DevSecOps在騰訊云的落地實(shí)踐

1、DevSecOps在騰訊云的落地實(shí)踐從混沌到體系化目錄CONTENTS1、騰訊云產(chǎn)品體系與安全挑戰(zhàn)2、從邊界建立起的安全防線3、基于風(fēng)險(xiǎn)控制的安全體系4、DevSecOps的嘗試落地01 騰訊云產(chǎn)品體系與安全挑戰(zhàn)龐大的體系與快速迭代50+產(chǎn)品分類，200+一級(jí)產(chǎn)品，2、3000二級(jí)產(chǎn)品最多日均近10個(gè)新產(chǎn)品上線，日常N個(gè)版本發(fā)布復(fù)雜的產(chǎn)品形態(tài)與研發(fā)場(chǎng)景自研、合作研發(fā)、OEM等SaaS、PaaS、IaaS專有云、私有云、公有云、混合云復(fù)雜的產(chǎn)品體系及人員組織多樣化的技術(shù)棧與架構(gòu)C、JAVA、GO、PHP、Python、NodeJSWeb應(yīng)用、APP、客戶端、小程序各種中間件、一些新型架構(gòu)等多重組

2、織與人員結(jié)構(gòu)總部、子公司、投資全資子公司、外部企業(yè)正式員工、駐場(chǎng)外包、子公司員工、研發(fā)外包跨公司、跨BG、跨部門、跨業(yè)務(wù)線、跨中心復(fù)雜的產(chǎn)品體系及人員組織多維度的安全挑戰(zhàn)不同的研發(fā)與發(fā)布流程員工安全意識(shí)各不相同產(chǎn)品安全質(zhì)量參差不齊無(wú)法約束外部引入風(fēng)險(xiǎn)跨團(tuán)隊(duì)的安全落地挑戰(zhàn)安全跟不上產(chǎn)品發(fā)布產(chǎn)品需求發(fā)布大于安全工具與新架構(gòu)的不匹配02 從邊界建立起的安全防線當(dāng)前核心關(guān)注點(diǎn)產(chǎn)品不出安全問(wèn)題產(chǎn)品不出嚴(yán)重危害的安全問(wèn)題產(chǎn)品不出簡(jiǎn)單易發(fā)現(xiàn)安全問(wèn)題保障核心數(shù)據(jù)安全有效發(fā)現(xiàn)入侵事件，保障內(nèi)網(wǎng)安全減少入侵入口安全管控域名申請(qǐng)安全審批管控騰訊云等域名的使用，減少域名濫用情況，降 低對(duì)騰訊云官網(wǎng)等的安全風(fēng)險(xiǎn)服務(wù)器外

3、網(wǎng)IP安全審批管控內(nèi)網(wǎng)機(jī)器及服務(wù)的非必要/非安 全開(kāi)放，減少黑客入侵入口在外，管控域名、外網(wǎng)IP的使用，減少非必要風(fēng)險(xiǎn)暴露面及攻擊入口 在內(nèi)，嵌入產(chǎn)品發(fā)布及項(xiàng)目流程，通過(guò)安全檢查與評(píng)估收斂安全問(wèn)題新產(chǎn)品上線安全檢查與審批在產(chǎn)品上線流程嵌入安全檢查流程，保障產(chǎn)品在 上線前已收斂大部分安全問(wèn)題并做相關(guān)安全加固ToB場(chǎng)景需求的安全檢查與審批針對(duì)ToB的一些如合作開(kāi)發(fā)等特殊場(chǎng)景做安全評(píng)估、 檢查與審批，避免非安全操作帶來(lái)的數(shù)據(jù)泄露等損失121661232118331636131005007月8月9月10月11月測(cè)評(píng)版本數(shù) 發(fā)現(xiàn)漏洞數(shù)有限人力關(guān)注重點(diǎn)項(xiàng)目，黑盒測(cè)試基于流程進(jìn)行自動(dòng)化檢查03 基于風(fēng)險(xiǎn)控制

4、的安全體系很多團(tuán)隊(duì)和業(yè)務(wù)同學(xué)有 足夠的安全意識(shí)，但不 知道該做哪些事，怎么 做是正確的6篇發(fā)文規(guī)范，近30篇安全指引人工黑盒測(cè)試人工不定期模擬黑客攻擊對(duì) 線上產(chǎn)品安全進(jìn)行滲透測(cè)試人工代碼審計(jì) 基于業(yè)務(wù)版本的 關(guān)鍵功能、API， 從代碼層面審計(jì) 發(fā)現(xiàn)安全問(wèn)題自動(dòng)化代碼審計(jì)對(duì)代碼的自動(dòng)化安全漏洞發(fā)現(xiàn)安全眾測(cè) 通過(guò)邀請(qǐng)外部安全公司專業(yè)人員及外部白 帽子對(duì)線上產(chǎn)品進(jìn)行安全測(cè)試和漏洞挖掘上線前自動(dòng)化掃描基于測(cè)試環(huán)境測(cè)試流量的被動(dòng)式Web漏洞 掃描，實(shí)現(xiàn)對(duì)上線前基礎(chǔ)漏洞的發(fā)現(xiàn)收斂周期自動(dòng)化巡檢安全規(guī)范檢查、Web漏掃基于線 上流量及域名的周期安全掃描安全合規(guī)審計(jì) 從等保等合規(guī)角度要求對(duì)指 定產(chǎn)品進(jìn)行審查和

5、推動(dòng)整改安全檢查產(chǎn)品環(huán)境接 入云器測(cè)試測(cè) 試功能云器采 集請(qǐng)求安全掃 描請(qǐng)求發(fā)現(xiàn)產(chǎn) 品漏洞基于測(cè)試環(huán)境流量的上線前掃描賞金計(jì)劃主機(jī)安全風(fēng)險(xiǎn)收斂01高危端口監(jiān)控未知/不可控端口對(duì)外開(kāi)放撕開(kāi)了 企業(yè)安全防御體系的缺口02系統(tǒng)漏洞及風(fēng)險(xiǎn)服務(wù)巡檢基于系統(tǒng)漏掃進(jìn)行內(nèi)網(wǎng)服務(wù)器的周 期巡檢，發(fā)現(xiàn)系統(tǒng)及風(fēng)險(xiǎn)服務(wù)03風(fēng)險(xiǎn)服務(wù)運(yùn)營(yíng)收斂運(yùn)營(yíng)推動(dòng)風(fēng)險(xiǎn)服務(wù)的修復(fù)與整改， 進(jìn)而降低內(nèi)網(wǎng)風(fēng)險(xiǎn)高危端口開(kāi)放監(jiān)測(cè)驗(yàn)5分鐘常見(jiàn)高危端口快速掃描，1小時(shí)全端口掃描 全閉環(huán)運(yùn)營(yíng)流程，全自動(dòng)化監(jiān)控、告警、修復(fù)、 證，高效收斂高危端口開(kāi)放問(wèn)題。漏洞情報(bào)+資產(chǎn)測(cè)繪漏洞情報(bào)-資產(chǎn)測(cè)繪-推進(jìn)修復(fù)信息泄露監(jiān)測(cè)自動(dòng)監(jiān)測(cè)自研信息泄露監(jiān)控系統(tǒng)， 進(jìn)行自動(dòng)

6、化監(jiān)測(cè)事件確認(rèn)通報(bào)及定級(jí)安全宣導(dǎo)發(fā)現(xiàn)泄露信息進(jìn)行人工運(yùn)營(yíng) 確認(rèn)，推動(dòng)敏感信息刪除根據(jù)泄露信息嚴(yán)重程度 進(jìn)行通報(bào)和定級(jí)處理對(duì)事件責(zé)任人及團(tuán)隊(duì)進(jìn) 行安全宣導(dǎo)和再培訓(xùn)應(yīng)急響應(yīng)漏洞 發(fā)現(xiàn)內(nèi)部發(fā)現(xiàn)：自動(dòng)化掃描、人工測(cè)試外部報(bào)告：TSRC、騰訊云官網(wǎng)安全中心漏洞 響應(yīng)漏洞代碼修復(fù)：協(xié)助修復(fù)、修復(fù)驗(yàn)證、同問(wèn)題排查復(fù)盤(pán)修復(fù)安全防護(hù)：WAF防護(hù)、安全管控、數(shù)保項(xiàng)目整改漏洞跟蹤：工單跟進(jìn)、分類定級(jí)、通知、拉群處置 止損、分析：及時(shí)止損、分析成因意識(shí)提升：總結(jié)問(wèn)題、經(jīng)典案例、安全培訓(xùn) 整改措施：統(tǒng)計(jì)成因、統(tǒng)一措施整改漏洞響應(yīng)流程運(yùn)營(yíng)統(tǒng)計(jì)安全演習(xí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)提升安全意識(shí)檢驗(yàn)防護(hù)能力強(qiáng)化安全體系04 DevSecOps

