數字化飛速發展的過程中,安全問題不容忽視。以勒索攻擊為例,2020年上半年攻擊量上升7倍有餘。面對愈加嚴峻的安全挑戰,阿裡雲在以哪些原則及方式規劃整體安全布局?
在 3 月 29 日阿裡雲計算峰會上,阿裡巴巴資深技術專家、阿裡雲智能雲架構總監黃瑞瑞發表了《多元全面,建構雲上企業安全體系》主題演講,帶來這幾年原生安全的落地實踐經驗,并重點解讀如何以實戰攻防和原生安全能力來確定防護的有效性,建構安全雲上體系。
以下是内容整理。
大家好,今天非常高興來到深圳,針對雲上整體的多元企業安全體系,為大家帶來阿裡雲安全的分享。在此之前,我們有必要先了解目前新常态下,我們到底在面對哪些新的威脅和挑戰,以及接下來将迎接哪些新趨勢。
雲環境趨勢下的安全驅動
首先看威脅
這一年時間裡非常明顯的看到勒索攻擊在以極其可怕的增速上漲,2020年上半年攻擊量同比增加7倍有餘。就在近日,硬體科技企業“宏碁”受到了勒索軟體的攻擊,攻擊者要求的贖金高達3.25億元。
在REvil勒索軟體網站上洩露的宏碁資料
第二是新趨勢
根據Gartner釋出的預測顯示,2024年IT開支用于上雲将達45%,由今天的33%到幾年後的45%,可以看到大家的IT支出傾向于上雲,這也代表了雲上雲下的支出是一半一半的,那麼我們需要思考,機遇與挑戰并存的環境中,需要如何從安全的角度應對這個新的趨勢?
第三是新挑戰
這個新的挑戰是從2020年開始,包括之前的2019年,我們能看到整體網際網路上的網安形勢越發嚴峻。前不久外交部也有提到,中國仍是網絡攻擊的主要受害者之一。
在越發嚴峻的網安情況下,我們如何建立雲上體系?在新威脅、新挑戰、新趨勢之下,我們該堅持哪些原則去建構雲上企業的安全體系呢?
建構雲上安全體系的原則标準
我希望在本次的分享中,用3個雙驅動和大家介紹。
· 業務與安全雙驅動
這意味着什麼?業務走到哪裡,安全跟到哪裡。你的業務無論部署在什麼樣的基礎設施,其安全能力必須到位。
· 防護與營運雙驅動
我們既有雲上的環境,也有雲下環境,各位企業使用者,大家要思考的是什麼?如何把雲上和雲下本身的安全防護和營運真正統一起來,達到高效、穩定、安全,這是緊迫又重要的問題。
· 合規與實戰雙驅動
我們之前說的合規是一個靜态的,去針對各個企業使用者上雲之後能夠達到,相對應的合規要求。但是老話說得好,光說不練假把式,在達到合規的要求之後,一定要有常态化的實戰攻防能力,隻有和實戰攻防能力相結合,你所具備的合規能力才真正發揮作用。
下面我用3個客戶案例,闡述我們對于這3個次元的雙驅動整體的了解,以及阿裡雲怎樣幫助客戶解決相對應的問題。
一、100%資料不丢失
對于雲上企業來說,資料或者是雲上資料本身就是業務生命線,如果雲上資料不存在,這個企業的業務就不複存在。阿裡雲是全球首家對外推出原生防勒索方案的雲廠商,盡量保證雲上使用者資料100%不丢失。
我本人是安全技術人員,同時負責安全技術架構,我深知100%資料不丢失是非常嚴肅的問題。如何兼顧保障我們龐大的客戶群體做到資料不丢失?我用一個企業服務商的案例給大家說明。
這家客戶在使用阿裡雲的解決方案之前,是雲上和IDC兩套防護體系,這會存在兩個消極影響:
· 營運成本更高;
· IDC缺乏對于勒索攻擊的防禦和相對應的手段,一旦勒索攻擊成功了以後,他真的被攻擊了,資料被惡意加密,沒有辦法恢複,這是在給業務埋下難以挽回的深雷。
阿裡雲的雲上解決方案是用安全中心統一管理,我們會把雲上所有的勒索軟體、勒索攻擊相對應的情報分享給客戶,不但設定雲上的防勒索攻擊基線,同時雲下也可以設定相同的基線。
保障100%資料不丢失,一定要設定兜底方案,是以我們把重要的業務和核心檔案自動化去雲上備份,這樣一來即便萬分之一的可能發生了,在攻擊面前,業務資料還是可以完整保留下來。
二、防護和營運的雙驅動
早在2016年,阿裡雲雲盾 · 混合雲安全解決方案首次亮相,标志着阿裡雲上的安全能力與服務,可以輸出給專有雲、本地機房的使用者,實作全場景覆寫。
我們經過了大規模的業務挑戰和驗證,這裡可以用一個網際網路企業的案例展開分享。這個客戶本身用到了公共雲和專有雲,但沒有集中的安全管控,因為業務合規的要求,需要跑在公網上,但由于沒有集中管控能力,業務營運是非常焦頭爛額的:
· 要在不同的系統中做兩套基本上一樣的工作;
· 沒有大規模的彈性計算資源去進行相對應的風險安全威脅的大資料分析;
· 這家業務的網際網路出口,在時刻面臨巨大的外部攻擊風險。
我們如何解決?首先做到了統一安全管理,其次利用了公共雲上本身的彈性資源,包括公共雲本身的安全防護能力提供相對應的保護。
最後,雲安全中心本身會利用公共雲海量的彈性計算能力,集中分析相對應的安全情報、安全威脅,可以做到快速分析并随時提供相對應的安全防控能力,這樣就可以将公共雲和專有雲上的安全風險兼顧處理。
三、檢驗并確定防護的有效性
在合規之上,我們還需要具有實戰化的能力,這裡帶來一個阿裡雲實戰攻防案例分享。在2019年到2020年國家級安全攻防演練中,我們作為攻擊方連續兩年得分第一名。隻有攻,才知道怎麼守,沒有失分,整體的溯源加分在1.6萬分之上。
針對企業的防守挑戰,作為演練攻擊方,我們認為有如下三點:
· 缺乏成體系的安全防護能力,自身也沒有完整布局安全産品;
· 自身的安全技術團隊實戰經驗相對匮乏,會遺漏諸多資料資産和相對應的需要安全加強的檢查,抑或是發現了存在風險,内部安全團隊也無法加強防護;
· 準備時間較短,收到通知到真正做演練,隻有數周可以發現和改善問題的時間。
我們是如何解決的?基于雲可以實作分鐘級别的快速資産盤點;在不同資産部署相對應的安全産品,完成多輪安全攻擊測試,針對業務中上百個業務系統進行了完整的安全加強。
最終幫助阿裡雲客戶實作了防護零失分,大大超過了客戶的預期,這是阿裡雲安全具有的真正的實戰攻擊和實戰攻防的能力。
阿裡雲首個提出并實作,一體化雲原生安全架構
結合以上3個次元,我們來看阿裡雲原生安全的本質特點。
- 必須業務和安全相結合,你的業務在我們的基礎設施上,自然而然就可以享受到我們本身的安全優勢;
- 我們雲上雲下安全防護方案是統一的;
- 攻防兼備的實戰能力。
我們逐一展開來看:
一、安全能力和基礎設施融合
我們基于硬體的高等級安全,從硬體到軟體,兩者相融合的相對應安全能力,同時我們是安全預設的融合内置安全。
阿裡雲擁有超過30個雲安全産品,支援全面的資料加密能力,實作國際一流産品水準,在國内同樣遙遙領先。2020年我們釋出了108個雲産品的安全功能,這些不是單獨的安全産品,這108個雲産品的安全功能需要展現雙融合特質,我們希望任何業務使用任何的雲産品,都會有相對應雲産品自帶的安全功能提供,你的業務在哪裡,我們的雲安全能力就跟在哪裡。
二、雲上雲下安全統一的混合雲方案
我們說的是3個方面,一是公共雲,二是專有雲,三是客戶的自建IDC。這3者合為一的架構體系下,如何實作安全統一,讓真正的防護安全營運和運維真正做到統一高效?
我們有統一的主機安全能力、統一的容器安全能力、統一的雲原生中心,統一的管理,包括全網,都提供安全統一的混合雲安全解決方案。
三、攻防兼備的實戰化能力
這個說起來很簡單,但是它并不是短期可以建設起來的。阿裡雲安全的攻防兼備的實戰化能力,是長達11年持續化、常态化、實時化的進行攻防演練,服務阿裡巴巴集團以及數百萬個企業客戶,不斷積累的實戰化攻防能力。
對應的威脅決策是全網關聯的,當任何一個使用者受到了單點攻擊,使用者所享受的安全政策、加強政策是整個阿裡雲全網關聯的,我們可以在雲端用全局的視角布控,雲下智能算法會根據雲端整體企業優化的情報,在雲上、雲下都做到精準防禦。
最後總結一下,剛剛我提到的3個融合,3個雙驅動到底是什麼?
- 業務與安全的雙驅動,業務在哪裡,安全就跟随在哪裡;
- 雲上雲下本身防護和營運的雙驅動;
- 合規與實戰的雙驅動。
過去我們服務了超過300萬個企業級客戶,我們也取得了一些成績。阿裡雲是國内唯一整體安全能力,獲得國際權威研究機構認可大滿貫的雲廠商。
現今阿裡雲為300萬企業提供安全服務,幾乎每天成功抵擋60億次攻擊,2020全年做了66次高危漏洞應急響應,作為全球範圍内領先的有全面合規資質的一家公司,阿裡雲有超過190項全球合規資質的認證。
我們希望能夠把我們的安全能力真正做到預設安全、普惠安全!謝謝大家。