从1956年“虚拟化”概念第一次被提出到现在,半个世纪里,云计算以雷霆万钧之势迈入了历史洪流中。现如今,产业数字化仍方兴未艾,智能化时代的大幕已徐徐拉开,云计算的浪潮再一次涌动起来。
而支撑云上一切创新、应用、业务的基石,就是安全。
近日消息,全球权威研究机构Forrester日前发布了2023第二季度《基础设施即服务平台原生安全Wave™》,阿里云凭借技术实力和策略前瞻性,首次进入强劲表现者象限,云平台在数据中心、容器安全和合作伙伴生态系统标准中均获得了最高分。
不同于传统安全的碎片化,云安全是一个从下至上的工程化体系建设,依赖于精细的设计和巧妙的逻辑嵌套,从底层的基础设施,到虚拟化层的资源调度,平台侧的身份、网络、合规,再到上层的数据、负载、配置安全,均需提供给企业可信的运行环境。
自2009年阿里云诞生的那天起,安全便已伴其左右,经过十余年的发展探索,为云上客户提供从基础设施层到业务层的全栈安全防护:
为多租户模式设计的基础设施
作为企业数据中心的延伸,稳定,是一切云服务的基础,也是追求的终极目标之一。
一方面,稳定依赖于物理性安全。阿里云已面向全球开服运营了公共云地域、86个可用区,超过100+数据中心,通过大体量服务器集群为客户业务提供强力支持;同时,每个物理中心从分区设计、安全设备、安防人员,到内部管控、权限控制、维护保障,均处于多层安全防护中。
另一方面,云上资源磁化所需求的是一套完全不同的,适应多租户、分布式部署的底层架构。其核心包括两点,一是云上服务需被多方共用,二是租户之间的逻辑隔离,在保障客户业务空间独立性的同时,提升基础资源的利用效率。
1、虚拟化隔离:
单机隔离能力是企业上云的前提,解决的是资源瞬时的隔离能力和优先级能力,阿里云已实现:
- 计算隔离:阿里云平台使用的虚拟化环境,将用户实例作为独立虚拟机运行,并通过物理处理器权限级别强制执行此隔离,
- 网络多租户隔离:通过网络虚拟化(Overlay)技术方案,通过VxLAN技术对云网络进行编址实现路由层面的隔离。阿里云向云上客户提供VPC产品,基于隧道技术来实现,不同用户的流量都只在各自的隧道里面流动,默认不互通,即客户在云上有了一个自己私有隔离的网络环境,并拥有了自身的网络管理能力。
- 存储隔离:通过分库方案、分表方案、租户唯一标识等手段,实现租户数据的私密性、隔离性;
- 业务隔离:是用户可以直接感知到的隔离,核心点是做好权限管控。阿里云多租户系统的权限控制基于RBAC模式进行设计,即用户、角色、权限和资源的绑定,服务负责人可以使用访问控制管理功能,精确限制哪些服务可以访问和通信;
同时,阿里云会在应用层通过租户标识来区分不同租户的数据,每一个租户都拥有一个唯一标识符,从而实现数据调用的隔离。
2、资源调度:
阿里云的资源调度系统可谓是云计算的大脑,负责在众多集群内的机器里,选择一台最合适的,以最佳的资源使用姿势,做到最少的相互干扰来运行用户提交的计算作业。
调度系统决定着基础设施的利用率和整体运作成本。
2021年,阿里云将发展了十多年的双调度系统重构为基于ACK的“统一调度系统”,新框架基于阿里云容器服务 Kubernetes 版(简称容器服务 ACK),通过一套调度协议、一套系统架构,统一管理底层的计算、存储、网络资源。ACK 本身提供了一个全托管的 Kubernetes 集群的调度能力,对于 IaaS 层不同类型的计算、存储、网络等能力都可以统一调度,运行业务规模达到数千万级别,是云服务稳定性的另一层保障。
(阿里云伏羲系统资源划分逻辑)
依云构建的原生化安全
云上独特的架构,也决定着安全的形态必然与基础设施紧密结合,与云产品深度绑定,以基因式的内生化逻辑,借助于多样化的安全数据与海量的安全算力,为客户提供智能化、原生化、集成化的云上安全。
云安全架构的构建,依赖于连接云上所有资源的身份体系。在零信任动态体系逐渐普及的当下,云上数据、流量的访问、管理都离不开以身份为基石的访问控制和权限验证。在CSA 2022年发布的《Top Threats to Cloud Computing》报告中,云上风险TOP 1为:
不完善的身份体系、凭证、访问和密钥管理、特权账号
Insufficient Identity、Credentical、Access and Key Management、Privileged Accounts
一套完整的云上账户体系应该能保障客户的设备、应用、工作负载、数据等资产被正确的访问,帮助客户在各类情况下,通过多源上下文信息对每一个访问行为进行信任评估,动态授予相应权限,并且通过多因素身份认证(MFA)、用户行为分析(UEBA)等高强度认证手段,最大程度避免凭据盗用、横向移动等安全威胁。
阿里云RAM控制系统,原生接入云上各类服务、资源体系,并且对于多账号、多用户等场景,也可实现权限分离和统一管理,实现云上身份体系的快速构建。
阿里云RAM权限控制 | |
覆盖哪些云上资源 | 弹性计算、数据库、存储、云通信、网络、运维管理、互联网中间件、视频与CDN、企业应用、移动云、域名与网站、人工智能、IOT互联网、大数据、开发者服务、安全、云市场… |
核心应用场景 | ● 对云资源精细的访问控制
● 云SSO服务下多账号统一身份权限管理 ● 对移动端/云服务端应用程序进行访问控制 ● 跨阿里云账号的资源授权 |
