首次曝光!唯一全域最高等级背后的阿里云云原生安全全景图

本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
性能测试 PTS,5000VUM额度
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: 6 月 15 日,2022 云原生产业大会宣布,阿里云在信通院“云原生安全成熟度”评估中,取得国内唯一全域最高等级认证。信通院“云原生安全成熟度”从基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全 5 个维度,共计 315 个细分项考察企业云原生架构安全水平。阿里云云原生应用平台通过大规模企业客户服务积累和创新性技术打磨,沉淀了全链路的云原生安全解决方案,全方位展现了阿里云云原生产品安全能力的丰富度和领先性。

6 月 15 日,2022 云原生产业大会宣布,阿里云在信通院“云原生安全成熟度”评估中,取得国内唯一全域最高等级认证。信通院“云原生安全成熟度”从基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全 5 个维度,共计 315 个细分项考察企业云原生架构安全水平。阿里云云原生应用平台通过大规模企业客户服务积累和创新性技术打磨,沉淀了全链路的云原生安全解决方案,全方位展现了阿里云云原生产品安全能力的丰富度和领先性。


(图 1:阿里云云原生安全成熟度模型测评报告)


安全合规是企业上云、全球化部署的首要需求,随着云原生对计算基础设施和企业应用架构的重定义,传统的企业安全防护架构也面临着新的挑战。


  • 缺少体系化的云原生安全能力建设:传统企业应用安全模型通常是基于不同的信任域来划分安全边界,在信任域内的东西向服务交互被认为是安全的。而上云后容器应用可能需要在 IDC 和云上漂移,传统基于边界安全模型中静态标识符(比如 IP 地址)在云原生场景下不再可行,需要企业安全防护更接近于基于属性和元集群(比如标签标记等)识别不断变化的动态负载,并采取零信任的安全保护措施。


  • 缺少应用侧全生命周期的安全防护手段:容器提供了弹性、敏捷和动态可扩展等特性,同时也改变了应用的部署模式。应用自身生命周期被大幅缩短,一个容器应用的生命周期通常是分钟级。这需要在企业应用生命周期和安全设计架构中实施更多自动化的安全控制,从身份体系、资产管理、认证鉴权、威胁分析检测和阻断等应用侧全生命周期安全防护。


  • 缺少对云上安全责任共担模型的理解:在企业应用云原生化架构转型过程中,需要企业应用开发者和安全运维人员理解企业自身和云服务商之间的责任边界。从应用设计、开发、构建、分发、部署到运行时各个阶段,一方面需要云服务商提供云原生下的安全防护产品化能力,另一方面也需要企业增强对云原生下安全概念、工具和流程的持续学习并真正长期实践到应用中。


云原生安全成熟度模型


阿里云云原生安全旨在基于云原生敏捷高效、分布式和不可变性等架构特征,在传统安全模式的基础上提供更加全链路、安全可信的纵深防御。在云原生应用生命周期中“安全左移”,尽早地整合安全并实现预防性的主动防御;同时基于零信任、安全软件供应链 DevSecOps 等安全架构设计提高企业的安全防护的效率。


本次信通院云原生安全成熟度模型测评,全场景多维度覆盖了云原生平台架构的安全防护能力。整个安全评测标准可以帮助企业提供云原生安全能力的自检标尺和建设指南。阿里云在此次标准所有 5 个域的测评中均取得了国内唯一的全域最高等级认证。


(图 2:云原生安全成熟度模型)


云原生安全全景图


从容器镜像服务 ACR、容器服务 ACK 到云安全中心、Web 应用防火墙,阿里云丰富的云原生安全产品家族保障了阿里巴巴自身的大规模云原生化实践,确保应用全生命周期的云原生安全。同时这些云原生安全能力也支撑了云上百万企业,从基础设施、云原生基础架构、云原生应用、云原生研发运营到云原生安全运维,提升了全链路的安全性及企业安全治理的效率。


目前,阿里云正式发布云原生安全全景图,涉及阿里云原生平台 10 余条产品线,50+ 款产品共计 522 项核心安全能力,助力企业打造更安全可控、更先进智能的业务体系。


(图 3:阿里云云原生安全全景图)


  • 基础设施安全:阿里云在计算、存储、网络等云基础设施侧构建了夯实的平台底座安全能力。在计算安全方向,云安全中心和容器镜像服务支持漏洞的自动化检测,告警,溯源和攻击分析,同时支持镜像漏洞的自动化智能修复;同时支持多OS,混合云架构的基线扫描和丰富的策略配置;在网络安全方向,云防火墙服务支持多重边界防护和基于流量学习结果的自适应智能策略推荐下发;在存储安全方向,容器服务备份中心支持应用数据的异地备份和快速恢复,ACK One提供了多云混合云场景下的两地三中心备份容灾能力,同时ACK-TEE还提供了基于软硬一体的机密计算技术帮助实现内存维度的剩余信息保护。


