2021年9月17日�,阿里云用戶組(AUG)第二期線下活動在南京召開���。阿里云解決方案架構師徐翔結合自身多年云端安全經驗���,和現(xiàn)場二十家南京企業(yè)分享了云安全全景圖及安全建設的實踐經驗。本文根據(jù)徐翔的現(xiàn)場演講整理而成�。
2021年9月17日,阿里云用戶組(AUG)第二期線下活動在南京召開�。阿里云解決方案架構師徐翔結合自身多年云端安全經驗,和現(xiàn)場二十家南京企業(yè)分享了云安全全景圖及安全建設的實踐經驗�。本文根據(jù)徐翔的現(xiàn)場演講整理而成。
本文會從云安全全景圖、云上安全建設實踐�、基礎安全落地、權威認可的安全能力四大方面展開���,希望能給到大家一些有用的參考�����。
云安全全景圖
云上安全的優(yōu)勢
Gartner數(shù)據(jù)表示:與傳統(tǒng)的數(shù)據(jù)中心相比��,公共云的安全能力將幫助企業(yè)至少減少60%的安全事件��。傳統(tǒng)安全或線下安全有幾個非常令用戶頭痛的問題:
兼容性的問題����。安全對接用戶的業(yè)務系統(tǒng)�,和用戶的網絡可能會不兼容。
接口不能統(tǒng)一�����,網卡適配問題����。
最頭疼的擴展性問題�����。目前數(shù)字化進程飛快����,1Gbps的防火墻突然增加到5Gbps���,只能通過換硬件的方式�����,沒有別的辦法���。
云上安全是服務化的�,和計算、存儲����、網絡資源一樣,按需使用����,需要多少就用多少��,并天然具備云端持續(xù)的檢測對抗能力���。阿里云安全團隊會時刻關注云上安全的能力建設,對攻擊主動修復���、持續(xù)修復��。這就是云上安全和云下安全的不同之處����。
阿里云云安全的里程碑
正因為云上安全如此重要�����,阿里云從誕生第一天開始��,云安全團隊就隨之同步成立���,安全可信是阿里云的第一屬性���。阿里云十三年的歷程中,云安全的發(fā)展非?��?焖?�。2013年����,阿里云獲得全球首個CSA安全認證的廠商;今年的東京奧運會��,阿里云也是指定的云服務商��,守護奧運會網絡安全����;阿里云安全連續(xù)兩年蟬聯(lián)國內HW攻擊方第一,也是實力的展現(xiàn)����。
云安全全景圖架構
云安全全景可劃分為五橫兩縱七個維度的安全架構保障:
云平臺安全中的架構層面包含了阿里云作為云平臺默認提供的基礎安全能力����,尤其是兩縱的云平臺內部身份與訪問控制以及云平臺安全監(jiān)控運營兩個維度,是云平臺內部自身的安全管理和運營����,客戶并不直接感知。
與之相似的在物理安全��、硬件安全和虛擬化安全層面�����,客戶也無需任何設置即可享受阿里云本身的高安全等級能力�����。而云產品安全能力這一層包含了云平臺在各個產品中為客戶提供的安全能力和安全保障���,其中部分能力(如租戶隔離)是產品本身默認的保障��。因此平臺側這一塊客戶不需要過多關心�,需要關心的是按照等保2.0和GB22239-2019標準里講的租戶側安全。
上云第一個要考慮的是用戶的基礎安全���?���;A安全�,包括主機和網絡這兩大塊,其中容器也屬于主機層�,這兩塊是客戶上云第一步要做的很重要的一個事情。
上云第二個要考慮的是數(shù)據(jù)安全���。云上環(huán)境中�,時時刻刻都會有海量數(shù)據(jù)的產生���。而在對這些數(shù)據(jù)進行處理和保護之前����,如何從海量數(shù)據(jù)中發(fā)現(xiàn)并分類出各種需要被保護的敏感數(shù)據(jù)是后續(xù)數(shù)據(jù)保護機制能夠有效運作的前提條件����。目前《數(shù)據(jù)安全法》9月1日已經正式發(fā)布《個人信息保護法》馬上11月1日也即將實施。數(shù)據(jù)安全首先需要先識別數(shù)據(jù)����,再對數(shù)據(jù)進行分類分級,并對其進行相應的保護���,如異常訪問檢查��、數(shù)據(jù)加密���、數(shù)據(jù)脫敏等等。
隨著業(yè)務的發(fā)展����,會涉及到應用安全,包括web����、APP、小程序等安全���。在應用安全層面�����,阿里云為用戶提供了應用環(huán)境安全�����、應用配置安全和應用自身保護的三個維度的安全功能��。包括漏洞掃描�����、代碼托管�����、審計�、安全加固,web攻擊防護等等���。
