前言
近年来,随着企业数字化转型加速,云上业务规模迅猛扩张,云上安全威胁呈指数级增长,攻击手法向多样化、持久化方向演进:实战中,攻击暴露面持续扩大,漏洞利用频率和破坏率深度不断攀升;重保期间,面临攻击流量激增、内网威胁潜伏难察、事后溯源取证困难等多重挑战。
在此背景下,实现对高级威胁事件精准感知与深度分析及实时数据泄露监控能力的全流量检测方案已成为企业云上安全建设的刚需。
5月23日,腾讯云安全正式发布公有云全流量检测与响应NDR产品,定位为“红蓝攻防对抗防护神器”,以“云原生接入、全流量检测 、全流量可视”三大创新突破,直击企业核心痛点,帮助企业快速建立网络高级威胁防护能力。
腾讯云NDR高级产品经理程碧淳和腾讯云NDR产品研发负责人李晨东,分别围绕公有云NDR产品、技术和应用场景做了分享。
重保必备:200+客户攻防实战检验
腾讯云安全公有云全流量检测与响应NDR经过200+客户的攻防实战检验,在多家头部客户重保期间和日常运营场景中,均发挥了关键作用。对比第三方 Agent 采集方案,公有云全流量检测与响应NDR部署成本和工作量低,无需长期专人维护,一次性付费成本低;能覆盖东西向流量、子网及加密流量检测,可快速溯源定位具体资产、时间和传输文件,整体获得客户良好反馈。
如某头部互联网公司希望对所有业务进行流量全审计,因之前防护仅覆盖北向边界流量,且发现部分业务存在数据泄露和异常数据外传情况,希望定位具体业务。腾讯云安全公有云NDR以镜像流量方式覆盖其云上 400 多台服务器资产,对约 60Gbps 流量进行解析,留存整体日志及异常行为原始流量包,提供 180 天以上日志存储,可回溯定位相关业务机器。同时,通过深度回包检测快速识别真正攻击成功事件,及时作出处置响应。
旁路免部署:一键开启,不影响业务
传统NDR产品多以硬件盒子或交换机镜像的形式部署,实施复杂,需要协调网络运维等多团队,运维压力大。而腾讯云安全公有云NDR支持云原生一键部署与开通,采用旁路镜像 + 自动化超量保护机制,确保业务零影响,极大降低了部署门槛。
● 腾讯云安全公有云NDR目前有两种流量采集模式:流量镜像模式:可直接通过云API使用弹性网卡镜像流量至NDR集群进行分析,对业务无影响。终端采集模式:目前云上约10%的老旧机型还未支持网卡流量镜像功能,NDR也可自动化在服务器上安装agent探针采集流量。
● 流量镜像带宽超量的处理的两种逻辑:自动启停流量镜像:当镜像流量+业务流量总带宽超过实例带宽80%时,会自动停止流量镜像,等待带宽使用下降后再自动恢复,保障业务流量不受影响;优先丢弃镜像报文:当镜像流量+业务流量总带宽超过实例带宽最大容量时,会优先丢弃流量镜像报文,保障优先转发业务流量。
全流量覆盖:南北/东西/容器/加密
在云环境中,东西向流量(即内部网络通信)是传统安全工具的盲区。腾讯云安全公有云NDR通过全流量镜像技术,对云上南北向、东西向流量实时解析,彻底消除传统安全工具的监测盲区。腾讯云安全公有云NDR广度上覆盖公网流量、VPC 间流量、VPC 内流量,支持入出站双向加密流量解密分析,无需客户证书,不影响原有业务架构,内外网全流量防护审计最大处理能力达 100Gbps;深度上解析 30 种协议,还原文件传输,对比传统云产品,NDR 实现 4-7 层协议全量留存,支持恶意文件沙箱分析。尤其在加密流量分析方面,腾讯云安全公有云NDR无需客户提供证书或更改现有架构,入向流量通过弹性网卡镜像采集,由于从 CLB 到服务器的流量已完成证书卸载,可直接获取解密后流量;出向流量则通过在服务器上部署的 Agent 探针采集 TLS 会话密钥,并将其发送至流量分析集群,结合原始流量进行解密和检测,整个过程无需客户干预,在确保业务正常运行的同时实现对加密流量的深度分析。
海量规则+深度内网解析
威胁检测的准确性直接影响安全团队的响应效率。腾讯云安全公有云NDR内置强大的安全检测能力,覆盖2000余项已知CVE漏洞、66种主流应用服务及30种网络协议解析能力。这些检测规则可针对各类已知漏洞利用、Web攻击、暴力破解等威胁手段进行精准检测,并结合腾讯安全情报实现实时动态更新。此外,腾讯云安全公有云NDR引入AI驱动分析引擎,通过学习历史流量数据与实时行为模式,动态识别异常数据传输、隐蔽信道通信等潜在恶意活动。依托腾讯云丰富的威胁情报生态,公有云NDR能够持续迭代检测规则,确保对新型威胁的精准识别,显著降低误报率。
同时,腾讯云安全公有云NDR针对内网重点应用的传输协议进行深度解析,涵盖共享协议、数据库协议、认证协议、远程调用协议等核心场景,能够覆盖58个横向渗透检测场景。
当前全球数字化浪潮中,网络安全防护已从边界防御进阶到全流量治理。腾讯云安全公有云NDR产品发布为企业应对云上安全威胁提供强有力武器,解决重保响应、内网防护、合规审计等核心挑战。未来随着攻防对抗持续升级,腾讯安全将致力打造为企业云原生安全体系核心组件,为数字经济发展筑牢底层防线。