根據《中國雲計算産業發展白皮書》預測,2023年中國政府和企業的上雲率将超過60%:
雲,已經成為了新一代的基礎設施。
對于關系國計民生的各大國資銀行而言,探索新一輪業務增長可能性,提升業務便利性,給使用者更簡單、更快速的交易流程,更多元的線上服務,是業務需要探尋和發展的方向。
雲技術,提供給了他們創新的土壤。
合作阿裡雲的這位銀行客戶,嘗試在公有雲上搭建首個雲上”大賣場“,提供各類生活消費品、服務等20餘萬種商品,由商城直接和供應商進行對接,免去了中間商差價,讓會員們能以較低的價格買到優質的商品。該業務快速從試點地方推廣到全國,目前會員數激增至千萬,極大提升了使用者粘性。
而安全,是這一切業務創新的背後的奠基石。
客戶關鍵詞
國内TOP銀行
數萬台雲上主機
千萬級會員使用者
雲上商城的「十面埋伏」
一個偌大的線上商城,存儲着大量的商品資訊、使用者交易資料、個人敏感資訊……迎接來自四方八方的通路請求;開放給各個ISV、供應商的API接口,同時每天還要處理數萬次的交易訂單……其中不乏惡意的BOT、DDoS攻擊等。而當遇到活動大促、售賣活動,潛伏的黑産團體會挖空心思去鑽研活動漏洞,随時準備薅取平台羊毛......
我們可以把雲上商城面臨的風險場景抽象為幾個方面:
01 線上業務風險:
雲上商城業務很多核心環節都線上上環境完成,當我們模拟顧客的業務全流程,會發現多處隐藏着的安全風險:
賬戶開戶:是否存在身份證盜用、盜刷等情況;
使用者登入:是否為使用者本人登入,賬戶是否被劫持,是否有可疑操作;
大促活動:活動中是否存在可被利用的漏洞,如果被黑産薅羊毛,不僅會給業務帶去巨大的損失,還會影響正常使用者的體驗。該客戶在去年雙十一大促期間曾經推出過1元購活動,由于營銷風控不到位,被黑産薅取數十萬資産。
交易成單:商場需要提供完善的擔保系統,确認不會出現商家攜款潛逃或者買家收貨不付款情況;
02 通路中的API風險:
作為一個面向公衆的開放業務,商場需要接入各個ISV的服務,開放大量API接口友善業務通路。但提供便利的同時,也給攻擊者帶去了可乘之機。國外安全公司Salt Security在2021年釋出的API安全報告中顯示,91%的受訪公司企業去年經曆過API相關問題,超過半數(54%)的受訪企業在其API中發現了漏洞,46%的受訪企業出現了身份驗證問題,而20%指出了爬蟲和資料抓取工具引發的問題,足以可見不安全的API所帶來的危害。
對于雲上商城業務,主要存在兩大風險:
由API漏洞導緻的非法調用:攻擊者可以利用API開發過程中存在的漏洞(如缺少身份認證、水準越權漏洞、垂直越權漏洞等)使用非POST的請求方式、Cookie傳輸密碼等操作登入接口,實作API的非法調用,産生使用者資訊洩漏和内部系統被攻入的風險。
網絡爬蟲通過API爬取大量資料:BOT攻擊的特點是在短時間内爬取到目标應用上所有的資料,如果沒有有效的防護,交易過程中的商品資訊,使用者個人資訊、交易資訊、賬戶資訊等存在洩漏的風險,不僅有可能違反即将實行的資料安全保護法,還會給會員帶去糟糕的體驗。
03 基礎平台風險:
不同于線下IDC以資料中心為核心的部署模式,雲上的分布式架構給安全和防護帶去了全新的特點,傳統的安全邊界比打破,主機由實體實體變為雲上虛拟機,東西流量猛增......傳統的安全防護已不再實用,沒有辦法保護好雲上資料、流量、主機的安全。
阿裡雲安全的「諾亞方舟」
針對客戶遭遇的及雲上商場面臨的通識性業務問題,阿裡雲安全結合現有的産品和安全實踐,一一解決雲上商城在交易場景下、流量風險中和基礎平台上遭遇的安全問題。
(阿裡雲業務安全風控架構圖)
01 危機四伏的業務
首先,我們需要明确在使用者交易場景中存在幾大反欺詐問題:身份僞冒、裝置風險、行為異常
針對這些業務風險場景,阿裡雲提供以下幾大安全能力:
身份冒僞識别:
阿裡雲實人認證提供基于身份證資訊、銀行卡信要素資訊、手機号營運商資訊等不同要素交叉組合身份驗證解決方案,通過不同要素組合應用,充分驗證使用者身份有效性。
