云原生安全是什么,有用吗?
云原生安全,是云网络安全的概念。具体我们以2019网络安全生态峰会上,阿里云智能安全事业部总经理肖力提出关于云原生安全方面的知识为例,方便大家理解。
2019网络安全生态峰会上,阿里云智能安全事业部总经理肖力提,承云之势,云原生安全能力将定义企业下一代安全架构,助力企业打造更可控、更透明、更智能新安全体系。
阿里云智能安全事业部总经理肖力
新拐点 新安全
IDC最近发布的《全球云计算IT基础设施市场预测报告》显示:2019年全球云上的IT基础设施占比超过传统数据中心,成市场主导者。企业上云已成功完成从被动到主动的转变。企业上云后不仅可以享受云的便捷性、稳定性和弹性扩展能力,而且云的原生安全能够帮助企业更好解决原来在线下IDC无法解决的困难和挑战。
同时,Gartner相关报告也指出:与传统 IT 相比,公共云的安全能力将帮助企业减少60%的安全事件,有效降低企业安全风险。
现场,肖力表示,"云原生技术重塑企业整体架构,云原生安全能力也将促使企业安全体系迎来全新变革。"
六大能力 安全进化
云化给企业安全建设带来根本性的变化,企业可以跳脱现在单项、碎片化的复杂安全管理模式,迎来"统一模式",即使在复杂的混合云环境下也可以实现统一的身份接入、统一的网络安全连接、统一的主机安全以及统一的整体全局管理。肖力认为,实现这一切源于六大云原生安全能力,在不断推动企业安全架构的进化。
1. 全方位网络安全隔离管控
凭借云的网络虚拟化能力和调度能力,企业可以清晰的看到自己主机东西南北向的流量,统一管理好自身边界安全问题,包括对外的安全边界以及内部资产之间的安全边界,公网资产暴露情况、端口暴露情况,甚至是正遭受攻击的情况一目了然,从而制定更加精细化的管控策略。
2. 全网实时情报驱动自动化响应
云具备实时的全网威胁情报监测和分析能力,可以实现从发现威胁到主动防御的自动化响应。2018年4月,阿里云捕获俄罗斯黑客利用Hadoop攻击云上某客户的0day漏洞,随即对云上所有企业上线自动化防御策略,最终保证漏洞真正爆发时阿里云上客户未受影响。从捕获单点未知攻击到产生"疫苗"再到全网实施防御,阿里云正在探索从安全自动化到数据化再到智能化的最佳实践。
3. 基于云的统一身份管理认证
当企业拥抱云并享用SaaS级服务带来效能的同时,基于云的统一身份管理认证成为关键。企业安全事件中有接近50%都是员工账户权限问题导致的。基于云的API化等原生能力,企业可以对身份权限进行统一的认证和授权,并可以在动态环境中授于不同人不同权限,实现精细化管理,让任何人在任何时间、任何地点,都可以正确、安全、便捷的访问正确的资源。
4. 默认底层硬件安全与可信环境
由于硬件安全和可信计算领域的人才稀缺,导致企业自建可信环境面临诸多挑战且成本较高。随着全面上云拐点的到来,企业可以享受阿里云内置安全芯片的底层硬件能力,并基于此构建可信环境,从而以简单、便捷、低成本的方式实现底层硬件的默认安全、可信。
5. 全链路数据加密
数据安全的技术仍然处于发展中阶段,还需要经历技术的不断迭代才能满足企业不同的需求。未来随着数据安全、用户隐私数据保护要求越来越高,全链路的数据加密一定是云上企业的最大需求。基于云原生操作系统的加密能力,阿里云推出了全链路数据加密方案,秘钥由企业自己保管,无论是云服务商、外部攻击者、内部员工没有秘钥都无法看到数据。
6. DevSecOps实现上线即安全
在云和互联网模式背景下,业务的频繁调整和上线对业务流程安全提出了更高的要求,将安全工作前置,从源头上做好安全才能消除隐患。基于云的原生能力,安全可以内置到全流程的设计开发过程中,确保上线即安全。目前,阿里云基于DevSecOps安全开发流程,确保所有上线的代码里没有可以被利用的有效漏洞,实现所有云产品默认安全。
阿里巴巴神盾局是什么 阿里巴巴神盾局成员名单
阿里巴巴神盾局的反黑客团队,也吸纳了很多在安全攻防的白帽子界响当当的名字:肖力(安全攻防领域资深专家)、吴瀚清(《白帽子讲安全》作者,江湖上 声名显赫的道哥)、魏兴国(网络安全领域知名专家,人称“云舒”)。
阿里巴巴低调神秘的安全部被内部人誉为“神盾局”,最近频繁曝光。此前几天,阿里频频抛出”神盾局”和公安、质检、版署等部门合作办过的大案要案。
“神盾局”到底是个怎样的组织?内部工作人员日常都干点什么?今天来个大起底。
那阿里巴巴的“神盾局”管什么?
