除了算力,云為企業安全帶來了什么?
11月3日,以“計算·進化·未來”為主題的2022云棲大會在杭州舉辦。作為我國科技領域的一大峰會,云棲大會以引領計算技術創新為宗旨,承載著計算技術的新思想、新實踐、新突破。從云計算到數據智能,從飛天操作系統到城市大腦,云棲大會在云棲小鎮傳遞創新火種,描繪計算未來。
隨著云計算產業的發展,云計算概念的普及和人們對云計算技術認知的加深,企業客戶開始對云計算服務有了更多的要求。面臨著越來越復雜的安全環境和威脅的逐漸擴大,企業對于安全不再局限于邊界防御,而是逐漸打破邊界,形成以云為基礎的新一代安全模式。在這個趨勢下,云計算是如何改變企業的防護模式的?云安全產品又具備哪些特點?為此,安在特別采訪了阿里云首席安全官歐陽欣。
阿里云首席安全官歐陽欣
云改變了企業IT架構
在企業內部,數字化轉型的本質就是基于互聯網信息技術,將企業運營管理的思維方式進行重構,以促進企業進行信息化發展的方式。因此,企業的數字化轉型能夠打破傳統的生產模式,提升企業的核心競爭力。
在這個過程中,云計算為企業數字化轉型帶來了非常大的助力。
- 首先,云計算為企業的發展提供了豐富的網絡資源、低成本的管理構建能力以及穩定可靠的軟硬件設施等;
- 其次,企業可以解決因數字化轉型帶來的網絡、機房等信息系統維護難、能耗成本大以及完善基礎設施等問題;
- 再次,企業可以將傳統的信息服務模式及結構進行充分的打破與更新,促進可持續發展。
云計算還帶來了軟件開發部署模式的創新,通過將異構資源的標準化,云計算解放生產力的同時,還提升了業務應用的迭代速度,并為業務創新提供了促進作用。根據Check Point發布的《2022年云安全報告》可以看到,近三分之二(61%)的受訪者在其云部署中擁有DevOps工具鏈,這從根本上改變了企業軟件開發的方式,并進一步推動了業務與安全的融合。
對此,阿里云智能總裁張建鋒在云棲大會上表示,云重構了整個IT硬件體系,數據中心、芯片、服務器等產業鏈發生深刻變化;軟件研發范式發生深刻變革,Serverless、低代碼、AI大模型開源等趨勢,大幅提升軟件生產效率;和端加速融合,算力從端轉移上云,未來萬物皆是計算機。
02
云帶來了新的安全模式
對于企業而言,上云之后要做好安全最重要的有三件事情,第一,理解云安全責任共擔模型,第二,用原生云安全產品構建符合業務形態的縱深防御體系,第三,持續動態的安全運營,三者缺一不可。
歐陽欣表示,企業上云后,安全模式會有以下變化。
第一重變化是安全責任
阿里云為客戶承擔了更多的安全責任,而且這個責任根據客戶購買的IaaS、PaaS、SaaS不同類型產品承擔不同的責任,無論如何客戶都不用在關心IDC機房安全等物理安全,這樣可以讓客戶更加聚焦到業務本身。
第二重變化是云產品的原生安全能力
阿里云將安全能力內置到云產品中,讓云產品這輛車自己默認有安全帶,有剎車,有兒童鎖。企業基于云搭建IT基礎設施自帶較強的免疫能力,從物理層到應用層的整體安全基線提升。
第三重變化是彈性
企業上云后,安全不再是一種固定資產,而是一種可以隨取隨用的服務和資源。企業不再需要關注復雜的硬件接入等問題,只需根據自身需求選擇合適的安全產品,即開即用,即關即走,彈性擴縮容,避免業務淡季安全資源浪費,業務波峰性能瓶頸等問題。
第四重變化是更加智能
云上高算力的特點、數據的標準化和一致化,為AI落地安全提升了有利條件。阿里云基于AI和大數據技術形成的新一代云安全能力中樞體系,每天處理數萬億條安全數據,形成千億節點千億邊的全域安全威脅圖譜,而非單點安全域的知識圖譜。企業可以利用AI獲得更高的精準度、更快的應急響應速度以及更高效的運營速度。
最后是更透明的環境
阿里云是亞太權威資質最全合規服務商之一,切實遵守并落實相應的國際國內法規,并將眾多的合規標準融入云平臺合規內控管理和產品設計中。此外,阿里云還受到第三方監管,確保了透明、可信,實現平臺側與用戶相關操作日志對用戶可見。
阿里云的優勢與實踐
根據Gartner官網公布的2021年阿里云國際IaaS+PaaS解決方案記分卡可以看到,阿里云IaaS基礎設施能力拿下全球第一,且在計算、存儲、網絡、安全的評估中獲得最高分。作為迄今為止唯一入圍這份報告的中國云廠商,阿里云是如何一步一步提高自身的安全能力?
對此,歐陽欣表示,在2009年阿里云成立后,隨之就成立了安全團隊。當時安全團隊的主要職責是維護好云平臺,開發了云盾以應對攻擊。2011年,阿里云安全團隊與飛天一起設計了飛天安全架構,到了2012年,阿里云已經在內部積累了很多安全攻防的經驗和能力,并將這些能力提供給客戶去保護他們自己的業務。
2012年,阿里云推出了云盾等一系列安全產品和服務,并通過了ISO等國際認證。目前,阿里云已擁有完善的安全產品和解決方案,涵蓋云主機安全、網絡安全、應用安全、業務安全、身份安全,數據安全等等,并通過云端SaaS化遠程交付的形式為缺少安全團隊的企業提供運營服務。
和傳統IDC相比,云安全產品最大的優勢在于具備云的能力。
歐陽欣表示,阿里云的云安全產品可以根據用戶意愿按需使用,彈性計費。例如,阿里云防火墻、WAF、DDoS服務等原生安全產品支持按量付費、彈性后付費等多種服務模式,其中,阿里云云防火墻可以實現在業務波峰時同時接入數萬個IP,其快速擴容能力可見一斑。
云上原生的安全產品還具備極簡、易用等特點。阿里云通過將其云上原生的安全能力與云網絡的無縫集成,使安全產品具備了云網絡極致彈性、易于部署的特點,同時賦能云網絡,提供更安全的服務。例如,阿里云DDoS防護與彈性公網IP集成而生的高防EIP,不需要架構改造就可以實現EIP上直接防護Tb級攻擊;阿里云WAF與CDN集成,將防爬、web安全能力前置到業務邊緣,讓用戶在使用內容分發服務CDN獲得業務訪問加速的同時獲得安全保障;阿里云原生辦公平臺SASE基于與云網絡的集成,針對混合、多云等異構環境可以將來自于全球不同終端的辦公流量快速收口,統一經過SASE安全檢測模塊,構建零信任訪問體系。
當前云的一個特別顯著的安全問題是云產品配置不當。據阿里云安全內部調研顯示,當前約90%的云安全問題是用戶配置不當造成的,這不是技術問題,而是管理運維的問題。歐陽欣表示,面對這一問題,阿里云推出了云安全態勢管理產品(CSPM),這款產品可以有效解決安全配置和合規等問題。首先,通過持續性的對云上產品的配置進行安全掃描,對用戶發生的不符合安全基線的問題一一告警,避免用戶因配置問題出現安全風險;其次,CSPM可以按照合規的要求定義每一條安全基線,滿足云上用戶安全合規需求。
此外,由于云的特性,安全管控大部分是可以遠程運維的,所以身份和訪問權限的管理對比線下更加重要,特別是當一個身份失陷的時候,能否控制爆炸半徑、減少損失也是云上用戶重點關注的問題。
對此,歐陽欣表示,阿里云安全將身份管理系統(IAM/IDaas)、資源管理系統(RAM)整合起來,推出了CIEM產品,針對身份、資源、權限進行安全檢查,提供實施最小化權限的能力,從而降低安全風險。同時基于阿里云安全積累的異常威脅分析規則,動態的發現賬號盜用、權限誤用和潛在惡意的用戶活動,并提供緩解方案。
由于云上的資產是持續動態變化的,對應的安全也是動態的,有時間維度的。持續的安全運營是云安全的最佳實踐,也是讓安全事件不發生的必要條件。云的統一管控特性,讓統一的威脅數據分析、檢測、調查、響應,溯源,威脅狩獵成為可能。
最后,阿里云安全還打造了云原生化的SIEM,用戶無需安裝部署,可以有選擇性地對接多賬號和各類安全數據、網絡日志和云產品原始日志,并達到了從云上整體安全風險態勢到微觀風險的全面監控。目前,阿里云安全已經支持云上11大類產品的32種日志,客戶可以在一個統一的控制臺上進行跨賬號、跨產品的告警處置、調查、溯源。
在威脅分析層面
SIEM支持多類檢測引擎、場景化和關聯規則能力,有效降低處置事件數量,整體告警壓縮率達到75%,提升運營效率。同時發現攻擊前置階段收集信息行為或者淪陷后橫向移動的行為特征,提供更深層次的威脅事件洞察。
為了降低用戶的運營成本
SIEM還可以基于安全事件的分析結果對失陷主機、惡意IP、域名、URL等下發處置任務,聯動主機安全、容器安全、云防火墻、WAF等多類安全產品進行全網響應,有效縮短威脅防御時間,提升用戶整體云上安全運維效率。
