CWPP:云上原生安全的一盤組合棋
CWPP是基于云原生而生的安全產品(Cloud Workload Protection Platform),針對承載云計算的各種類型節點提供保護。在現代多云數據中心架構下,以租戶的云工作負載為中心的安全機制,是IaaS安全的關鍵環節之一,也是企業安全上云的基礎保障。
IDC近期發布《2021年中國云工作負載安全市場份額報告》(以下簡稱報告),針對中國云工作負載安全市場的規模、增長速度、主要玩家、市場與技術的發展趨勢等緯度調研,阿里云的市場份額在整體與公有云市場排名中均為榜首位置。
傳統主機安全防護場景,能力要求點在于系統加固、防入侵、漏洞檢測、補丁管理等等。在多云時代使“工作負載”必須跨越多類公共云和私有云中的虛擬機、容器和無服務器工作負載,核心資產遍布多地,企業的棋盤更廣更豐富了,但安全防護方面一不小心就容易“顧此失彼。
云上“大局”難周全
安全服務
大部分企業自身的安全運營能力往往較弱,尤其是剛上云的企業對于云上威脅突發事件的處理經驗不足,在CWPP這類強云原生特性的安全產品選購過程中,對于產品背后的安全服務團隊選擇更為重要。
安全統一
邊緣云、專屬云、行業云、多云部署等趨勢驅動企業云上資產走向分布,同時提高了企業運維的復雜性與防護難度。針對多云、混合云環境下的所有工作負載提供統一且面面俱到的“防護平臺”難度頗高。
安全前置
相關調研顯示,當前超過90%的現代應用融入了開源組件,平均每個應用包含超過124個開源組件,49%的開源組件存在高危漏洞,企業安全防御充滿“未知恐懼”。
云原生棋匠:阿里云安全中心
(阿里云安全中心產品概念圖)
阿里云最早提出并定義云原生安全,并在中國信通院近期相關評估中成為首個完成“云原生安全成熟度評估”的云廠商。阿里云自成立起便擁有自己的安全團隊,也就是今天的云安全產品團隊。5年前阿里云發布第一代“云安全中心”至今已充分實現CWPP+CSPM相結合,從管理運維效率與安全防護水位角度,提供云上資源統一安全管理解決方案。雙重能力加持,借助阿里云安全中心客戶可以上帝視角俯瞰云上全量資產。
控棋:高效統一的云工作負載管理平臺
高手下棋講究控制局面,常言“寧失一子,不失一先”講究先機的占有與全局觀的落定。
阿里云安全中心提供超過250+威脅檢測模型,覆蓋全鏈路的威脅檢測能力,進行自動關聯告警、識別異常行為入侵。支持對主機、容器、serverless、云產品的統一威脅管控,支持靈活的多云及線下環境部署,即開即用。終結企業多云環境下云工作負載安全防護的碎片化管理,建立全局統一監測防御的云上塔臺。
防護資產一體化
主機、容器、輕量級服務器、Severless,完整的云上檢測能力,250+檢測模型持續豐富,覆蓋att&ck攻擊鏈條。
云上和云外一體化
跨云平臺的領先的方案設計,多云環境部署,支持阿里云、多云、線下IDC統管方案,統一威脅檢測和響應。
安全和運維一體化
云上安全配置強耦合,對接云上多款云產品,提供多云環境運維和資源監控能力,提升效率。
“阿里云安全中心針對主機、容器環境提供公有云、混合云、跨云平臺的統一管理,通過集中管控的管理中心 協調調度,綜合各模塊提供的安全信息做出準確的判斷,并且可以在合適的位置檢測和阻斷惡意的攻擊行為,有效地保護云環境不受外界攻擊者的侵擾,保障用戶業務系統的安全。”
---IDC中國云工作負載安全市場份額報告原文
布棋:深耕云原生,主機及容器“安全并可信”
所謂布棋,是落子前的格局布陣,落子之前布三步,步步扎實。
企業上云后架構模式的轉變要求企業需要更全局化的安全管理策略,把安全能力與容器服務在產品設計、實現環節相結合,從開發階段開始保障后來的“落子無悔”。
阿里云安全中心的容器安全能力已完整覆蓋容器生命周期中三大關鍵階段,即容器構建時的鏡像安全、容器部署時的安全配置(基線檢查)和容器運行時的入侵檢測和防御,同時深度集成云安全中心的防護能力。
01一體式監測
