虛擬化和容器安全、云平臺服務和高防數(shù)據(jù)環(huán)境等不同的應用場景，梯度考察參賽選手的實力。

　　難度級別一主要是通過云租戶私有空間VPC內的虛擬機和應用攻擊，來考察基礎黑客攻擊技能;難度級別二則需要參賽隊伍通過云上PaaS或SaaS類應用的共享集群服務，突破系統(tǒng)限制，直到獲取服務集群的系統(tǒng)超級用戶權限。而上升到第三難度級別，實際上選手已經進入了一個完全標準的云環(huán)境，需要攻擊者突破云租戶VPC和虛擬化隔離的限制，到達云平臺層和物理服務器，直到最終控制整個云。

　　李濱介紹，前三個級別使用的都是最新的開源軟件的云平臺和系統(tǒng)，體現(xiàn)了開源軟件建設云的一般安全水平。在這個基礎之上，各家云廠商在自身的系統(tǒng)上都會比較全面的安全防護，所以主辦方還準備了一個增強安全環(huán)境，來供選手挑戰(zhàn)。騰訊安全云鼎實驗室對開源版本的云平臺和系統(tǒng)進行了安全加固，看選手是否能突破更高水平的內核安全防護，并且還提供了一個可信計算環(huán)境，使用最新的硬件數(shù)據(jù)安全保護技術，來驗證云平臺即使被攻破的情況下，攻擊者能否獲取到用戶的關鍵數(shù)據(jù)。

　　但最終，六支參賽隊伍傾盡“腦力”，也未能有戰(zhàn)隊突破最后一個級別的挑戰(zhàn)。

　　未知攻，焉知防。在騰訊安全云鼎實驗室負責人董志強看來，今天云計算實際上現(xiàn)在已經越來越成為數(shù)字世界的基礎設施，云服務商和云租戶的安全挑戰(zhàn)越來越高，所以云安全越來越受到各方關注;同時，云計算技術復雜、體系龐大，網(wǎng)絡安全研究人員自己想廣泛深入研究較為困難。所以騰訊安全云鼎實驗室聯(lián)合GeekPwn搭建這樣一個比賽平臺，不僅為研究人員提供了一個真實環(huán)境的平臺，同時因為覆蓋環(huán)節(jié)全面，更有利于研究人員的實踐。

　　構建核心安全能力，騰訊安全打造更安全產業(yè)云

　　今天，隨著產業(yè)數(shù)字化轉型升級步伐加快，云基礎設施的安全和云上數(shù)據(jù)的安全已經成為云用戶關注最多的問題。為應對產業(yè)互聯(lián)網(wǎng)環(huán)境下的安全問題，騰訊安全協(xié)同騰訊云，共同構建了“一個基礎底座，兩個安全中臺，攻防兩面一體”的核心安全能力，為產業(yè)打造更安全的云環(huán)境。

　　據(jù)李濱介紹，一個基礎底座，即騰訊安全構建的 “云全棧安全基礎設施”，從物理環(huán)境和基礎設施、可信網(wǎng)絡、可信硬件、可信操作系統(tǒng)直到租戶安全，從合規(guī)治理、運維管理到供應鏈安全，全方位的給云用戶提供一個牢不可破的可信安全底座。這個底座已經獲得了可信云和等級保護四級等體系的諸多標準認可。而在今天比賽中所構建的高防環(huán)境，就包含騰訊安全云鼎實驗室選取的“全棧可信基礎設施”中的一小部分安全“黑科技”

　　除了云平臺自身的可信，“數(shù)據(jù)安全”是用戶關注的另一個主題，同時數(shù)據(jù)安全和隱私保護也是騰訊安全和騰訊云最關注的技術重點。圍繞數(shù)據(jù)安全，騰訊安全云鼎實驗室通過研究和應用高安全性硬件加密技術、多方安全計算、前沿的高性能國產化密碼技術，打造騰訊安全“數(shù)據(jù)安全中臺”，給用戶提供全生命周期數(shù)據(jù)安全服務，有效保障用戶數(shù)據(jù)安全。騰訊云依靠該技術，近日還獲得了全球云廠商中第一家通過個人信息和隱私保護體系ISO 27701認證。除此之外，騰訊安全還協(xié)助騰訊云在全球范圍內獲取了近30項各類認證，充分體現(xiàn)出企業(yè)和用戶對于騰訊安全數(shù)據(jù)安全保護能力的認可。

　　而在租戶的安全防護上，騰訊安全建立了“租戶安全運營中臺”，通過先進的威脅情報、漏洞感知和安全大數(shù)據(jù)能力，實時的分析全云安全態(tài)勢，為云用戶提供主動地安全響應服務。今天為止，該中臺的安全情報能力已經覆蓋數(shù)百個信息源，并服務于騰訊云100萬臺以上的服務器和數(shù)千家大客戶，能夠在分鐘級發(fā)現(xiàn)全網(wǎng)新增的高危端口，小時級定位新出現(xiàn)的零日漏洞影響范圍，在日級以內實現(xiàn)全網(wǎng)的安全漏洞處置。

　　利用騰訊云先進的實時攻擊威脅檢測技術，在本次比賽環(huán)境中構建了比賽實時監(jiān)控系統(tǒng)，可以可視化的呈現(xiàn)選手的攻擊測試動作以及攻擊路徑，并進行比賽動態(tài)展示。除此之外，騰訊安全云鼎實驗室還在此次比賽中，基于全球首個“攻擊路徑全景圖”，設定和真實的復現(xiàn)了云攻擊路徑全景里的四條縱深攻擊和三條橫向遷移攻擊路線。

　　據(jù)李濱介紹，騰訊安全云鼎實驗室在云上長期的攻防對抗實踐中總結和發(fā)現(xiàn)了“八縱八橫”云攻擊路徑，覆蓋了全部的云應用場景和主要弱點風險，而今天的比賽就是云攻擊路徑全景的一個濃縮體現(xiàn)。

　　而在未來，騰訊安全還將與生態(tài)社區(qū)一起協(xié)作，研究構建系統(tǒng)化的云安全攻防模型，并開放云攻防靶場，推動產業(yè)、研究機構和安全愛好者對于云安全更加體系化和深入的研究與剖析。

特別提醒：本網(wǎng)內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。