●保护知识产权:这项工作,说得直白点就是打假,也是阿里巴巴“神盾局”最为重要的工作之一。阿里巴巴也披露了不少数字,现在看来,在这项工作中,阿里”神盾局”的成绩牛逼闪闪:
阿里巴巴每年投入大量资源打假,今年前三季度,在”神盾局”协助各级执法部门共破获各类“双打”案件1000余起,抓获犯罪嫌疑人近400人,涉案金额近6亿元。
●保护账户安全:主要是防止虚假注册。
说来这个跟诈骗和卖假货都有关系,为了防止虚假注册,淘宝网针对卖家的实名审核越来越严格,从“实名认证”向“实人认证”,本人拿着身份证拍照还不够, 根据用户不同情况,要求根据指定手势拍照、手持当地报纸拍照,其中指定手势库有数十种随机手势,不定期的进行手势更新,最大限度避免造假者钻漏洞。
除了搞笑版本,也有高科技的招数,未来,淘宝的开店实名制还将逐渐开发人脸和声纹特征数据库,也就是说开店的人拍张照,说段话,高科技下次就能把你从茫茫人海中找出来。
●保护交易安全:主要是防止交易欺诈、恶意差评、敲诈勒索、打击炒信
打击炒信,防止恶意差评带来的敲诈勒索,这个也是”神盾局”的重要工作之一。炒信在阿里的平台上是绝对不允许的,卖家为了炒信也是各种想尽办法,在这个领域,”神盾局”为了维护诚信始终在跟不良商家斗智斗勇。
●保护信息安全和禁限售排查:万能的淘宝虽然万能,但还是有很多不能卖的,药品,假烟,枪支等等,还有一些涉黄的内容,以及阿里云上面的黄赌毒内容的发现。小编觉得,这个工作已经非常接近真实的网安的工作了。
●保护隐私防止信息泄露:近年来出现的新问题,信息到底是怎么泄露出去的,”神盾局”需要分析源头,事实上,”神盾局”内部也有白帽子……
10亿级的商品,在这里衍生出了形形色色的新现象和新的犯罪模式,比如利用差评敲诈勒索,比如炒信,假货,有些是法律还没覆盖的灰色地带,有些就直接属于犯罪。
“神盾局”里的大神们
除了常规的技术人员,”“神盾局””的“特工们”不说身怀绝技,也绝对都是经历丰富。
●知名白帽子:又说到了黑客,就想到了美剧里那个美女黑客有木有?来自最知名的黑客组织“潮涨组织”,她身怀绝技每每在小组遇到困局时找到突破口。
而阿里巴巴神盾局的反黑客团队,也吸纳了很多在安全攻防的白帽子界响当当的名字:肖力(安全攻防领域资深专家)、吴瀚清(《白帽子讲安全》作者,江湖上 声名显赫的道哥)、魏兴国(网络安全领域知名专家,人称“云舒”)。以及知名的技术专家潘爱民(互联网底层技术专家)、刘嘉伟(知名架构师),他们扞卫着 整个阿里巴巴体系安全攻防的基础,每天防御拦截数亿次的黑客攻击。
●原公检法系统的精英:“神盾局”有20多人曾经就职于政法系统,之前做过公安的有十几位,有干过二三十年刑警的;还有经验丰富的经侦、技侦、网监等警种的警界精英加盟。此外,还有ex-检察官的,ex-法官……
●法律专家:阿里巴巴“神盾局”面临的工作,很多都跟法律相关,比如处罚违法违规行为时要懂法,因此”神盾局”的法律专家还真不少,目前已经达到近60人。
●外语天才:“神盾局”也储备了一大批的语言人才,这些随口就能说上流利俄语法语西班牙语日语……等多国语言的“特工们“潜伏在团队里,保护着阿里巴巴在全球各地的交易安全,是不是也挺酷的?
