當今社會,提起「雲計算」三個字,那可謂是無人不知,無人不曉
那麼,究竟什麼樣的雲可以讓大家信任,一朵安全的雲應該具有哪些特點呢?
一、雲的四大安全骨骼:實體中心、基礎平台、身份權限和資料分級
安全對于基礎設施而言,如同萬丈高樓平地起,地基直接決定了安全系數。安全底座沒搭好,抗風險能力經不住考驗。在衆多的安全功能裡,一朵可信的雲首先應當具備四根安全支柱:實體中心安全、基礎平台安全、身份權限管控、資料分級規則。
1、雲的誕生之地:資料中心實體環境安全
看似遨遊于九天之上的雲,安全之根仍需回歸機房硬體。任你雲平台安全功能做的多百花齊放,一個有預謀的社會工程攻擊就能讓你功虧一篑,應了那句老話:千裡之行,始于足下。
任何一個實體資料中心,都可能遭遇花樣繁多的實體攻擊
實際上,雲的實體資料中心作為一切平台、服務的基礎,比傳統企業資料中心擁有更高的安全等級,它最起碼需要做好:
● 實體安全:建房子,沒有那麼容易
大到機房選址、防火防盜防斷電,小到電線、插座、加濕器,再到最新技術的液冷機房,都彰顯着頂級資料中心的奢華和尊貴
● 權限管控:想來,沒那麼容易;逃跑?想都别想
無論是外部通路人員,内部員工,還是機房本體設計,都需遵守精密設計的最小權限原則
● 容災備份:删庫跑路?不存在的
一個好的機房,既要不懼風吹雨打、日曬雨淋,還要學會“狡兔三窟”:異地/同城容災,兩地三中心,備援機制......哪怕被外力破壞,也可以保護資料的絕對安全。
阿裡雲的資料中心已經面向全球四大洲,開放24個公有雲地域、75個可用區、4個專屬地域,可以實作使用者同城/異地資料備份,備援存儲等能力,保證一旦故障發生,仍能夠提供強一緻的服務能力,整個切換過程使用者無感覺
全副武裝的實體資料中心,就像是兩條健全的腿部骨骼,作為第一大支柱,幫助雲堅實地邁向虛拟化
2、雲的“飛天”之路:基礎平台安全
有了資料中心強大的支撐,通過給硬體伺服器建立虛拟化層,并将虛拟機的計算、存儲、網絡等資源進行隔離,完成了性能與實體機的解綁,實作雲上租戶的分割,一個初步的雲平台終于形成了。
而安全,自平台誕生之初,就應該如影随形,深度隐藏且難以察覺的威脅,最好的保護從源頭開始。
● 硬體固件安全
作為雲平台依賴的基礎安全,硬體固件安全應當做到基線掃描、高性能GPU執行個體保護、BIOS固件驗簽、BMC固件保護等等能力,對安全進行加強
● 可信之芯
面對深度隐藏且難以察覺的威脅,我們需要來自底層的保護,從源頭上保障上層的不可篡改性。阿裡雲硬體伺服器已植入可信晶片,通過可信根和可信鍊,建構起了硬體級别的可信環境,保證雲上環境健康。
● 虛拟化安全
所謂“天下大勢,分久必合合久必分”,一台台本是同根生的ECS,雖然遍布世界各地,但根系都彼此相連。一旦有一台ECS不幸落入攻擊者的魔爪,可能會牽連主控端及所有相關的ECS執行個體,是以針對虛拟化的安全加強、逃逸檢測、更新檔熱修複、資料清零...等等安全能力,必不可少
● 合規标準
一朵安全的雲當然要獲得全球各家權威機構的廣泛好評和認可,才能經得起各行各業使用者遇到的實際安全需求
遍布世界的雲平台,根系彼此相連,做好了上述這些,雲平台才算是有了一個穩定的軀幹,建構起一體化的可信環境,保持整個系統環境健康運轉
3、雲的準入原則:身份&權限
作為資訊時代的水電煤,雲計算可以通過任何終端裝置:電腦、筆記本、手機、Ipad.....進行連接配接通路。傳統架構下的網際網路邊界消失了,任何人+在任何地點+任何時間+通過任何裝置+通路任何資料,如果僅僅以傳統的防火牆、waf等單點的流量安全産品去防護,結果可能有點涼涼~~
- 身份認證:確定是對的人
- 通路授權:確定通路的是對的資源
- 賬号管理:確定授予的是對的權限
- 操作審計:確定及時發現異常通路
- 應用管理:確定雲上雲下身份的統一
隻有做好雲平台的身份管理,才能對每一次的通路、每一次的資源配置設定、每一次的權限授予,做出正确的抉擇。它就像人的頭骨一般,保護着大腦這個最核心的器官,用身份交織成的堅硬防護網,打造獨特的屬于雲的邊界防護體系。
4、雲的寫入規則:資料分類分級
資料,作為雲上最重要的資産,沒有之一,也是攻擊者的終極目标。但是,先别急着聊資料安全防護,保護的前提是了解被保護者,我們首先要了解資料本身:
資料是「不平等」的,不同的資料有不同的歸屬。
無論是結構化資料、非結構化文本還是圖檔檔案,雲上海量的資料需要先進行分類分級,才能有針對性地分類分級分層次管理。
雲上一層一層的資料分級,就像人體骨骼的肋骨一樣,以嚴密的體系幫雲展開胸廓。
實體環境、平台安全、身份體系和資料分級,共同建構了雲平台的安全骨骼,一朵安全的雲已經逐漸成形。
二、雲的安全神經網絡:
但是光有安全的骨架還遠遠不夠,還需要一套完善的神經網絡将雲串聯,才能讓這些安全能力成為協同關聯的有機整體。這套系統應該有兩個核心功能:
● 調控能力:控制、調節各種安全能力、産品的活動,實作将安全能力融入到雲的每一個設施、端口、節點中,提供全面綜合的防禦能力;
● 分析學習能力:通過對不同資訊的分析、綜合與學習,對于不同的外部行為、攻擊做出正确的反應,使雲上安全成為一個有機的自适應系統。
而這套連接配接萬物的有機系統,其實并不神秘,它就隐藏在雲上的流量裡、資料裡、甚至漏洞修複裡...
1、調控能力:建立雲上動态防護機制
要說雲服務的核心,流量,流量,還是流量!
而說到雲上最核心的資産,資料,資料,還是資料!
資料和流量,這兩個在雲上飛速産生、流動、交換的核心,就像是遍布在人體各處的血脈、血管。被無數攻擊者窮追不舍,被無數勒索軟體苦苦追尋,一個不小心的趔趄或者擦挂,就會受傷流血,導緻業務受損,在單點防護幾乎不可能的情況下,隻能進行系統調控。
如果類比人體呼吸系統,一起看看空氣和血液的互動旅程:
第一是資料的采集安全,空氣進入人體前确定氧氣、二氧化碳、氮氣……不同目的地,資料在進入雲時,也需要識别分類
第二是資料的傳輸安全,空氣在人體流動,氧氣會和血紅細胞融合受到保護,資料整個傳輸鍊路全程加密,例如HTTPS協定,VPN/SAG網關、SSL證書等
第三是資料的存儲安全,紅細胞存儲着氧氣,資料擁有個性化的密鑰管理及密鑰輪換體系
第四是資料處理、交換安全,氧氣和二氧化碳交換,源源不斷供養給身體,資料在身份權限管控下,安全的交換共享
第五是資料銷毀,荷載廢料的氣體随着呼吸排出,,對無用資料在保障隐私的前提下及時實體銷毀
雲上資料,因為體系化的調控能力有機配合,是一個更天然的保護過程。
除此以外,在資料防護方面,雲平台還應該具備幾大核心能力:
● 實作雲平台環境可信:以不可篡改的可信晶片級硬體安全為起始點,保障整個雲上計算環境安全可信,讓使用者暢遊于安全空氣之中;
● 難以破解的加密能力:從網絡硬體層到應用層的資料生産、存儲、傳輸全流程加密,實作雲上資料預設全加密,輔助以天極為機關的密鑰輪轉,極大降低使用者資料被盜取的機率;
● 資料可用不可見,驅動智能:新興發展的機密計算、多方計算,能實作資料在硬體層面、使用過程中的加密,真正做到使用者間安全的資料共享;
● 安全便捷的密鑰管理服務:雲上需要一款可以被內建的,能夠實作密鑰安全托管、密鑰輪轉、密碼運算的密鑰管理系統,以整體服務雲上資料全流程的安全。
而針對雲上雲下時時刻刻都在奔湧的流量,防護則更加需要細化。除了前面提到的通過身份權限來對流量進行源頭上的控制以外,還需要對雲的各個節點做好防護:
● 流量的進出口:使用防火牆、WAF、抗DDoS等産品,對東西南北向流量進行把控。
● CDN邊緣計算、SLB負載均衡節點:打通相應的安全監測能力,實作安全能力和基礎設施融合。
● DMZ區:建立安全與非安全地帶的緩沖。
● 流量準入邏輯:通過機器學習、大資料分析等能力實作惡意陸良自動化識别和攔截
當一朵雲做好的了雲上資料和流量的安全防護體系,那麼它也實作了自我的蛻變升華:将安全的基因深深镌刻在雲的每一個角落。從ECS、存儲、資料庫,到網絡、計算、身份,無不是生來就飽含着安全的元素,讓使用者上雲即享受安全
2、分析學習能力:安全的中樞神經
當一朵雲做好以上的種種安全能力,它離“神功大成”隻有一步之遙,但這也是整個過程中最核心的一步。展現了雲在安全上的不可替代性。
當我們談起雲的優點時,效率高、算力大、即插即用是常常出現的優點,對于雲安全來說也一樣,統一的端口友善資訊的搜集處理以及政策的一鍵同步,強大的算力支撐着機器學習、AI、自動化等進階能力,實作真正的無感防禦,而這些功能,構成了雲安全的中樞神經系統
要做好這個中樞神經系統,需要三大核心能力:
其一,不同雲産品間協同關聯。
雲上統一的Open API接口,可以實作數十條産品線内置安全能力關聯,展現本是同根生的禦敵優勢。比如主機防護産品發現了一個新的安全警告,可以主動給外圍裝置下達指令,威脅情報可以通過API快速地分發給雲内所有元件。就像是戰火紛争下的狼煙傳信,從邊疆一路抵達王都,再由王都通知給四方屬地,共同禦敵
其二,統一安全管理系統。
一套體系内的威脅識别、分析、預警、溯源,高速度的完整閉環
其三,強大的威脅情報資料庫。
通過機器學習、深度學習、UEBA等安全能力建構實時更新的威脅檢測架構,實作單點威脅全網秒級協同
至此,一朵具備安全基因的雲已初具雛形,但是它的安全之旅還遠遠沒有結束
在安全骨骼架構和神經網絡之下,還等待血肉的補充,機體的增強
我們期待和雲上使用者、合作夥伴生态一起
讓阿裡雲真正成為一朵最值得信賴的安全雲