10月11日,浙江省網絡安全宣傳周活動啟動,阿裡巴巴集團副總裁,阿裡雲安全總經理肖力受邀參與“雲谷論劍”網絡安全高峰論壇活動,分享了數字化改革中,雲安全如何助力企業建構更高等級的新一代基礎設施。
(阿裡雲安全總經理肖力發表演講)
雲,數字化改革的關鍵路徑
“資料,是政務數字化改革的基礎”,肖力認為,在當下的網際網路發展階段中,資料已經越來越重要,特别是對于政企客戶,全景化的資料營運可以打破資料孤島,最大程度發掘其價值。“拿阿裡雲的一個重要客戶鄭州市政府舉例”,在雲的助力下,鄭州搭建起具備業務和資料“雙中台”的城市大腦底座,在底座之上提供了涵蓋政務服務、智慧交通、智慧醫療、城市應急等14個領域的118個智慧應用服務,“通過這一套體系的建構,幫助政府業務實作了三個特點:高效、精細和穩定”。
全場景數字化營運的基礎,是實作大量碎片化資料的統一支撐和共享,這一點需要依賴雲底座的能力。資料直覺顯示,中國企業的上雲率正在快速上升。根據《中國雲計算産業發展報告白皮書》中預測,2021年中國政府機構和大型企業的上雲率将會達到61%,而從IDC的全球資料來看,2019年雲的基礎設施已經超過傳統資料中心。
未來所有企業都會上雲,所有的終端、辦公網、資料中心都會雲化,這是一個必然的趨勢。雲計算已經成為新的,并且是更安全的基礎設施。
攻防形勢依舊嚴峻
雲安全将有效降低事故率
傳統IT架構之下,做安全往往是單點的、外挂式的,哪裡有問題就給哪裡打更新檔,治标不治本。在日益複雜的國際形勢下,政府部門、醫療衛生行業和事業機關的業務網站成為了攻擊者攻擊的主要目标。2020年,我國境内就有約1030個政府網站被篡改,同比增長31%。随着企業上雲率的提升,IT架構的改變也造成了邊界防禦的失效,傳統的安全防禦思路無法解決雲上企業的安全痛點。
失效的邊界防禦
現在大部分的企業員工都在用主機、筆記本,甚至手機等各種移動裝置辦公,以阿裡為例,有超過20萬的員工,内網常年運作着100萬台裝置,光靠VPN肯定是不行的。未來超過70%的資料會在邊緣處理,企業面對的是疫情下的遠端辦公、複雜的供應鍊、SaaS化應用中包含的線上文檔、視訊會議等等場景帶來的安全風險。
更加複雜的資料安全
2023年,全世界75%的資料庫都會以雲的方式在運作。随着數字化的發展和上雲率的增加,我們發現資料類型變得越來越豐富,資料通路變得越來越複雜,而這直接帶來的後果是,近幾年資料洩漏成為了大中型企業的頭号威脅。
愈演愈烈的勒索軟體
WannaCry的餘溫尚未退卻,2021年,勒索軟體攻勢卻愈演愈烈,光上半年全球至少發生1200多起勒索軟體攻擊事件,造成的直接經濟損失高達300億美元。面對愈來愈複雜的安全攻防形勢,建構更高等級的雲基礎設施刻不容緩。
相對傳統IDC環境,雲原生的安全能力,在未來3年内可幫助使用者有效降低60%的事故率。
更高等級的雲基礎設施
基于阿裡雲多年的雲上安全實踐,肖力用五個關鍵詞總結了雲安全獨有特性,“原生、彈性、全局、預設、共擔”。
原生
在雲上,安全能力和基礎設施的結合是明确趨勢。
傳統安全架構造成了安全資料孤島,導緻企業難以統一管理,增加了網絡不穩定性。但是雲可以将安全能力與各個雲産品進行融合,将安全能力打碎重組,融入基礎設施,實作雲基礎設施預設安全。
(阿裡雲原生安全能力全景圖)
比如,在雲上有多個流量入口,我們可以将CDN、SLB各雲産品和安全能力直接融合,流量直接在節點就可以進行清洗,降低了網絡的複雜性。此外,通過統一的OpenAPI接口,阿裡雲目前10條産品線271個雲産品預設融入了安全能力,實作雲産品上線即安全。将安全能力融入到業務統一接入層,新上線的應用隻需要接入,就能夠做到預設安全。
此外,基于雲産品架構優勢和層層白名單,同時加上持續化的滲透測試、穩定性演練等,讓雲成為更難被攻入的安全環境,幫助客戶實作更高水準的可視化、精細化安全管理。
彈性
雲計算天然的彈性擴縮容能力,可以實作安全能力與業務同步上線。
疫情期間,由于遠端辦公場景激增,釘釘需要緊急擴容,在1個小時内就完成了2萬台主機的安全部署,實作了安全能力服務化,而如果線上下操作,則起碼需要1個月的時間。
彈性還代表着快速止血,快速修複的能力,即“跌倒後站起來的速度”。我們需要長期與攻擊共存,玻璃杯一擊即碎,而皮球可以将打擊化為彈性。阿裡雲雲上環境通過強大的資源情報庫,多産品關聯,幫助客戶實作小時級止血修複,最大程度挽回業務損失。
全局
不同于傳統安全的單點式防護,雲安全通過體系化的架構設計,建構的是全局的能力。
以資料安全為例,不能隻做資料加密或防洩漏就可以了,而需要從資料生命周期的角度,對資産管理發現、權限控制、資料加密、入侵防護,以及必要的合規保障上進行全面和全局的防護。
(阿裡雲資料安全能力全景圖)
預設
對比人體來說,最進階的防護是自身預設的免疫機制,這也是雲安全嘗試建構的防禦機制。
安全隻有具備了預設免疫能力,才能對未知威脅實作實時的自動化防護,這就意味着需要建立一整套的全局威脅情報與實時漏洞響應機制,而雲計算有兩個天然優勢:算力+協同
- 海量算力:資料不分析、不流動是無法産生價值的。雲上天然計算優勢,支援海量日志的計算和分析;
- 協同:環境高度一緻性對于漏洞、惡意IP、異常行為,可以實作數百萬台主機政策秒級下發。
01:11
(雲平台預設免疫防護子產品)
肖力同時分享了阿裡雲發現Apache Flink 0day漏洞和JumpServer 0day漏洞設計的預警協同機制,通過這套防禦體系,阿裡雲全年響應了66起事件,積累10萬餘個漏洞,其中有PoC的漏洞超過一萬個,可利用的高危漏洞超過一千個。
共擔
安全責任共擔,當客戶選擇雲之後,不需要再考慮平台本身安全,包括合規性、雲産品的安全基線,以及客戶在平台之上的租戶側合規、實體安全、平台安全和災備等。善用雲原生安全能力,根據行業和業務的需求,建構起真正更高防護水準的新一代雲基礎設施。
同時,阿裡雲還出席了在西安舉辦的2021年國家網絡安全宣傳周網絡安全博覽會,并作為阿裡巴巴“科技創新保障網絡安全”主題展區(C06)的重要組成部分,以“原生免疫”為關鍵詞,系統化、可視化展示了雲原生安全能力下的企業解決方案。也歡迎大家前往參觀。(
亮相國家網絡安全宣傳周,阿裡雲全新展現雲原生免疫防線)
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。