當今社會,提起「雲計算」三個字,那可謂是無人不知,無人不曉。
那麼,究竟什麼樣的雲可以讓大家信任,一朵安全的雲應該具有哪些特點呢?
雲安全的四大骨骼
實體中心/基礎平台/身份權限/資料分級
安全對于基礎設施而言,如同萬丈高樓平地起,地基直接決定了安全系數。安全底座沒搭好,抗風險能力經不住考驗。
在衆多的安全功能裡,一朵可信的雲首先應當具備四根安全支柱:實體中心安全、基礎平台安全、身份權限管控、資料分級規則。
01雲的誕生之地:資料中心實體環境安全
看似遨遊于九天之上的雲,安全之根仍需回歸機房硬體。任你雲平台安全功能做的多百花齊放,一個有預謀的社會工程攻擊就能讓你功虧一篑,應了那句老話:千裡之行,始于足下。
任何一個實體資料中心,都可能遭遇花樣繁多的實體攻擊。
實際上,雲的實體資料中心作為一切平台、服務的基礎,比傳統企業資料中心擁有更高的安全等級,它最起碼需要做好:
實體安全:建房子,沒有那麼容易
大到機房選址、防火防盜防斷電,小到電線、插座、加濕器,再到最新技術的液冷機房,都彰顯着頂級資料中心的奢華和尊貴。
權限管控:想來,沒那麼容易;
逃跑?想都别想
無論是外部通路人員,内部員工,還是機房本體設計,都需遵守精密設計的最小權限原則。
容災備份:删庫跑路?不存在的
一個好的機房,既要不懼風吹雨打、日曬雨淋,還要學會“狡兔三窟”:異地/同城容災,兩地三中心,備援機制......哪怕被外力破壞,也可以保護資料的絕對安全。
阿裡雲的資料中心已經面向全球四大洲,開放24個公有雲地域、75個可用區、4個專屬地域,可以實作使用者同城/異地資料備份,備援存儲等能力。
全副武裝的實體資料中心,就像是兩條健全的腿部骨骼,作為第一大支柱,幫助雲堅實地邁向虛拟化。
02雲的“飛天”之路:基礎平台安全
有了資料中心強大的支撐,通過給硬體伺服器建立虛拟化層,并将虛拟機的計算、存儲、網絡等資源進行隔離,完成了性能與實體機的解綁,實作雲上租戶的分割,一個初步的雲平台終于形成了。而安全,自平台誕生之初,就應該如影随形,深度隐藏且難以察覺的威脅,最好的保護從源頭開始。
硬體固件安全
作為雲平台依賴的基礎安全,硬體固件安全應當做到基線掃描、高性能GPU執行個體保護、BIOS固件驗簽、BMC固件保護等等能力,對安全進行加強。
可信之芯
面對深度隐藏且難以察覺的威脅,我們需要來自底層的保護,從源頭上保障上層的不可篡改性。阿裡雲硬體伺服器已植入可信晶片,通過可信根和可信鍊,建構起了硬體級别的可信環境,保證雲上環境健康。
虛拟化安全
所謂“天下大勢,分久必合合久必分”,一台台本是同根生的ECS,雖然遍布世界各地,但根系都彼此相連。是以針對虛拟化的安全加強、逃逸檢測、更新檔熱修複、資料清零...等等安全能力,必不可少。
合規标準
一朵安全的雲當然要獲得全球各家權威機構的廣泛好評和認可,才能經得起各行各業使用者遇到的實際安全需求。
遍布世界的雲平台,根系彼此相連,做好了上述這些,雲平台才算是有了一個穩定的軀幹,建構起一體化的可信環境,保持整個系統環境健康運轉。
03雲的準入原則:身份&權限
作為資訊時代的水電煤,雲計算可以通過任何終端裝置:電腦、筆記本、手機、Ipad.....進行連接配接通路。
傳統架構下的網際網路邊界消失了,任何人+在任何地點+任何時間+通過任何裝置+通路任何資料,如果僅僅以傳統的防火牆、waf等單點的流量安全産品去防護,結果可能有點涼涼~~
- 身份認證:確定是對的人
- 通路授權:確定通路的是對的資源
- 賬号管理:確定授予的是對的權限
- 操作審計:確定及時發現異常通路
- 應用管理:確定雲上雲下身份的統一
隻有做好雲平台的身份管理,才能對每一次的通路、每一次的資源配置設定、每一次的權限授予,做出正确的抉擇。它就像人的頭骨一般,保護着大腦這個最核心的器官,用身份交織成的堅硬防護網,打造獨特的屬于雲的邊界防護體系。
04雲的寫入規則:資料分類分級
資料,作為雲上最重要的資産,沒有之一,也是攻擊者的終極目标。但是,先别急着聊資料安全防護,保護的前提是了解被保護者,我們首先要了解資料本身:
資料是「不平等」的,不同的資料有不同的歸屬。
無論是結構化資料、非結構化文本還是圖檔檔案,雲上海量的資料需要先進行分類分級,才能有針對性地分類分級分層次管理。
雲上一層一層的資料分級,就像人體骨骼的肋骨一樣,以嚴密的體系幫雲展開胸廓。
實體環境、平台安全、身份體系和資料分級,共同建構了雲平台的安全骨骼,一朵安全的雲已經逐漸成形。
雲的安全神經網絡
但是光有安全的骨架還遠遠不夠,還需要一套完善的神經網絡将雲串聯,才能讓這些安全能力成為協同關聯的有機整體。
這套系統應該有兩個核心功能:
- 調控能力:控制、調節各種安全能力、産品的活動,實作将安全能力融入到雲的每一個設施、端口、節點中,提供全面綜合的防禦能力;
- 分析學習能力:通過對不同資訊的分析、綜合與學習,對于不同的外部行為、攻擊做出正确的反應,使雲上安全成為一個有機的自适應系統。
而這套連接配接萬物的有機系統,其實并不神秘,它就隐藏在雲上的流量裡、資料裡、甚至漏洞修複裡...
#01 調控能力:建立雲上動态防護機制
要說雲服務的核心,流量,流量,還是流量!
而說到雲上最核心的資産,資料,資料,還是資料!
資料和流量,這兩個在雲上飛速産生、流動、交換的核心,就像是遍布在人體各處的血脈、血管。被無數攻擊者窮追不舍,被無數勒索軟體苦苦追尋,一個不小心的趔趄或者擦挂,就會受傷流血,導緻業務受損,在單點防護幾乎不可能的情況下,隻能進行系統調控。
如果類比人體呼吸系統,一起看看空氣和血液的互動旅程:
第一是資料的采集安全,空氣進入人體前确定氧氣、二氧化碳、氮氣……不同目的地,資料在進入雲時,也需要識别分類。
第二是資料的傳輸安全,空氣在人體流動,氧氣會和血紅細胞融合受到保護,資料整個傳輸鍊路全程加密,例如HTTPS協定,VPN/SAG網關、SSL證書等。
第三是資料的存儲安全,紅細胞存儲着氧氣,資料擁有個性化的密鑰管理及密鑰輪換體系。
第四是資料處理、交換安全,氧氣和二氧化碳交換,源源不斷供養給身體,資料在身份權限管控下,安全的交換共享。
第五是資料銷毀,荷載廢料的氣體随着呼吸排出,對無用資料在保障隐私的前提下及時實體銷毀。
雲上資料,因為體系化的調控能力有機配合,是一個更天然的保護過程。
除此以外,在資料防護方面,雲平台還應該具備幾大核心能力:
- 實作雲平台環境可信
- 難以破解的加密能力
- 資料可用不可見,驅動智能
- 安全便捷的密鑰管理服務
而針對雲上雲下時時刻刻都在奔湧的流量,防護則更加需要細化。
除了前面提到的通過身份權限來對流量進行源頭上的控制以外,還需要對雲的各個節點做好防護:
- 流量的進出口:使用防火牆、WAF、抗DDoS等産品,對東西南北向流量進行把控。
- CDN邊緣計算、SLB負載均衡節點:打通相應的安全監測能力,實作安全能力和基礎設施融合。
- DMZ區:建立安全與非安全地帶的緩沖。
- 流量準入邏輯:通過機器學習、大資料分析等能力實作惡意陸良自動化識别和攔截
當一朵雲做好的了雲上資料和流量的安全防護體系,那麼它也實作了自我的蛻變升華:将安全的基因深深镌刻在雲的每一個角落。
從ECS、存儲、資料庫,到網絡、計算、身份,無不是生來就飽含着安全的元素,讓使用者上雲即享受安全
#02 分析學習能力:安全的中樞神經
當一朵雲做好以上的種種安全能力,它離“神功大成”隻有一步之遙,但這也是整個過程中最核心的一步。
展現了雲在安全上的不可替代性。
統一的端口友善資訊的搜集處理以及政策的一鍵同步,強大的算力支撐着機器學習、AI、自動化等進階能力,實作真正的無感防禦,而這些功能,構成了雲安全的中樞神經系統。
要做好這個中樞神經系統,需要三大核心能力:
其一,不同雲産品間協同關聯
雲上統一的Open API接口,可以實作數十條産品線内置安全能力關聯,展現本是同根生的禦敵優勢。比如主機防護産品發現了一個新的安全警告,可以主動給外圍裝置下達指令,威脅情報可以通過API快速地分發給雲内所有元件。就像是戰火紛争下的狼煙傳信,從邊疆一路抵達王都,再由王都通知給四方屬地,共同禦敵
其二,統一安全管理系統
一套體系内的威脅識别、分析、預警、溯源,高速度的完整閉環
其三,強大的威脅情報資料庫
通過機器學習、深度學習、UEBA等安全能力建構實時更新的威脅檢測架構,實作單點威脅全網秒級協同
至此,一朵具備安全基因的雲已初具雛形,但是它的安全之旅還遠遠沒有結束。在安全骨骼架構和神經網絡之下,還等待血肉的補充,機體的增強。
我們期待和雲上使用者、合作夥伴生态一起,讓阿裡雲真正成為一朵最值得信賴的安全雲。
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。