  • 基础架构安全/供应链安全:首先在云原生网络侧,容器服务和云安全中心提供了pod维度的东西向策略控制和智能阻断能力,同时支持集群网络拓扑的可视化展示;ASM网格服务提供了Service Mesh框架下全链路的流量加密、观测,监控和七层访问控制能力;在编排和组件安全方向,ACK容器服务支持多维度的自动化安全巡检能力,帮助发现集群应用潜在风险并提供加固建议,同时保证所有系统组件基于CIS等合规规范的配置加固。通过使用托管节点池可以实现集群节点CVE的自动化自愈修复能力。在访问控制上,ACK集群的RRSA功能支持集群应用侧pod维度的云上资源权限隔离;在镜像安全方向,ACR容器镜像服务企业版提供了云原生交付链功能,结合镜像的完整性校验等产品化能力,构建了企业级的供应链DevSecOps能力;在运行时安全方向,云安全中心支持容器维度的runtime威胁实时检测、告警和智能处理,帮助企业抵御容器逃逸、敏感文件操作、异常连接等多种容器内攻击行为。


  • 云原生应用安全:云原生应用安全包含了企业应用侧防护的方方面面。首先在通用安全方向,通过使用云防火墙和Web应用防火墙等服务可以实现企业应用南北向和东西向的攻击防护和细粒度的访问控制,支持API漏洞、注入攻击和敏感数据泄露的监测、分析和自动修复建议,同时企业应用可以接入ARMS RASP服务,实现API维度的调用链监控和API服务资产管理;在微服务安全方向,MSE微服务引擎通过云原生网关结合云防火墙等服务保证微服务网络通信安全,在提供丰富的微服务治理能力的同时提供了安全监控和应用代码层的RASP防护能力。在Serverless安全方向,函数计算服务支持存储、网络等函数资源的细粒度访问控制和租户隔离,同时支持函数资源、流量的实时监控以及完备审计。


  • 云原生安全运维:云原生应用如何进行安全运维是企业关心的重点问题。在安全管理方向,容器服务和云安全中心等服务支持丰富细致的可视化资产管理能力,同时基于日志服务提供了管控侧和业务侧完备的审计日志,并支持基于审计的智能分析、告警和图表化展示能力。在策略管理上,容器服务支持基于OPA的集群部署时刻策略治理引擎,同时云效服务针对云原生开发、测试流程提供了基于策略的运营流程配置和安全检测功能。身份管理是零信任安全的基础,阿里云RAM和IDaaS服务支持企业LDAP对接,在服务网格中支持基于身份的服务间访问策略规则定制以及身份凭证泄露的实时检测告警。在安全运营方向,云安全中心支持通过云蜜罐诱导捕获攻击者并自定义攻击反制,同时支持多维度可视化的检测预警和溯源分析,另外阿里云威胁情报平台支持基于IOC搜索、判定结果,可通过多渠道进行漏洞情报的获取并支持行业安全事件报告线下订阅方式的订购,帮助企业安全运维团队提升运营管理效率。


  • 研发运营安全:阿里云安全团队对平台内部研发运营流程进行严格的安全审计和管理。在安全需求方向,安全团队针对云产品定制化需求清单,支持面向应用场景特定的定制化需求和自动化的测试用例,同时支持多渠道的需求收集和系统化管理;在开发安全方向,首先在制品安全上实现组件漏洞的自动化检查、完整性校验和身份溯源,在安全设计上支持系统化的威胁建模以及内部标准化的安全设计规范和技术栈;在测试安全方向,在研发运营流程具备端到端的测试工具链,配合日常人工渗透测试,及时发现漏洞并自动录入系统通知修复。整个DevSecOps流程可通过策略配置实现风险识别和运营,无需人工干预。


阿里云容器产品家族 - 高效安全、智能无界


阿里云容器服务 ACK 支撑了集团 100% 核心应用的云原生化,同时为云上上万企业实现现代化应用改造升级提供升级服务。从互联网到零售、金融、制造、交通,越来越多的行业在利用创新的云原生技术解决他们的业务问题。与此同时,容器也在支撑着更多行业场景创新,比如在智能驾驶领域,仿真模拟需要海量的算力。只有云计算与云原生技术能够满足业务算力的弹性、规模和效率的需求。


阿里云容器镜像服务 ACR 是云原生架构重要基础设施之一,负责云原生应用制品的安全托管和高效分发。先后服务了数千家企业,托管了数 PB 容器镜像数据,支撑月均镜像拉取数亿次。在 DevSecOps 场景,企业可以使用 ACR 云原生应用交付链,或与自建 CI/CD 工具结合,实现高效安全的云原生应用交付,加速企业的创新迭代。