“神盾局”的“特工们”其实也没有特异功能,非要说他们有什么不一样的地方,就是他们借用互联网大数据的力量来实现打击邪恶势力的梦想,哈哈。
支付宝安全吗?
一般情况下是安全的,现在支付宝可以说是改变了咱们老百姓的生活。不过前提是手机在你自己的手里,万一手机和身份证号落入别人手中,对方就可以改你的密码和支付密码。还有就是万一中病毒或者被短信嗅探了(利用伪基站)也容易遭受财产损失,今年夏天多地,特别是广东就频繁发生支付宝,京东被钱被卷走,还开了花呗和白条!这不是胡编乱造,危言耸听,本人亲生经历都可以出一本书了!只能说现在黑科技可谓是神乎其神。所以我还是建议不要放过多钱财,一定要提高风险意识。
为什么阿里云肖力:“云计算大数据”应该反过来叫“云数据大计算”?
人类的认知总是被碾压,而且猝不及防。没办法,名为“科技”的火车正开得越来越快 —— 中国引入互联网才23年,中国首笔互联网交易发生在9年前,智能手机也兴起才几年,这些却都已成了生活中不可或缺的一部分。如今这列火车驶向一条名为”智能“的轨道,在可预见的未来又将开始新一轮加速。
5月23日上午,在云栖大会·成都峰会上,阿里云资深总监肖力用一场名为《通往智能之路》的演讲,和在场的人聊了聊他的看法。
▲ 肖力
观点一:内网隔离不那么安全,公有云却越来越靠谱了
Wannacry勒索病毒刚爆发没几天时,有人发现中招的大多是内网的机器,云服务器反倒很少受害,于是他们很诧异 “云上的机器居然比不连接互联网的内部机器更安全?”。
肖力觉得这很合理:在他看来,阿里云的客户在此次勒索风波中就几乎没有受到影响,正是得益于公共云模式的智能驱动和快速响应,做到在事前预防安全问题。 Windows 远程漏洞的利用工具刚曝光,阿里云的大数据分析就预测将会有一次大爆发。几个小时之后,阿里云官方发布了修复方案和安全建议。
物理隔离在补丁升级和安全响应上都存在一定的天然缺陷,安全厂商各自救火,做的都是事后的工作,虽然也能取得补救效果,但如果有云安全的‘事先预测’,就能防患于未然,公共云在这方面有着解决问题的最佳优势。
Intel 云安全报告也表示:人们对于云安全的担忧正在迅速减弱,74% 的组织已经将敏感数据存储在公共云。在 2015年,51%的用户仅使用私有云,2016年这一数字就降到了24%。
观点二:云计算大数据已经变成了“云数据大计算”
怎样才能让数据变得有价值 ?肖力认为关键在于两点:数据在线和计算能力。这也是”云计算大数据“应该叫做”云数据大计算“的原因 —— 云数据即数据在线,大计算则强调数据的分析和计算能力。在我眼里,数据没有大和小之分,它最重要的是在线;只有打破数据孤岛,让数据发生更多的汇聚,更多的交换,更多的更新和挖掘,才能产生更大的价值,这就是“大计算”。
他举了个例子,阿里云帮助杭州市政府实现一个可以智能化管理城市的城市大脑。为了做好数据分析,阿里云邀请了13家公司以及政府有关部门,根据需要将各种数据汇集到云端,其中包括公安部门的摄像头数据,交警部门的交通数据也有卫星地图数据等等,通过大量的数据交互、深入的分析和挖掘,让数据产生关联,才能帮助整个城市解决好交通出行、交通管制甚至道路修建等问题。试想,如果各方面数据形成孤岛,单独的公安数据,单独的交通数据,恐怕都很难解决复杂的城市管理问题。
