6 月 15 日,2022 云原生产业大会宣布,阿里云在信通院“云原生安全成熟度”评估中,取得国内唯一全域最高等级认证。信通院“云原生安全成熟度”从基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全 5 个维度,共计 356 个细分项考察企业云原生架构安全水平。阿里云云原生应用平台通过大规模企业客户服务积累和创新性技术打磨,沉淀了全链路的云原生安全解决方案,全方位展现了阿里云云原生产品安全能力的丰富度和领先性。
(图:阿里云云原生安全成熟度模型测评报告)
阿里云
云原生安全全景图正式发布
云原生,这个为人津津乐道,但又常常“不知所云”的词汇,自2010年第一次被提出,外延在不断扩展:容器、DevOps、微服务、云原生平台...随着全球数字经济进入高速发展期,越来越多的企业受益于高弹性、高容错性、低成本、易管理的云原生体系。但与此同时,分布式架构、容器化部署、边界消失等特点也带来了有别传统硬件环境下的安全风险:镜像漏洞、虚拟机逃逸、配置错误等等安全问题威胁着企业的云原生平台和应用。
阿里云基于丰富的原生产品结构和客户服务经验,从容器镜像服务ACR、容器服务ACK到云安全中心、DDoS原生防护、Web应用防火墙...不仅有效地保障了阿里巴巴自身的大规模云原生化实践,保障了云产品安全。同时也支撑了云上百万企业的云生之旅,提升了全链路的安全性及企业治理的效率,加速云原生化架构升级。
目前,阿里云原生平台10余条产品线,50+款产品已经融入522项核心安全能力,基于此,阿里云正式发布云原生安全全景图,全面梳理从基础设施,到安全运维、安全开发,再到其上的产品应用的核心安全能力,帮助企业打造更安全可控、更先进智能的业务体系。
(阿里云云原生安全全景图)
安全全面融入基础设施:风险收敛
云平台作为企业数据中的延伸,从“始于足下”的物理中心到虚拟化的存储、计算、网络,安全能力都需要贯穿其中。阿里云在混合云/分布式云、边缘云多种场景下均提供完善的安全防护,全面收敛云平台安全风险。
计算:
虚拟化的算力给世界带去了无限的可能性,而这离不开对虚拟化ECS实例的防护。一方面是通过多租户管理和基于角色的访问控制,实现计算资源和权限的精细化隔离;另一方面则是通过各类安全措施,保障ECS虚拟机自身的安全,无论是通过TPM/VTPM技术提供的从底层透传而上的可信环境,还是针对主机系统的软件漏洞扫描、安全基线配置、操作系统安全,都是为了给客户提供安全的计算环境。
网络:
阿里云全球部署的3000余个POP节点,在每个节点中都融入了诸如IP隔离、DNS防护、单节点60000QPS能力以抵御DDoS攻击,此外还有单独的SCDN能力,提供加密网络传输,智能化异常流量检测与防御,交织起一张安全的防护网络;
存储:
一方面,主流的存储类型(例如OSS、文件存储、表格存储等)和数据库服务,阿里云均支持落盘加密,在数据写入的一刻,即保护其安全;另一方面,容器服务备份中心支持应用数据的异地备份和快速恢复,ACK One提供了多云混合云场景下的两地三中心备份容灾能力,为客户增加了一份稳定保护。
容器构建:云原生基础架构安全
阿里云从2011年即开启了原生架构探索的脚步,推进容器化的技术改造和落地,推进云原生技术,2020年完成了核心系统全面云原生化,积累了大量的实践经验,同步发布了国内首个云原生容器安全ATT&CK攻防矩阵。
- 首先在云原生网络侧,容器服务和云安全中心提供了pod维度的东西向策略控制和智能阻断能力,同时支持集群网络拓扑的可视化展示;ASM网格服务提供了Service Mesh框架下全链路的流量加密、观测,监控和七层访问控制能力。
- 在编排和组件安全方向,ACK容器服务支持多维度的自动化安全巡检能力,帮助发现集群应用潜在风险并提供加固建议,同时保证所有系统组件基于CIS等合规规范的配置加固。通过使用托管节点池可以实现集群节点CVE的自动化自愈修复能力。
- 在访问控制上,ACK集群的RRSA功能支持集群应用侧pod维度的云上资源权限隔离;
- 在镜像安全方向,ACR容器镜像服务企业版提供了云原生交付链功能,结合镜像的完整性校验等产品化能力,构建了企业级的供应链DevSecOps能力;
- 在运行时安全方向,云安全中心支持容器维度的runtime威胁实时检测、告警和智能处理,帮助企业抵御容器逃逸、敏感文件操作、异常连接等多种容器内攻击行为。
因云而生的原生化安全能力
