一、企業安全體系演進
(一)企業面臨的安全問題
(1)數據洩露風險並未得到有效控制
(2)勒索軟件爆發
(3)內容安全違規嚴重影響業務連續性
(4)內部員工是數據安全的最大隱患
(5)高危漏洞的威脅形勢愈發嚴峻
(6)DDoS對業務可用性威脅越來越大
(二)企業安全需求的驅動力
企業安全需求主要由合規驅動和威脅驅動雙驅動:
(1)威脅驅動
近年來,隨著企業業務在線化、移動化、數據化,催生出了更多的威脅和黑產。比如數據洩露/篡改,勒索加密,業務連續性和可用性,內容安全處罰,業務資損等。
(2)政策合規驅動
除了上述威脅驅動外,政策合規也是企業安全需求的驅動力。比如國家實行網絡安全等級保護制度(等保2.0),歐盟的通用數據保護條例(GDPR)。
(三)不同行業/業務對於安全的核心痛點不同
以阿里為例,因為業務的不同,所以安全的需求包括安全的重點都不一樣,這也決定了安全體系的側重性。在天貓淘寶的用戶的場景下面,其實也不光是隱私保護,還包括業務的風控,甚至是假貨,知識產權,刷信用這些方面,都是天貓淘寶業務主體對應的安全剛需重點的風險領域。
阿里雲作為基礎設施,從硬件到系統到網絡,甚至到用戶的合規,這些領域其實都是雲計算業務主體非常重要的風險域。
螞蟻金服作為最大的互聯網金融公司,金融風控一定是最重要的,也叫核心安全能力建設。
對於不同行業,各自業務的需求導致安全體系建設的側重性,方向性有很大的不同,如下圖所示。
(四)不同企業的安全體系發展階段不同
每個企業安全體系發展的成熟度有很大的不同,基本上看三個方面。第一個方面是業務的成熟度,業務在線率和數字化程度越高,企業安全體系建設越完善。第二個方面跟安全團隊的積累有關,安全團隊規模與攻防經驗的積累決定安全的核心能力。第三個方面跟安全團隊的組織架構有關,組織架構是安全團隊構建內部影響力的決定因素。
(五)數字化轉型引發企業安全體系深刻技術變革
(1)IT基礎設施雲化
相信未來所有的企業都會在雲上。雲計算其實也是通過普惠的技術讓更多的用戶更方便的去享受到計算資源。包括不用再去自己搭交換機然後去組網,在需要計算能力的時候,可以通過虛擬化服務化,能夠快速的去獲得這些能力。
(2)核心技術互聯網化
用互聯網技術賦能各行業。比如分佈式架構打破單機能力限制,雲端大數據實時處理,安全能力在線服務化。核心技術的互聯網化,解決了性能問題,成本問題,甚至彈性的問題。
(3)應用數據化和智能化
相信未來所有的企業都需要數據化和智能化。數據是能源、是動力、是血液,智能化是讓數據價值最大化的必然途徑。企業數字化和智能化的轉型,引發其安全體系深刻技術變革,比如全網威脅數據集中驅動策略統一,自動化閉環響應提升效率,安全融合實現智能化主動防禦。
二、最佳安全實踐
(一)企業安全體系
從各個技術域的角度來看企業整個的安全體系,有辦公網安全,也叫內網的安全。當然在基礎設施這一層,從硬件到系統到網絡,各個層面上技術都需要做得非常完善。如下圖所示,安全涉及到了每一個技術領域,每個技術領域的深度都很關鍵。安全體系是一個非常典型的木桶原理。企業的安全短板決定了整個企業的安全水位到底在哪裡。安全體系涉及到了機制,流程,組織架構規範,再加上產品,甚至包括運營。
(二)企業八大風險域
(1)安全運維
通過將安全融入企業IT運維過程中,實現對賬號權限、軟件審核、訪問控制、漏洞管理等安全運營的規範化、流程化和持續管理。
(2)應用安全
通過將安全前移並貫穿軟件安全開發生命週期,實現更早地檢測系統缺陷並降低整體業務風險。
(3)威脅檢測與響應
通過對包括網絡攻擊、Web入侵、勒索等攻擊行為的實時識別、分析、響應和預警,實現對資產的保護以及滿足監管合規要求。
(4)身份識別與訪問管理
通過集中式身份管理,實現對企業用戶、服務和資源統一的身份權限管理和訪問控制。
(5)內網安全
保障辦公網終端安全、企業核心數據防洩漏,對抗病毒蠕蟲攻擊。
(6)數據安全
基於機器學習精準識別數據安全威脅,通過加解密、審計、風險預警等手段防止數據洩露和滿足GDPR等合規要求。
(7)業務風控
通過大數據和智能化技術,提升企業在用戶註冊、運營活動、交易、信貸審核等關鍵業務中的反欺詐效率。
(8)內容安全
基於AI技術,幫助企業降低色情、暴恐、涉政等違規風險,大幅度降低人工審核成本。
三、雲計算帶來的變化
(一)雲上比雲下更安全
雲計算會給整個安全體系的演進帶來很大的不同,現在大部分的用戶都已經認知到雲對整個企業帶來技術和體系的變化。相信未來所有的企業都會關注如何在運營層面,基於雲計算,基於雲原生的一些能力,讓企業的安全體系更加的強壯。
在雲上,雲服務提供商承載著大量企業業務系統的數據構建,決定了雲服務提供商在安全方面的投入是非常巨大的。雲上比雲下更安全已成普遍共識,這是因為不管在雲上還是雲下,構建全面且具有縱深的安全體系的要求都是非常重要的。事實上,與傳統數據中心相比,公共雲的安全能力將幫助企業至少減少60%的安全事件。阿里也一直在思考,怎樣把我們的一些安全能力能夠更好地幫助到大量的企業構建更強壯的安全體系。阿里有許多優勢,包括安全數據智能的優勢,威脅情報的優勢,我們會提供雲上的安全產品,以及提供全局的漏洞管理能力,很多都是免費的。我們的理念一直是希望能夠幫助用戶更好的基於雲的架構來提升整個安全的能力,基於雲延伸的能力來構建自己的安全系統。
(二)雲賦能企業提升安全能力
如下圖所示,雲有許多原生優勢。比如,每個企業都需要統一的身份認證授權體系,在雲上能夠通過虛擬化的網絡調度能力實現東西南北向的網絡訪問控制與隔離技術。阿里給到用戶的所有云產品,都是在設計階段即引入安全能力,包括代碼安全,經過了嚴格的安全測試才能上線發佈。再比如,雲上全局數據安全保護體系,能夠讓用戶對於雲上數據整個生命週期的防護更加有信心。最後,全局威脅檢測平臺通過構建檢測、響應和防禦的閉環,可以幫助用戶更好地應對各種威脅。
(三)讓雲上用戶享受普惠安全
時至今日,阿里雲平臺保護了國內超過40%的網站。這對阿里雲數據的能力,智能的能力,安全的能力要求都非常高。阿里巴巴一直秉承的理念是,將我們在各個安全技術域的核心能力和核心產品,給到阿里雲上的用戶,幫助用戶構建更安全的企業安全體系。
企業安全體系將隨著業務的不斷變化而不斷演進,我們期待阿里雲上的用戶在其安全體系的演進過程中,獲得與阿里巴巴同等級別的安全能力,通過構建安全的、強壯的體系為其業務保駕護航。