这样的例子在身边比比皆是,肖力提到了高德地图。一边是地图数据,一边有整个城市车辆出行的数据,两个数据汇集在一起,再加上深度挖掘和分析的能力,这才能够给出用户最佳躲避拥堵的方案,让数据产生了新价值。
观点三:让数据产生价值也能“借鸡下蛋”
数据常有,数据的价值却不常有,但拥有数据的企业却能借助大平台的计算能力,让他们数据变得有价值。
据雷锋网(公众号:雷锋网)了解,阿里云目前开放了两大数据分析平台。肖力说,企业可以在平台上完成整个数据的采集,数据的清洗,数据的分析,数据应用,在各个层面。今年他们计划把这个平台开放出来,通过有多种数据模型,降低用户使用数据的成本,让企业更方便的做数据智能应用。
观点四:数据分析重在和行业结合,算法高手在民间
“天池”算法大赛的新项目 —— 利用 AI 技术捕捉地震余震的算法比赛,也被摆到了重要议程。肖力称之为“最厉害的算法在民间”。阿里云看重数据分析能力和实际业务场景的结合,这一点从他们在大数据人才选拔和培养方面的投入力度就能看出。
根据阿里云官方消息,3月底启动的天池医疗 AI 大赛目前已有超过 1300 支队伍,共1700 人报名参赛,而这只是天池大赛众多领域中的一个。4月底,阿里云又启动了电力 AI 大赛,这些都是数据分析能力与各个垂直领域业务的直接结合。肖力也希望有更多数据开发者能够进入阿里云数据分析平台,帮助企业更好思考企业与数据结合方面遇到的问题。
企业购买了计算机并不代表企业拥有计算能力。自建数据中心还将面对基础设施稳定性的问题,互联网安全问题以及高额的成本,而云模式可以让用户享受到平台的能力,从而更好的专注于自身发展。
驶入”智能“之路的科技列车,在可预见的未来将行驶地越来越快,且悄然无声。或许哪一天,如今做出的努力成为现实,医生借助 AI 精确诊断病情,地震变得有规律可循,我们身边的空气、水源、食品也因为精准的数据分析而变得纯净、安全。当然,那时的人们也像如今习惯智能手机一样习以为常,只是偶尔有人回头一望,也不禁感慨这些由数据、计算和智能带来的巨大改变。
大数据时代:如何守护我们的数据安全
大数据时代:如何守护我们的数据安全
不管你承认不承认,我们已经全面进入了大数据时代。无时无刻,我们的很多信息都被通过各种途径传播出去,这就必然导致安全问题的产生。
大数据的安全问题有多严重?在此前举办的“2016中国大数据产业峰会”上发生的一个实例,就可见一斑。
在360展区,市民严女士随手将钱包、手机放到安检筐里,空手走过安检门。她通过安检门,突然发现大屏幕上显示出自己银行卡的姓名拼音、身份证号、银行卡号、卡片有效期、最近10次的消费时间、消费地点、取现记录、转账记录等等。严女士惊呼:“遇到了魔术师”。
360安全专家刘洋解释,实际上,存放手机钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,就像公交车刷卡器,只要银行卡靠近读卡器,卡片的信息就显示出来,安检门其实就是“安全魔术师”手中的障眼法。就在严女士将钱包放进安检筐的那一刻,严女士的个人信息就已经泄露了。
那么,我们靠什么来保障我们的数据安全呢?难道我们只能看着个人的数据和隐私到处泄露吗?
数据安全事件日益高发
近来,大数据安全事件呈高发之势。日前,广东警方破获一起高科技经济犯罪案件,17岁的“黑客”叶世广,攻破了多个商业银行网站,窃取了储户的身份证号、银行卡号、支付密码等数据,带领一批人在网上大肆盗刷别人的信用卡,涉案金额近15亿元,涉及银行49家。
今年2月,发生了世界上有史以来规模最大的网络盗窃案。黑客入侵了孟加拉国央行在纽约联邦储备银行的账户,盗走了8100万美元,后来孟加拉国官方表示,黑客出现了一个拼写错误,否则随后还将进行一笔近10亿美元的转账。
今年3月,与叙利亚有关联的激进黑客组织对一个自来水厂发起网络攻击。黑客操纵系统改变了进入到自来水中的化学物含量,阻碍净水过程。
类似的案例不胜枚举。
360公司总裁齐向东向《中国科学报》记者表示,接入互联网的设备越多,网络攻击的发生几率就越高,网络攻击首先瞄准大数据,攻击造成大数据丢失、情报泄密和破坏网络安全运行。大数据技术是一把双刃剑,既可以造福社会、造福人民,又可以被一些人用来损害社会公共利益和民众利益。
大数据安全体系构建势在必行
“在互联网乃至物联网时代,如果我们不能很好地解决安全问题,就会影响社会各方面的发展。因此,各级政府在鼓励发展大数据的同时,要同步考虑构建大数据安全体系。”齐向东表示。
值得注意的是,传统的网络安全思路已经无法保障大数据时代的安全。刘洋向记者介绍,传统网络安全的防护思路是划分边界,将内网、外网分开,业务网和公众网分离,用终端设备将潜在风险隔离。通过在每个边界设立网关设备和网络流量设备,来守住“边界”,以期解决安全问题。但随着移动互联网、云服务的出现,移动终端在4G信号、Wi-Fi信号、电缆之间穿梭,网络边界实际上已经消亡。
“很多传统的大企业认为,只要自己购买服务器并搭建独立的机房,安排专门的技术人员就能够保护企业的数据不被泄露,能够保护企业的信息安全。但实际上,在如今的互联网时代,这种传统的方法更加容易被不法分子所攻破。”阿里云安全资深总监肖力向《中国科学报》记者介绍,这是因为从技术实力来看,绝大部分企业并不是专门做网络安全、数据安全,其设置的技术壁垒难以阻挡专业的黑客。
齐向东介绍,360安全中心每天发现木马样本近千万个,每天发现的各种软硬件漏洞、网站漏洞超过120个,“每一个木马每一个漏洞,都可能攻破预先部署的安全设备和安全软件”。这种情况下,企业的传统防护的确难以奏效。
云平台和大数据需“双剑合璧”
在采访中,有专家认为,对付大数据时代的数据安全问题,防止信息泄露,除了完善相关法制法规,更加需要云平台的防护技术,结合大数据技术来应对数据安全。
“在云计算不断深入发展的当下,将数据存储在云平台上,或许比传统的企业信息防护更加安全。”肖力介绍,以阿里云为例,阿里云在架构设计之初就同步考虑了安全架构,不仅将安全的基因植入到整个云平台和各个云产品中,也将数据安全要求嵌入产品开发生命周期的各个环节。依靠专业的云计算平台,强大的技术团队能够更好地应付来自黑客的攻击。
不同用户之间,无论是CPU、内存,还是存储和网络,都默认相互隔离,既看不到对方的数据,也不会相互影响。“就像一间五星级酒店被分割成多个房间,他们之间是相互独立和封闭的,从而确保不同租户互不干扰和数据隔离。”肖力表示。
据介绍,目前全国35%的网站的数据安全防护都依托于阿里云平台的防护。阿里云的云盾,涵盖网络安全、服务器安全、数据安全、业务安全和移动安全这五个安全领域,来保护数据安全。
