带你读《阿里云安全白皮书》(九)——云上安全重要支柱(3)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心漏洞修复资源包免费试用,100次1年
简介: 阿里云安全白皮书(2024版)介绍了产品全生命周期的安全流程。在编码环节,严格遵守安全编码规范,使用安全SDK和IDE插件,安装IAST灰盒插桩程序,确保业务安全。测试环节通过自研黑、白、灰盒扫描工具进行全面检测。发布前进行默认配置检测和敏感信息检测,确保产品安全上线。运维与监控环节则通过零信任架构、日常运维和应急响应,确保产品持续安全。点击链接下载完整版内容。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(八)——云上安全重要支柱(2)

安全流程:产品全生命周期

3 编码环节

 

所有产品研发人员在编码时,必须严格遵守安全编码规范,主动接入安全团队设计并封装的安全 SDK,使用统一、标准化的安全修复方案,安装安全 IDE 插件,在测试及预发环境安装 IAST 盒插桩程序,确保业务经过安全扫描等。

在编码环节,阿里云希望将多种风险扼杀在摇篮,核心措施包括:

 

针对潜在漏洞治理,通过编码规范、IDE 安全编码插件的方式,将诸如 SQL 注入、命令执行等基本漏洞,尽量在编码环节规避 ;

针对越权风险设计及实施鉴权切面机制,通过代码层切面的方式,控制研发编 码失误导致的鉴权失效问题 ;

针对代码层 0day 风险,在编码环节内置运行时应用自我保护工具 RASP使应用具备对 0day 漏洞的默认防御能力 ;

针对编码过程中极易出现的凭证泄露风险,阿里云提供了自研的零信任凭据轮 转解决方案、动态轮转代码中关键凭据 ( 如 AccessKey)。与此同时,限制 凭据的合法使用范围,一旦凭据泄露立刻轮转止血。

 

4 测试环节


阿里云自研了黑、白、灰盒安全扫描工具,并通过 SPLC 安全运营平台嵌入整个研发流程,对产 品源代码、供应链组件、开源代码进行安全扫描。


产品研发工程师不需要单独提交扫描工单,在研发平台点击发布按钮后, 自动 进入白盒扫描,覆盖 100% 常见漏洞类型,这一过程对产品整体研发进度几 乎无影响。


产品部署到测试环境后,会默认强制接受灰盒扫描,通过动态 Fuzz、模拟攻 击行为的方式,准确地发现安全风险。


阿里云在产品上线前会对测试环境完成黑盒扫描,主要排查弱口令、1day 洞等风险。


5 发布环节


产品发布前,会进行默认配置检测,以保障产品遵循最小权限、最小暴露面、账号合理授权等基 线要求 ; 同时进行敏感信息检测,规避口令、AK 等泄露风险。


原则上,所有产品都需要接入运行时应用自我保护工具 RASPWeb 应用防 火墙等安全工具,以构建产品自身的纵深防御体系。

针对产品上线前依然存在的疑似安全风险,由阿里云权威安全专家进行最终评 估和确认后才能上线。


6 运维 & 监控


产品上线后,还涉及以下流程:


基于零信任可信的架构设计,在运维环节,对流量、资源配置、外部人员操作 行为数据进行收集,并分析审计出潜在风险,按照相关规范制度规定的时间, 及时推动解决。


进行日常运维和风险监控,一旦出现安全风险,立即启动应急响应。敏感数据 在传输、存储过程中均为密态。若与客户业务相关,仅在获得客户授权的情况 下开展处置操作。


通过红蓝对抗、产品众测、攻防比赛等形式,反向验证产品的安全性,主动发 现产品迭代过程中出现的新风险,并及时加固和修复。

应急响应环节若发现流程、工具能力有不足之处, 将尽快纳入到内部需求池中, 排期进行优化 ; 若发现新的威胁类型,会迅速上线防御策略。

 

相关文章
|
1天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(八)——云上安全重要支柱(2)
阿里云在其产品全生命周期中高度重视安全,特别是在设计环节,安全团队会进行全面的威胁建模和安全架构设计,确保产品在部署、网络、应用等各层面的安全性。阿里云具备一票否决权,确保所有产品在上线前都经过严格的安全审核。针对租户隔离问题,阿里云在虚拟化、网络、网关、应用和主机等多个层级实施了纵深防御体系,确保云环境的安全。
|
1天前
|
云安全 运维 监控
带你读《阿里云安全白皮书》(七)——云上安全重要支柱
阿里云秉持“多层防护、全面覆盖”理念,深入贯彻DevSecOps,将安全工具和流程无缝集成至产品研发各阶段,确保安全效果不依赖单一环节。通过威胁建模、安全编码插件、自动化漏洞扫描等手段,前置风险发现,提升安全治理效率。
|
1天前
|
云安全 存储 数据采集
带你读《阿里云安全白皮书》(二)—— 数智化趋势下的安全挑战
本文探讨了数智化发展带来的安全隐患与挑战,强调信息系统安全性对经济社会稳定的重要性。涉及政府管理、金融服务、关键基础设施等领域,指出数据安全问题日益突出,需加强数据治理和安全防护,确保数字经济的健康发展。点击链接下载完整版《阿里云安全白皮书(2024版)》。
|
1天前
|
云安全 监控 供应链
带你读《阿里云安全白皮书》(十)——云上安全重要支柱(4)
阿里云安全白皮书(2024版)介绍了零信任体系,通过全链路可信身份传递、多层纵深防御和持续监控,实现动态安全。同时,推出“安全分”机制,量化评估产品线的安全水平,提升安全管理效率。点击下载完整版内容。
|
1天前
|
云安全 弹性计算 人工智能
带你读《阿里云安全白皮书》(三)—— 数智化趋势下的安全挑战(2)
数智化发展带来了新的安全挑战,网络空间安全威胁日益严峻,包括网络攻击规模扩大、新型网络攻击手段不断涌现及国家级网络安全对抗日趋明显。这要求企业在保障敏捷的同时,提升安全防护水平,采用先进普惠的安全技术,实现敏捷高效的安全能力,并提供丰富全面的解决方案。
|
6月前
|
安全 网络安全 数据处理
云安全中心和传统安全产品有什么不同
云安全中心和传统安全产品有什么不同
236 2
|
运维 安全 Cloud Native
阿里云安全中心:全方位智能化安全管理系统值得买!
阿里云安全中心:全方位智能化安全管理系统值得买!
194 0
|
运维 安全 Cloud Native
阿里云云安全中心介绍_态势感知_主机安全_漏洞扫描
阿里云云安全中心介绍_态势感知_主机安全_漏洞扫描,阿里云云安全中心(原态势感知)是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统,云安全中心功能支持漏洞扫描与修复、基线检查、防勒索、防病毒、防篡改、威胁检测模型等功能,云安全中心基础版免费、防病毒班432元一年、高级版优惠价969元一年,还有企业版和旗舰版可选
390 0
|
2月前
|
云安全 安全 云计算
|
2月前
|
云安全 安全 云计算
《阿里云安全白皮书2024版》发布:国内首推“安全共同体”理念
9月20日,在杭州云栖大会上,阿里云发布2024版《阿里云安全白皮书》,正式将公共云安全责任共担的思路,升级为“云上安全共同体”理念,这意味着阿里云不仅会坚守安全责任共担模式下云服务商的责任,搭建和提供“安全的云”, 更会进一步与客户紧密合作,提供更多可供客户采取的安全保障措施,与云上客户共同形成一个紧密相连、 互相支持的安全防护网络,进一步造就云平台的运行安全。
170 15