2020杭州雲棲大會上,阿里巴巴正式宣佈成立雲原生技術委員會。這意味著雲原生作為阿里巴巴核心技術戰略將加速發揮雲平臺的優勢性,提供技術開發者更豐沃的原生底層技術環境,推動業務更快速的發展。同時,企業享用雲上原生技術紅利的同時,同樣也接受阿里巴巴同等能力的安全保護。
在剛結束的雲棲大會“提速雲原生 創新安全力“專場上,阿里雲肖力也提到:底層基礎設施演變會給安全帶來更天翻覆地的變化,未來所有的企業都會在雲上享受最高等級的安全。更多的創新應用以及新技術的湧入,將不斷的去刷新和定義新的雲原生安全能力,從而幫助企業構建更適應自身業務的新一代安全架構。
專場上,除了肖力發佈了2020阿里雲原生安全架構,以及分享原生安全核心優勢,遠程辦公零信任之外,還有不少重磅觀點和技術發佈值得關注:
01
*從混合雲安全到安全混合雲
雲原生重構企業安全體系,擁抱混合雲架構*
Gartner預測:到2020年90%的組織將利用混合雲管理IT基礎設施。
隨著雲計算的發展,原先的企業物理邊界正在被打破,越來越多的企業開始關注軟件定義邊界。隨著5G技術的全面鋪開,以及越來越多的本地化應用的流行,更多的數據處理需要在邊緣節點完成。另外,雲計算和SDWAN的組合,也助力企業用戶更好的連接線下環境,包括IDC,辦公網,移動辦公等場景。基礎設施的演變,對安全提出了新的要求,安全的底層架構需要升級演變。雲棲大會上,阿里雲智能資深產品專家葛岱斌宣佈:阿里雲正式把混合雲安全解決方案升級到全新的安全混合雲架構:阿里雲的SASE安全架構
阿里雲的SASE安全架構,其實也就是阿里的安全混合雲架構。這個安全混合雲,在邏輯上可以理解成搭建在雲上的一個軟件定義的安全接入區:無論是從互聯網到公共雲和IDC的應用流量,還是企業員工對互聯網的對外流量,或是企業員工對內部應用的橫向訪問流量,以及企業運維人員對雲上應用的運維流量,都會自動接入這個安全接入區進行檢測,分析和防護。從場景上來說,會覆蓋互聯網對外業務,內網應用,辦公網安全,移動辦公,以及應用運維安全各種場景,以此幫助企業用戶從傳統的邊界安全逐步遷移到軟件定義邊界的安全。這樣,企業可以基於阿里雲提供的安全雲,全方位的重構企業自身的安全體系,覆蓋雲上線下資產,更好的擁抱混合雲架構。
02
*雲原生的數據安全縱深防禦體系
構建完整數據安全生命週期,覆蓋雲上部署,到業務運行全環節*
數字化進程的加快、越來越多的企業將業務遷移上雲,數據安全成為企業共性的挑戰。數據安全威脅也呈現出多面性:比如,員工操作不當而產生的數據洩露或者非法訪問;因為外部攻擊導致非法盜取數據;且由於數據本身無處不在,對數據保護手段有更高的要求。代碼或者應用生命週期變化使得原本有效的手段降低效用。
在整個雲上縱深安全體系中,阿里雲提供了適用於 網絡邊界 -> 工作負載 -> 持久化存儲等不同環節的密碼技術和產品應用,比如SSL證書和傳輸加密,雲密碼機和密鑰管理,動態憑據等。
2020年雲棲上,阿里雲智能產品技術專家陳俊樸分享了阿里雲的密碼基礎設施:阿里雲通過針對不同市場地區對密碼的合規要求給企業提供了不同的高安全等級的密碼硬件,讓加密能力貫穿整個雲產品體系,幫助用戶構建默認的安全策略。同時針對不同業務維度,設計不同形態的密碼產品,去幫助用戶針對自己的特殊密碼需求去建立自己的不同業務加密形態比如金融支付,區塊鏈的場景應用。
同時,阿里雲通過構建數據安全智能化和自動化的能力幫助企業更智能,更快速和更自動的去實現安全生命週期的構建:
-通過SDDP產品去幫助用戶智能識別敏感數據,進行分類分級。同時,提供一定數據的保護,例如對敏感數據進行遮蓋、變化等脫敏處理。另外SDDP也提供數據洩露檢測,通過智能化手段減少人工安全審核。通過提供的數據安全審計保障雲對原生數據產品的使用處在安全合規的狀態中
-把開放API的訪問記錄,以及雲平臺內的操作日誌透明化,投遞到用戶的日誌或者OSS存儲中,供用戶消費和分析
-通過配置審計服務,保證雲上部署的安全策略默認始終處於打開狀態,對違規進行告警和修復
這些雲原生的能力最終構建完整數據安全生命週期,可以覆蓋雲上部署,到業務運行全環節。隨著生命週期持續更迭,整體安全水位也同步提升,從而讓雲上部署更安全更有效。
03
*推動可信雲落地
阿里雲提供企業級可信解決方案*
阿里雲在2018年發佈了可信雲硬件架構,經過2年的技術實踐和突破,阿里雲安全從硬件可信根,硬件固件安全,系統可信鏈以及可信執行環境等角度真正推動可信雲落地,2020年雲棲大會上阿里雲安全宣佈:
**1.阿里雲已支持為客戶提供企業級可信解決方案
2.阿里雲正式發佈高安全等級ECS可信雲實例
3.阿里雲發佈了公有云系統可信解決方案**
其實,對於金融、政企事業單位這類對高等級安全有強烈需求的客戶,系統可信是一個非常重要的安全功能和解決方案。通過阿里雲的可信產品和解決方案,可以管理核心組件的安全啟動,包括系統啟動時的底層組件以及用戶指定的應用,可以幫助用戶有效的保護那些普通主機安全軟件難以對抗的系統底層威脅。同時支持多場景,二次研發,因此客戶可以根據自己的業務應用,靈活多樣的運用可信能力。
另外,阿里雲安全專家路放在分享中提到:基於加密計算SGX2.0技術,在可信計算實例的基礎上,阿里云為客戶提供更加安全的加密計算執行環境。
如今,阿里雲基於可信計算和加密計算的核心理念,依託硬件安全特性和嚴密的密碼學算法,為企業打造一個基於硬件的,從物理機,到虛擬機,到容器,各個層面完整的可信執行環境。在雲平臺層面,阿里雲打造可信固件與硬件;在面向用戶的高安全等級ECS實例內,通過系統可信產品,為用戶支撐IDaaS和零信任解決方案;最終在業務應用層面,為用戶提供應用可信、容器可信等產品能力。目前,這套方案已經在某公有云上銀行得到了很好的應用,用戶既獲得了底層安全保障,又根據自己的業務需求,實現了零信任體系和容器安全調度,依託可信計算技術形成了非常完整和先進的企業級安全體系。
從雲原生安全》混合雲安全》數據安全》安全可信,阿里雲不斷用創新技術提升安全產品的能力,以客戶需求為導向,不斷提供更前沿的技術且客戶需要的安全產品和解決方案,與客戶共建更安全可信的環境,為業務保駕護航。
詳細分享,點擊鏈接:
https://yunqi.aliyun.com/2020/session19?liveId=44126