7、的嘗試落地三個(gè)問(wèn)題為什么要做？怎么做？先做什么？什么是DevSecOpsGartner 在2012年創(chuàng)建了“DevSecOps”的概念核心理念：安全是整個(gè)IT團(tuán)隊(duì)（包括開(kāi)發(fā)、測(cè)試、運(yùn)維及安全團(tuán)隊(duì)）所有成員的 責(zé)任，需要貫穿整個(gè)業(yè)務(wù)生命周期的每一個(gè)環(huán)節(jié)。 “每個(gè)人都對(duì)安全負(fù)責(zé)”安全工作前置，柔和嵌入現(xiàn)有開(kāi)發(fā)流程體系。為什么要實(shí)踐DevSecOpsDevOps已經(jīng)是在逐步落地實(shí)踐 而安全的滯后性會(huì)成為 DevOps的掣肘，DevSecOps 勢(shì)在必行！研發(fā)測(cè)試發(fā)布運(yùn)營(yíng)為什么要前置？應(yīng)用生命周期各階段中，修復(fù)漏洞的成本隨著開(kāi)發(fā)生命周期推移而逐步上升X100X10X2從SDL到DevSecOps從SD

8、L到DevSecOps責(zé)任：安全團(tuán)隊(duì)安全較緩慢，也常置于流程之外大量的人工參與適用大部分業(yè)務(wù)SDL/傳統(tǒng)安全責(zé)任：安全是每個(gè)人的責(zé)任柔性嵌入研發(fā)運(yùn)維流程，自動(dòng)化自動(dòng)化流程，人更趨向于運(yùn)營(yíng)反饋 處理適用于周期較短，迭代較快的業(yè)務(wù)DevSecOps并不存在明顯的沖突，只是進(jìn)一步：流程融入、自動(dòng)化、更多前置，安全文化DevSecOps三個(gè)關(guān)鍵點(diǎn)流程整合流程，定期做代碼檢查、紅藍(lán)對(duì)抗， 建立安全情報(bào)機(jī)制，有可度量衡的安全 指標(biāo)，加強(qiáng)與業(yè)務(wù)部門的協(xié)作等技術(shù)構(gòu)建對(duì)應(yīng)的安全工具，實(shí)現(xiàn)更自動(dòng)化的安全 檢測(cè)，相關(guān)工具可以嵌入到CI/CD流程人和文化持續(xù)進(jìn)行安全意識(shí)培訓(xùn)，鼓勵(lì)團(tuán)隊(duì)自治，每個(gè)人為參與到安全，為安全負(fù)責(zé)，達(dá)成共識(shí)和認(rèn)知DevSecOps九大實(shí)踐要素與文化融合七個(gè)階段從DevSecOps視角看騰訊云過(guò)去安全工作騰訊云DevSecOps的落地基于CI/CD的安全嵌入在CI/CD流程中嵌入自動(dòng)化的安全檢查動(dòng)作工具鏈建設(shè)構(gòu)建DevSecOps所需要的安全工具鏈自動(dòng)化測(cè)試SAST、DAST、IAST等安全自動(dòng)化測(cè)試關(guān)鍵點(diǎn)容器安全、API安全、第三方組件安全DevSecOps工具鏈建設(shè)CodeQL騰訊自研(開(kāi)源協(xié)同)工具鏈的建設(shè)工具鏈的建設(shè)工具鏈的建設(shè)工具鏈的建設(shè)基于CI/CD流程的安全嵌入靜態(tài)代碼掃描敏感信息檢查開(kāi)源組件檢查APP/