重視對安全投入的雲服務商無疑將會贏得客戶的青睞,在中國,雖然企業對於安全的採購比例佔整體IT採購比例的份額非常低。但隨著企業安全意識的轉變和等保合規等政策的要求愈加嚴格、《網絡安全法》的即將落地等,可以預期,中國企業安全環境將快速改善。
在企業安全意識和能力提升的進程中,伴隨著企業上雲的數量和規模越來越多,他們對於在雲上如何保護業務系統和提升安全防護水平更加關注。在剛剛結束的2017雲棲大會深圳峰會的安全專場中,參會者擠滿了會場,這些阿里雲的客戶來聽的正是如何在雲上做好企業安全。
實際上,阿里雲是對安全進行重力投入為數不多的幾個雲服務商之一,基於此,這也成為其吸引越來越多的國外大型客戶入駐阿里雲的重要原因。
阿里云為客戶提供了一整套安全產品和服務,阿里雲安全專家蘊藉在2017雲棲大會深圳峰會安全專場中對其進行了詳細解讀。
阿里雲安全體系
由於雲區別於傳統的IT形態,阿里雲提出安全責任共擔模型,阿里雲負責雲平臺基礎安全防護,用戶負責虛擬化層以上的組件安全、業務安全等,這也符合國家等保政策的要求。雲平臺基礎安全防護方面不是本文的重點,實際上對於如此規模和技術實力的服務商來說,攻擊者想要突破其底層平臺防線並不容易,過去還沒有這樣的事件發生。並且,去年阿里雲也成為全國首家雲等保試點示範平臺,尤其金融雲通過測評成為全國首個四級雲平臺。
阿里雲安全體系
那麼,對於企業用戶可控和可操作的安全來說,阿里雲又為其賦予了哪些能力?
蘊藉表示,阿里云為用戶提供了安全管理、系統安全、業務及內容安全三大安全能力,這三大能力來源於阿里雲安全的三大策略,一是雲盾SaaS安全服務、二是雲產品安全功能、三是雲安全生態彌補租戶更豐富的安全需求。
阿里雲安全產品及服務
安全管理包括雲賬號安全管理及訪問控制、安全審計和遠程運維,它們大多源於雲產品本身的安全功能,值得一說的是這些常常被中小客戶所忽略,例如為特權用戶開啟雙因素認證、使用授權條件限制來增強安全性、不可信設備必須使用臨時訪問令牌等,所以要避免安全管理不當而成為攻擊者的突破口。
阿里雲提供的系統安全包括了網絡安全、主機安全、應用安全、數據安全、安全態勢感知等多方面安全服務,這其中許多安全服務均提供免費版本,租戶如果要獲取更高級的防護能力和服務,可以按需付費使用。
阿里雲盾提供了在系統安全方面強大的保護能力,例如雲盾DDoS高防IP針對互聯網服務器在遭受大流量的DDoS攻擊後導致服務不可用的情況下,用戶可以通過配置高防IP,將攻擊流量引流到高防IP,確保源站的穩定可靠。雲盾WAF通過防禦SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意訪問,避免網站資產數據洩露。
安騎士能夠解決主機層面安全問題,蘊藉指出,它具備頂級Webshell查殺能力,一鍵體檢,支持0day漏洞修復,從而保護服務安全。事實上,很多企業由於開發測試安全意識薄弱,導致系統存在各種漏洞,安騎士在入侵防護上能極大解決用戶安全問題。
在數據安全方面,雲盾證書服務幫助租戶輕鬆實現全站HTTPS,防劫持、防竊聽,雲盾加密服務/密鑰管理服務讓企業的敏感數據加密存儲,未經授權員工及黑客拿不到、解不開數據。
此外,阿里雲還升級了態勢感知平臺,作為一個大數據安全分析平臺,它能對租戶雲上所有資產進行安全告警,並用機器學習和威脅情報發現潛在的入侵和高隱蔽性攻擊,回溯攻擊歷史,預測即將發生的安全事件。
在業務及內容安全方面,阿里雲進行了細粒度的數據風控,同時雲盾綠網提供了多樣化的內容識別服務,能有效幫助用戶降低違規風險。蘊藉介紹,目前已開放網站內容檢測、圖片鑑黃服務、垃圾廣告過濾、圖片識別等服務。
所以,阿里雲安全從網絡層到數據層,從內部視角到外部視角,均部署了防護和監測體系,租戶亦能得到縱深端到端的安全防護服務。
開啟雲端安全
對於如何在阿里雲上開啟雲安全,蘊藉給出了兩個簡單步驟:
首先,六步開啟雲安全基礎防護:使用RAM管理雲賬號及其權限、啟用ActionTrail進行操作審計、網絡訪問控制減小網絡攻擊面(安全組、源IP白名單)、任何用到密碼的地方啟用強密碼、合理使用雲產品的安全特性(如訪問控制)、啟用雲盾基礎防護。
其次,根據業務風險選擇解決方案,例如常被DDoS攻擊影響業務運轉時,則選擇DDoS高防方案;因為垃圾註冊、拖庫撞庫、營銷作弊導致業務損失的風險場景,可以選擇數據風控的業務風控方案;網站內容需要加密傳輸、防釣魚、方流量劫持,敏感數據需要加密存儲時,則選擇證書服務、加密服務方案;被頻繁爆漏洞引發公共危機,被黑客入侵導致數據洩露、資金損失時,則可以選擇WAF、安騎士、先知計劃、態勢感知、安全專家服務等等。阿里雲安全服務針對諸多風險場景,提供了針對性的和靈活的安全解決方案,同時阿里雲還在大力建設安全生態,通過引入第三方安全產品進入雲市場,從而滿足租戶個性化和複雜的安全需求。
混合雲安全解決方案
此外,阿里雲提供的安全能力並不只針對其雲上的客戶,系統不在阿里雲的上的企業同樣可以獲得其安全服務,即混合雲安全解決方案。企業將流量導向阿里雲即可以統一管理混合雲安全策略,減少運維成本和對線下安全硬件的投入。並且,阿里雲也可以將其安全服務完成客戶本地部署,包括網絡流量監控、應用防火牆、主機入侵防護、態勢感知等可以部署到企業用戶的機房,結合雲端情報中心等實現企業安全的本地防護。
蘊藉強調,阿里雲所提供的下一代方案架構和傳統安全安全架構的盒子化、單點防禦等特性相比,新的安全架構SaaS化,更敏捷和彈性,大數據檢測未知威脅更加智能化,規則實時更新,可以產生威脅防禦的聯動效果,並能抵禦業務層的攻擊。
所以,無論是保護雲上安全還是“雲下安全”,阿里雲正在呈現越來越強的安全能力。說到這,有必要給阿里雲打上一個新的標籤,阿里雲不僅是一個雲端的計算服務商,還是一個雲安全服務商。