360也有自己的云安全管理平台。刘洋介绍,该平台将360独有的云安全漏洞挖掘能力输出给广大用户,通过统一管理、安全可见以及网络、主机、应用、数据的分层纵深防御,为用户全面解决云安全问题。
“用大数据技术来解决大数据时代的安全问题十分必要。”齐向东进一步指出,必须建立“数据驱动安全”的思维,搭建全新的互联网安全体系—“传统安全+互联网+大数据”。也就是说,要利用漏洞挖掘技术、网络攻击技术、软件样行为分析技术以及由网络地址解析数据库、网络访问日志数据库、文件黑白名单数据库等组成大数据系统与分析技术,构建全天候全方位感知网络安全态势。“要基于强大的大数据库、利用先进的大数据技术和广泛的用户覆盖率,提前感知网络威胁态势,为大众提供未知威胁的发现与回溯功能并进行有效防护。”齐向东说。
“未来还应当联合各方力量,共建互联网安全产业链生态,来应对大数据时代的安全风险。”肖力表示。
阿里云肖力:原生安全打造云上绿洲
2020年9月17日-18日,一年一度的云栖大会在云上如约而至。疫情加速数字化转型大背景之下,云原生以一种高能见度为各行业带来了一个更动态多变、更具效率和生命力的架构。 云原生安全具有什么优势,能否解决线下业务场景的安全困局? 作为阿里巴巴第一位安全工程师,阿里巴巴集团副总裁、阿里云安全总经理肖力,发表了以“提速云原生,创新安全力”为主题的演讲。
肖力认为,上云是提升安全水平的最佳选择,创新的云原生安全,有能力为企业用户打造“云上绿洲”。 数据被更有逻辑性的存储,从物理数据中心安全、到核心云平台安全、以及和云平台无缝结合的云安全能力……企业原本需要独立、完整承担的安全责任,转移到阿里云平台,低耗损的同时拥抱的是更高等级的安全。
云原生安全的“上游思维”
云安全的经验很稀缺,并且很昂贵,阿里巴巴为此付出了多年努力,总结了业界领先的最佳实践。基于云的安全建设,最核心的思维转变在于:区别传统安全只能被动做出反应,基于云的基础架构改变,让安全开始有能力在上游解决问题。 如果还带着传统安全思维,来构建新环境中的安全控制,无疑大大弱化了云的优势。
云原生安全,拥有从硬件层透穿的最高等级安全能力,打造全环境、全生命周期的可信环境。用户视角看到的层级也将发生变化,安全产品随之演进变化。用户基于云原生能力构建企业安全架构,只需要选择服务去达成自己的安全目标,安全产品不再外挂,安全能力被打通。
云上是一个更安全的“绿洲”环境,它可以自动化帮助用户解决掉同质化、繁杂的安全问题,让用户把精力集中在解决更有价值的问题上。
以下为本次演讲原文的整理
这次的疫情对各行各业影响都非常大,今年上半年各行业都在加速数字化进程。一方面,更多的行业用户在拥抱云计算、拥抱阿里云;另一方面,我们看到网络安全已经进入企业最关注、最需要解决的问题前三名。很多政府客户、金融客户在阿里云平台上,用云安全的核心能力去构建下一代的安全架构。接下来我们会着重给各位介绍,当前阿里云安全在哪些技术领域上的深入、哪些云原生的安全能力,来帮助企业更好地解决过去无解的安全问题。
2小时扩容1万台服务器
安全服务化默认覆盖
2月份的疫情,钉钉承担了数百万人在线教育和数亿人在线办公的责任 。 面对指数级爆发的流量,钉钉只花了2个小时时间,扩容了1万台服务器。 这种速度在传统架构中,安全实现全覆盖是一项不可能完成的任务。 攻击能够导致钉钉的在线会议、在线视频中断,用户的隐私数据泄漏风险随之提升。钉钉通过云原生的安全服务化能力,快速地介入了云抗D、云WAF等组合安全防护手段,保障了钉钉稳定的运行。
