点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
全流程产品安全保障建设
攻防对抗不是单一环节的较量,阿里云秉持“多层防护、全面覆盖”的理念,深入贯彻DevSecOps, 将丰富的安全工具和安全管控流程无缝集成至产品研发的各个阶段。通过多环节协同合作,共 同负责风险控制,从而确保安全效果不再依赖于任意单一环节。
在传统的软件开发生命周期中,安全检测和修复通常集中在发布阶段,这种方 式容易导致工作积压,存在效率低下的弊端。阿里云通过产品设计阶段威胁建 模、开发阶段提供安全编码 IDE 插件、测试阶段执行自动化漏洞扫描等方式, 在前置环节发现风险,有效控制了安全治理成本。通过应用接入 RASP、 WAF 的方式,提升了线上产品对外部攻击和新兴 0day 漏洞的免疫、防御、 拦截能力。使安全治理流程更加高效、可持续。
在与全球顶级黑客团队对抗的过程中,阿里云贯彻纵深防御和零信任架构的设计理念,建设了世界领先的安全架构,这一架构通过多层次防御机制,不仅保障了云平台自身安全,还保障了客户数据及资产的安全性,不让任何一个环节
成为安全漏洞的突破口。
安全架构设计和安全流程的关键在于实际执行,阿里云不仅在理论上进行了充 分规划,还通过建设内部度量机制,确保安全流程在各个团队中得到严格遵循和执行,通过对流程的监控和评估,阿里云切实履行了其在安全保障方面的承 诺,确保每一环节的安全措施都落实到位。
安全流程:产品全生命周期
阿里云通过将安全管控要素嵌入产品研发流程,实现了安全管控与产品研发的同步启动、同步实 施以及同步完成。产品研发安全生命周期共分为六个关键环节:立项、设计、编码、测试、发布、 运维 & 监控。阿里云在整个产品研发过程中内置标准化的审核流程和自动化安全工具,旨在将产 品研发过程中的潜在风险扼杀在上线前,并在产品上线后及时发现和响应新的安全风险,这一全 流程的安全管控机制,使得安全不再是最后的补丁,而是贯穿于整个研发生命周期的核心要素。
1立项环节
在产品立项环节,产品研发团队和安全团队将充分沟通,明确业务需求、业务形态和交付方式, 确认双方可接受的风险程度,并明确安全责任边界。这种协同合作是确保产品安全的基础。
产品立项环节的目标是厘清该产品业务背景下云平台需实现的防护效果,并要 求参与业务的各职责人员具备充足的安全知识及安全意识,避免因安全知识、 安全意识不足,而引发线上风险。在立项环节中,阿里云要求产品线一号位、 产品经理、项目经理、研发、运维、交付等相关人员必须完成安全培训考试, 牢记产品安全红线和安全基线。
阿里云平均每年完成线上安全培训和考试数万人次,完成线下培训数千人次, 并具备配套的数百份安全规范文档,覆盖产品研发全流程和全部岗位类型,以 指引产品研发工作安全、合规地开展。
