带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践

简介: 淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)

全面上云:淘宝云上安全建设实践


淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于公共云底座成功通过了多年双 11 峰值的考验。系统及业务的稳定运行离不开安全性的保障,淘宝长期以来将安全性保障视为重 要目标,基于公共云的安全能力支撑,在云上系统安全、网络安全、账号 & 凭据安全、云资源安 全等领域积累了丰富的经验和最佳实践。


1 系统与网络安全体系:构建坚不可摧的企业安全防线

 

业务上云后,机房物理环境安全交由阿里云保障,淘宝无需投入人力资源,更多地把重心投入系 统与网络安全建设中。

 

1.1 系统安全保障


淘宝建设了完整的系统安全保障体系,控制系统被入侵的风险,并减少入侵行为对业务的损害。 在建设过程中,使用了阿里云所提供持续更新的操作系统安全版本,并使用云安全中心来进行主 机上的防护,如漏洞检测、安全威胁态势感知、病毒检测、防勒索、入侵检测与响应。


在漏洞检测与风险态势感知方面,能够及时、清晰地了解到系统安全所面临的 风险。


在病毒检测与防勒索方面,能够做到全面、准确地识别病毒,并通过数据备份 恢复等能力,控制入侵行为对业务的影响。


在入侵检测与响应方面,通过智能学习应用白名单的能力,能够识别可信和可 疑 / 恶意程序形成应用白名单,防止未经白名单授权的程序悄然运行,可避免 主机受到不可信或恶意程序的侵害,并及时将攻击者驱逐出生产环境。


1.2 网络安全保障

 

淘宝在“最小化暴露”“纵深防御”的设计思想下,设计了整体的网络安全架构,以保障淘宝数 据和资产安全。


淘宝将网络安全防御分为南北向防御与东西向防御,南北向防御主要针对内外 部流量传输进行防御。DDoS 风险是淘宝面临的核心风险,一旦因 DDoS 击导致服务中断,每分每秒都将面临巨额损失。淘宝使用阿里云的 DDoS 护能力,可随淘宝业务流量峰值、威胁情况不同而弹性伸缩,从而保障了南北 向的流量安全。


东西向流量是指企业内部网络中的不同设备或应用之间的流量,是企业生产网  络中主要的流量类型。东西向流量的安全防护一直是企业网络安全建设中的难  点。传统的安全防护手段,如防火墙、IDS/IPS 等,主要针对南北向流量进  行防护,对东西向流量的防护效果有限。基于阿里云标准化、可扩展的云资源, 针对企业内的痛点,淘宝设计了网关安全防护能力,以满足保障需要。
image.png

2 账号与凭据安全体系:保障业务生产安全运行的坚实堡垒


随着越来越多的系统在云上部署、越来越多的数据在云上存储,账号与凭据作为权限的载体,其 安全保障就变得尤为重要。一旦账号、凭据丢失,将可能导致数据泄露、服务中断等严重后果。


淘宝作为一款大型国民级产品,拥有庞大的研发团队,持有上千云账号,数以   万计的云资源,如何保障在复杂、长期的研发过程中,控制账号与凭证泄露风险,  是一项巨大的挑战。淘宝的安全团队与 TRE 团队一起,基于阿里云的多账号   管理、身份关联扩展能力,采用了资源目录(RD)产品、云 SSO(CloudSSO) 产品,建设了适合于大型组织的云管平台,构建了一套完善的云账号 / 凭据安   全管理体系。


在云账号安全管理体系中,所采用的关键设计有:

 

●   禁用账密:对内部员工屏蔽账号密码登录,通过云 SSO 将办公 BUC 身份与 云账号身份关联起来,实现免密登录,使云账号账密的风险敞口能够通过统一 办公 BUC 的身份管理体系来收敛、控制。

  明确账号管理流程与责任: 制定清晰的账号申请、审批、使用、变更、注销 等流程,并指定专人负责账号管理工作,确保账号安全责任可追溯。

●   禁用主账号日常操作:默认只允许使用子账号、RAM Role 执行管控操作, 降低主账号被盗用的风险。

●   细粒度权限控制: 遵循最小授权原则,通过 RAM 所支持的资源组、Tag 细粒度控制能力,授予用户和应用最小必要的访问权限,避免过度授权带来的

安全风险。

●   统一账号行为审计: 通过阿里云 RD 将所有账号的操作审计进行汇总分析, 集中监控账号行为,及时发现可疑操作,快速响应安全事件。

在凭据安全管理体系中,所采用的关键设计有:

 

●   避免明文接触: 彻底消除业务员工接触、存储、明文使用云账号凭据的可能性, 从源头上杜绝 AK 泄露风险。

●   运维统一管理:  由运维系统统一管理 AK,降低运维成本和复杂度,提升安 全性。

●   动态获取凭据: 应用在运行时通过自身身份和资源标识动态获取所需的云资 源凭据,实现凭据不透出、不落盘。

●   定期轮转凭据: 为应用使用的云资源凭据指定轮转周期,定期更换凭据,降 低凭据泄露风险。


淘宝通过这一套完整的云账号 / 凭据安全管理体系,有效提升了云账号的安全 性,筑牢了云安全堡垒。

 

 

3 云资源安全管理体系:默认配置安全与巡检审计


淘宝上云后,需要管理数以万计的资源,资源类型也种类繁多,管理复杂度极高。而在全面上云后, 通过云平台的标准化设计,大大降低了管理复杂度,使得安全妥善管理具备可行性。


为了管理如此大规模的云资源体量,淘宝基于阿里云资源中心的能力,获取到 了近实时的云产品配置数据,并基于该数据实现了 CSPMCloud Security Posture Management)云资源安全管理平台。

image.png

一旦云上资源出现配置错误问题,可能会带来安全风险,比如存储了敏感信息 OSS Bucket 允许外部匿名访问。在出现此类问题时,需要能够立刻响应 并通过内部漏洞管理平台推动风险的修复。


4 总结


淘宝作为国民级大型应用,结合自身电商领域的安全痛点,基于阿里云的基础设施及安全能力, 构建了高效弹性的安全保障体系。克服了 DDoS 攻击、大型企业多账号管理困难、大型组织资源 安全管理复杂等痛点,为保护淘宝用户的数据安全、保障淘宝服务安全稳定运行提供了强有力的 支撑。


助力发展:关键行业云上安全最佳实践


阿里云作为数智化趋势下的基础设施,逐渐在各行各业成为了数智化系统的底座系统,从数字而 生的互联网行业,到国计民生的金融行业,再到从传统行业转型的制造业,阿里云在满足客户业 务高速发展的同时,也在利用云平台安全性优势,为各行各业的“安全行驶”保驾护航。

下文将从行业中的经典案例入手,分享阿里云如何帮助行业内的客户,克服安全方面的挑战。


1 互联网行业云上安全最佳实践

1.1 行业安全需求洞察


数智化时代,互联网行业作为数字经济的主力军,正面临着前所未有的安全挑战与机遇,其安全 需求分别由“风险”“合规”两大要素驱动。一方面要防范不法分子的攻击,一方面要符合各类 监管合规要求。

image.png

1.2 典型案例

 

某头部电商创立于 2016 年,之后经历了 8 年的快速发展,已经在纳斯达克上市。 在他们 8 年的发展历程中,安全的发展迅速,期间遇到了不少安全痛点及威胁。


1.2.1 业务痛点


●   大促期间业务被黑洞风险:“双 11”“双 12”等电商大促期前,客户花费了 大量的营销资金进行铺垫,客户非常担心在大促期间因为 DDoS 攻击导致业 务被黑洞,这样营销资金就会被浪费,并对业务造成巨大影响。


●   安全合规风险:合规是客户对于安全建设的基本诉求,这对于客户在国内拓展 电商业务,在美国谋求上市都至关重要,对应就是参照等级保护三级标准进行 建设,满足监管要求。


●   数据爬虫风险:电商行业竞争激烈,客户的竞对经常会利用爬虫,批量获取 商品价格后制定商品定价策略,这样就会对客户的商品价格及销量造成巨大 冲击。


●   业务安全威胁:客户在拉新及用户运营时经常会有现金或红包奖励,他们的活 动经常会被外部薅羊毛党盯上,通过注册大量僵尸账号发起薅取营销资金,给 客户造成较大损失;最终用户留言、评论等 UGC 内容也时常会出现内容违规 情况。

1.2.2 解决方案

image.png

●   业务高可用保障:通过 DDoS 高防产品,协助客户构建了业务高可用架构, 过滤攻击流量,保障电商系统持续平稳对外提供服务。


●   合规及安全架构搭建:通过 WAF、云防火墙、云安全中心、堡垒机、数据库  审计以及等保咨询服务,协助客户构建了整体安全体系,并通过了等级保护三  级测评;在满足等级保护合规要求的同时,有效对各类型攻击进行识别及阻断。


●   爬虫风险管理:通过 BOT 管理,协助客户从海量请求中对自动化工具(例如 脚本、模拟器等)流量进行识别和阻断,有效降低了数据爬取、撞库、垃圾注 册、短信接口滥刷等情况的出现。


●   业务安全保障:通过风险识别能力,帮助客户对 C 端用户的注册、登录及交 易行为进行风险研判,提前发现潜在的薅羊毛党,降低业务损失;通过内容安 全,对用户的 UGC 内容进行识别,提前发现内容违规风险。

 

2 金融行业云上安全最佳实践

2.1 行业安全需求洞察

 

金融行业是社会的核心行业,在数智化不断深入的今天,金融行业也在不断地将核心业务数字化, 这也带来了新的安全隐患。

 

-    数据安全关乎企业命脉

金融行业的数据承载了核心价值,若数据可被非法篡改,可带来直接经济损失, 造成企业破产等灾难性后果。若敏感信息数据被非法泄露,将可能导致 C 端  用户的关键隐私泄露,严重损害用户对企业的信任感,造成企业经营困难。

 

-    丰富场景下的身份安全管理困难

随着金融业务数字化的发展,销售模式和产品更加丰富,参与人员大规模扩张, 外包开发和合作伙伴协同模式逐渐多样化,叠加远程办公趋势的演进,越来越  多的数据泄露是由于设备和人的行为管理不规范造成的。


2.2 典型案例


某财险类公司自 2020 年与阿里云签订全面战略合作协议后,持续使用阿里云的安全解决方案, 为其数字化加速转型保驾护航。

 

2.2.1 业务痛点


●   系统安全风险:在业务数字化后,若承载关键数据的系统不够安全,将可能因 外部攻击而数据泄露。

●   数据安全泄露风险:同时,在办公方面,研发员工开发用电脑缺乏安全管控工 具,容易造成被动或主动数据泄露。普通员工桌面环境安装大量个性化软件, 系统、电脑问题逐渐增多,办公安全风险过大。

●   身份安全管控困难:员工电脑自设密码,登录公司内网后可访问大部分的业务 系统,没有权限管控。

2.2.2.2 解决方案

image.png

-    系统安全

基于 WAF、云防火墙、云安全中心构建基础安全防护体系,持续检查并优化 现有防护体系,针对防护薄弱点,定制攻防能力成熟度评估服务(如:渗透测 试、红蓝演练等),提升险企内部人员的安全技能水平,优化应急保障。


-    数据安全

该财险公司,基于统一终端系统(UEM)和数据丢失防护产品(DLP)建立 研发人员终端与数据安全解决方案,进行数据治理,消除“数据管理孤岛”。 并建立完整的数据分类分级、全生命周期管理机制,并通过数据安全中心综合 分析入网用户异常行为,感知如外包人员异常囤积客户账户信息、越权登陆核 心数据库、员工离职带走用户保单等风险意图,在可能发生数据泄露风险之前 感知并预警,将泄露风险限制。


-    身份安全加固

阿里云将 IDaaS 身份认证服务平台内嵌至该财险公司业务中台,一个账户打 通企业内外部所有业务应用,大幅提升员工工作效率,改善用户保险购买和出 险体验。

image.png

IDaaS 结合 SPGUEBA 技术的动态分析,帮助该财险公司的各运营支撑 域清晰界定信息技术部门和不同子业务部门的运行维护职责,简化员工登陆与 业务操作流程,强化用户行为管控。

 

在办公身份方面,使用了无影云桌面产品,能够有效实施针对剪切板、外设、 水印、录屏的安全管控策略,满足集中运维、高效资产管理的需求。

image.png

规范化员工身份与终端后,可以基于可信及白名单机制管理险企员工或外包开 发人员异地登陆、异常登陆行为,并根据人员状态变化(离职、调岗等)对账 号进行通知下发,冻结等操作。身份安全解决方案投入使用后,大大节省了该 财险公司的身份安全管理成本。

3. 制造行业云上安全最佳实践

3.1 行业安全需求洞察


近年来,制造行业数字化转型收益显著。这一转型不仅提升了企业的生产效率、降低了运营成本、 缩短了产品研制周期,还显著激发了产业新活力。但传统制造业数字化转型在实现工业全要素、 全产业链、全价值链深度连接的同时,也带来新的安全挑战。

核心的挑战包括:

 

●   数字化转型促使基础设施云化,引入了很多新技术,传统安全(滞后的检测能 力、碎片的安全体系、被动的防护能力)的安全防护思路难以应对不断变化的 新威胁。

●   混合云、多云战略,带来暴露面扩大,安全防护水位难以拉齐,管理成本非常高。 制造行业需要一套云原生、一体化的安全解决方案,来应对这些挑战。


3.2 典型案例


某全球领先的制造业企业专注于工业、基础设施、交通和医疗领域的科技公司。其经营范围从更 高效节能的工厂、更具韧性的供应链、更智能的楼宇和电网,到更清洁、更舒适的交通以及先进 的医疗系统。自身业务系统经历多次迭代发展,当前面临企业数字化转型中的多种挑战。

 

3.2.1 业务痛点

●   大量历史系统存量 IDC、并运营多个公有云,管理成本高、防护效果差,安 全策略难以拉齐。

●   业务分散,系统管理分散,管理成本高;。

●   安全事件频发,监管、合规要求提高。

●   企业数字化转型加速,安全拓展性和适应性要求高。

●   业务精细化管控,安全成本降低。

●   该企业携手阿里云,构建新一代云原生 IT 架构,并将安全方案进行落地。

3.2.2 解决方案


-    基础设施管理一体化

为了应对多云及线下 IDC 多形态资产,该企业采用阿里云原生安全防护,实 现对多资产统一安全管理,统一管理互联网边界与主机、容器资产。

 

-    监控与安全技术一体化

为了应对复杂的业务系统形态,阿里云进行了监控升级,实现了安全日志的统 一收集、安全告警的集中分析以及安全事件的统一管理。 结合一体化可观测 监控,实现了对健康状态和安全事件的立体化监控。另外,还建立了自动化安 全运维能力,以提升效率。

 

-    安全能力高弹性

通过对业务系统的微服务化改造,实现业务的灵活部署,提供更好的业务弹性 与安全性,适配业务系统更加灵敏、灵活的要求。通过云上跨账号管理能力, 提升了安全部门对集团账号统一管理、监控的效率。

image.png

相关文章
|
3天前
|
存储 人工智能 弹性计算
阿里云弹性计算_加速计算专场精华概览 | 2024云栖大会回顾
2024年9月19-21日,2024云栖大会在杭州云栖小镇举行,阿里云智能集团资深技术专家、异构计算产品技术负责人王超等多位产品、技术专家,共同带来了题为《AI Infra的前沿技术与应用实践》的专场session。本次专场重点介绍了阿里云AI Infra 产品架构与技术能力,及用户如何使用阿里云灵骏产品进行AI大模型开发、训练和应用。围绕当下大模型训练和推理的技术难点,专家们分享了如何在阿里云上实现稳定、高效、经济的大模型训练,并通过多个客户案例展示了云上大模型训练的显著优势。
|
7天前
|
存储 人工智能 调度
阿里云吴结生:高性能计算持续创新,响应数据+AI时代的多元化负载需求
在数字化转型的大潮中,每家公司都在积极探索如何利用数据驱动业务增长,而AI技术的快速发展更是加速了这一进程。
|
4天前
|
人工智能 运维 双11
2024阿里云双十一云资源购买指南(纯客观,无广)
2024年双十一,阿里云推出多项重磅优惠,特别针对新迁入云的企业和初创公司提供丰厚补贴。其中,36元一年的轻量应用服务器、1.95元/小时的16核60GB A10卡以及1元购域名等产品尤为值得关注。这些产品不仅价格亲民,还提供了丰富的功能和服务,非常适合个人开发者、学生及中小企业快速上手和部署应用。
|
12天前
|
人工智能 弹性计算 文字识别
基于阿里云文档智能和RAG快速构建企业"第二大脑"
在数字化转型的背景下,企业面临海量文档管理的挑战。传统的文档管理方式效率低下,难以满足业务需求。阿里云推出的文档智能(Document Mind)与检索增强生成(RAG)技术,通过自动化解析和智能检索,极大地提升了文档管理的效率和信息利用的价值。本文介绍了如何利用阿里云的解决方案,快速构建企业专属的“第二大脑”,助力企业在竞争中占据优势。
|
14天前
|
自然语言处理 数据可视化 前端开发
从数据提取到管理:合合信息的智能文档处理全方位解析【合合信息智能文档处理百宝箱】
合合信息的智能文档处理“百宝箱”涵盖文档解析、向量化模型、测评工具等,解决了复杂文档解析、大模型问答幻觉、文档解析效果评估、知识库搭建、多语言文档翻译等问题。通过可视化解析工具 TextIn ParseX、向量化模型 acge-embedding 和文档解析测评工具 markdown_tester,百宝箱提升了文档处理的效率和精确度,适用于多种文档格式和语言环境,助力企业实现高效的信息管理和业务支持。
3935 2
从数据提取到管理:合合信息的智能文档处理全方位解析【合合信息智能文档处理百宝箱】
|
3天前
|
算法 安全 网络安全
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
2024阿里云11.11金秋云创季活动火热进行中,活动月期间(2024年11月01日至11月30日)通过折扣、叠加优惠券等多种方式,阿里云WoSign SSL证书实现优惠价格新低,DV SSL证书220元/年起,助力中小企业轻松实现HTTPS加密,保障数据传输安全。
494 3
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
|
10天前
|
安全 数据建模 网络安全
2024阿里云双11,WoSign SSL证书优惠券使用攻略
2024阿里云“11.11金秋云创季”活动主会场,阿里云用户通过完成个人或企业实名认证,可以领取不同额度的满减优惠券,叠加折扣优惠。用户购买WoSign SSL证书,如何叠加才能更加优惠呢?
985 3
|
7天前
|
机器学习/深度学习 存储 人工智能
白话文讲解大模型| Attention is all you need
本文档旨在详细阐述当前主流的大模型技术架构如Transformer架构。我们将从技术概述、架构介绍到具体模型实现等多个角度进行讲解。通过本文档,我们期望为读者提供一个全面的理解,帮助大家掌握大模型的工作原理,增强与客户沟通的技术基础。本文档适合对大模型感兴趣的人员阅读。
391 15
白话文讲解大模型| Attention is all you need
|
7天前
|
算法 数据建模 网络安全
阿里云SSL证书2024双11优惠,WoSign DV证书220元/年起
2024阿里云11.11金秋云创季火热进行中,活动月期间(2024年11月01日至11月30日),阿里云SSL证书限时优惠,部分证书产品新老同享75折起;通过优惠折扣、叠加满减优惠券等多种方式,阿里云WoSign SSL证书将实现优惠价格新低,DV SSL证书220元/年起。
559 5
|
3天前
|
安全 网络安全
您有一份网络安全攻略待领取!!!
深入了解如何保护自己的云上资产,领取超酷的安全海报和定制鼠标垫,随时随地提醒你保持警惕!
690 1
您有一份网络安全攻略待领取!!!