带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)

本文涉及的产品
对象存储 OSS,20GB 3个月
Web应用防火墙 3.0,每月20元额度 3个月
对象存储 OSS,恶意文件检测 1000次 1年
简介: 本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉带你读《阿里云安全白皮书》(十九)——云上安全重要支柱(13)

全链路身份管控与精细化授权


3 企业多账号管理


当云上企业使用单账号承载云上资源时,企业内不同业务之间难以实现强隔离,且人员和权限管 理复杂度极高。所以,企业通常会为每个独立的业务单元申请独立的云账号,实现安全隔离。


对于持有大量云账号的中大型组织,阿里云提供了资源目录(Resource Directory产品,支 持企业管理员将企业的众多账号按业务的层级结构有序地组织起来,形成组织的资源结构目录, 进而以组织视角集中管理身份权限、安全、合规、策略等资源,满足企业资源在安全、审计及合 规方面的管控需要。通过资源目录产品,企业可以利用账号作为逻辑边界提升资源安全状态,更 清晰地管理用户对不同环境的访问权限。

image.png


“如何保障众多云账号遵守公司的安全合规基线? ”是众多中大型组织云上资 源管控的痛点。为了支持中大型客户解决此类痛点,阿里云基于资源目录产品 提供了 Control Policy,可限制多云账号内的权限边界,以确保企业安全基线 与合规性。


Control Policy 并不执行权限的授予,而是在整个组织树下,规划约定权限限 制。即使云账号管理员为某个子用户分配了敏感的权限,该子用户由于受到资 源目录管控策略的限制,也仍无法进行危险的操作。


举例来说,当安全合规管控团队希望禁止访问者与 OSS 产品间进行明文交互, 要求强制使用 TLS 链路加密时,可以通过 Control Policy 进行限制。

image.png

Control Policy 还支持其它类似的场景,如禁止 ECS 开放公网、强制加密存 储、禁止修改 ECS 镜像分享权限、禁止关闭 ActionTrail 日志审计。企业可 以基于 Control Policy 的能力,用 RAM 的语法灵活地设置企业权限基线, 以满足企业安全与合规管控需要。

4 身份关联与映射


企业内部由于内部管理需要,或考虑到云下历史架构,可能需要保留其它身份与权限管理体系, 或建设专属企业内部的身份与权限管理体系,如传统的 Windows 域身份权限体系。企业自有身 份体系与云上身份权限体系的映射,通过自有身份体系实现单点登录,以此来保障企业身份、权 限系统的简洁性,同时降低密码泄露风险。


阿里云支持云上身份与企业内部身份权限管理机制关联,员工无需持有云上用 户身份的登录密码,直接通过内部身份权限管理机制就能免密登录到云上控制 台,这一关联机制能够有效控制多套账号密码管理混乱所导致的安全隐患。同 时也可以更高效地解决员工转岗、离职所带来的云上账号转交及注销,大大降 低了企业身份权限管理的复杂度。

单点登录(SSO)是一种身份验证解决方案,可让用户通过一次性用户身份 验证登录多个应用程序和网站。SSO 是云上身份与企业自建身份权限体系互 联的基本能力,基于标准的 SAML2.0 或 OIDC 身份协议,可以支持对接企 业自建 IdP(身份提供商 使用户在通过企业内部账号认证后,就可以直接 登录到云控制台的某个 RAM 用户或 RAM 角色身份。

image.png

如上一章节所述,中大型企业往往需要持有大量的云账号,这些云账号可以通 过资源目录产品来进行统一管理。对于身份关联工作,阿里云基于资源目录产 品,提供了云 SSO 能力,能够将企业中所有的身份在云 SSO 中进行统一的 管理,支持多账号的 SSO 分配与管理,通过配置模版能力,能够大大加速配 置速度,控制配置成本。

image.png

通过上述一系列工具及能力,可以将云上身份与企业自建身份体系打通,便于 企业级大规模身份与权限管理,帮助企业保护云上资源的安全。

安全防护能力高效弹性可扩展

面对日益严峻的攻防态势和日益复杂化的系统架构,企业需要实施多方位的安全防护,如在网络 层到应用层需要配置 DDoS 防护、云防火墙、WAFRASP 等安全产品,如果这些安全防护能 力完全由客户自建,将会产生大量的资源投入成本及时间成本。


在数智化转型趋势中,企业的敏态需求日益增长,云平台能够在确保这些需求得到满足的同时, 助力业务实现快速的弹性伸缩与扩展。在安全领域,阿里云也致力于将安全防护能力融入到云产 品中,以“原生安全”的理念,为客户提供内生、默认、可配置、可弹性伸缩、可扩展、生态友 好的安全防护能力。


1 产品原生安全防护能力

 

阿里云希望所有将系统部署在云上的企业,都能够享有尽量高的默认安全水位,因此将安全能力 默认融入到了产品设计中,为企业提供原生的安全防护。

 

-    数据保护层面,阿里云提供了默认的传输加密与存储加密

传输加密是指云产品为用户访问(包括读取和上传)数据提供了 SSL/TLS 议来保证数据传输的安全。例如,当用户通过阿里云控制台操作时,控制台 会使用 HTTPS 协议进行数据传输。所有的阿里云产品都为客户提供了支持 HTTPS API 访问点,以满足敏感数据的加密传输需求。对象存储 OSS、全 球加速产品还提供了 TLS 版本控制能力,以满足客户多样化的安全合规需求。


阿里云为用户提供云产品落盘存储加密能力,并统一使用阿里云密钥管理服务  (Key Management Service,简称 KMS)进行密钥管理。云上关键存储产品, 如云盘、数据库 RDS、对象存储 OSS,均实现了一键加密能力,客户可免  费一键开启,以满足敏感数据的磁盘加密存储需求。


-    网络安全层面,阿里云提供了默认额度的流量攻击防护额度

阿里云云安全中心提供了免费版的漏洞检测、安全告警和基线检查服务,还帮 助客户收集并呈现安全日志和云上资产指纹。客户可以在 ECS 管理控制台的 概览页面或者云安全中心控制台查看相关安全信息。


客户创建弹性公网 IPEIPElastic IP Address)资源时,阿里云将默认开 DDoS 基础防护能力,免费提供最大 5 Gbps 的基DDoS 防护能力,以 抵御小规模攻击。

 

-    访问控制层面,阿里云提供了默认最小够用的产品配置

为防止企业无意间配置错误的访问控制策略,导致严重的数据安全隐患,阿里 云在产品中提供了默认最小够用的产品配置,并提供充分的风险提醒。例如, OSS Bucket 配置了“阻止公网访问”,防止使用者误操作,导致敏感数据 非预期对外暴露。


image.png

应用层防护层面,阿里云提供了可选的安全防御与扫描能力

应用实时监控服务是阿里云的一款应用性能管理(APM)监控产品,整合了 RASPRuntime Application Self-Protection) 防护能力。当企业有代码 层入侵拦截的需求时,可以通过 ARMS 控制台一键接入应用安全,接入后重 启目标应用对应的实例即可,无需对任何应用代码进行修改。

云效作为阿里云提供的 DevOps SaaS 产品,在代码检测环节提供了安全扫 描能力,客户可按需使用该功能,提升应用代码的安全质量。

image.png

阿里云还将在更多的产品上,推动更多的原生安全设计落地,保障企业的安全 水位。


2 按需使用与弹性伸缩


企业所需要保护的资产规模、需要实施的具体安全防护级别会动态变化。考虑到企业的快速迭代、 扩展需求,阿里云提供了按需使用、 一键接入、按需扩展的安全能力,旨在帮助企业同步实施安 全防护策略。


高昂的接入成本也是影响安全防护实施敏捷性的一个关键因素,阿里云通过一 系列产品改造与建设,帮助客户实现低成本、高质量的接入体验。

 

以阿里云的流量防护产品为例:


image.png

在企业原本的接入流程中,会遇到诸多障碍,影响抗 D 能力的有效接入:


●   配置繁琐:企业业务有大量 IP 资产和端口资产,代理模式防护部署需要维护 多对多转发配置。

●   协同链路长:代理模式防护部署涉及串联部署、DNS 接入需要企业内部运维 流程协同。

●   架构改造复杂:代理模式防护部署需要修改入口到高防 IP,会改变企业的业 务流量架构。

image.png

3 云上安全生态共享


安全不是闭门造车,云上企业众多,场景千变万化。为促进云上安全生态,阿里云通过云市场形 式引入了众多安全产品,为客户提供了丰富的选择,并通过优化产品设计,便于三方安全产品在 云基础产品上提供更优质的服务。


阿里云云市场是云上的软件交易及交付平台,通过赋能生态伙伴,引入三方生态产品,以实现客户、 阿里云、生态伙伴之间的共赢。截至 2024 年 8 月,阿里云云市场已引入包含国内外主流安全厂  商的 358 款三方安全产品,为企业的安全解决方案提供更多的选择。

image.png

除此之外,阿里云在自身云产品设计上,为生态集成留出了接入扩展点,为三 方安全设备提供更稳定、可靠、安全的接入体验。


网关型负载均衡(Gateway Load Balancer GWLB) 是阿里云提供的一 种负载均衡服务,专为网络虚拟设备设计, 旨在简化在阿里云上部署和管理第 三方网络虚拟设备(如第三方防火墙、DPI 设备等)的过程。


GWLB 与阿里云云市场上的众多安全和网络供应商产品集成,如 FortiGate、 Palo Alto Networks 等主流安全厂商,使得这些设备可以在阿里云上高效部署 和管理,轻松实现云原生安全和网络策略。GWLB 为这些设备提供了高可用性 和扩展性、灵活的流量分配、基于 Private Link 的私网安全数据传输能力、易 用的配置与管理能力。另外,GWLB 还支持统一的安全策略,使用户在复杂的 网络结构下,同时保持高性能及高安全性。


在拥抱安全生态的路上,阿里云还将继续砥砺前行,未来会引入更多的三方企  业共同加入到云上安全生态的大市场中,共同为用户的安全水位保障添砖加瓦。

相关文章
|
20天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
20天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
20天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
20天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
21天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
21天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
21天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
21天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
21天前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。
|
21天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十六)——云上安全重要支柱(10)
阿里云提供了全面的数据安全保护措施,包括细粒度访问控制策略、网络访问控制、私网访问通道、RAM权限管理、安全组能力、可信计算与机密计算等,确保客户数据的主权和机密性。

热门文章

最新文章