国内唯一!全球云安全,强劲表现者

简介: 国内唯一!全球云安全,强劲表现者


从1956年“虚拟化”概念第一次被提出到现在,半个世纪里,云计算以雷霆万钧之势迈入了历史洪流中。现如今,产业数字化仍方兴未艾,智能化时代的大幕已徐徐拉开,云计算的浪潮再一次涌动起来。


而支撑云上一切创新、应用、业务的基石,就是安全。


消息,全球权威研究机构Forrester日前发布了2023第二季度《基础设施即服务平台原生安全Wave™》,阿里云凭借技术实力和策略前瞻性,首次进入强劲表现者象限,云平台在数据中心、容器安全和合作生态系统标准中均获得了最高分。


不同于传统安全的碎片化,云安全是一个从下至上的工程化体系建设依赖于精细的设计和巧妙的逻辑嵌套,从底层的基础设施,到虚拟化层的资源调度,平台侧的身份、网络、合规,再到上层的数据、负载、配置安全,均需提供给企业可信的运行环境。

自2009年阿里云诞生的那天起,安全便已伴其左右,经过十余年的发展探索,为云上客户提供从基础设施层到业务层的全栈安全防护:

多租户模式设计的基础设施


作为企业数据中心的延伸,稳定,是一切云服务的基础,也是追求的终极目标之一。

一方面,稳定依赖于物理性安全。阿里云已面向全球开服运营了公共云地域、86个可用区,超过100+数据中心,通过大体量服务器集群为客户业务提供强力支持;同时,每个物理中心从分区设计、安全设备、安防人员,到内部管控、权限控制、维护保障,均处于多层安全防护中。

另一方面,云上资源磁化所需求的是一套完全不同的,适应多租户、分布式部署的底层架构。其核心包括两点,一是云上服务需被多方共用,二是租户之间的逻辑隔离,在保障客户业务空间独立性的同时,提升基础资源的利用效率。


01为多租户模式设计的基础设施

单机隔离能力是企业上云的前提,解决的是资源瞬时的隔离能力和优先级能力,阿里云已实现:

计算隔离

阿里云平台使用的虚拟化环境,将用户实例作为独立虚拟机运行,并通过物理处理器权限级别强制执行此隔离。


网络多租户隔离

通过网络虚拟化(Overlay)技术方案,通过VxLAN技术对云网络进行编址实现路由层面的隔离。阿里云向云上客户提供VPC产品,基于隧道技术来实现,不同用户的流量都只在各自的隧道里面流动,默认不互通,即客户在云上有了一个自己私有隔离的网络环境,并拥有了自身的网络管理能力。

存储隔离

通过分库方案、分表方案、租户唯一标识等手段,实现租户数据的私密性、隔离性;

业务隔离

是用户可以直接感知到的隔离,核心点是做好权限管控。阿里云多租户系统的权限控制基于RBAC模式进行设计,即用户、角色、权限和资源的绑定,服务负责人可以使用访问控制管理功能,精确限制哪些服务可以访问和通信;

同时,阿里云会在应用层通过租户标识来区分不同租户的数据,每一个租户都拥有一个唯一标识符,从而实现数据调用的隔离。

02资源调度

阿里云的资源调度系统可谓是云计算的大脑,负责在众多集群内的机器里,选择一台最合适的,以最佳的资源使用姿势,做到最少的相互干扰来运行用户提交的计算作业。

调度系统决定着基础设施的利用率和整体运作成本。


2021年,阿里云将发展了十多年的双调度系统重构为基于ACK的“统一调度系统”,新框架基于阿里云容器服务 Kubernetes 版(简称容器服务 ACK),通过一套调度协议、一套系统架构,统一管理底层的计算、存储、网络资源。ACK 本身提供了一个全托管的 Kubernetes 集群的调度能力,对于 IaaS 层不同类型的计算、存储、网络等能力都可以统一调度,运行业务规模达到数千万级别,是云服务稳定性的另一层保障。(阿里云伏羲系统资源划分逻辑)