容器網絡可視化從集群、容器、鏡像、應用等資產維度提供安全可視化的管控能力和云上容器資產的網絡拓撲,滿足運維需求;
02容器主動防御
監測容器逃逸過程中使用的高危系統調用,對容器開啟寫保護,程序啟動時自動識別非鏡像原有、容器運行時植入的惡意程序等行為進行攔截,主動防御惡意行為;
03可信調用
實現容器鏡像的可信簽名,只允許部署可信的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上幫助您提升資產的安全性;
04自動化部署管理
針對阿里云的鏡像倉服務,云安全中心支持自動接入ACR,統一查看被防護鏡像信息;
05前置化防護
前置化防護:容器防火墻提供訪問控制并集智能學習、告警、攻擊行為攔截為一體的防火墻服務。該功能利用機器學習識別容器應用程序之間的流量,對異常流量進行告警或攔截。
傳統主機架構資源占用高、單點故障風險大、檢測能力受終端資源限制、部署及運維成本高、單獨部署控制中心還需額外的資源開銷。阿里云原生架構方案,云上檢測能力無上限,資源占用低,終端/平臺/網絡立體檢測聯動響應,云原生資產監控+云端運維即開即用,控制臺免費且不額外消耗資源。
阿里云安全中心勒索病毒三重防護:
1主機入侵檢測和防護:云安全中心基于強大的病毒查殺引擎,實現了對勒索病毒的實時防御,避免發生文件被病毒加密而進行勒索的情況。
2誘餌檢測,阻斷并告警:云安全中心通過獨有機器學習、勒索病毒誘餌捕獲等安全機制,識別異常加密行為發生,有效攔截新型未知勒索。
3文件備份與恢復:云安全中心通過定期備份重要文件,及時在發生極端情況環境下,也可及時恢復,為整體方案兜底。
4基線檢查和修復:實現基線問題一鍵修復,快速滿足企業等保合規。
運棋:全場景防護,安全、穩定、合規
業務更多是動態而非靜止,就像我們棋盤在運棋過程中,無論何種復雜局勢,充分結合云原生防護優勢及集團多年實戰經驗保證棋子穩定落盤,不散、不丟。
在重大活動保障、攻防演練等場景,云安全中心提供基于云蜜罐的主動防御能力,通過快速部署SAAS化高交互蜜罐,偽裝成業務系統,對攻擊行為進行欺騙、誘捕,幫助防守方延緩攻擊,并對攻擊進行溯源分析;同時提供了基于RASP的應用加固方案,可對內存木馬攻擊、高危應用漏洞的利用攻擊提供應用代碼層面的防護和加固,防護效果等同于“應用疫苗”,主動免疫應用攻擊
- 針對高壓高并發的重保、攻防對抗云上主機防護場景,結合威脅情報,基于整體攻擊鏈進行檢測和響應。
- 針對不確定性極強的云上主機補丁自動化運營場景,提供以資產為中心的自動化漏洞全流程解決方案。
- 針對無孔不入的云上主機防勒索場景,基于云端情報、誘餌監測、行為監控、備份還原等多個維度,支持一鍵防勒索與數據備份兜底能力。
- 針對業務連續性、穩定性要求極高的主機安全檢測通報場景,建立安全、運維、業務三方聯合處理
- 針對風險敞口突然打開的停服系統安全防護場景,提供云上停服主機解決方案,對于主機系統自動盤點資產,劃分安全組。專屬安全基線并主動加固和告警,溯源四個維度防護能力。
客戶案例
客戶背景
- 總部在上海,業務量龐大;
- 業務已經全面容器化,跨云主機數量超過5萬臺,近百萬核的算力;
- 原主機側安全通過線下主機安全產品進行防護,將agent和控制臺署在云上防護
客戶痛點
- 業務部署在4個不同的公有云平臺中,針對每個平臺都需要單獨的安全管理和防護,運維成本高,效率低,存在大量容器集群,業務變化快速,安全防護需要彈性支持;
- 不同云平臺安全能力、安全指標不相同,無法統一量化和衡量效果,針對應急突發問題,無法快速統一響應
解決方案及客戶反饋
- 提供跨云的快速接入方案,將跨云的多個平臺進行統一的管理和防護,提升整體安全防御水位,節省人力成本;
- 基于云原生能力,實現云和安全之間的無縫集成和自動安全調度,實現基于業務變化的彈性伸縮防護能力和持續性的高安全防御能力;
- 提供DEV + SEC + OPS的云原生安全能力,覆蓋多云環境下容器的部署、配置、運行的全生命周期安全防護。