用戶上層的業(yè)務安全跟很多用戶命脈息息相關�����。比如業(yè)務風控�����,業(yè)務里面有沒有風險�,如薅羊毛�、惡意注冊、刷短信等��,這類阿里云提供了整套的業(yè)務安全部分的整體解決方案��;又比如內容安全���,目前國家對內容安全審查非常重視����,如果業(yè)務所提供的內容里有涉暴涉黃這些非法內容的時候�����,輕則下架整改���,重則吊銷執(zhí)照�����。
整體的云上安全架構設計中����,用戶的賬戶安全是貫穿始終的一個重要維度。云上用戶的賬戶安全主要體現(xiàn)在五個方面:身份認證����、訪問授權(Authorization)、賬號管理�、操作審計和應用管理,即賬戶安全中的5A 要素����,這些阿里云均可以提供相關能力。
以上內容阿里云都是以產品的形式去交付給客戶���,來實現(xiàn)用戶整體業(yè)務和數(shù)據(jù)的安全��。產品能力也是阿里云一整套安全運營���,威脅檢測和響應能力提供的,還有相關安全咨詢和安全托管一整套的安全方案交付���。
云安全產品體系
落地到具體產品�,基礎安全包括了很多客戶比較熟悉的DDoS、WAF以及云防火墻等��,還包括等保里面所用的堡壘機���、審計產品等等,阿里云都有相應的安全產品和配置提供給客戶�����。產品這么多����,客戶如何去建設系統(tǒng)安全問題是接下來分享的重點。
云上安全建設實戰(zhàn)
云上安全建設類似“看病”
第一���,建議做個全面的“體檢”�,評估一下業(yè)務系統(tǒng)的抗風險能力��。您得知道系統(tǒng)的弱點在哪�����,哪些地方最容易出問題,哪些問題不能解決�。不建議客戶業(yè)務系統(tǒng)全部建完了再去考慮安全,因為很容易造成“頭痛醫(yī)頭腳痛醫(yī)腳”的問題�。
第二,再做一次安全的摸底����。看看現(xiàn)在手里面有多少“彈藥”,可以去對付這些風險�����,哪些風險不需要立即處理���,哪些風險需要采購新的“武器裝備”去處理�。
第三�,安全建設。建議客戶進行系統(tǒng)的三同步(同步建設��、同步規(guī)劃����、同步運營),根據(jù)系統(tǒng)摸底的情況再進行安全的整體建設規(guī)劃����?��?蛻艨梢园凑諊业臉藴蔬M行建設,比如以等保2.0的框架作為標準����。
第四、第五步持續(xù)要做的工作是安全管理和安全運營�。安全規(guī)劃和建設完畢后還沒結束�����,安全產品和設備買回來就像是武器彈藥����,得有人去“操作”才能真正發(fā)揮作用,而不是僅僅去配置�����,另外安全的管理也是重中之重��。通過對日常的安全管理�����,形成相關制度,對人�����、系統(tǒng)����、網絡設備、物料環(huán)境等整體的管理��、外包的管理��、日常安全意識的灌輸?shù)鹊?��。同時���,安全運營工作同步持續(xù)進行,包括資產管理���、漏洞管理����,應急響應等等。這樣����,才能發(fā)揮整個安全能力的最大作用。
云上安全建設三大階段
云上的安全建設建議分三個階段去做:
第一階段�,打好基礎是云上最基礎的安全建設。包括網絡邊界的安全建設和主機的安全建設等�����。
第二階段���,涉及合規(guī)建設�。比如等保2.0����、數(shù)據(jù)方面的安全���、完善審計類措施���、完善數(shù)據(jù)安全措施(惡意訪問、防泄密等)�,對這些投入完畢后���,基本上用戶也能滿足等保建設要求。
第三階段建設針對安全要求更高的用戶�,包括加大數(shù)據(jù)安全的力度(如敏感數(shù)據(jù)保護、加密等)��、建設身份認證中臺來對整體的用戶賬戶進行統(tǒng)一管理���,以及業(yè)務安全建設(如內容安全����、防止薅羊毛����、惡意刷單等)。
云上安全建設的實踐
阿里云的安全實踐也落地到了各行各業(yè)��,無論是政府����、教育、醫(yī)療����、金融���、企業(yè)等等都大量采用了阿里云的安全方案來保護他們的云上資產。
基礎安全的落地——云上三把鎖
很多客戶很關注基礎安全到底要做什么���。有客戶提到DDoS高防�����,DDoS高防的確是邊界安全的一個比較重要的部分�����,主要是針對網絡鏈路的業(yè)務連續(xù)性����,防止線路被DDoS打癱瘓���。但有些客戶對業(yè)務連續(xù)性要求沒那么高的時候,更應該關注應用層邊界(WAF防火墻)�、網絡層邊界(云防火墻)、主機層邊界(云安全中心)這三把“鎖”�����。
打個形象的比方,這三把“鎖”就類似我們居住的小區(qū)��。小區(qū)出口大門類似應用層�,所有的人(流量)都會進出這個小區(qū)大門,因此小區(qū)的門口得安裝門禁�、要求物業(yè)派保安值守。所以應用層第一把“鎖”也需要用WAF來對網站����、Web、App��、小程序等對外發(fā)布的業(yè)務安裝“門禁”�、派人值守。因此WAF這個門禁會識別這些流量哪些是正常的�����,哪些可以進小區(qū)����,哪些流量是“小偷”、“刷子”不讓進小區(qū)�。
第二把鎖是云防火墻����。這個墻類似家里的入戶防盜門����,雖然小區(qū)入口大門有看守(WAF),但是同一小區(qū)�,同一棟樓(VPC)之間其實也會擔心有惡意訪問?���;ヂ?lián)網方向的流量,主機和主機之間的流量����,VPC和VPC之間的流量,就需要自己家的防盜門進行監(jiān)控和隔離���。云防火墻就是實現(xiàn)南北向(互聯(lián)網方向)和東西向(VPC和VPC之間等)的安全流量隔離�。
那萬一來個“高手”���,繞過了小區(qū)出口的“門禁”���,把自己家的防盜門也突破了,那還需要最后一把“鎖”來阻擋�,這就是主機層的一把鎖,最后的防線�����,類似自家的房間“鎖”�����。房間里面住的是人(核心資產)��,阿里云的云安全中心就是主機層的安全防護手段���,來保護ECS資產���、容器資產等等。
因此上云做安全��,先做基礎安全���,做WAF��、云防火墻和云安全中心�����。下面我們來看一下這三把“鎖”到底是解決哪些問題�����。
WEB防火墻(應用層)
WAF其實就是web應用防火墻的簡稱��,從字面意思就可以看到它其實就是防護web層�,也就是HTTP協(xié)議的防護。它實現(xiàn)最基礎應用層的防護�����,比如CC攻擊�����、跨站攻擊�,SQL注入等等,保護網站�����、web站點���、APP�、小程序等的安全。如果用戶要過等保��,WAF也是合規(guī)要求里面必須要的一個安全能力落地措施�。
云防火墻(網絡層)
云防火墻重點關注的三大能力:
第一個�,邊界的管控。包括互聯(lián)網邊界��、主機邊界�,VPC邊界等等訪問控制,哪些流量能過��,哪些流量不能過��。
第二個�����,安全防護��,包括入侵檢測和防護��。不管是網絡層的攻擊�、漏洞攻擊�、入侵攻擊防護����、非法外聯(lián)、檢測資產淪陷等等都是由防火墻的防護模塊來實現(xiàn)的�,還有個很重要的點,之前有用戶提到不敢在主機上打補丁�,怕重啟、怕打掛掉����,云防護墻有虛擬補丁模塊,通過網絡層解決打補丁問題�,
第三個,審查�����。所有的流量進入業(yè)務資產訪問����,有什么流量,哪些是正常的�����、哪些是非正常的,通通都會被云防火墻記錄下來��,并且以圖形化的方式展示�����。針對網絡日志存儲180天���,安全組是沒有網絡流量日志功能的。如果用戶要通過等保����,防火墻更是個必須項。
云安全中心(主機層)
再看看“最后一道防線”——主機層的安全�。阿里云安全中心主要關注主機層的安全,包括ECS和容器的安全:
事前協(xié)助用戶做安全運營���,包括漏洞掃描修復����、安全基線檢查看有沒有問題�����。
事中提供防護,包括惡意病毒查殺��、勒索病毒���、挖礦病毒等�、攻擊滲透防御(如上傳腳本攻擊等)�。
事后提供相應追溯調查,相關攻擊日志提供��、攻擊鏈展示等等���。
同時云安全中心也可以聯(lián)動其他的阿里云安全產品��,比如和云防火墻做聯(lián)動處置�,當發(fā)現(xiàn)告警后通知防火墻阻斷鏈接�。
權威認可的阿里云安全能力
在國內乃至整個亞太地區(qū),阿里云是合規(guī)資質最多的一朵云�,無論在國內還是在歐美、東南亞等等�,基本上該有的認證阿里云都有,能滿足用戶國內以及出海場景的合規(guī)要求����。
阿里云安全在國內外通過了很多認證也獲得了很多獎項���,比如WAF國內唯一的大滿貫,DDOS能力大中華區(qū)第一�,原生安全能力國內排名第一等等,由于時間關系���,在這里不再贅述�����。
通過本篇分享,希望大家能了解阿里云的安全架構�����、產品能力�����,以及了解如何做安全建設�����、上云最基礎的安全工作等等,希望本次分享能給大家?guī)硪恍┬碌氖斋@��。(完)
阿里云解決方案架構師徐翔:云上安全建設實戰(zhàn) 云安全全景圖云上安全建設實戰(zhàn)基礎安全的落地——云上三把鎖權威認可的阿里云安全能力
立即登錄���,閱讀全文
版權說明:
本文內容來自于網易�����,本站不擁有所有權���,不承擔相關法律責任。文章內容系作者個人觀點�,不代表快出海對觀點贊同或支持。如有侵權��,請聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網安備 35010202001226號
