阿里云欧阳欣:守护数字经济时代云安全

admin 2022年8月20日01:59:13云安全评论7 views3751字阅读12分30秒阅读模式
阿里云欧阳欣:守护数字经济时代云安全



8月16-17日,第十九届中国网络安全年会于网上举办。此次年会以“共建数字信息基础设施安全屏障”为主题,汇聚政府、行业专家、知名企业等各界代表。

阿里云智能首席安全官,阿里云智能安全总经理欧阳欣受邀参加年会主论坛,分享了在数字经济时代中,阿里云如何定义云上安全责任,守护平台安全,引入生态共建更高等级的安全防御体系,让云比数据中心更安全


阿里云欧阳欣:守护数字经济时代云安全


云上安全共建

责任共担模型


云,因其环境天然的规范性、统一性、自动化等特点,诞生了云原生安全这一新的安全品类。欧阳欣认为,企业需要对云厂商有更充分的了解,加深对云安全责任共担模型的认识,持续在安全上投入才能实现更高等级的云上安全。有别于传统认知,云上安全并非仅是客户或云厂商某一方的责任,而是各有其负责的领域。


阿里云欧阳欣:守护数字经济时代云安全

(阿里云安全责任共担模型)


在线下环境中,安全的各个方面都需要企业自行投入建设,从物理机房、平台网络构建到支撑商业运营的执行环境、终端等等,都属于客户自己的安全责任。安全域类目庞杂,人力物力的有限往往会遗留给攻击者大量漏洞。上云后,云厂商会承担相应安全能力,比如物理机房、云平台、云产品的安全等等,目前阿里云10条产品线50款产品已经具备522项核心安全能力,并且已经有40多款云产品实现原生接入安全产品,全面保障平台侧安全。同时,客户也需要及时升级工作负载,安全配置产品基线,保护其数据、访问凭证安全等,即安全的使用云平台。


在欧阳欣看来,阿里云的责任共担模型传达了三方面核心观点:

1

更小的安全责任边界:客户上云后,不再需要关注底层安全建设即可享受到对应的安全能力,可以将资源投入更集中的安全域中;

2

安全的使用云:正确使用和配置云产品,是客户为了构建更安全的云上环境而应该承担的责任。这需要客户选择合适的安全产品、搭建完善的云上体系、聘请专业人才等等;

3

持续的安全运营:安全并非一朝一夕,而在于持续的运营。客户应当制定持续运营的安全策略,建立应急保障体系,在更长的时间维度上守护安全。


五大云上最佳安全实践

让云比数据中心更安全


阿里巴巴已经实现了全量业务上云,在2021年双十一期间达到了百万级在线业务容器规模,在长期的发展业务发展中,阿里云安全也总结了一套体系化建设方案,欧阳欣分享了阿里云的五大安全实践,从云平台、云产品到云上业务,打造了从数据保护到终端安全的云时代安全架构。


阿里云欧阳欣:守护数字经济时代云安全

(阿里云云安全全景图)


实践一:建立供应链管理体系

阿里云从2006年起即在内部引入了安全开发生命周期(SDL)概念,2009年即建立了SDL标准化流程,2015年进入成熟阶段,2022年逐步实现自动化。15年的积累,让阿里云实现了安全左移,在事前即将风险最小化。


阿里云欧阳欣:守护数字经济时代云安全

阿里云DevSecOps生命周期图谱


在上图中,完整的呈现了阿里云产品从研发立项到上线测试的全流程。立项之初,使用统一的安全框架、网关与开发包;架构设计阶段,将威胁建模植入到流程中,对产品做默认安全设计,并进行安全技术和意识培训;开发阶段,产品将根据安全要求自评和测试;交付时进行安全检验和测试,并把控上线。安全成为阿里云产品的基本组成部分。


欧阳欣表示,建立内部安全开发流程以来,阿里云在迭代发布数量100%增长基础上,外报漏洞数量降低了50%,而安全工程师的人力资源指标实现0新增。这种云环境带来的高度自动化,和云下的差别非常之大。


实践二:安全左移,保障产品上线即安全

在数字化经济时代,受益于开源软件与三方产品的服务,国内互联网、金融行业快速发展,供应链正在变得越来越不可或缺。但Solarwinds事件的爆发,让我们看到了其背后的巨大风险,安全的边界再一次被打破,漫长的供应链中有任何一个薄弱的地方,就有可能通过此渗透进企业内部。


阿里云盘点了历史上处理过的126起供应链攻击事件,总结了常见的15种攻击手段,并沉淀为阿里云供应链安全框架。欧阳欣认为,对于云上客户而言,阿里云本身就是供应链的一个环节,做好供应链安全是我们的职责所在。


阿里云欧阳欣:守护数字经济时代云安全

(15种常见的供应链攻击手段)


阿里云将供应链分为供应商、系统集成商、外部服务商、外部开发商四大类,对生产物料和生产工具的开发与设计、分发流转、获取部署、运营和维护等过程进行生命周期管理。


阿里云欧阳欣:守护数字经济时代云安全

(阿里云供应链安全框架)


在框架之外,阿里云也总结了三大供应链安全准则,能有效控制并缩减风险:


  • 建立评估体系:从最关键的供应商开始,逐步将其数字资产纳入全面的、基于真实风险的安全评估体系中;

  • 提升可见性:为每个硬件、应用程序持续构建详细的物料清单,从而全面洞察每个硬件、应用软件的组件情况;

  • 收敛攻击面:对业务进行评估,尽可能降低对第三方组件、开源软件依赖,并选择可信度高的供应商,尽可能缩小攻击面;


实践三:安全逆向化思维,常态化攻防

今天的阿里云平台,面临着数百万服务器,数百个数据中心,P8级流量,数万名员工,上百个全球办公场景,数万量级域名的超复杂环境。如果仅以防守方思维去构建安全,难以面面俱到,而以攻击者视角,逆向测试平台安全性,则是更有效的提升手段。


阿里云欧阳欣:守护数字经济时代云安全

(图:阿里云攻防对抗体系设计)


在此思维之上,阿里云基于攻防对抗体系,建立了内部蓝军体系,模拟最接近真实场景的攻击。并将其常态化,不限时间,不限范围,不限手段,通过持续性的攻击,达到对自身云平台的安全测试。


在这些年的积累中,阿里云发现了200000条以上的攻击路径,164种攻击战术模式,每年发现高危风险200个以上。从攻击者视角,对云平台风险查漏补缺,最大化的提升了平台安全性。


实践四:应用、数据、身份三位一体

在责任共担模型中,云平台部分的安全责任被转移给了云厂商,而企业在云上的应用、数据和身份安全则保留为客户侧的责任。对于上云的客户,安全建设从自己辛苦打井向接入自来水管道转变,阿里云也提供了各类安全产品和机制来帮助客户做好安全管控。

阿里云欧阳欣:守护数字经济时代云安全

(图:阿里云应用、数据、身份三位一体的安全体系)


欧阳欣举了一个实际的场景,对于一家刚上云的公司。企业必然需要一个VPC,并在VPC里把安全组配置好。接下来需要对云上的流量、应用、主机、数据开启相应的安全防护措施:


  • 网络流量管控一键开启原生WAF、防火墙、DDoS等云原生安全工具;

  • 制定安全基线,开启配置管理

  • 数据安全:关注数据风险,做好数据识别、分类分级、加密、脱敏、防泄漏等生命周期管理;

  • 身份底座:建立云上统一身份体系,依据最小权限原则进行权限管理,成为云上安全基石;


同时企业也可根据自身需要,拥抱更多的云上安全理念和工具,例如零信任、业务安全等。对于上云企业而言,利用好云天生的安全能力,再辅助以审核企业的安全产品、服务,并辅助以持续的安全运营,即可形成完整的安全防护闭环。


实践五:持续化安全运营

前面的四个最佳安全实践可以有效的帮助企业构建云上安全,但更重要的是将安全持续化的运营、优化,将安全从低频的攻击防御变为高频的管理运营。


从体系上看,安全运营包含面广,类目庞杂,对相关人员专业水平要求高。阿里云根据多年实践梳理了云上用户在运营体系建设时核心思路。


阿里云欧阳欣:守护数字经济时代云安全

(图:阿里云安全运营体系模型)


  • 第一,安全运营能力建设。包括攻击的预防能力,安全加固能力,入侵事件的检测,分析和应急响应能力,极端情况还需要考虑攻击反制能力。

  • 第二,建立安全运营团队或使用安全运营托管。采用自动化工具固然必不可缺,但高等级的入侵往往需要有经验的工程师的介入,对安全运营团队的投入是必不可少的。

  • 最后,以经得起实战考验为标准进行安全运营体系建设



生态伙伴共建

云上纵深防御体系


阿里云安全从云诞生之初即开始演进发展,目前已覆盖从云基础设施,到上层网络、应用、虚拟化、主机、数据、办公网等多个垂直技术域,及合规审计、安全研究、安全运营组成的一张纵深防御网。今年,阿里云在国内首次“云原生安全成熟度”评估中取得国内唯一全域最高等级认证

阿里云欧阳欣:守护数字经济时代云安全

(图:阿里云安全纵深防御体系)


但在欧阳欣看来,客户的业务是非常多元的,尽管云安全会尽力提供给客户标准化的安全产品和安全特性,但是要满足云上所有用户对安全的需求,需要云安全合作伙伴来共同完成。数字经济时代,我们需要和伙伴一起努力,阿里云现已构建了7大领域100多个合作伙伴的安全生态,这个生态中包含了450多类安全产品,上万名高质量白帽子。


阿里云仍将持续,构建开放的安全合作生态,将云平台的安全能力与安全厂商各自的能力优势进行整合,以帮助用户更好地解决安全问题,共同构建一个更高安全等级的云环境。


阿里云欧阳欣:守护数字经济时代云安全


阿里云欧阳欣:守护数字经济时代云安全

  阿里云安全  

阿里云欧阳欣:守护数字经济时代云安全

国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。


原文始发于微信公众号(阿里云安全):阿里云欧阳欣:守护数字经济时代云安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日01:59:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  阿里云欧阳欣:守护数字经济时代云安全 http://cn-sec.com/archives/1243249.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: