重視對安全投入的雲服務商無疑將會贏得客戶的青睞, 在中國, 雖然企業對於安全的採購比例占整體IT採購比例的份額非常低。 但隨著企業安全意識的轉變和等保合規等政策的要求愈加嚴格、《網路安全法》的即將落地等, 可以預期, 中國企業安全環境將快速改善。
在企業安全意識和能力提升的進程中, 伴隨著企業上雲的數量和規模越來越多, 他們對於在雲上如何保護業務系統和提升安全防護水準更加關注。 在剛剛結束的2017雲棲大會深圳峰會的安全專場中, 參會者擠滿了會場, 這些阿裡雲的客戶來聽的正是如何在雲上做好企業安全。
實際上, 阿裡雲是對安全進行重力投入為數不多的幾個雲服務商之一, 基於此, 這也成為其吸引越來越多的國外大型客戶入駐阿裡雲的重要原因。
阿裡雲為客戶提供了一整套安全產品和服務, 阿裡雲安全專家蘊藉在2017雲棲大會深圳峰會安全專場中對其進行了詳細解讀。
阿裡雲安全體系
由於雲區別于傳統的IT形態, 阿裡雲提出安全責任共擔模型, 阿裡雲負責雲平臺基礎安全防護, 用戶負責虛擬化層以上的元件安全、業務安全等, 這也符合國家等保政策的要求。 雲平臺基礎安全防護方面不是本文的重點, 實際上對於如此規模和技術實力的服務商來說, 攻擊者想要突破其底層平臺防線並不容易,
阿裡雲安全體系
那麼, 對於企業用戶可控和可操作的安全來說, 阿裡雲又為其賦予了哪些能力?
蘊藉表示, 阿裡雲為用戶提供了安全管理、系統安全、業務及內容安全三大安全能力, 這三大能力來源於阿裡雲安全的三大策略, 一是雲盾SaaS安全服務、二是雲產品安全功能、三是雲安全生態彌補租戶更豐富的安全需求。
阿裡雲安全產品及服務
安全管理包括雲帳號安全管理及存取控制、安全審計和遠端運維, 它們大多源於雲產品本身的安全功能, 值得一說的是這些常常被中小客戶所忽略, 例如為特權用戶開啟雙因素認證、使用授權條件限制來增強安全性、不可信設備必須使用臨時訪問權杖等, 所以要避免安全管理不當而成為攻擊者的突破口。
阿裡雲提供的系統安全包括了網路安全、主機安全、應用安全、資料安全、安全態勢感知等多方面安全服務, 這其中許多安全服務均提供免費版本, 租戶如果要獲取更高級的防護能力和服務, 可以按需付費使用。
阿裡雲盾提供了在系統安全方面強大的保護能力, 例如雲盾DDoS高防IP針對互聯網伺服器在遭受大流量的DDoS攻擊後導致服務不可用的情況下,
安騎士能夠解決主機層面安全問題, 蘊藉指出, 它具備頂級Webshell查殺能力, 一鍵體檢, 支援0day漏洞修復, 從而保護服務安全。 事實上, 很多企業由於開發測試安全意識薄弱, 導致系統存在各種漏洞, 安騎士在入侵防護上能極大解決用戶安全問題。
在資料安全方面, 雲盾證書服務説明租戶輕鬆實現全站HTTPS, 防劫持、防竊聽, 雲盾加密服務/金鑰管理服務讓企業的敏感性資料加密存儲, 未經授權員工及駭客拿不到、解不開數據。
此外,阿裡雲還升級了態勢感知平臺,作為一個大資料安全分析平臺,它能對租戶雲上所有資產進行安全告警,並用機器學習和威脅情報發現潛在的入侵和高隱蔽性攻擊,回溯攻擊歷史,預測即將發生的安全事件。
在業務及內容安全方面,阿裡雲進行了細細微性的資料風控,同時雲盾綠網提供了多樣化的內容識別服務,能有效説明使用者降低違規風險。蘊藉介紹,目前已開放網站內容檢測、圖片鑒黃服務、垃圾廣告過濾、圖片識別等服務。
所以,阿裡雲安全從網路層到資料層,從內部視角到外部視角,均部署了防護和監測體系,租戶亦能得到縱深端到端的安全防護服務。
開啟雲端安全
對於如何在阿裡雲上開啟雲安全,蘊藉給出了兩個簡單步驟:
首先,六步開啟雲安全基礎防護:使用RAM管理雲帳號及其許可權、啟用ActionTrail進行操作審計、網路存取控制減小網路攻擊面(安全性群組、源IP白名單)、任何用到密碼的地方啟用強式密碼、合理使用雲產品的安全特性(如存取控制)、啟用雲盾基礎防護。
