6月1号,阿里云峰会·粤港澳大湾区在广州举行。在此次会上阿里云首次公布扎根粤港澳数字经济发展成果:已服务粤港澳近75万付费客户,深入大湾区产业数字化进程,让云计算成为粤港澳大湾区高质量发展的强劲动力。阿里云安全产品负责人祝建跃,在本次峰会中分享主题为《让更高等级云原生安全能力成为云上用户“标配“》
祝建跃认为:站在云产品的视角观察,其实目前云原生安全已经进入2.0阶段。企业随着数智化转型进程,进入云上云下、多云混合办公环境,传统安全思维倾向于被动与人工,并不适合当下更复杂的工作环境,继续使用传统安全思维,来操作新环境中的安全控制,无疑是在弱化云原生的安全优势。同时,降低各项安全产品使用门槛,才能让安全成为更多云上用户“标配”。
云厂商拥有天然优势,把安全设计为一个功能系统,在各云产品之间深度打通.
云原生安全2.0旨在让云上安全更简单,让企业在复杂环境中更高效的利用云原生能力管理企业安全,自动化帮助用户解决掉同质化、繁杂的安全与合规问题,让用户把精力集中在解决更有价值的问题上。
以下为演讲原文。
阿里云是国内首个提出云原生安全概念并实践的云厂商。过去,传统IT设施不得不面对安全产品碎片化的问题、安全规则难以应对动态的业务变化、安全能力部署周期长、极速扩缩容难度高……但是随着云的出现,我们今天可以实现一键开通、按需调用……这些是云原生的部分优势,也是云架构在设计过程中让云与云产品充分结合的成果。
云原生安全2.0初模型
随着企业数字化转型,混合工作模式成为当前企业常态,企业数据从传统的封闭式网络流入云端,多云、混合云场景激增,多账号、多产品同期运营。同时对于效率与安全的要求与预期都在暗自增长,在此我今天带来阿里云的云原生安全2.0初模型,我总结它的特性在于云产品安全之间的触类旁通。
今天阿里云所有的网络型产品都能够做到安全产品一键开通。直接把安全能力内置到网络的同一台的服务器里面,流量不需要经过二次转发,对延时的影响极低。所以,接下来企业的CISO们可以理直气壮地说“网络延迟的锅,安全产品不背”。
云原生安全2.0-化繁为简云原生安全2.0-化繁为简
A云解决不了B云的安全问题?
随着数字化转型加速推进,现阶段的很多企业企业都会面临云上云下同时运营、也有可能是在多云的场景,需要花精力去管理备份。之前有听过“A云解决不了B云的安全问题”的说法。这次我希望大家可以清晰的看到阿里云针对多云做了系统化防护设计,这里我们认为最先应该被解决两个问题,一是应用层面对外部攻击,这里我们实现了WAF的统一。二是在负载层,大量资产的集散地,我们让主机安全能够做到统一运维与防护,以上两点的策略统一可以直接大幅降度使用成本。不再需要面对安全碎片化的运维问题与日常的多云多账号安全运营,直接在云安全中心做统一的分析与管理。
告警多到“司空见惯”反而干扰处理思路
上面我们说的是防护阶段的系统化,接下来我们进入检测和响应阶段的自动化(SOAR)。不是所有的安全告警都需要投入人力,我相信这句话可以得到很多认同,因为我总是听到用户吐槽告警过多,尤其是大型企业多账号多产品运营场景,告警多到“司空见惯”反而干扰处理思路。我们希望通过自动化编排压缩运营成本,支持多云、多账号运营策略,同时压缩99%的告警,用户只需要投入精力在另外那1%,去释放你的精力去关注真正重要的提示,或在云上去运营更多账号与产品。
阿里云安全中心内置CSPM能力,帮助企业更好的自动化其配置检查
提到产品,这也是云上资产的重要部分,云安全中心在去年IDC发布的中国CWPP安全市场份额报告中在整体与公有云市场排名中均为榜首位置。CWPP本身是云原生安全概念,核心是持续改进与适应安全态势,以降低被攻击的可能性,与攻击发生的损害。今天我要介绍的是与CWPP同期定义的云原生安全概念:“CSPM ” 旨在识别云中的错误配置问题和合规风险,动态审视云基础架构以发现安全策略执行中的安全漏洞。
企业上云之后,部分安全责任由云厂商共同承担,企业需要继续承担其安全合规配置问题,为提升运维效率、降低合规风险,阿里云安全中心内置CSPM能力,帮助企业更好的自动化其配置检查。想象一个场景,比如存储产品,经常会设置为公共访问,当1个 bug出现,检测难度不高,但多个账号各自多个bug同时出现,及时巡检难度就比较高了。再试想一个场景,数据库访问权限的错误开放,也是极常见的云上配置类的安全风险,这里还会潜在一些合规性的配置问题。针对这类问题,云安全中心内置了CSPM能力,覆盖等保二级三级配置的基线检查,还有针对CIS合规标准的检查。
当前这项能力能够覆盖阿里云主流TOP20云产品、200+的安全检查项。
让高等级的云原生安全能力成为云上用户“标配”
看到这里,你或许生出一个疑问,标题提到的“标配”怎么还没开始降价?
关于价格策略,当然有。
如图所示的云上最简单的安全架构,用到的安全工具如图,在阿里云上的年度安全费用可以低于1000块钱。因为阿里云有提供免费的证书,单域名的证书可以有20张,云安全中心内也有态势感知能力的免费版本,可以支持基础防护包括AK泄露、主机异常漏洞等;我们所有的产品无论是云安全中心、WAF、云墙等等都支持按量付费,我们针对计费方式做了更全面的分解,像家里的水电煤,Running才计费,随时暂停或终止。
但更重要的,还是从产品维度上去解放用户运营成本、运维成本、防护成本等需要持续投入更多努力提升用户体验,让云上更安全更便利,云安全才有可能从长远发展的角度成为“标配”,因为阿里云一直是一家产品驱动的科技公司。
人类对于“安全”的认识,从原始时期出于本能的自发认识阶段,到第一次工业革命后针对个别生产过程或某类机器设备的局部认识阶段,再到20世纪大工业时期针对各种应用系统发展为系统安全认识阶段。人类对安全的需要程度越高,代表同期相称的科技深度与广度越强,要从根本上达到应用系统的动态安全,就需要把安全看作是一个功能系统,通过其各个组成要素之间的功能互补、协调作用,使应用系统整体得到安全优化,所以“云原生安全“只是一个新的开始,让更高等级的云原生安全能力成为云上用户“标配”才是现阶段的某个章节完结。
发表评论
您还未登录,请先登录。
登录