資安

阿里雲榮獲可信雲容器安全能力先進級認證, ACK/ACR為企業級安全護航

jnocvbcs.jpg
阿里雲關注企業級用戶的Kubernetes生產落地痛點,結合企業生產環境的大量實踐,全面幫助企業真正落地雲原生架構。安全側問題,是眾多大中型或金融領域企業的核心關注點。

端到端雲原生安全架構

早在2018年,阿里雲容器服務團隊率先提出了“端到端的企業級安全能力”概念,並推出立體式的端到端雲原生安全架構。
容器和雲原生時代的安全挑戰和傳統安全主要有以下三點不同:

  • 第一個是高動態和高密度。傳統時代一臺機器只跑幾個應用,而現在在一臺服務器會運行上百個應用,是原來十幾倍的密度。另外考慮到容器的自動恢復等特性,上一刻的容器在A機器,下一刻就會隨時漂移到另一臺機器。
  • 第二個是敏捷和快速迭代,容器 DevOps 化的應用發佈非常頻繁,是傳統的幾倍。
  • 第三,在開放標準、軟件行業社會化大分工的時代,越來越多不可信三方開源軟件的引入也加劇了安全風險。而容器的這些特點都會對雲原生安全提出了更高的要求。
    為了應對這些安全風險,阿里雲容器服務團隊推出立體式的端到端雲原生安全架構,並從三個層面來解決安全問題:

image.png

  • 最底層依託於阿里雲平臺已有的安全能力,包括物理安全,硬件安全,虛擬化安全和雲產品安全能力;
  • 中間是容器基礎設施安全層,基於最小化攻擊面原則,提供了包括訪問控制,權限收斂,配置加固和身份管理等重要的底座安全能力;同時針對憑證下發,證書、密鑰,集群審計等用戶訪問鏈路上的安全要素,構建了對應的自動化運維體系;
  • 在容器基礎設施安全層之上,針對容器應用從構建到運行的生命週期在供應鏈和運行時刻提供對應的安全能力,比如在構建階段提供了鏡像安全掃描和鏡像簽名能力;在部署和運行時刻,提供了集運行時策略管理,配置巡檢,運行時安全掃描的一體化安全管理能力,同時支持安全沙箱容器和TEE機密計算技術,為企業容器應用提供更好的安全隔離性和數據安全私密性。

縱深防禦,呵護容器應用全生命週期

隨著雲原生技術的日趨火熱,已經有越來越多的企業選擇在自己的生產環境中進行容器化的雲原生改造,而K8s社區的火熱使得其成為眾多輿論媒體關注的目標之外,也使得其成為眾多攻擊者攻擊的主要目標。

容器安全如今充滿新挑戰, 一方面是Kubernetes、helm、etcd等開源項目的高危漏洞頻出,相關輿論愈發引起關注,據統計,從2018年開始,Kubernetes社區已經暴露了20餘次CVE漏洞。

另一方面,Kubernetes作為雲原生時代新的操作系統與不同的異構計算設備的廣泛集成以及serverless技術的日趨發展也使得容器應用的生命週期越來越短,同時集群節點的容器應用部署密度也越來越高,傳統的供應鏈側的安全掃描已經很難將風險完全暴露, 面對上述種種安全挑戰,需要針對雲原生下容器技術的特點,在安全上構建更加明確的防護體系和相應的技術升級。

阿里雲容器服務ACK和容器鏡像服務ACR在上述的基礎架構-軟件供應鏈-運行時三層雲安全架構基礎上,還做了兩大工作:縱深防禦,構建從供應鏈到運行時的一體化安全流程;最小化攻擊面,打造安全穩定的容器基礎平臺。

在企業級用戶的應用生命週期中,基於阿里雲容器服務安全的整體架構,首先在應用的開發,測試和構建階段,用戶可以在供應鏈側通過鏡像安全掃描提前暴露應用鏡像中的安全風險,同時企業級用戶可以在阿里雲容器鏡像服務企業版 ACR EE 中開啟指定倉庫的鏡像簽名能力為推送鏡像自動簽名;在應用部署前,默認安全是應用系統中安全設計的重要原則,而配置安全也是容器應用在生產環境命令的主要風險。為此集群的安全管理員可以通過阿里雲容器服務提供的統一策略管理平臺,遵循一致性的規則配置定義,為不同集群內的應用系統提供定製化的安全治理性;在應用成功部署後,並不意味著我們的安全工作就到此結束了,用戶可以通過容器服務安全管理中心提供的運行時監控告警、配置巡檢、集群審計和密鑰加密等手段,保護容器應用的運行時刻安全,構建整個容器安全的縱深防禦能力。
image.png

客戶的選擇,業界的認可,阿里雲的使命

自2011年開始容器化進程,阿里開啟了中國公司將雲原生技術體系在電商、金融、製造等領域中大規模應用的先河,阿里雲沉澱了最豐富的雲原生產品家族、最全面的雲原生開源貢獻、最大的容器集群和客戶群體和廣泛的雲原生應用實踐。
很多選擇了阿里雲容器服務的客戶也會有各種各樣的安全場景需求:

某國際新零售巨頭在意公司內部IT資產安全,使用容器鏡像服務 ACR 安全軟件供應鏈的鏡像加簽和掃描,RAM角色進行系列度RBAC權限控制,服務網格全鏈路mTLS認證、證書管理和審計。

某國際金融銀行關注數據運轉安全 ,不僅使用基於阿里雲容器服務ACK的全鏈路數據加密和雲安全中心運行時刻告警監控,而且還搭配使用託管服務網格ASM進行應用東西向流量的細粒度控制。

某國際遊戲廠商希望更高效管控各方權限,進行了pod級別的控制層面雲資源的權限隔離,外部KMS系統的密鑰同步導入更新,數據平面系列度的權限控制,以及密鑰管理確保容器敏感信息不會洩露。

2020年5月, Gartner發佈《Solution Comparison for the Native Security Capabilities 》報告,首次全面評估全球TOP雲廠商的整體安全能力。阿里雲作為亞洲唯一入圍廠商,其整體安全能力拿下全球第二,11項安全能力被評估為最高水平(High)。

Leave a Reply

Your email address will not be published. Required fields are marked *