带你读《阿里云安全白皮书》(九)——云上安全重要支柱(3)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 免费版,不限时长
简介: 阿里云安全白皮书(2024版)介绍了产品全生命周期的安全流程。在编码环节,严格遵守安全编码规范,使用安全SDK和IDE插件,安装IAST灰盒插桩程序,确保业务安全。测试环节通过自研黑、白、灰盒扫描工具进行全面检测。发布前进行默认配置检测和敏感信息检测,确保产品安全上线。运维与监控环节则通过零信任架构、日常运维和应急响应,确保产品持续安全。点击链接下载完整版内容。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(八)——云上安全重要支柱(2)

安全流程:产品全生命周期

3 编码环节

 

所有产品研发人员在编码时,必须严格遵守安全编码规范,主动接入安全团队设计并封装的安全 SDK,使用统一、标准化的安全修复方案,安装安全 IDE 插件,在测试及预发环境安装 IAST 盒插桩程序,确保业务经过安全扫描等。

在编码环节,阿里云希望将多种风险扼杀在摇篮,核心措施包括:

 

针对潜在漏洞治理,通过编码规范、IDE 安全编码插件的方式,将诸如 SQL 注入、命令执行等基本漏洞,尽量在编码环节规避 ;

针对越权风险设计及实施鉴权切面机制,通过代码层切面的方式,控制研发编 码失误导致的鉴权失效问题 ;

针对代码层 0day 风险,在编码环节内置运行时应用自我保护工具 RASP使应用具备对 0day 漏洞的默认防御能力 ;

针对编码过程中极易出现的凭证泄露风险,阿里云提供了自研的零信任凭据轮 转解决方案、动态轮转代码中关键凭据 ( 如 AccessKey)。与此同时,限制 凭据的合法使用范围,一旦凭据泄露立刻轮转止血。

 

4 测试环节


阿里云自研了黑、白、灰盒安全扫描工具,并通过 SPLC 安全运营平台嵌入整个研发流程,对产 品源代码、供应链组件、开源代码进行安全扫描。


产品研发工程师不需要单独提交扫描工单,在研发平台点击发布按钮后, 自动 进入白盒扫描,覆盖 100% 常见漏洞类型,这一过程对产品整体研发进度几 乎无影响。


产品部署到测试环境后,会默认强制接受灰盒扫描,通过动态 Fuzz、模拟攻 击行为的方式,准确地发现安全风险。


阿里云在产品上线前会对测试环境完成黑盒扫描,主要排查弱口令、1day 洞等风险。


5 发布环节


产品发布前,会进行默认配置检测,以保障产品遵循最小权限、最小暴露面、账号合理授权等基 线要求 ; 同时进行敏感信息检测,规避口令、AK 等泄露风险。


原则上,所有产品都需要接入运行时应用自我保护工具 RASPWeb 应用防 火墙等安全工具,以构建产品自身的纵深防御体系。

针对产品上线前依然存在的疑似安全风险,由阿里云权威安全专家进行最终评 估和确认后才能上线。


6 运维 & 监控


产品上线后,还涉及以下流程:


基于零信任可信的架构设计,在运维环节,对流量、资源配置、外部人员操作 行为数据进行收集,并分析审计出潜在风险,按照相关规范制度规定的时间, 及时推动解决。


进行日常运维和风险监控,一旦出现安全风险,立即启动应急响应。敏感数据 在传输、存储过程中均为密态。若与客户业务相关,仅在获得客户授权的情况 下开展处置操作。


通过红蓝对抗、产品众测、攻防比赛等形式,反向验证产品的安全性,主动发 现产品迭代过程中出现的新风险,并及时加固和修复。

应急响应环节若发现流程、工具能力有不足之处, 将尽快纳入到内部需求池中, 排期进行优化 ; 若发现新的威胁类型,会迅速上线防御策略。

 

相关文章
|
1月前
|
云安全 人工智能 自然语言处理
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。

热门文章

最新文章

下一篇
DataWorks