在基础安全以外,面对云上愈发复杂和智能的安全风险,结合云基础设施的天然优势,阿里云为客户提供了覆盖六大核心领域61个能力项的整体安全解决方案,借助海量的安全信息,高自动化处理和协同联动等特性,帮助客户构建云上纵深防御体系。
■ 安全开发
容器时代下实现的快速封装、迁移、部署,是构建云原生安全的基础,也让开发部署的速度一番再番,让安全贯穿产品的生命周期,实现安全左移,成为保障开发安全的基石。阿里云从2017年开始,践行出一套云时代产品安全生命周期(Secure Product Lifecycle),在产品立项、架构审核、开发、测试、发布、应急响应的各个环节层层把关,确保产品诞生即符合最高等级的安全、隐私、合规标准。
在镜像安全方向,ACR容器镜像服务企业版提供了云原生交付链功能,结合镜像的完整性校验等产品化能力,构建了企业级的供应链DevSecOps能力。
■ 安全的流量接入
从四层到七层、从东西到南北、从VPC到应用层...所有的流量都应该得到监控、过滤和管理。
阿里云提供云防火墙、WAF、DDoS等流量安全产品,实现:
- 全域流量可视
- 分层分级访问控制策略
- 爬虫、机器流量管理
- 大流量DDoS&cc攻击防御
辅助以AI引擎、智能算法,形成业务流量基线,并快速、自动的适配并调整防护策略,构建起流量安全的护城河。
■ 零信任身份边界
分布式架构的云平台,在享受资源池化带来的便捷以外,也面临着边界消失的风险。
身份,成为了新的安全边界
零信任,构建了新一代云上信任
- 统一身份:在多云化部署成为主流的今天,身份,首先要实现统管。无论是多云还是混合云,单账户还是多账户,实现“一户走天下”。
- 多样化身份凭证:阿里云对账号提供密码、多因素认证(MFA)设备,API访问秘钥(AK)等多种认证方式,保障账户被正确的人访问。
- 访问授权:遵循最小权限原则,确保资源访问不被滥用。阿里云为客户提供主账号、RAM用户和RAM角色三种身份,除了主账户,其余身份默认没有任何访问权限,并仅可通过主账号授权,从配置上保障权限安全。
- 操作审计:确保异常访问能及时被发现;
■ 细粒度的安全负载
随着云原生的演进,工作负载已延伸至容器、无服务层。从主机层面的资产管理、配置检查、基线加,到容器侧的镜像检查、镜像库保护,容器运行时保护,再到Serverless的统一可见性和控制力,并引入DevSecOps机制,在开发阶段即渗入保护措施,再细颗粒度的负载也能实现「诞生即安全」。
■ 可视化和监控体系
恐怖源于未知,云上更高、更持续的可见度,可以帮助客户建立全域风险感知之眼:
- 所有云上活动审计:人为活动、脚本、API...都被忠实地记录并存储;
- 所有流量资产入库:新产生或未知的主机、数据等,都会被定期扫描并打标;
- 持续的漏洞威胁扫描:阿里云具备300+以上的威胁扫描检测模型,包括0day漏洞发现、病毒木马主动查杀、防勒索防篡改等能力;
■ 丰富信息源,协同联动
无论云上云下,强大的攻击信息积累,都是抵御敌方最好的武器。
在云原生的世界里
- 独特的信息源:作为国内最大的云服务提供商,阿里云
- 日均成功抵御60亿次攻击
- 防御全国50%的大流量DDoS攻击
- 日均抵御2.9万个恶意攻击IP库,2800+亿条行文分析记录
- 每年帮助用户修复约千万级漏洞
在这些海量攻击行为和安全实践中,提取高质量的信息IOC,为安全决策提供强大的信息支持;
- 更“聪明”的信息:每天数百个数据源,万亿数据汇集云端,阿里云云上强大的批计算、流计算、图计算线性扩展的算力,支持百余PB数据参与计算,再进行符合行业需求的上下文信息提取,实现数据的汇聚、建模、计算、分类、存储和质量、准确性分析,让基于全链路行为轨迹的深度威胁风险洞察成为可能;
- 更“共享”的信息:云上统一的Open API接口,可以实现数十条产品线内置安全能力联动,体现本是同根生的御敌优势。比如主机防护产品发现了一个新的安全警告,可以主动给外围设备下达指令,威胁信息可以通过API快速地分发给云内所有组件,实现真正的全网联防。
SECaaS:安全服务化,模块化调用
除了丰富的安全产品体系以外,云上安全最大的特点还在于将传统外挂式的安全,变成内生一体的安全形态。云上统一的Open API接口,可以实现数十条产品线内置安全能力联动,体现“本是同根生”的优势,比如主机防护产品发现了一个新的安全警告,可以主动给外围设备下达指令,威胁信息可以通过API快速地分发给云内所有组件。
共同的底座,让阿里云得以持续将安全能力与云基础设施深度融合,并将安全以服务化(SecaaS)的形式提供,客户可以按需调用、按量付费,以构建更加符合自身业务需求的安全体系。
