10月22日,为期4天的2021杭州云栖大会落下帷幕。
“原生一体化安全”、“数据安全与用户隐私保护”两大安全论坛,14个重磅议题,13个垂直领域的18位资深行业专家,5大客户实践+7大能力升级现场分享,1个超级安全展区,立体展示了基于云安全技术最新应用实践。
原生安全特性逐渐清晰
01 高度自动化,
原生流量安全的简化部署与运维
在2021云栖大会·原生一体化安全分论坛现场,阿里云流量安全产品线负责人赵鹏给出了未来全流量安全管控的方向:云具备统一且标准的底层能力,可以进行全量标准化的流量采集。借助云原生优势,基于业务特点,看见云上流量,并将安全能力下沉到应用,保障应用运行时安全。
此外,通过阿里云安全高级产品专家朱家睿发布的全新产品原生高防EIP可见,通过将DDoS高防能力与EIP产品集成,解决了现有DDoS安全产品防护能力有限与接入困难等问题,为客户提供真正无缝部署的Tb级安全防护力,尤其适用于服务器节点多、对网络速度及服务连续性有高要求的企业客户。
02 高度工程化,云简化数据安全落地难度
举例来说,数据安全是一项复杂工程。
传统IDC环境,数据发现难度大,企业很难掌握自己的全部数据资产分布,因此只能在外围做一些简单防护,比如数据库安全、文件加密等。但随着数字时代到来,数据流动性更强,分布更零散,类型更丰富,传统的安全边界防护模式无法应对新型风险,需要一种可以保护数据自身的工程化安全架构,以保障流动且分散的数据在任何链路都没有风险点。
阿里云安全高级产品专家崔旭东给出了答案,借助云的原生优势,将安全能力默认集成至云服务,并综合分析云上天然具有的全量日志,可以为用户提供从数据而非载体出发的体系化安全防护,数据在哪,安全防护就在哪,不同数据类型和应用场景基于不同的技术手段给予不同的防护策略,让安全无限靠近数据。
03 高强度弹性,SASE云上强势落地
据Forrester相关报告显示,疫情之前,全球只有5%的员工远程办公,疫情期间上升到50%,后疫情时代,53%的人希望继续保持远程办公状态。Forrester高级顾问谷丰在2021云栖大会上指出,传统的安全和网络思维将无法支持分布式企业面临的多维、复杂的安全挑战,企业可以参考ZTE(The Zero Trust Edge)架构规划分布式应用与网络安全,并借助广泛的实践,规划自身的零信任路径。
阿里云的SASE解决方案基于阿里云全球300+POP节点,实现分支机构智能就近访问;部署简单,平均七天完成规模化接入,性能弹性扩容;云上6000万+的威胁信息库为产品赋能,动态建模,打造云端智能易用的办公安全平台。
目前该方案已成功在互联网、游戏、制造业等多家企业落地,解决了客户分支机构多、总部与分支机构远程互连时各种安全方案部署和管理复杂等难题,通过云端统一防护,边缘高效拨入,做到“网络+安全”的无缝融合,实现零信任安全访问管控,统一安全策略配置,满足精细化运维管控,简化安全运维。
04 软硬一体,从“芯”开始
2021云栖大会现场,阿里云宣布支持Intel的TDX技术。TDX技术简单来讲,就是将一个完整的虚拟机当成一个可信执行环境(TEE),对其提供机密计算级别的高安全防护。相比于SGX技术,客户不需要对应用做任何改造即可在虚拟机上享受到机密计算能力,极大降低了机密计算的使用门槛,提升使用体验。
至此,阿里云为用户提供了完整的基于不同软硬件技术的高安全等级实例,包括物理可信、虚拟可信,并且同时支持基于Intel、AMD、神龙虚拟化enclave的加密计算,为客户提供云上原生的计算安全能力,保障云上用户的数据和计算安全。
蚂蚁集团架构师王恒也分享了云上银行的可信计算实践,基于阿里云提供的可信基础设施及可信云产品,实现系统性的可信工程。
安全内置云环境
“原生免疫”加速落地
据Gartner相关报告显示,云供应商的安全状况与大多数企业数据中心一样好,甚至更好;到2024年,云上会比传统数据中心减少60%的安全事件。
云栖大会现场,阿里云安全以可视化形式展示了云上强大的风险发现能力,云平台的默认防御机制,以及云服务的安全基因,保障客户业务在一个具有原生高等级安全的基础设施底座上健康运行。
01 云平台深度威胁发现,基于风险等级的防御能力
阿里云全球网络威胁态势实时地图
点击查看原视频
云平台的深度威胁发现能力来源于阿里云部署于全球200+国家和地区的63个可用区真实攻防数据,平均每天60亿次的攻防对抗,2.9万个恶意攻击IP库,2800+亿条行为分析记录,让基于上下文、基于全链路行为轨迹的深度威胁风险洞察成为可能。
覆盖云上数百万台主机和数百万客户的全球视野,可以发现最新攻击态势、攻击手法和最新风险,为提前防御、快速修复止血,提供足够的“弹性时间”。阿里云上平均应急响应时间为1小时,远远少于行业24小时的平均水平,可以帮助客户最大程度挽回业务损失。
02 云平台视角下的“群体免疫”机制
云强大的算力和天然一体带来的协同优势为一体化原生防护创造了可能。
基于云平台深度威胁发现能力,从整个云平台防护视角出发,可以将有可能大范围爆发的单点威胁快速制作防御“疫苗”,分钟级全平台下发,协同处置,防止大规模安全事件爆发,保障云上数字经济的平稳运行。平均每年,阿里云的入侵行为默认免疫机制静默发现公共云上的100多种入侵行为,并为部署在阿里公共云上的用户提供超过600万的自动化威胁处置。
03 云产品安全服务化,上线即安全
原生基因图谱
点击查看原视频
阿里云提供的原生云服务遵循严格的DevSecOps规范,将安全理念和能力融入到开发链路中,同时针对不同云服务的不同特性,加持更高等级的安全能力,例如将防爬、抗DDoS攻击、业务安全能力前置到业务边缘,通过使用内容分发服务CDN获得业务访问加速的同时获得安全保障。