同時,作為全球獨創人臉多因子生物核身技術的創立者,阿裡雲用五步循環走,認證使用者為【真人】且為【本人】。利用OCR技術判定身份證是否真實有效;通過使用者認證過程中的動态互動活體檢測算法與靜态炫彩光線活體檢測算法多因子認證,結合用戶端安全風險監測,有效識别照片、面具、視訊、合成人臉、注入攻擊等人臉僞造行為,確定使用者為真人。結合人臉對比認證,能精确地判定鏡頭前的使用者是否為本人。最後通過阿裡風控資料進行輔助識别,大幅提升使用者身份驗證的安全等級,滿足不同業務場景下使用者身份安全訴求。
(使用者核身流程圖)
裝置風險識别:
阿裡雲安全裝置風險識别服務,基于端上安全元件(Android/iOS SDK、JS)對裝置風險進行識别,精準、全面覆寫各類模拟器和惡意軟體,有效協助企業甄别惡意裝置。同時可以應用到注冊、登入、下單、領券等業務場景,通過傳入裝置資訊,精準識别裝置風險,有效打擊黑灰産行為。
行為異常識别:
阿裡雲通過分析使用者在注冊、登入、營銷活動參與等環節的異常行為,結合裝置、環境、關聯風險等特征,有效識别逃單、惡意退款、無法履約等風險使用者。
有别于單點的防護,阿裡雲提供給客戶的是端、雲、離線計算的全風險鍊路管控。
(端+雲聯防體系)
對于業務風控安全而言,重點需要考慮四大方面的能力。廠商的:
資料儲備是否豐富
資料技術是否成熟
場景經驗是否全面
平台計算引擎是否具備
阿裡雲安全在這四大方面都做到了業内頂尖
從資料儲備來說
多年的黑産對抗經驗給阿裡帶來了數十億的裝置覆寫積累;
從資料技術而言
無論是聚類算法、團夥模型,還是行為序列檢測、UEBA.....阿裡雲強大的算法庫都提供支援;
從場景經驗來看
阿裡強大的生态體系,使得雲安全在金融支付、營銷活動、借貸、保險等場景均有最佳防護實踐落地,提供給客戶多種可選場景;
從平台計算引擎來看
阿裡雲的大資料平台、風控引擎平台、圖計算引擎平台等,提供給客戶強大的可視化和便捷的操作平台,幫助客戶快速建構自己的風控體系與能力。
阿裡還将在每一次的大促活動中,不斷提升和磨煉自己的核心能力。
在雲上商場的交易場景下,針對API管控,主要集中在兩點:
● API漏洞管理:
阿裡雲Web應用防火牆(WAF)中內建了API安全防控方案,能實作主動發現老舊、缺乏鑒權、資料過度暴露、敏感資訊洩漏等風險的API接口。
● BOT爬蟲管理
(阿裡雲BOT防控流程)
作為WAF産品的核心功能之一,BOT爬蟲管理通過用戶端指紋識别、AI智能防禦、雲上協同防禦情報、爬蟲行為分析等核心能力,幫助使用者有效抵禦來自BOT的惡意流量。
03 基礎平台安全:
阿裡雲緻力給客戶提供上雲即安全的平台服務,将安全融入雲的基因中。
對于所有上雲客戶而言,即可獲得可信的計算環境、資料預設加密、持續動态驗證、密鑰天極輪轉等能力。此外,阿裡雲的10條産品線50款産品已經具備522項核心安全能力,已經提供給了客戶較高的安全水位,建構了一個安全的平台架構。
在此之上,阿裡雲通過雲安全中心、雲防火牆、DDoS等基礎安全産品,幫助雲上使用者全面防護主機側、流量側所遭遇的攻擊和漏洞,幫助使用者實作雲上安全防護。
04 安全服務支援:
對于雲上架構不了解,對于雲安全産品不熟悉,運維人員碰到操作問題等,也是上雲使用者常常遇到的難點。
阿裡雲安全有一支由安全專家元件起來的團隊,一方面在客戶上雲初期配合客戶,協助其熟悉雲上産品操作,并提供後期專業指導;另一方面在重大活動期間,提供給客戶7*24小時的人員值守,進行應急處置、攻擊溯源等服務,確定客戶對雲上安全狀況清晰可視。
客戶價值
·通過接入業務風險風控服務,提升了客戶線上業務的風控能力,強化和黑産對抗能力,幫助客戶有效識别上萬黑産賬号;護航客戶業務健康增長,助力其達成兩年内業務增長數十倍,使用者數破千萬的佳績;
·安全服務團隊在重要活動期間,保護使用者業務安全,保證雲上零攻破。
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。