2020杭州云栖大会上,阿里巴巴正式宣布成立云原生技术委员会。这意味着云原生作为阿里巴巴核心技术战略将加速发挥云平台的优势性,提供技术开发者更丰沃的原生底层技术环境,推动业务更快速的发展。同时,企业享用云上原生技术红利的同时,同样也接受阿里巴巴同等能力的安全保护。
在刚结束的云栖大会“提速云原生 创新安全力“专场上,阿里云肖力也提到:底层基础设施演变会给安全带来更天翻覆地的变化,未来所有的企业都会在云上享受最高等级的安全。更多的创新应用以及新技术的涌入,将不断的去刷新和定义新的云原生安全能力,从而帮助企业构建更适应自身业务的新一代安全架构。
专场上,除了肖力发布了2020阿里云原生安全架构,以及分享原生安全核心优势,远程办公零信任之外,还有不少重磅观点和技术发布值得关注:
01 从混合云安全到安全混合云
云原生重构企业安全体系,拥抱混合云架构
Gartner预测:到2020年90%的组织将利用混合云管理IT基础设施。
随着云计算的发展,原先的企业物理边界正在被打破,越来越多的企业开始关注软件定义边界。随着5G技术的全面铺开,以及越来越多的本地化应用的流行,更多的数据处理需要在边缘节点完成。另外,云计算和SDWAN的组合,也助力企业用户更好的连接线下环境,包括IDC,办公网,移动办公等场景。基础设施的演变,对安全提出了新的要求,安全的底层架构需要升级演变。云栖大会上,阿里云智能资深产品专家葛岱斌宣布:阿里云正式把混合云安全解决方案升级到全新的安全混合云架构:阿里云的SASE安全架构
阿里云的SASE安全架构,其实也就是阿里的安全混合云架构。这个安全混合云,在逻辑上可以理解成搭建在云上的一个软件定义的安全接入区:无论是从互联网到公共云和IDC的应用流量,还是企业员工对互联网的对外流量,或是企业员工对内部应用的横向访问流量,以及企业运维人员对云上应用的运维流量,都会自动接入这个安全接入区进行检测,分析和防护。从场景上来说,会覆盖互联网对外业务,内网应用,办公网安全,移动办公,以及应用运维安全各种场景,以此帮助企业用户从传统的边界安全逐步迁移到软件定义边界的安全。这样,企业可以基于阿里云提供的安全云,全方位的重构企业自身的安全体系,覆盖云上线下资产,更好的拥抱混合云架构。
02 云原生的数据安全纵深防御体系
构建完整数据安全生命周期,覆盖云上部署,到业务运行全环节
数字化进程的加快、越来越多的企业将业务迁移上云,数据安全成为企业共性的挑战。数据安全威胁也呈现出多面性:比如,员工操作不当而产生的数据泄露或者非法访问;因为外部攻击导致非法盗取数据;且由于数据本身无处不在,对数据保护手段有更高的要求。代码或者应用生命周期变化使得原本有效的手段降低效用。
在整个云上纵深安全体系中,阿里云提供了适用于 网络边界 -> 工作负载 -> 持久化存储等不同环节的密码技术和产品应用,比如SSL证书和传输加密,云密码机和密钥管理,动态凭据等。
2020年云栖上,阿里云智能产品技术专家陈俊朴分享了阿里云的密码基础设施:阿里云通过针对不同市场地区对密码的合规要求给企业提供了不同的高安全等级的密码硬件,让加密能力贯穿整个云产品体系,帮助用户构建默认的安全策略。同时针对不同业务维度,设计不同形态的密码产品,去帮助用户针对自己的特殊密码需求去建立自己的不同业务加密形态比如金融支付,区块链的场景应用。
同时,阿里云通过构建数据安全智能化和自动化的能力帮助企业更智能,更快速和更自动的去实现安全生命周期的构建:
· 通过SDDP产品去帮助用户智能识别敏感数据,进行分类分级。同时,提供一定数据的保护,例如对敏感数据进行遮盖、变化等脱敏处理。另外SDDP也提供数据泄露检测,通过智能化手段减少人工安全审核。通过提供的数据安全审计保障云对原生数据产品的使用处在安全合规的状态中
· 把开放API的访问记录,以及云平台内的操作日志透明化,投递到用户的日志或者OSS存储中,供用户消费和分析
· 通过配置审计服务,保证云上部署的安全策略默认始终处于打开状态,对违规进行告警和修复
这些云原生的能力最终构建完整数据安全生命周期,可以覆盖云上部署,到业务运行全环节。随着生命周期持续更迭,整体安全水位也同步提升,从而让云上部署更安全更有效。
03 推动可信云落地
阿里云提供企业级可信解决方案
阿里云在2018年发布了可信云硬件架构,经过2年的技术实践和突破,阿里云安全从硬件可信根,硬件固件安全,系统可信链以及可信执行环境等角度真正推动可信云落地,2020年云栖大会上阿里云安全宣布:
· 阿里云已支持为客户提供企业级可信解决方案
· 阿里云正式发布高安全等级ECS可信云实例
· 阿里云发布了公有云系统可信解决方案
其实,对于金融、政企事业单位这类对高等级安全有强烈需求的客户,系统可信是一个非常重要的安全功能和解决方案。通过阿里云的可信产品和解决方案,可以管理核心组件的安全启动,包括系统启动时的底层组件以及用户指定的应用,可以帮助用户有效的保护那些普通主机安全软件难以对抗的系统底层威胁。同时支持多场景,二次研发,因此客户可以根据自己的业务应用,灵活多样的运用可信能力。
另外,阿里云安全专家路放在分享中提到:基于加密计算SGX2.0技术,在可信计算实例的基础上,阿里云为客户提供更加安全的加密计算执行环境。
如今,阿里云基于可信计算和加密计算的核心理念,依托硬件安全特性和严密的密码学算法,为企业打造一个基于硬件的,从物理机,到虚拟机,到容器,各个层面完整的可信执行环境。在云平台层面,阿里云打造可信固件与硬件;在面向用户的高安全等级ECS实例内,通过系统可信产品,为用户支撑IDaaS和零信任解决方案;最终在业务应用层面,为用户提供应用可信、容器可信等产品能力。目前,这套方案已经在某公有云上银行得到了很好的应用,用户既获得了底层安全保障,又根据自己的业务需求,实现了零信任体系和容器安全调度,依托可信计算技术形成了非常完整和先进的企业级安全体系。
从云原生安全》混合云安全》数据安全》安全可信,阿里云不断用创新技术提升安全产品的能力,以客户需求为导向,不断提供更前沿的技术且客户需要的安全产品和解决方案,与客户共建更安全可信的环境,为业务保驾护航。
精彩分享:
https://yunqi.aliyun.com/2020/session19?liveId=44127
如若转载,请注明原文地址