阿里云容器服务 ACK ONE 是基于阿里云提供的多云、多集群、多环境管理能力,ACK ONE 能够同时管理阿里云上集群、边缘集群、部署在用户客户中心的集群以及其他云上的 Kubernetes,真正实现集群的统一管理、资源的统一调度、数据的统一容灾和应用的统一交付。


(图 4:阿里云容器产品家族)


阿里云容器服务期待与更多优秀合作伙伴、企业共同探索云计算的未来,构建高效安全、智能无界的新一代云原生基础设施,助力企业加速云时代的技术创新。


5.png


2022 年6月23日-7月23日,扫描上方图片二维码点击:https://page.aliyun.com/form/act1888746316/index.htm 填写问卷,首次购买阿里云容器服务专业版 ACK Pro、容器镜像服务企业版 ACR EE的客户可享受7折优惠。期待您的反馈!

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
7天前
|
运维 Cloud Native 应用服务中间件
阿里云微服务引擎 MSE 及 云原生 API 网关 2024 年 10 月产品动态
阿里云微服务引擎 MSE 面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持 Nacos/ZooKeeper/Eureka )、云原生网关(原生支持Higress/Nginx/Envoy,遵循Ingress标准)、微服务治理(原生支持 Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。API 网关 (API Gateway),提供 APl 托管服务,覆盖设计、开发、测试、发布、售卖、运维监测、安全管控、下线等 API 生命周期阶段。帮助您快速构建以 API 为核心的系统架构.满足新技术引入、系统集成、业务中台等诸多场景需要
|
17天前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
39 2
|
1月前
|
运维 Cloud Native 数据可视化
阿里云云原生应用组装平台BizWorks满分通过最新评估
阿里云BizWorks满分通过《基于云计算的业务组装平台能力成熟度模型》评测,获得优秀级(最高等级),广东移动联合阿里云BizWorks团队开展的组装式应用实践获得第三届“鼎新杯”数字化转型应用优秀案例一等奖。
186 3
|
2月前
|
安全 Cloud Native 测试技术
Star 3w+,向更安全、更泛化、更云原生的 Nacos3.0 演进
祝贺 Nacos 社区 Star 数突破 30000!值此时机,回顾过去的两年时间,Nacos 从 2.0.4 版本演进到了 2.4.2 版本,基本完成了当初构想的高性能、易拓展的目标,并且对产品的易用性和安全性进行了提升,同时优化了新的官网,并进行了多语言和更多生态支持。未来,Nacos 会向更安全、更泛化、更云原生的 Nacos3.0 演进。
146 17
|
1月前
|
运维 Cloud Native 应用服务中间件
阿里云微服务引擎 MSE 及 云原生 API 网关 2024 年 09 月产品动态
阿里云微服务引擎 MSE 面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持 Nacos/ZooKeeper/Eureka )、云原生网关(原生支持Higress/Nginx/Envoy,遵循Ingress标准)、微服务治理(原生支持 Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。API 网关 (API Gateway),提供 APl 托管服务,覆盖设计、开发、测试、发布、售卖、运维监测、安全管控、下线等 API 生命周期阶段。帮助您快速构建以 API 为核心的系统架构.满足新技术引入、系统集成、业务中台等诸多场景需要
|
1月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
149 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
1月前
|
人工智能 自然语言处理 关系型数据库
阿里云云原生数据仓库 AnalyticDB PostgreSQL 版已完成和开源LLMOps平台Dify官方集成
近日,阿里云云原生数据仓库 AnalyticDB PostgreSQL 版已完成和开源LLMOps平台Dify官方集成。
|
24天前
|
运维 Cloud Native 持续交付
云原生技术解析:从IO出发,以阿里云原生为例
【10月更文挑战第24天】随着互联网技术的不断发展,传统的单体应用架构逐渐暴露出扩展性差、迭代速度慢等问题。为了应对这些挑战,云原生技术应运而生。云原生是一种利用云计算的优势,以更灵活、可扩展和可靠的方式构建和部署应用程序的方法。它强调以容器、微服务、自动化和持续交付为核心,旨在提高开发效率、增强系统的灵活性和可维护性。阿里云作为国内领先的云服务商,在云原生领域有着深厚的积累和实践。
52 0
|
2月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
5天前
|
Cloud Native 安全 数据安全/隐私保护
云原生架构下的微服务治理与挑战####
随着云计算技术的飞速发展,云原生架构以其高效、灵活、可扩展的特性成为现代企业IT架构的首选。本文聚焦于云原生环境下的微服务治理问题,探讨其在促进业务敏捷性的同时所面临的挑战及应对策略。通过分析微服务拆分、服务间通信、故障隔离与恢复等关键环节,本文旨在为读者提供一个关于如何在云原生环境中有效实施微服务治理的全面视角,助力企业在数字化转型的道路上稳健前行。 ####