数字化飞速发展的过程中,安全问题不容忽视。以勒索攻击为例,2020年上半年攻击量上升7倍有余。面对愈加严峻的安全挑战,阿里云在以哪些原则及方式规划整体安全布局?
在 3 月 29 日阿里云计算峰会上,阿里巴巴资深技术专家、阿里云智能云架构总监黄瑞瑞发表了《多维全面,构建云上企业安全体系》主题演讲,带来这几年原生安全的落地实践经验,并重点解读如何以实战攻防和原生安全能力来确保防护的有效性,构建安全云上体系。
以下是内容整理。
大家好,今天非常高兴来到深圳,针对云上整体的多维企业安全体系,为大家带来阿里云安全的分享。在此之前,我们有必要先了解当前新常态下,我们到底在面对哪些新的威胁和挑战,以及接下来将迎接哪些新趋势。
云环境趋势下的安全驱动首先看威胁
这一年时间里非常明显的看到勒索攻击在以极其可怕的增速上涨,2020年上半年攻击量同比增加7倍有余。就在近日,硬件科技企业“宏碁”受到了勒索软件的攻击,攻击者要求的赎金高达3.25亿元。
在REvil勒索软件网站上泄露的宏碁数据
第二是新趋势
根据Gartner发布的预测显示,2024年IT开支用于上云将达45%,由今天的33%到几年后的45%,可以看到大家的IT支出倾向于上云,这也代表了云上云下的支出是一半一半的,那么我们需要思考,机遇与挑战并存的环境中,需要如何从安全的角度应对这个新的趋势?
第三是新挑战
这个新的挑战是从2020年开始,包括之前的2019年,我们能看到整体互联网上的网安形势越发严峻。前不久外交部也有提到,中国仍是网络攻击的主要受害者之一。
在越发严峻的网安情况下,我们如何建立云上体系?在新威胁、新挑战、新趋势之下,我们该坚持哪些原则去构建云上企业的安全体系呢?
构建云上安全体系的原则标准我希望在本次的分享中,用3个双驱动和大家介绍。
· 业务与安全双驱动
这意味着什么?业务走到哪里,安全跟到哪里。你的业务无论部署在什么样的基础设施,其安全能力必须到位。
· 防护与运营双驱动
我们既有云上的环境,也有云下环境,各位企业用户,大家要思考的是什么?如何把云上和云下本身的安全防护和运营真正统一起来,达到高效、稳定、安全,这是紧迫又重要的问题。
· 合规与实战双驱动
我们之前说的合规是一个静态的,去针对各个企业用户上云之后能够达到,相对应的合规要求。但是老话说得好,光说不练假把式,在达到合规的要求之后,一定要有常态化的实战攻防能力,只有和实战攻防能力相结合,你所具备的合规能力才真正发挥作用。
下面我用3个客户案例,阐述我们对于这3个维度的双驱动整体的理解,以及阿里云怎样帮助客户解决相对应的问题。
一、100%数据不丢失
对于云上企业来说,数据或者是云上数据本身就是业务生命线,如果云上数据不存在,这个企业的业务就不复存在。阿里云是全球首家对外推出原生防勒索方案的云厂商,尽量保证云上用户数据100%不丢失。
我本人是安全技术人员,同时负责安全技术架构,我深知100%数据不丢失是非常严肃的问题。如何兼顾保障我们庞大的客户群体做到数据不丢失?我用一个企业服务商的案例给大家说明。
这家客户在使用阿里云的解决方案之前,是云上和IDC两套防护体系,这会存在两个消极影响:
· 运营成本更高;
· IDC缺乏对于勒索攻击的防御和相对应的手段,一旦勒索攻击成功了以后,他真的被攻击了,数据被恶意加密,没有办法恢复,这是在给业务埋下难以挽回的深雷。
阿里云的云上解决方案是用安全中心统一管理,我们会把云上所有的勒索软件、勒索攻击相对应的情报分享给客户,不但设置云上的防勒索攻击基线,同时云下也可以设置相同的基线。
保障100%数据不丢失,一定要设置兜底方案,所以我们把重要的业务和核心文件自动化去云上备份,这样一来即便万分之一的可能发生了,在攻击面前,业务数据还是可以完整保留下来。
二、防护和运营的双驱动
早在2016年,阿里云云盾 · 混合云安全解决方案首次亮相,标志着阿里云上的安全能力与服务,可以输出给专有云、本地机房的用户,实现全场景覆盖。
我们经过了大规模的业务挑战和验证,这里可以用一个互联网企业的案例展开分享。这个客户本身用到了公共云和专有云,但没有集中的安全管控,因为业务合规的要求,需要跑在公网上,但由于没有集中管控能力,业务运营是非常焦头烂额的:
