带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全基线管理CSPM免费试用,1000次1年
简介: 阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)

全方位红蓝对抗反向校验

3 外部三方验证


为了进一步加固安全防线,阿里云积极引入国内外优秀的第三方渗透测试服务提供商,通过专业 的外部验证手段,确保云平台及产品的安全性达到国际领先水平。


外部三方验证:是指聘请独立的安全专家团队,运用专业的渗透测试技术和工 具,模拟黑客攻击行为,对目标系统进行深度安全检查的过程。这一过程旨在 识别和评估系统安全控制的有效性,揭示潜在的安全弱点和威胁,最终提出改 进建议和修复方案。


3.1 合作伙伴甄选与认证


阿里云在全球范围内精选具备深厚安全背景、技术实力与良好市场口碑的第三方渗透测试服务 提供商。合作厂商需满足严格的资质要求,包括但不限于 ISO 27001 信息安全管理体系认证、 CMMI 成熟度模型集成认证等,相关服务人员需要具备 CISP-PTE/PTSCISMOSCP 等专 业认证,并通过阿里云内部的安全能力评估与认证流程,确保其服务的专业性与合规性。


3.2 测试范围与深度


第三方验证范围覆盖阿里云的全系列产品与服务,从基础设施层(如服务器、网络设备)到平台 服务(如数据库服务、容器服务) 、再到软件应用层(如 Web 应用、移动应用) 。测试内容深 入至黑白盒代码审计、网络渗透、逻辑漏洞挖掘等多个维度,确保全方位、无死角的安全验证。



image.png

4 外部安全生态建设

 

我们深知只靠阿里云安全团队自己的力量无法保障绝对的安全。唯有阿里云安全团队与白帽社区  携手并肩,方能形成有力的安全屏障。广大白帽群体和安全社区,是阿里云在安全道路上寻求突破、 弥补短板、拓宽思路的关键支撑。通过鼓励白帽挖掘漏洞,刺激内部红军团队补齐短板,阿里云  的安全防线才得以不断提升。


基于上述考虑,阿里云在 2013 年创立了阿里安全响应中心(ASRC 通过高额的赏金激励行 业精英白帽,持续不断帮助阿里云发现安全防御中的薄弱环节,全面提升业务整体安全水位。为 进一步帮助云上用户提升安全性,继而又在 2015 年创建了先知平台,通过安全众测等形式,方 便客户集中高效地发现安全风险。

image.png

阿里安全响应中心(ASRC)针对阿里云及阿里集团其他所 有业务的外部风险,通过提供漏洞赏金计划、开展安全众测 项目,提前发现潜在的安全风险,避免阿里云业务漏洞被外 部恶意黑客利用。

 

先知平台服务于阿里云客户,一方面为客户提供针对企业特 定产品的公开或私密的安全众测项目,另一方面通过通用漏 洞收集计划,及时感知云上用户大量使用的通用软件产品的 0Day 安全风险,进而将两者转化为安全能力服务客户。


 

为了更好的服务阿里云及云上用户,ASRC 和先知平台进行了重大升级,整  合双方资源,建立了统一的“先知 2.0”品牌,以提升用户覆盖、加速协同效率、 拓展服务类目、共享安全技术为宗旨,与时共进,打造新一代互联网安全服务  响应平台。


10 余年间,先知累计发布超过 1800 个项目,吸引了全球 30 多个国家的 17000 余名白帽黑客参与其中,一起保障了阿里云上亿用户和企业的安全。 阿里云对白帽社群的价值高度认可,作为对安全社区的回馈,发放了超过 8000 多万赏金,单个白帽子最高获得了 500 多万。随着阿里云业务规模不 断壮大和业务形态持续多元化,“先知”不仅成为吸纳各安全细分领域顶尖人 才的平台,还通过举办众测活动、安全竞赛、行业沙龙等,将最前沿的攻防技 术和研究成果融入阿里云的安全体系。在国际上,“先知”也积极参与各类安 全行业大会、与 Top 白帽平台合作,获取全球最前沿的安全技术能力。


阿里云安全生态的繁荣,离不开安全社区的蓬勃发展。阿里云致力于共建一个更加开放、 互助的安全社区,深化与高校、专业团队的合作,借助线下沙龙、阿里云 CTF 赛事、   阿里云安全挑战赛、先知安全社区等多元化活动,培育新兴安全人才,激发技术创新活力, 共同筑造安全行业的健康可持续发展之路。

相关文章
|
1月前
|
云安全 人工智能 自然语言处理
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。

热门文章

最新文章