试想一下,如果在传统安全线下场景,钉钉这样的企业要部署这么大规模的安全设备,每个设备都需要上架、调试,包括串联在链路上面起到防御效果,我相信至少需要1个月时间。那么云安全服务化,能够让整个业务在小时级别,安全能力快速地扩容,提供实时服务,为业务保驾护航。
安全能力与基础设施融合
0赎金解决勒索软件问题
传统企业安全架构在链路上面有大量的设备,是一个非常复杂的网络。大型企业在线下甚至拥有上百台安全设备串联在网络上,可想而知这里面会遇到多大的整个安全设备的链路联通性问题。这会导致全面管理的问题,以及安全能力的数据孤岛问题。 而云上的安全能力可以直接整合在云产品中。 例如云原生安全能力和CDN和负载均衡SLB进行进一步的融合,用户使用的时候,无论是接入性,还是全面的管理,安全能力都能得到进一步的提升。
阿里巴巴自身有一个系统叫统一接入层。在这一层当中,我们将安全的能力融入到了这个系统当中,所有经济体、业务系统在上线的时候只需要统一接入这个系统,安全的能力就随之而来。这种新型的安全对业务方来说,也是非常的方便、便捷,减轻很大的工作量。我还想再分享另一个案例, 这半年勒索软件其实攻击是非常猖獗的,增幅高达72%, 攻击者通过加密企业的数据进行获利,已经成为企业最主要的威胁之一。
国际知名的GPS公司佳明(Garmin)最近发生了一起安全事故,某一天全球的用户无法使用、服务中断。勒索软件将佳明的相关数据进行了加密,并且开出上千万美金的赎金金额。最终,佳明公司通过交付赎金解密了数据,从而恢复服务,但损失惨重。
阿里云的防勒索方案,是将安全能力和整个基础设施云产品进行整合,对勒索软件进行检测和防护。 用户可以利用容器镜像快照能力来打造这个安全方案。 就算检测和防御的能力遇到了挑战,有一些未知的蠕虫加密了用户的数据,阿里云防勒索方案用户可以通过镜像快照的方式快速地恢复数据,而不用去交赎金。
我们也看到有很多这样的场景,安全能力和技术支持云产品进行进一步融合的时候,产生了更大的化学反应。
硬件安全降维打击固件攻击
最高等级安全保护
刚刚前几周,英国的网络安全中心公布了一份报告,有组织将新冠疫苗的研究机构作为攻击的目标。他们利用的方式,是通过替换网络上所有VPN服务器的固件,来长久获得边界网络的控制权。
而大家都知道,这种基于固件的攻击,是系统层安全软件非常难以发现的。安全对抗的时候, 高维打低维效果最好,越底层的检测能力跟防御能力对越上层的攻击越有效果。
阿里云的硬件安全能力,支持系统启动的时候进行安全的检测,能够有效的发现这一类的高安全级别的后门和木马。这样的例子数不胜数,我们期待通过阿里云硬件这一层的高安全能力,给到所有的云上用户高安全级别的保护。
启用身份作为新的安全边界
打造零信任网络环境
传统网络边界、访问控制包括隔离,随着业务越来越复杂会越来越弱化, 启用身份成为企业新的安全边界,将成为构建新型安全的核心维度之一。 这次疫情,80%的企业选择了远程办公,而安全的挑战包括员工在家的终端的安全、整个办公网流量的安全、云端的应用系统的数据泄漏风险……这对企业来说都是非常大的挑战。
阿里云有个客户叫猿辅导,作为在线教育龙头企业,疫情期间很多员工在家里面办公,全球范围内有超过3万名员工,需要统一的远程管理。经过多轮生产环境验证,猿辅导最终选择了阿里云的整套零信任远程办公方案来解决这个问题。