· 要在不同的系统中做两套基本上一样的工作;
· 没有大规模的弹性计算资源去进行相对应的风险安全威胁的大数据分析;
· 这家业务的互联网出口,在时刻面临巨大的外部攻击风险。
我们如何解决?首先做到了统一安全管理,其次利用了公共云上本身的弹性资源,包括公共云本身的安全防护能力提供相对应的保护。
最后,云安全中心本身会利用公共云海量的弹性计算能力,集中分析相对应的安全情报、安全威胁,可以做到快速分析并随时提供相对应的安全防控能力,这样就可以将公共云和专有云上的安全风险兼顾处理。
三、检验并确保防护的有效性
在合规之上,我们还需要具有实战化的能力,这里带来一个阿里云实战攻防案例分享。在2019年到2020年国家级安全攻防演练中,我们作为攻击方连续两年得分第一名。只有攻,才知道怎么守,没有失分,整体的溯源加分在1.6万分之上。
针对企业的防守挑战,作为演练攻击方,我们认为有如下三点:
· 缺乏成体系的安全防护能力,自身也没有完整布局安全产品;
· 自身的安全技术团队实战经验相对匮乏,会遗漏诸多数据资产和相对应的需要安全加固的检查,抑或是发现了存在风险,内部安全团队也无法加固防护;
· 准备时间较短,收到通知到真正做演练,只有数周可以发现和改善问题的时间。
我们是如何解决的?基于云可以实现分钟级别的快速资产盘点;在不同资产部署相对应的安全产品,完成多轮安全攻击测试,针对业务中上百个业务系统进行了完整的安全加固。
最终帮助阿里云客户实现了防护零失分,大大超过了客户的预期,这是阿里云安全具有的真正的实战攻击和实战攻防的能力。
阿里云首个提出并实现,一体化云原生安全架构结合以上3个维度,我们来看阿里云原生安全的本质特点。
必须业务和安全相结合,你的业务在我们的基础设施上,自然而然就可以享受到我们本身的安全优势;我们云上云下安全防护方案是统一的;攻防兼备的实战能力。我们逐一展开来看:
一、安全能力和基础设施融合
我们基于硬件的高等级安全,从硬件到软件,两者相融合的相对应安全能力,同时我们是安全默认的融合内置安全。
阿里云拥有超过30个云安全产品,支持全面的数据加密能力,实现国际一流产品水平,在国内同样遥遥领先。2020年我们发布了108个云产品的安全功能,这些不是单独的安全产品,这108个云产品的安全功能需要体现双融合特质,我们希望任何业务使用任何的云产品,都会有相对应云产品自带的安全功能提供,你的业务在哪里,我们的云安全能力就跟在哪里。
二、云上云下安全统一的混合云方案
我们说的是3个方面,一是公共云,二是专有云,三是客户的自建IDC。这3者合为一的架构体系下,如何实现安全统一,让真正的防护安全运营和运维真正做到统一高效?
我们有统一的主机安全能力、统一的容器安全能力、统一的云原生中心,统一的管理,包括全网,都提供安全统一的混合云安全解决方案。
三、攻防兼备的实战化能力
这个说起来很简单,但是它并不是短期可以建设起来的。阿里云安全的攻防兼备的实战化能力,是长达11年持续化、常态化、实时化的进行攻防演练,服务阿里巴巴集团以及数百万个企业客户,不断积累的实战化攻防能力。
对应的威胁决策是全网联动的,当任何一个用户受到了单点攻击,用户所享受的安全策略、加固策略是整个阿里云全网联动的,我们可以在云端用全局的视角布控,云下智能算法会根据云端整体企业优化的情报,在云上、云下都做到精准防御。
最后总结一下,刚刚我提到的3个融合,3个双驱动到底是什么?
业务与安全的双驱动,业务在哪里,安全就跟随在哪里;云上云下本身防护和运营的双驱动;合规与实战的双驱动。过去我们服务了超过300万个企业级客户,我们也取得了一些成绩。阿里云是国内唯一整体安全能力,获得国际权威研究机构认可大满贯的云厂商。
现今阿里云为300万企业提供安全服务,几乎每天成功抵挡60亿次攻击,2020全年做了66次高危漏洞应急响应,作为全球范围内领先的有全面合规资质的一家公司,阿里云有超过190项全球合规资质的认证。
我们希望能够把我们的安全能力真正做到默认安全、普惠安全!谢谢大家。
本文转自网络,原文链接:https://developer.aliyun.com/article/783443