FCIS 2023 字节跳动多云架构下的安全运营实践之路-刘森-share.pdf

1、字节跳动多云架构下的安全运营实践之路火山引擎云安全产品负责人 刘 森从多云说起01多云安全解决方案分析02多云安全运营03多云安全未来演进04从多云说起安全安全运营运营资产资产权限权限服务服务事件事件资产：机房、设备、服务器、IP、代码、账号、身份服务：域名、协议、端口权限：人的权限、服务的权限、权限的时效性和区域性事件：边界、流量、终端、应用层面内外部告警多云下的安全运营有效性：安全防护机制是否有效一致性：基线加固策略是否一致可见性：变更和风险能否及时感知多云下的安全运营可见性可见性一致性一致性有效性有效性多云下的安全运营资产这个IP是哪的？什么时候开了ssh？数据库被勒索了！TOS存的代码

2、泄露了！权限谁开了这个服务？安全组怎么没了？被钓鱼了！多云下的安全运营多云下的安全运营云上资产管理成本高云上安全风险增大云上安全响应变复杂云上安全产品贵多云让上述问题double甚至triple多云下的安全运营平台异构产品异构流程异构多云下的安全运营题外话下云？上云？要事前不要事后，要可见不要盲点，要统一不要分散多云安全解决方案像运营一朵云一样运营多云流量资产终端账号边界权限多云安全管理平台多云安全数据共享多云安全运营多云合规管控像运营一朵云一样运营多云10 分钟全面获取云上态势2 步批量修复云上资产风险1 次资产创建强制合规像运营一朵云一样运营多云依托字节跳动长期的多云管理最佳实践及知识体系

3、，抹平不同云厂商产品在技术架构和产品设计上的差异性5类安全策略帮助用户更安全的用好云云产品安全配置策略系统/容器服务安全策略漏洞修复建议安全产品使用建议云安全运营实践指南像运营一朵云一样运营多云多云安全内置的快捷修复脚本可覆盖90%的多云安全策略基于配置的敏感性提供多种修复方式增量安全功能自动加固开启历史越权配置评估使用频率跨云资产细粒度操作支持无需额外操作自动区分多云差异性像运营一朵云一样运营多云支持企业使用强制策略来自动化限制多个云厂资产在初始化时应用安全设置大幅度减少重复性运营工作多云资产“诞生即安全”避免因新人、新资产引入新的攻击面意外变更后自动推送告警通知历史资产支持快捷同步修复像运

4、营一朵云一样运营多云持续合规 内置30+合规评估框架。自动遵循等保2.0、NIST、SOC2、PCI-DSS和各种CIS标准持续评估并保持多云合规性适用于多种云的内置合规框架保护企业敏感数据满足关键数据隐私要求支持自动化合规任务自动生成云安全合规评分报告像运营一朵云一样运营多云50+源兼容50+数据源4 引擎内置四类入侵检测引擎1 张图云网端告警整合还原一个完整的攻击故事像运营一朵云一样运营多云兼容50+安全数据源，协同共生。全面聚合来自网络安全、主机安全、行为安全、应用安全等各渠道的安全风险双向数据同步打造统一运营平台原有安全资产无缝接入自由选择最适合企业的安全数据源持续提升的产品开放性全面

5、开放的openAPI像运营一朵云一样运营多云内置4 类入侵检测引擎，通过对用户主机环境的实时监控和深度了解，有效发现各种未知黑客攻击物理机虚拟机容器静态检测单一行为检测行为序列检测Rootkit检测传统扫描检测传统扫描检测传统黑名单传统黑名单根据多维度行为聚合打分进行检测内核态多维度内核态多维度RootkitRootkit特征检测特征检测结合文件创建、非常见进程等触发式静态检测结合文件创建、非常见进程等触发式静态检测提权提权/进程注入等行为检测进程注入等行为检测云查杀云查杀像运营一朵云一样运营多云安全事件 1 张图 精准识别高风险告警。原始告警降噪、归并后结合时间轴呈现在一张安全事件图谱像运营一朵云一样运营多云最后一点：性价比高汽车金融互联网出海多云安全未来演进自动化更快的感知、更短的处置、更高的效率智能化更少的噪音、更完整的溯源、更优的修复方案可视化复杂的架构对可视的刚需，拓扑、流量、要素T H A N K S