阿里云零信任方案对所有员工的终端进行了可信认证,对每个用户的身份进行双因素的强认证,在云端的决策引擎打通了后端所有的核心应用系统,实现统一ID、统一授权。云端智能决策引擎还可以通过当下的安全因子,来判断给到每个用户什么样的对应权限,实现了办公效率、员工体验感和安全等级的全面提高。
数据默认加密*密钥轮转
让隐私泄露成为不可能
云上的数据安全一定是所有企业非常关注的, 而数据默认加密是数据安全的一个明确的趋势。 我分享一个国内手机厂商的案例。大家手机照片都会存在云端,这对个人来说一定是非常重要的隐私数据。这家手机厂商将云端的数据存储在我们OSS的云产品上面,客户通过OSS的默认加密的功能。
所有的云端的用户隐私照片存放在阿里云OSS上面的时候,都是默认加密的,所有的密钥都是由客户自己来保管。这样子有效防止了云端的数据泄漏后会造成的所有的安全隐患。 我们当前在17款云产品当中都支持了默认加密的功能,同时提供密钥轮转的功能, 用户可以通过密钥管理系统来自主管理密钥,而且一旦云端密钥泄漏,可以进一步通过一键密钥轮转来提升云端数据安全性。
数据智能驱动安全技术
原来,企业遇到的安全挑战在于数据量太大,在海量的流量中需要有效地发现威胁,精准的检测出威胁在哪里,第一时间进行拦截。 而阿里云把数据技术应用在了多个安全方面的领域,带了很好的效果。
我们在DDoS防御、Web安全防御当中,通过算法模型能够非常精准地识别攻击流量、进行阻断。 在威胁情报方面,阿里云可以识别全网的恶意IP,自动化地分析威胁,自动化地产生“安全疫苗”。 内容安全以及风控的场景,通过对图像、视频的分析和理解,帮助用户在业务上面识别涉黄、涉恐、涉暴的违禁内容,以及对用户进行视频的实人认证等等。这些是过去一年实践中总结出的云原生安全“六点核心优势”,基于很多已经落地的安全产品能力和框架,今天我也重点发布阿里云原生安全架构。
每个企业可以基于这个架构,根据自己的业务需求、业务场景特点来构建基于云的下一代创新安全架构。整个架构会分为三大层面:
第一个层面:云平台安全
阿里云使用硬件安全能力和全局云平台的威胁检测和响应能力,来打造更安全的云平台底层。
第二个层面: 云产品安全
安全能力和安全威胁建模能力在产品设计阶段,就已经被融入到产品的开发流程当中。所有代码上线前确保是安全的,给到用户一个安全的云产品。
第三个层面:内置原生安全
在主机层、网络层、应用层甚至在数据层、业务层,各个层面上将安全能力融合成场景化的解决方案,提供给各行业用户。
今天毋庸置疑,无论是IDC 、Gartner、 Forrester等国际第三方咨询机构全线领导者象限的认可,还是国内外行业头部用户的选择,阿里云安全已经是云安全的领导者。
阿里巴巴全栈上云,我们一方面基于云平台、云原生的安全能力帮助各业务主体去解决好安全问题;另一方面,也希望通过云平台,让云上的数百万级用户能够享受到跟阿里巴巴同等安全能力的保护。
云演进到今天, 底层基础设施变化给安全带来了天翻覆地的变化,我相信未来所有的企业都会在云上享受最高等级的安全。
云安全领域会有更多的创新的涌入,那我也期待通过云原生的安全能力,来协助用户构建下一代的安全架构,使用云更要驾驭云,在“云上绿洲”充分释放企业的商业竞争力!
,除了完善相关法制法规,更加需要云平台的防护技术,结合大数据技术来应对数据安全。“在云计算不断深入发展的当下,将数据存储在云平台上,或许比传统的企业信息防护更加安全。”肖力介绍,以阿里云为例,阿