安全性是所有云计算平台都绕不开户的核心,一个基础常识是,所有客户考虑是否上云的第一点因素,就是云的安全性,也正是这一点,促使云服务商们大力关注自身安全性,不论是亚马逊还是阿里。
9月28日,阿里云在云栖大会之前,发布首个企业云安全架构,以及《2017阿里云安全白皮书》(简称白皮书)。
阿里云安全事业部总经理肖力于现场表示,大量企业将业务部署在云端,但是国内90%的企业都没有自身的安全团队,安全水平不及格。仅有2%的公司会在安全上有较大投入。
IDC中国企业研究部高级分析师赵明宇也强调了云上安全的重要性,他对雷锋网表示,IDC研究结果显示,2016年全年,全球范围内,因安全事故造成超过一千亿美元的直接经济损失;国内也有超过一百亿美元的损失。“今天,因为IT安全事故所带来的资产流失与业务流失是非常严重的。”
那么未来云的趋势会是什么样子的?
据IDC报告显示,从2013年至2021年,公有云份额增加了20倍,充分融合进各行各业。未来,在公有云上提供安全服务,是确定的市场趋势。同时,IDC数据报告显示,有60%的漏洞来源于应用程序——也就是说,如今绝大多数漏洞,存在于应用程序及网页端。
如此高速增长的背后,是需要警惕的黑产组织。
赵明宇表示,从2015年到2016年间,勒索软件的种类从29种增加到247种。庞大增长量的背后,黑色产业一直在不断扩大,这个情况十分恐怖。
据雷锋网(公众号:雷锋网)了解,从阿里云创立之初便有很多政务客户,包括各地政府、智慧大脑、企事业单位等,云安全所直接影响的公信力在这项客户一直以来的痛点。阿里云承载四成以上的外部网站以及应用,包括手机端应用、IT应用等,面对过非常多的攻击情况。也正因此,阿里云安全自身技术专家刘少杰表示,阿里云将智能安全能力归结为三点:
-
第一,感知能力。包括威胁情报、攻击预测等,只要在阿里云监测范围内监测到一条恶意试探,就会把侦查范围扩大,第一时间尝试阻断。
-
第二,溯源定位。有矛还要有盾,在感知危险后,阿里云会启动不同级别的响应措施,包括实时拦截、观察模式、及时上报等7*24h服务。同时反向定位,溯源在什么地方、隶属哪个组织、攻击是什么特性。
-
第三,态势感知。同时提供网络防护的DDos、安骑士、Web应用防火墙等免费服务。
那么阿里企业云安全架构具体是什么样子?为适应不同于PC时代的云上安全挑战,阿里云企业云安全架构提供了一种搭建更简单、更智能的安全架构指导方案。
据雷锋网了解,阿里云企业云安全架构采用“平台-用户”双层安全保障模式,系统阐述阿里云如何保护云平台的安全和用户的安全。涵盖业务、运营、数据、网络、应用、主机、账号、云产品、虚拟化、硬件、物理安全等11个维度共45个模块,将安全武装到了“牙齿”。企业可以根据这份指南搭建一个更简单、更智能的安全架构,确保生产效率,创造更多的价值。
在平台方面,阿里云打好了安全的地基;在用户层面,用户可选择阿里云全栈安全模块快速提升业务安全能力。
具体来讲,可分为三部分:
-
第一是硬件安全方面。做安全的人都知道,越往底层越安全,如果芯片能够提供安全功能,则可以说是最高顶级的安全保护。而这方面技术门槛非常高,且需要定制化。肖力对雷锋网表示,阿里云接下来会推出像芯片级加密的服务,直接在CPU在芯片里面提供直接加密的服务,做到足够的安全。
-
第二,云产品层面。对像ECS、OSS存储、以及RDS类似的产品,在出厂之前会进行整个安全的设计,包括安全框架以及代码安全,确保用户使用产品时是默认安全的。
-
第三,数据安全。肖力表示,数据安全最核心的一个点,是要做好加密。提出完整全链路的数据加密方案。数据链路的安全上来后,目前ECS支持整个存储盘的加密,对RDS支持整个透明加密,在存储方面,云产品支持全链路的加密。另一方面芯片级的加密,包括引入第三方的硬件加密机给用户提供更多更便捷不同安全等级的加密服务。
目前,阿里云实时保护着全国40%的网站,每天帮助客户成功抵御16亿次攻击。过去一年里,阿里云已帮助用户修复87万个漏洞。
为了说明这个架构可用性很高,肖力在发布会上还特别请到了阿里云的一个典型用户:ofo 小黄车的 CTO 童长飚。
据雷锋网了解, ofo的安全运维人员比大多数人想象中要少。他们靠的更多的是思考和工具。 ofo 的服务都架设在阿里云上,所以他们在进行安全运维(也就是云安全架构上面这部分)的时候,也更多地采用了阿里云提供的上层工具。
童长飚表示,ofo的研发团队会依托阿里云的按照能力定义自己的安全指标,其次,ofo会根据阿里云这种安全团队具备的运营能力来持续地对一些安全能力进行交付。在这个前提下来构建ofo完整的安全体系。
另外值得强调一点,ofo和阿里云合作第二点,是态势感知上,阿里云安全团队提供完整的态势感觉这种情报威胁API,对构建自身的态势感知产品是非常有帮助的。
此外,阿里云的日志收集系统能够为ofo提供全面的分析基础数据。
