2020杭州雲栖大會上,阿裡巴巴正式宣布成立雲原生技術委員會。這意味着雲原生作為阿裡巴巴核心技術戰略将加速發揮雲平台的優勢性,提供技術開發者更豐沃的原生底層技術環境,推動業務更快速的發展。同時,企業享用雲上原生技術紅利的同時,同樣也接受阿裡巴巴同等能力的安全保護。
在剛結束的雲栖大會“提速雲原生 創新安全力“專場上,阿裡雲肖力也提到:底層基礎設施演變會給安全帶來更天翻覆地的變化,未來所有的企業都會在雲上享受最高等級的安全。更多的創新應用以及新技術的湧入,将不斷的去重新整理和定義新的雲原生安全能力,進而幫助企業建構更适應自身業務的新一代安全架構。
專場上,除了肖力釋出了2020阿裡雲原生安全架構,以及分享原生安全核心優勢,遠端辦公零信任之外,還有不少重磅觀點和技術釋出值得關注:
01
*從混合雲安全到安全混合雲
雲原生重構企業安全體系,擁抱混合雲架構*
Gartner預測:到2020年90%的組織将利用混合雲管理IT基礎設施。
随着雲計算的發展,原先的企業實體邊界正在被打破,越來越多的企業開始關注軟體定義邊界。随着5G技術的全面鋪開,以及越來越多的本地化應用的流行,更多的資料處理需要在邊緣節點完成。另外,雲計算和SDWAN的組合,也助力企業使用者更好的連接配接線下環境,包括IDC,辦公網,移動辦公等場景。基礎設施的演變,對安全提出了新的要求,安全的底層架構需要更新演變。雲栖大會上,阿裡雲智能資深産品專家葛岱斌宣布:阿裡雲正式把混合雲安全解決方案更新到全新的安全混合雲架構:阿裡雲的SASE安全架構
阿裡雲的SASE安全架構,其實也就是阿裡的安全混合雲架構。這個安全混合雲,在邏輯上可以了解成搭建在雲上的一個軟體定義的安全接入區:無論是從網際網路到公共雲和IDC的應用流量,還是企業員工對網際網路的對外流量,或是企業員工對内部應用的橫向通路流量,以及企業運維人員對雲上應用的運維流量,都會自動接入這個安全接入區進行檢測,分析和防護。從場景上來說,會覆寫網際網路對外業務,内網應用,辦公網安全,移動辦公,以及應用運維安全各種場景,以此幫助企業使用者從傳統的邊界安全逐漸遷移到軟體定義邊界的安全。這樣,企業可以基于阿裡雲提供的安全雲,全方位的重構企業自身的安全體系,覆寫雲上線下資産,更好的擁抱混合雲架構。
02
*雲原生的資料安全縱深防禦體系
建構完整資料安全生命周期,覆寫雲上部署,到業務運作全環節*
數字化程序的加快、越來越多的企業将業務遷移上雲,資料安全成為企業共性的挑戰。資料安全威脅也呈現出多面性:比如,員工操作不當而産生的資料洩露或者非法通路;因為外部攻擊導緻非法盜取資料;且由于資料本身無處不在,對資料保護手段有更高的要求。代碼或者應用生命周期變化使得原本有效的手段降低效用。
在整個雲上縱深安全體系中,阿裡雲提供了适用于 網絡邊界 -> 工作負載 -> 持久化存儲等不同環節的密碼技術和産品應用,比如SSL證書和傳輸加密,雲密碼機和密鑰管理,動态憑據等。
2020年雲栖上,阿裡雲智能産品技術專家陳俊樸分享了阿裡雲的密碼基礎設施:阿裡雲通過針對不同市場地區對密碼的合規要求給企業提供了不同的高安全等級的密碼硬體,讓加密能力貫穿整個雲産品體系,幫助使用者建構預設的安全政策。同時針對不同業務次元,設計不同形态的密碼産品,去幫助使用者針對自己的特殊密碼需求去建立自己的不同業務加密形态比如金融支付,區塊鍊的場景應用。
同時,阿裡雲通過建構資料安全智能化和自動化的能力幫助企業更智能,更快速和更自動的去實作安全生命周期的建構:
-通過SDDP産品去幫助使用者智能識别敏感資料,進行分類分級。同時,提供一定資料的保護,例如對敏感資料進行遮蓋、變化等脫敏處理。另外SDDP也提供資料洩露檢測,通過智能化手段減少人工安全稽核。通過提供的資料安全審計保障雲對原生資料産品的使用處在安全合規的狀态中
-把開放API的通路記錄,以及雲平台内的記錄檔透明化,投遞到使用者的日志或者OSS存儲中,供使用者消費和分析
-通過配置審計服務,保證雲上部署的安全政策預設始終處于打開狀态,對違規進行告警和修複
這些雲原生的能力最終建構完整資料安全生命周期,可以覆寫雲上部署,到業務運作全環節。随着生命周期持續更疊,整體安全水位也同步提升,進而讓雲上部署更安全更有效。
03
*推動可信雲落地
阿裡雲提供企業級可信解決方案*
阿裡雲在2018年釋出了可信雲硬體架構,經過2年的技術實踐和突破,阿裡雲安全從硬體可信根,硬體固件安全,系統可信鍊以及可信執行環境等角度真正推動可信雲落地,2020年雲栖大會上阿裡雲安全宣布:
**1.阿裡雲已支援為客戶提供企業級可信解決方案
2.阿裡雲正式釋出高安全等級ECS可信雲執行個體
3.阿裡雲釋出了公有雲系統可信解決方案**
其實,對于金融、政企事業機關這類對高等級安全有強烈需求的客戶,系統可信是一個非常重要的安全功能和解決方案。通過阿裡雲的可信産品和解決方案,可以管理核心元件的安全啟動,包括系統啟動時的底層元件以及使用者指定的應用,可以幫助使用者有效的保護那些普通主機安全軟體難以對抗的系統底層威脅。同時支援多場景,二次研發,是以客戶可以根據自己的業務應用,靈活多樣的運用可信能力。
另外,阿裡雲安全專家路放在分享中提到:基于加密計算SGX2.0技術,在可信計算執行個體的基礎上,阿裡雲為客戶提供更加安全的加密計算執行環境。
如今,阿裡雲基于可信計算和加密計算的核心理念,依托硬體安全特性和嚴密的密碼學算法,為企業打造一個基于硬體的,從實體機,到虛拟機,到容器,各個層面完整的可信執行環境。在雲平台層面,阿裡雲打造可信固件與硬體;在面向使用者的高安全等級ECS執行個體内,通過系統可信産品,為使用者支撐IDaaS和零信任解決方案;最終在業務應用層面,為使用者提供應用可信、容器可信等産品能力。目前,這套方案已經在某公有雲上銀行得到了很好的應用,使用者既獲得了底層安全保障,又根據自己的業務需求,實作了零信任體系和容器安全排程,依托可信計算技術形成了非常完整和先進的企業級安全體系。
從雲原生安全》混合雲安全》資料安全》安全可信,阿裡雲不斷用創新技術提升安全産品的能力,以客戶需求為導向,不斷提供更前沿的技術且客戶需要的安全産品和解決方案,與客戶共建更安全可信的環境,為業務保駕護航。
詳細分享,點選連結:
https://yunqi.aliyun.com/2020/session19?liveId=44126