依云构建的原生化安全


云上独特的架构,也决定着安全的形态必然与基础设施紧密结合,与云产品深度绑定,以基因式的内生化逻辑,借助于多样化的安全数据与海量的安全算力,为客户提供智能化、原生化、集成化的云上安全。

云安全架构的构建,依赖于连接云上所有资源的身份体系。在零信任动态体系逐渐普及的当下,云上数据、流量的访问、管理都离不开以身份为基石的访问控制和权限验证。在CSA 2022年发布的《Top Threats to Cloud Computing》报告中,云上风险TOP 1为:

不完善的身份体系、凭证、

访问和密钥管理、特权账号

Insufficient Identity、Credentical、

Access and Key Management、

Privileged Accounts


一套完整的云上账户体系应该能保障客户的设备、应用、工作负载、数据等资产被正确的访问,帮助客户在各类情况下,通过多源上下文信息对每一个访问行为进行信任评估,动态授予相应权限,并且通过多因素身份认证(MFA)、用户行为分析(UEBA)等高强度认证手段,最大程度避免凭据盗用、横向移动等安全威胁。

阿里云RAM控制系统,原生接入云上各类服务、资源体系,并且对于多账号、多用户等场景,也可实现权限分离和统一管理,实现云上身份体系的快速构建。

阿里云RAM权限控制
覆盖哪些云上资源 弹性计算、数据库、存储、云通信、网络、运维管理、互联网中间件、视频与CDN、企业应用、移动云、域名与网站、人工智能、IOT互联网、大数据、开发者服务、安全、云市场…
核心应用场景
  • 对云资源精细的访问控制
  • 云SSO服务下多账号统一身份权限管理
  • 对移动端/云服务端应用程序进行访问控制
  • 跨阿里云账号的资源授权


而身份所连接的资源,大多基于云上网络、计算、存储三大件而构建:负载、流量、数据。


01 敏捷开发下的工作负载保护

不同于线下“瀑布式”开发流程,云的高弹性、高算力使CI/CD、DevOps等快速开发方式成为可能,以容器为核心的虚拟负载的存活时间可能只有秒级,阿里云所提供的DADI引擎可实现秒级启动上万个容器,而与原生平台天然一体的底座优势,让对容器资产的感知和保护成为可能。

容器资产感知:与平台底座结合的检测,提供“集群-容器-应用”3层递进式网络拓扑可视图,了解容器间的网络拓扑、内部的应用详情,真正做到容器资产实时感知、全局呈现;


容器镜像安全:与容器镜像服务ACR原生集成,实现快速接入,覆盖镜像构建阶段、启动阶段、运行阶段,镜像仓库,实现漏洞扫描、恶意镜像检测、基线扫描等能力;


容器运行时防护:通过容器防火墙功能,支持多维度、灵活的网络隔离策略,可视化展示集群流量走向,极大降低横向攻击风险。


02 融入网络节点的流量防护

分布式部署、虚拟化互通的云上网络,早已打破了传统的“边界”概念,不同于线下常见的南北向流量,云上更多的是在VPC、虚拟机、容器之间流动的东西向流量,其安全需要更细粒度的流量可视化和过滤,这依赖于和网络架构深度融合的安全:

云Web应用防火墙已经完成了和ALB负载均衡、MSE等云产品的插件集成,一键接入即可实现防御;


云防火墙与云网络CEN TR深度集成,实现东西向流量一键自动引流,自定义分配防火墙网段并自动同步新增;

云DDoS接入了阿里云专属SCDN网络,每个节点均拥有百万级QPS的防护能力,并提供独享IP段,隔离风险;

依托云基础设施而构建的流量型产品也实现了安全能力的原子化,根据不同场景、用户群体或特殊要求,共享安全数据并且持续、动态编排安全原子能力,组合成匹配业务逻辑和管理流程的安全功能。


(云上流量安全产品架构)

03覆盖生命周期的数据安全

云上的数据防护是一个体系化工程,围绕着数据全生命周期,阿里云提供数据识别、分类分级、数据加密、数据脱敏、传输加密、KMS管控等多样化安全能力,保护客户云上数据生命线。(阿里云云上数据生命周期防护图)

企业需关注数据在云上的全生命周期流程,在不同阶段匹配对应的安全产品:

对所有数据进行扫描、分类,并对识别出的敏感数据进行打标;

对核心的敏感数据进行保护,并对其传输过程进行加密;

建立完善的数据访问权限体系,依照最小权限原则并开启多因素认证;

对于更高密级的数据传输,采用机密计算、同态加密等技术保护其安全;


04融入云产品的配置管理

和防守思路不同,攻击者会想方设法绕过“马其顿防线”,从某个意向不到的关联路径入侵。在云上,过度开放的端口、核心账户弱密码、过度授权等等错误配置正在成为攻击者的入口,这是一场需要和全线云产品共同联防的持久战。

依赖于云上统一的技术底座和Open API接口,云安全中心所提供的CSPM(云安全配置管理)能力,已全面接入数十款云上产品,提供16大类检查类别、100+检查项,覆盖20+款云产品,对云客户的基础设施、合规性配置进行持续性的评估和改进,并在去年新增身份配置管理CIEM,整体身份管理系统IDaaS、资源管理系统RAM,帮助企业管理云访问风险账户中的异常情况,是原生安全建设不可或缺的一环。

混合云趋势下安全原子化


Gartner在《中国混合云运营的三个重要经验》报告中指出,中国的混合云采用率在2021年达到了42%,预计到2024年,其渗透率将达到70%,已成为主流。在多云混线下的场景中,阿里云通过产品能力原子化模块化、SDK服务化、接口标准化,让客户的选择更加灵活。

此外,针对多云混线下的部署现状,阿里云各类基线安全产品也支持多场景部署:

云安全中心支持阿里云、华为云、腾讯云、AWS等公共云的负载安全检测;

Web应用防火墙可支持任意三方IaaS平台部署,通过CNAME代理模式导流或SDK混合部署;

DDoS防护可通过代理转发规则保护三方IaaS平台免受L4/L7层攻击;

阿里云容器安全所提供的agent可部署在其他IaaS节点上,通过daemonset方式来连接三方节点实现风险扫描;

阿里云KMS密钥管理系统支持三方密钥统管;数字化时代,安全是所有企业必须面对的问题。传统安全能力单点极致的思路,在体系化防护思想中呈现边际效益递减,碎片化所带来的复杂性,难以为客户带来正比的安全收益。阿里云安全与基础架构紧密耦合,依云而生的一体化原生安全,才能提供给客户更极致的安全体验。

Forrester评论


“对于需要在中国拥有安全的公共云平台IT设施的企业/组织,阿里云是绝佳的选择。”在信通院发布的《云原生安全成熟度》标准评估中,阿里云取得国内唯一全域最高等级认证。作为亚洲合规资质最全的云厂商之一,阿里云整体安全能力获得了国际三大权威机构一致认可,未来,阿里云将持续致力于为客户提供安全、可靠、高效的云计算服务。

相关文章
|
弹性计算 安全 机器人
一键搞定定时自动化通知
您是否经常忘了需要每周要填报工作时长?您的团队是否需要每月定时盘点HC?您是否每月末都在工作群提醒大家更新OKR? 这些简单的定时任务是不是经常会忘记或者占用您的精力?如果你也有这些烦恼,是时候来试试这个应用与数据集成平台——阿里云计算巢AppFlow了,它能够像一个神经中枢,高效地串联起所有关键数据流,并且能够巧妙地运用现代化的通讯工具如钉钉群机器人,实现定时消息通知,让每一个重要信息都能准时送达,不再因为简单重复的定时工作而占用您的时间和精力~
|
4月前
|
Web App开发 Java 数据安全/隐私保护
新一代HIS源码医院信息系统一体化程序解决方案——大型
BS架构的医疗信息系统HIS源码,兼容全浏览器与移动终端;覆盖门诊、住院、EMR、药房等全业务场景;支持医保及LIS/PACS等系统对接;采用Spring Cloud+Vue微服务架构,保障高并发与金融级数据安全。
|
3月前
|
人工智能 自然语言处理 监控
《QClaw重构开发的四个底层逻辑,看懂少走半年弯路》
本文直击传统开发自动化“维护工具比省时间还多”的普遍痛点,深度剖析QClaw与普通对话式AI的本质差异——它是具备本地系统级执行能力的智能体,而非简单的聊天助手。文章结合真实使用经验,分享了串联原子能力构建完整工作流、利用事件驱动搭建全自动开发环境、远程异步处理碎片化任务、引导智能体个性化适配四个核心实践,提出未来程序员将从代码编写者转变为智能体训练师的核心观点,为技术从业者重构开发流程提供了可落地的新思路。
308 0
|
11月前
|
Cloud Native 前端开发 Java
WebAssembly 与 Java 结合的跨语言协作方案及性能提升策略研究
本文深入探讨了WebAssembly与Java的结合方式,介绍了编译Java为Wasm模块、在Java中运行Wasm、云原生集成等技术方案,并通过金融分析系统的应用实例展示了其高性能、低延迟、跨平台等优势。结合TeaVM、JWebAssembly、GraalVM、Wasmer Java等工具,帮助开发者提升应用性能与开发效率,适用于Web前端、服务器端及边缘计算等场景。
406 0
|
7月前
|
机器人 Java API
钉钉通知
创建钉钉机器人并设置告警群,通过Webhook获取API地址。使用PostMan测试文本、@指定人及卡片消息发送。编写Java代码调用官方SDK实现消息推送,封装工具类并与Nacos配置中心集成,实现异常日志等场景下的实时告警通知,确保问题及时处理。
|
计算机视觉
大连理工卢湖川团队TMI顶刊新作 | M^2SNet: 新颖多尺度模块 + 智能损失函数 = 通用图像分割SOTA网络
大连理工卢湖川团队TMI顶刊新作 | M^2SNet: 新颖多尺度模块 + 智能损失函数 = 通用图像分割SOTA网络
974 0
|
测试技术 持续交付 开发者
《提升鸿蒙Next应用审核与上架效率之道》
为了确保应用顺利通过华为应用市场的审核并成功上架,开发者应提前熟悉审核标准和流程,优化应用质量,完善资料提交,并加强与审核团队的沟通。具体措施包括:仔细研读审核指南,确保功能完整性和稳定性,提升性能指标,规范权限申请,准确填写应用信息,准备高质量截图和视频,制定明确隐私政策,利用技术工具进行自查和自动化测试,积极参与社区交流和培训活动。
422 8
|
JavaScript
Vue2图片懒加载(vue-lazyload)
这篇文章介绍了如何在Vue 2项目中使用`vue-lazyload`插件来实现图片的懒加载功能,包括安装插件、注册配置以及在页面中的具体使用方法。
933 0
Vue2图片懒加载(vue-lazyload)
|
算法 数据挖掘 BI
❤️ Python 利用NetworkX绘制精美网络图 ❤️
NetworkX 是一个用 Python 语言开发的图论与复杂网络建模工具,内置了常用的图与复杂网络分析算法,可以方便的进行复杂网络数据分析、仿真建模等工作。networkx支持创建简单无向图、有向图和多重图;内置许多标准的图论算法,节点可为任意数据;支持任意的边值维度,功能丰富。主要用于创造、操作复杂网络,以及学习复杂网络的结构、动力学及其功能。用于分析网络结构,建立网络模型,设计新的网络算法,绘制网络等等。
3300 0
❤️ Python 利用NetworkX绘制精美网络图 ❤️
数据结构学习记录——平衡二叉树的调整(基本介绍、右单旋、左单旋、左右双旋、右左双旋、平衡因子的计算)
数据结构学习记录——平衡二叉树的调整(基本介绍、右单旋、左单旋、左右双旋、右左双旋、平衡因子的计算)
778 1