而身份所连接的资源,大多基于云上网络、计算、存储三大件而构建:负载、流量、数据。
1、敏捷开发下的工作负载保护:
不同于线下“瀑布式”开发流程,云的高弹性、高算力使CI/CD、DevOps等快速开发方式成为可能,以容器为核心的虚拟负载的存活时间可能只有秒级,阿里云所提供的DADI引擎可实现秒级启动上万个容器,而与原生平台天然一体的底座优势,让对容器资产的感知和保护成为可能。
● 容器资产感知:与平台底座结合的检测,提供“集群-容器-应用”3层递进式网络拓扑可视图,了解容器间的网络拓扑、内部的应用详情,真正做到容器资产实时感知、全局呈现;
● 容器镜像安全:与容器镜像服务ACR原生集成,实现快速接入,覆盖镜像构建阶段、启动阶段、运行阶段,镜像仓库,实现漏洞扫描、恶意镜像检测、基线扫描等能力; ● 容器运行时防护:通过容器防火墙功能,支持多维度、灵活的网络隔离策略,可视化展示集群流量走向,极大降低横向攻击风险。 |
在技术侧,阿里云发布了国内首个云原生容器安全ATT&CK攻防矩阵,也是国内首家通过赛可达容器安全测评的厂商。Forrester在报告中评论:“阿里云提供强大的容器安全能力。”依云而生的容器安全,在天然的架构优势的加持下,已保障服务了上万客户数百万的主机。
2、融入网络节点的流量防护:
分布式部署、虚拟化互通的云上网络,早已打破了传统的“边界”概念,不同于线下常见的南北向流量,云上更多的是在VPC、虚拟机、容器之间流动的东西向流量,其安全需要更细粒度的流量可视化和过滤,这依赖于和网络架构深度融合的安全:
- 云Web应用防火墙已经完成了和ALB负载均衡、MSE等云产品的插件集成,一键接入即可实现防御;
- 云防火墙与云网络CEN TR深度集成,实现东西向流量一键自动引流,自定义分配防火墙网段并自动同步新增;
- 云DDoS接入了阿里云专属SCDN网络,每个节点均拥有百万级QPS的防护能力,并提供独享IP段,隔离风险;
依托云基础设施而构建的流量型产品也实现了安全能力的原子化,根据不同场景、用户群体或特殊要求,共享安全数据并且持续、动态编排安全原子能力,组合成匹配业务逻辑和管理流程的安全功能。
(云上流量安全产品架构)
3、覆盖生命周期的数据安全:
云上的数据防护是一个体系化工程,围绕着数据全生命周期,阿里云提供数据识别、分类分级、数据加密、数据脱敏、传输加密、KMS管控等多样化安全能力,保护客户云上数据生命线。
(阿里云云上数据生命周期防护图)
企业需关注数据在云上的全生命周期流程,在不同阶段匹配对应的安全产品:
- 对所有数据进行扫描、分类,并对识别出的敏感数据进行打标;
- 对核心的敏感数据进行保护,并对其传输过程进行加密;
- 建立完善的数据访问权限体系,依照最小权限原则并开启多因素认证;
- 对于更高密级的数据传输,采用机密计算、同态加密等技术保护其安全;
4、融入云产品的配置管理
和防守思路不同,攻击者会想方设法绕过“马其顿防线”,从某个意向不到的关联路径入侵。在云上,过度开放的端口、核心账户弱密码、过度授权等等错误配置正在成为攻击者的入口,这是一场需要和全线云产品共同联防的持久战。
依赖于云上统一的技术底座和Open API接口,云安全中心所提供的CSPM(云安全配置管理)能力,已全面接入数十款云上产品,提供16大类检查类别、100+检查项,覆盖20+款云产品,对云客户的基础设施、合规性配置进行持续性的评估和改进,并在去年新增身份配置管理CIEM,整体身份管理系统IDaaS、资源管理系统RAM,帮助企业管理云访问风险账户中的异常情况,是原生安全建设不可或缺的一环。
混合云趋势下安全原子化
Gartner在《中国混合云运营的三个重要经验》报告中指出,中国的混合云采用率在2021年达到了42%,预计到2024年,其渗透率将达到70%,已成为主流。在多云混线下的场景中,阿里云通过产品能力原子化模块化、SDK服务化、接口标准化,让客户的选择更加灵活。
此外,针对多云混线下的部署现状,阿里云各类基线安全产品也支持多场景部署:
- 云安全中心支持阿里云、华为云、腾讯云、AWS等公共云的负载安全检测
- Web应用防火墙可支持任意三方IaaS平台部署,通过CNAME代理模式导流或SDK混合部署;
- DDoS防护可通过代理转发规则保护三方IaaS平台免受L4/L7层攻击;
- 阿里云容器安全所提供的agent可部署在其他IaaS节点上,通过daemonset方式来连接三方节点实现风险扫描;
- 阿里云KMS密钥管理系统支持三方密钥统管;
数字化时代,安全是所有企业必须面对的问题。传统安全能力单点极致的思路,在体系化防护思想中呈现边际效益递减,碎片化所带来的复杂性,难以为客户带来正比的安全收益。阿里云安全与基础架构紧密耦合,依云而生的一体化原生安全,才能提供给客户更极致的安全体验。
Forrester评论:“对于需要在中国拥有安全的公共云平台IT设施的企业/组织,阿里云是绝佳的选择。”
在信通院发布的《云原生安全成熟度》标准评估中,阿里云取得国内唯一全域最高等级认证。作为亚洲合规资质最全的云厂商之一,阿里云整体安全能力获得了国际三大权威机构一致认可,未来,阿里云将持续致力于为客户提供安全、可靠、高效的云计算服务。
评论