其次,根據業務風險選擇解決方案,例如常被DDoS攻擊影響業務運轉時,則選擇DDoS高防方案;因為垃圾註冊、拖庫撞庫、行銷作弊導致業務損失的風險場景,可以選擇資料風控的業務風控方案;網站內容需要加密傳輸、防釣魚、方流量劫持,敏感性資料需要加密存儲時,則選擇證書服務、加密服務方案;被頻繁爆漏洞引發公共危機,被駭客入侵導致資料洩露、資金損失時,則可以選擇WAF、安騎士、先知計畫、態勢感知、安全專家服務等等。阿裡雲安全服務針對諸多風險場景,提供了針對性的和靈活的安全解決方案,同時阿裡雲還在大力建設安全生態,通過引入協力廠商安全產品進入雲市場,從而滿足租戶個性化和複雜的安全需求。
混合雲安全解決方案
此外,阿裡雲提供的安全能力並不只針對其雲上的客戶,系統不在阿裡雲的上的企業同樣可以獲得其安全服務,即混合雲安全解決方案。企業將流量導向阿裡雲即可以統一管理混合雲安全性原則,減少運維成本和對線下安全硬體的投入。並且,阿裡雲也可以將其安全服務完成客戶本地部署,包括網路流量監控、應用防火牆、主機入侵防護、態勢感知等可以部署到企業用戶的機房,結合雲端情報中心等實現企業安全的本地防護。
蘊藉強調,阿裡雲所提供的下一代方案架構和傳統安全安全架構的盒子化、單點防禦等特性相比,新的安全架構SaaS化,更敏捷和彈性,大資料檢測未知威脅更加智慧化,規則即時更新,可以產生威脅防禦的聯動效果,並能抵禦業務層的攻擊。
所以,無論是保護雲上安全還是“雲下安全”,阿裡雲正在呈現越來越強的安全能力。說到這,有必要給阿裡雲打上一個新的標籤,阿裡雲不僅是一個雲端的計算服務商,還是一個雲安全服務商。
未經授權員工及駭客拿不到、解不開數據。此外,阿裡雲還升級了態勢感知平臺,作為一個大資料安全分析平臺,它能對租戶雲上所有資產進行安全告警,並用機器學習和威脅情報發現潛在的入侵和高隱蔽性攻擊,回溯攻擊歷史,預測即將發生的安全事件。
在業務及內容安全方面,阿裡雲進行了細細微性的資料風控,同時雲盾綠網提供了多樣化的內容識別服務,能有效説明使用者降低違規風險。蘊藉介紹,目前已開放網站內容檢測、圖片鑒黃服務、垃圾廣告過濾、圖片識別等服務。
所以,阿裡雲安全從網路層到資料層,從內部視角到外部視角,均部署了防護和監測體系,租戶亦能得到縱深端到端的安全防護服務。
開啟雲端安全
對於如何在阿裡雲上開啟雲安全,蘊藉給出了兩個簡單步驟:
首先,六步開啟雲安全基礎防護:使用RAM管理雲帳號及其許可權、啟用ActionTrail進行操作審計、網路存取控制減小網路攻擊面(安全性群組、源IP白名單)、任何用到密碼的地方啟用強式密碼、合理使用雲產品的安全特性(如存取控制)、啟用雲盾基礎防護。
其次,根據業務風險選擇解決方案,例如常被DDoS攻擊影響業務運轉時,則選擇DDoS高防方案;因為垃圾註冊、拖庫撞庫、行銷作弊導致業務損失的風險場景,可以選擇資料風控的業務風控方案;網站內容需要加密傳輸、防釣魚、方流量劫持,敏感性資料需要加密存儲時,則選擇證書服務、加密服務方案;被頻繁爆漏洞引發公共危機,被駭客入侵導致資料洩露、資金損失時,則可以選擇WAF、安騎士、先知計畫、態勢感知、安全專家服務等等。阿裡雲安全服務針對諸多風險場景,提供了針對性的和靈活的安全解決方案,同時阿裡雲還在大力建設安全生態,通過引入協力廠商安全產品進入雲市場,從而滿足租戶個性化和複雜的安全需求。
混合雲安全解決方案
此外,阿裡雲提供的安全能力並不只針對其雲上的客戶,系統不在阿裡雲的上的企業同樣可以獲得其安全服務,即混合雲安全解決方案。企業將流量導向阿裡雲即可以統一管理混合雲安全性原則,減少運維成本和對線下安全硬體的投入。並且,阿裡雲也可以將其安全服務完成客戶本地部署,包括網路流量監控、應用防火牆、主機入侵防護、態勢感知等可以部署到企業用戶的機房,結合雲端情報中心等實現企業安全的本地防護。
蘊藉強調,阿裡雲所提供的下一代方案架構和傳統安全安全架構的盒子化、單點防禦等特性相比,新的安全架構SaaS化,更敏捷和彈性,大資料檢測未知威脅更加智慧化,規則即時更新,可以產生威脅防禦的聯動效果,並能抵禦業務層的攻擊。
所以,無論是保護雲上安全還是“雲下安全”,阿裡雲正在呈現越來越強的安全能力。說到這,有必要給阿裡雲打上一個新的標籤,阿裡雲不僅是一個雲端的計算服務商,還是一個雲安全服務商。