阿里雲安全肖力:雲原生安全定義下一代安全架構

吐泡泡ooO發表於2019-09-03

全面上雲的拐點已至,企業上雲後將帶來IT基礎設施雲化、核心技術網際網路化、應用資料化和智慧化,企業架構正在因雲原生技術紅利而發生變革。

近日在2019網路安全生態峰會上,阿里雲智慧安全事業部總經理肖力提出, 承雲之勢,雲原生安全能力將定義企業下一代安全架構,助力企業打造更可控、更透明、更智慧新安全體系。


阿里雲智慧安全事業部總經理肖力

新拐點 新安全

IDC最近釋出的《全球雲端計算IT基礎設施市場預測報告》顯示:2019年全球雲上的IT基礎設施佔比超過傳統資料中心,成市場主導者。企業上雲已成功完成從被動到主動的轉變。企業上雲後不僅可以享受雲的便捷性、穩定性和彈性擴充套件能力,而且雲的原生安全能夠幫助企業更好解決原來線上下IDC無法解決的困難和挑戰。

同時,Gartner相關報告也指出:與傳統 IT 相比,公共雲的安全能力將幫助企業減少60%的安全事件,有效降低企業安全風險。

現場,肖力表示,“雲原生技術重塑企業整體架構,雲原生安全能力也將促使企業安全體系迎來全新變革。”

六大能力 安全進化

雲化給企業安全建設帶來根本性的變化,企業可以跳脫現在單項、碎片化的複雜安全管理模式, 迎來“統一模式”,即使在複雜的混合雲環境下也可以實現統一的身份接入、統一的網路安全連線、統一的主機安全以及統一的整體全域性管理。肖力認為,實現這一切源於六大雲原生安全能力,在不斷推動企業安全架構的進化。

1. 全方位網路安全隔離管控
憑藉雲的網路虛擬化能力和排程能力,企業可以清晰的看到自己主機東西南北向的流量,統一管理好自身邊界安全問題,包括對外的安全邊界以及內部資產之間的安全邊界,公網資產暴露情況、埠暴露情況,甚至是正遭受攻擊的情況一目瞭然,從而制定更加精細化的管控策略。

2. 全網實時情報驅動自動化響應
雲具備實時的全網威脅情報監測和分析能力,可以實現從發現威脅到主動防禦的自動化響應。2018年4月,阿里雲捕獲俄羅斯黑客利用Hadoop攻擊雲上某客戶的0day漏洞,隨即對雲上所有企業上線自動化防禦策略,最終保證漏洞真正爆發時阿里雲上客戶未受影響。從捕獲單點未知攻擊到產生“疫苗”再到全網實施防禦,阿里雲正在探索從安全自動化到資料化再到智慧化的最佳實踐。

3. 基於雲的統一身份管理認證
當企業擁抱雲並享用SaaS級服務帶來效能的同時,基於雲的統一身份管理認證成為關鍵。企業安全事件中有接近50%都是員工賬戶許可權問題導致的。基於雲的API化等原生能力,企業可以對身份許可權進行統一的認證和授權,並可以在動態環境中授於不同人不同許可權,實現精細化管理,讓任何人在任何時間、任何地點,都可以正確、安全、便捷的訪問正確的資源。

4. 預設底層硬體安全與可信環境
由於硬體安全和可信計算領域的人才稀缺,導致企業自建可信環境面臨諸多挑戰且成本較高。隨著全面上雲拐點的到來,企業可以享受阿里雲內建安全晶片的底層硬體能力,並基於此構建可信環境,從而以簡單、便捷、低成本的方式實現底層硬體的預設安全、可信。

5. 全鏈路資料加密
資料安全的技術仍然處於發展中階段,還需要經歷技術的不斷迭代才能滿足企業不同的需求。未來隨著資料安全、使用者隱私資料保護要求越來越高,全鏈路的資料加密一定是雲上企業的最大需求。基於雲原生作業系統的加密能力,阿里雲推出了全鏈路資料加密方案,祕鑰由企業自己保管,無論是雲服務商、外部攻擊者、內部員工沒有祕鑰都無法看到資料。

6. DevSecOps實現上線即安全
在雲和網際網路模式背景下,業務的頻繁調整和上線對業務流程安全提出了更高的要求,將安全工作前置,從源頭上做好安全才能消除隱患。基於雲的原生能力,安全可以內建到全流程的設計開發過程中,確保上線即安全。目前,阿里雲基於DevSecOps安全開發流程,確保所有上線的程式碼裡沒有可以被利用的有效漏洞,實現所有云產品預設安全。

隨著越來越多的企業上雲,目前存在的安全產品“拼湊問題”、資料孤島等各種問題將因為雲的原生技術能力迎刃而解。雲原生能力定義的下一代安全架構將實現統一化的安全管理運維。基於此,阿里雲也即將釋出雲原生混合雲安全解決方案,重塑企業安全體系。

阿里雲正在尋求與更多生態夥伴合作,整合全球各領域中最核心的安全能力,同樣也願意實現阿里雲安全能力的被整合,與合作伙伴一起共同為企業構建一個更可控、更透明、更智慧的安全體系,保障千萬企業雲上安全。


本文作者:雲安全專家

原文連結

本文為雲棲社群原創內容,未經允許不得轉載。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69915408/viewspace-2655864/,如需轉載,請註明出處,否則將追究法律責任。

相關文章