2021年4月28-30日,由北京市委网信办、北京市公安局主办的第八届北京国际互联网国际博览会在北京举行。阿里云现场参与展览展示,首次对外展示整体安全能力。
经过十余年沉淀,2020年阿里云成为国内唯一整体安全能力获国际三大权威机构认可云厂商。首次对外的整体安全能力全景图,展示了阿里云可为云上企业用户提供的覆盖六大核心领域61个能力项的整体安全解决方案,帮助客户构建云上纵深防御体系。
云原生安全服务与外挂式安全最大的不同点在于:
· 云上的安全能力与云基础设施深度融合,天然具有云的优势,性能弹性伸缩;
· API化自动部署、灵活运维,全局统一管控;
· 云端丰富的威胁信息与安全产品能力联动,全网协同防御,且经受过云的大规模实践和验证。
阿里云安全能力全景图
基于阿里云的丰富实践,我们梳理了在云上搭建安全体系时每个层面的核心关注点,以及我们可以提供的核心能力。
计算环境安全
起始于硬件层不可篡改性的计算环境安全是一切安全的基础,芯片级硬件的不可篡改性决定了其可以作为最高等级安全的基础,再将硬件层安全虚拟映射到整个目标环境,形成软硬结合的安全体系,非常适合极具复杂性、异构性的云计算环境。
目前,阿里云为云上客户提供基于SGX2.0和TPM虚拟化实例、行业领先的DataTrust隐私增强计算平台,二者共同形成完整的云可信服务方案,为政府、金融等行业高价值数据的流通、使用提供最高等级的安全防护力。
主机安全
上云意味着云主机取代原来线下服务器,成为企业核心资产。尤其对于混合云、多云环境部署的企业来说,如何掌握分布式部署的主机情况,发现未知资产的未知风险,做到安全能力一致化,防止木桶原理中的短板出现,成为上云后需要解决的一个核心问题。
基于此,阿里云为客户提供全域主机安全风险感知能力,支持混合云、多云环境下的统一防护,从漏洞管理、风险发现、入侵检测与响应、主动防御等角度,为包括主机、容器在内的各类型工作负载提供智能、统一化的防护能力,云上“使用习惯”和“数据感知力”可视化,减少企业上云后安全管理的知识鸿沟,安全运维效率提升近70%。
网络安全
企业上云后传统的物理边界消失,有效的逻辑边界隔离策略与防护能力是在云上构建安全可控虚拟数据中心的必选项。
目前,借助阿里云原生安全能力,云上客户可以做到互联网接入、VPC之间、云上主机间三层逐层递进式逻辑隔离,东西南北向流量可视与包括加密流量在内的流量智能检测与分析;联动全网高危漏洞信息库、全网基础资产信息库,全网威胁知识图谱,从网络侧应对包括DDoS攻击、暴力破解、漏洞防护、网络病毒、失陷资产感知在内的攻击防护。
应用安全
应用安全面临的难点之一是复杂的流量分析和管理问题。如何在秒级对抗中快速区分正常业务流量与攻击流量,在不影响业务的前提下尽量减少误漏报率,需要整体的解决思路。
阿里云可以通过应用安全网关的形式,一站式解决流量安全威胁,用户只需要把全部流量接入,机器智能体会自主实时识别、处置混杂在正常业务访问中的 Web 攻击与 Bot 流量,并提供实时数据分析,帮助用户从整体流量安全的视角,一目了然地看见威胁、防御威胁。
无论数据接口与资产在公共云、混合云、多云还是本地 IDC(支持流量不上云)环境,均能实现应用层流量的统一运维管理,同时叠加阿里云在业务风险识别、内容安全、实人认证等能力,保障业务正常、安全的运行。
阿里云的应用安全能力同时被Gartner、Forrester、IDC等多家国际权威研究机构认可。
数据与身份安全
数据安全是一个全链路问题,核心保护对象是敏感数据,企业需要了解自己的全域数据资产分布,有什么数据,存在哪里,谁有权访问,怎么安全的使用和分享等等。
阿里云可以为云上客户提供不可被破解的加密能力、不可被篡改的硬件级安全能力、全域数据资产可视的数据治理能力、数据安全使用/分享/计算能力及以敏感数据为核心的精准防泄漏能力,保障云上数据治理与泄露防御零盲点。
云安全运营与管理
上云是一个过程,对于企业来说,公共云或专有云与线下IDC机房混合部署的情况会在一段时期内存在。因此做好混合云、多云环境下的统一安全运营与管理是简化复杂安全问题的重要一环。
阿里云提供混合云部署环境下的统一资产管控能力,帮助企业看清云上资产的安全态势,保障配置和开发安全水位一致化,并通过安全咨询与服务提供高定制化安全能力。
如今,云计算仍处于非常活跃的发展阶段,从云而生的安全能力也在不断进化。Gartner曾预测,未来的云安全即安全,无论企业是否上云,都会或多或少用到云安全的能力。
阿里云作为国际领先云服务商,将以丰富的实践与深厚的技术实力为基础,在云安全领域不断探索和创新,致力于为整个网络空间提供最高等级的安全保护。