阿里云安全系統(tǒng)，云原生安全定義下一代安全架構(gòu)

（文章來(lái)源：百家號(hào)）

全面上云的拐點(diǎn)已至，企業(yè)上云后將帶來(lái)IT基礎(chǔ)設(shè)施云化、核心技術(shù)互聯(lián)網(wǎng)化、應(yīng)用數(shù)據(jù)化和智能化，企業(yè)架構(gòu)正在因云原生技術(shù)紅利而發(fā)生變革。近日在2019網(wǎng)絡(luò)安全生態(tài)峰會(huì)上，阿里云智能安全事業(yè)部總經(jīng)理肖力提出，承云之勢(shì)，云原生安全能力將定義企業(yè)下一代安全架構(gòu)，助力企業(yè)打造更可控、更透明、更智能新安全體系。

IDC最近發(fā)布的《全球云計(jì)算IT基礎(chǔ)設(shè)施市場(chǎng)預(yù)測(cè)報(bào)告》顯示：2019年全球云上的IT基礎(chǔ)設(shè)施占比超過傳統(tǒng)數(shù)據(jù)中心，成市場(chǎng)主導(dǎo)者。企業(yè)上云已成功完成從被動(dòng)到主動(dòng)的轉(zhuǎn)變。企業(yè)上云后不僅可以享受云的便捷性、穩(wěn)定性和彈性擴(kuò)展能力，而且云的原生安全能夠幫助企業(yè)更好解決原來(lái)在線下IDC無(wú)法解決的困難和挑戰(zhàn)。

同時(shí)，Gartner相關(guān)報(bào)告也指出：與傳統(tǒng) IT 相比，公共云的安全能力將幫助企業(yè)減少60%的安全事件，有效降低企業(yè)安全風(fēng)險(xiǎn)。云化給企業(yè)安全建設(shè)帶來(lái)根本性的變化，企業(yè)可以跳脫現(xiàn)在單項(xiàng)、碎片化的復(fù)雜安全管理模式，迎來(lái)"統(tǒng)一模式"，即使在復(fù)雜的混合云環(huán)境下也可以實(shí)現(xiàn)統(tǒng)一的身份接入、統(tǒng)一的網(wǎng)絡(luò)安全連接、統(tǒng)一的主機(jī)安全以及統(tǒng)一的整體全局管理。肖力認(rèn)為，實(shí)現(xiàn)這一切源于六大云原生安全能力，在不斷推動(dòng)企業(yè)安全架構(gòu)的進(jìn)化。

憑借云的網(wǎng)絡(luò)虛擬化能力和調(diào)度能力，企業(yè)可以清晰的看到自己主機(jī)東西南北向的流量，統(tǒng)一管理好自身邊界安全問題，包括對(duì)外的安全邊界以及內(nèi)部資產(chǎn)之間的安全邊界，公網(wǎng)資產(chǎn)暴露情況、端口暴露情況，甚至是正遭受攻擊的情況一目了然，從而制定更加精細(xì)化的管控策略。

云具備實(shí)時(shí)的全網(wǎng)威脅情報(bào)監(jiān)測(cè)和分析能力，可以實(shí)現(xiàn)從發(fā)現(xiàn)威脅到主動(dòng)防御的自動(dòng)化響應(yīng)。2018年4月，阿里云捕獲俄羅斯黑客利用Hadoop攻擊云上某客戶的0day漏洞，隨即對(duì)云上所有企業(yè)上線自動(dòng)化防御策略，最終保證漏洞真正爆發(fā)時(shí)阿里云上客戶未受影響。從捕獲單點(diǎn)未知攻擊到產(chǎn)生"疫苗"再到全網(wǎng)實(shí)施防御，阿里云正在探索從安全自動(dòng)化到數(shù)據(jù)化再到智能化的最佳實(shí)踐。

當(dāng)企業(yè)擁抱云并享用SaaS級(jí)服務(wù)帶來(lái)效能的同時(shí)，基于云的統(tