近日,Gartner发布了最新的《2021年云工作负载保护平台(CWPP)市场指南》(Market Guide for Cloud Workload Protection Platforms, 2021),凭借在混合多云环境下跨虚拟机、容器和无服务器工作负载统一安全管理,阿里云 · 云安全中心以绝佳的“自动化、透明化、一体化安全体验”,再度入选报告。
不久前,云安全中心凭借遍布新一代基础设施的安全能力可视化能力,引领安全管控迈入三维时代,获得素有“产品设计界的奥斯卡奖”之称的国际I F设计奖。
00:18
颜值和实力获国际权威双料认可
这一云上重器是如何将工作负载保护“左移”进入原生应用的整个生命周期?
如何终结安全碎片化,并更好地看见混合云网络拓扑间的风险?
阿里云如何整合负载保护和策略配置,最大限度降低成本和复杂性?
一起在下面的“兵器图谱”中寻找答案。
决定云端资产安全的,不是云本身,而是它所携带的“载荷”。
云计算环境下,工作负载安全从单纯的服务器保护,向以云工作负载为中心、基于主机的解决方案演变,并逐渐与运维侧的策略配置能力重叠,提供了比传统基于串联网络的安全策略更易实现的安全架构。
为终结安全管理碎片化提供了想象空间。
一、跨云、多云、混合云架构全景防护
云原生的天然优势,强调混合多云场景下云工作负载保护,和统一的安全策略管理,消灭IT管理的知识鸿沟和组织沟通壁垒。
- 以监测、检测、快速响应以及可视化微隔离为核心,帮助企业构建主动安全能力;
- 云平台原生接入,通过VPC接口直接做到相关业务的微隔离;
- 支持SDL流程,与自动化CI/CD工具结合,API灵活调用,实现敏捷开发模式中容器、应用、serverless等工作负载的安全检查前置;
- 安全配置、运维使用和数据采集“可视化”,自动化保护开发、发布、部署、运行和运营等整个生命周期;
- 无需 “中间人”,实现SSL / TLS流量解密和检查,适配微服务体系结构中东西向流量加解密;
复杂生产环境中,阿里云融入机器学习技术的主机防护对0day漏洞、勒索病毒、挖矿病毒、AK泄漏等的检测能力,通过了几百万台主机的严苛验证。
通过与Github合作,云安全中心可实时检测全球代码提交者中的AK风险。
云安全中心Agent可在进程启动,网络连接的瞬间,获取99.99%比例全部数据,在文件落盘、注册表写监控等实时信息采集能力上,遥遥领先于同类产品。
依托阿里云强大的计算能力,实现传统主机安全无法完整覆盖的攻击对抗、数据泄漏、维持权限攻击等风险项的实时检测,并为 80% 以上的攻击提供智能溯源。
二、云主机防护
双核驱动应对新型安全威胁
从Gartner的定义来看,云主机的安全防护应当从过去以杀毒、漏洞补丁和加固为核心功能,转变为以监测、检测、快速响应以及可视化微隔离为核心,新一代轻量化 Agent,辅助云平台通过镜像能力实现的特有Agentless检测补充,双核驱动满足各种类型企业自定义检测配置,应对新型安全威胁。
- 一方面,轻量化的Agent/Agentless 可以在运行时场景下提供检测能力,尽可能避免对用户业务的影响;
- 另一方面,检测算法上集成强力病毒检测引擎,有助于更高效地发现服务器、尤其是容器中的入侵和违规行为;
- 在快速响应方面,Agent+Agentless双核驱动,可以更好地满足阻断、隔离、还原等快速响应的要求。
传统的风险发现、漏洞修复、补丁和加固功能在云端向自动化、批量化和可视化方向扩展,从而发挥云上资源调配简单,检测能力无上限,情报指标丰富,终端/平台/网路立体检测,联动响应的优势。
01
解决实际常见问题,层次化防勒索
云安全中心基于云原生架构优势,提供层次化的防勒索预案:
- 对于常规勒索病毒,从定期漏洞修复和常见勒索病毒检测入手,自动化修复能力规避主机安全风险;
- 对于新型勒索病毒,在主机中特定位置预埋隐蔽诱饵文件,基于行为+诱饵捕获的技术方案快速发现和定位病毒来源;
- 同时云端定期备份重要文件,分层分级管理勒索病毒,即使遭遇突发勒索事件,也能及时恢复备份,云端业务不受影响。
02
云端图计算高质量情报,IOC全网协同
每天成功抵御60亿次攻击
防御全国50%的大流量DDoS攻击
日均25亿次风险检测
每年帮助用户修复约千万漏洞
独特的阿里云情报源:从云上攻击行为和海量安全事件中提取高质量的情报IOC,同时配合安全分析师验证判别情报质量和效果,做到所产生的情报在相应的应用场景里准确性接近100%。
更“聪明”的情报:依托云上强大的批计算、流计算、图计算线性扩展的算力,每天数百个数据源,万亿数据汇集云端,百余PB数据参与计算,再进行符合行业需求的上下文信息提取,实现数据的汇聚、建模、计算、分类、存储和质量、准确性分析,保证情报质量。
03
快速止血,自动化漏洞检测与修复
云安全中心以检出漏洞的危害程度作为漏洞管理的基本原则,依托CVSS影响分、时间、环境、资产重要性等因子综合评估漏洞修复紧急程度,自动化处置排序,并整合ECS快照能力,对检出漏洞进行自动化的一键修复和应急回滚,在提升漏洞检测修复效率的同时实现成本自动优化。
三、工作负载安全左移
保护从“诞生”开始
在云的内部,各种工作“载荷”的安全问题也逐渐凸显。虚拟机、容器、业务程序、数据、serverless,工作负载的粒度变得越来越细化、生命周期也越来越短,保护这些快速变化和短期工作负载的最佳方法是引入DevSecOps机制,在开发阶段渗入保护措施,以便在生产环节中实例化时,这些工作负载从“诞生”就是受到保护的。
- 发挥云平台自身能力优势,基于身份的策略对工作负载访问进行细分。
- 对服务器工作负载的更改必须经过严格的管理流程和审核机制,并且通过强制身份认证和访问权限管理;
- 工作负载需要最小化、补丁化和加固,减少攻击面暴露。
云安全中心的云产品基线检测、容器镜像检测和即将推出的ECS快照检测,推动安全左移,为用户在未来容器、Serverless场景宿主机不可见的情况下实现强大的“诞生即安全”。同时借助底层防护能力,帮助用户深度透视云平台安全。
到2022年,传统应用程序现代化进程的加速和全新的开发将促使25 %的生产应用均为云原生应用——利用微服务、容器和动态编排。到2024年,使用编程语言开发的所有新应用程序中,将有70%部署在容器里。
——IDC《2020年开发者与DevOps市场十大预测》
着手云上细粒度工作负载的安全管理研究,阿里云提前布局容器化防护,将安全性集成到CI / CD工作流,从安全可信镜像和安全的容器计算环境入手,覆盖ATT&CK杀伤链的200余项容器安全检测模型,在部署和运行状态下持续进行配置检查和实时威胁检测,漏洞管理自动化和容器资产运营可视化打造安全闭环,自动化编排实现容器全生命周期的自动部署、调用、管理、监测和关闭,极少工作量即可运营上百个容器应用实例。
四、安全状态管理
“看见”你的运维和风险
当前,大多数的云安全事件都是配置错误和管控失当引起的。云计算基础设施错误配置带来的安全风险要比攻破工作负载带来的安全风险更严峻。随着对安全扫描转换到了开发阶段,扫描云配置是否存在过多风险的重要性凸显。
用于扫描开发中的工作负载和配置,对云计算基础设施的配置、执行、合规性等进行持续评估和改进,并在运行时保护工作负载和配置。
- 在开发阶段,使用安全测试来识别合规和配置的相关问题,为持续改进提供快速、可操作的反馈流程;
- 在发布阶段,持续地对工作负载镜像(例如容器镜像)进行自动扫描和更新,避免遭受漏洞、恶意软件、危险代码以及其它不当行为的侵害,确保所依赖的开源软件和第三方应用等软件供应链的安全;
- 在部署时,对工作负载镜像的属性进行验证(例如,签名、安全策略等);
- 在运行时,组合运用系统完整性保护策略,通过应用程序控制、行为监控、基于主机的入侵防御和反恶意软件保护等手段来提供更系统、动态的防护。
此外,云安全中心对混合多云环境工作负载安全现状全面的、细粒度的数据采集,可以帮助用户达到“全天候全方位”看见云上+云下网络安全态势的要求,全面提升感知深度、感知广度和感知的有效覆盖范围,帮助企业安全能力“功力大增”。
☁️ ☁️ ☁️
混合多云场景下,云安全中心打开资产统一安全管控的“上帝视角”,帮助企业看清云上资产的安全态势和网络拓扑,提供云上资产全景管控、架构可视化和安全态势分析能力。用户可以看到互联网流量访问到服务器所需要经过的网络节点及安全风险,并根据修复建议,快速构建基于云原生思维的纵深防御体系,满足合规并持续保障业务安全运行。
云安全中心混合多云架构最佳实践
上海华瑞银行混合云统一安全管控
防护需求:
华瑞银行互金核心业务系统基于专有云架构建设,同时有部分传统业务部署在IDC机房。安全能力一方面需要支持线上金融敏态业务高速、平滑开展;另一方面也需要实现云上云下数千台管理节点的可视化和统一安全管理,借助云原生安全能力,实现降本增效。
用户收益:
- 数字安全体系赋能线上金融业务,云上DMZ实现平台统一安全管控+云端威胁情报动态感知,安全事件处置效率提升百倍,无感应对复杂场景扩容;
- 主机安全从云上向云下覆盖,账户分级的同时实现日志统一管理和统一防御控制,“白名单机制”提高混合云访问控制水位,从主机层实现安全“全面可视”;
- 支持Windows、Linux等多系统版本的主机层安全镜像解决方案,完全解放运维人力,业务人员即可实现秒级服务器安全部署,无需手动修改配置,符合等保三级开箱即用,主机安全真正无负担运营。
某头部在线教育集团混合多云安全管理
防护需求:
该教育集团多公共云及IDC共计10000+台服务器,其中超50%部署在阿里云上,云上工作负载和线下IDC主机需统一视角防护,保障安全水位相同。在保障业务平稳运行方面,需要兼顾服务器病毒肆虐事件中的应急响应能力,并在不可抗灾难中实现多活。
用户收益:
- 云安全中心近100%覆盖云上云下主机,实现混合多云资产的可视化统一安全管控,将数量庞大且分布极其广泛的主机资产管理效率由5人月提升至3人天;
- 针对三次大规模挖矿病毒攻击进行了实时威胁感知和告警处置,主动防御能力将响应时效较安装前提升百倍,并在某次三方云大规模故障中实现分钟级流量调度切换,对业务几乎零影响;
- Open API支持用户二次开发,便于将云安全中心的安全能力整合进用户自身的安全管理平台,提高整体安全运营效率,做到精细化管理。
阿里云安全
国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。
2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。
阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。
作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。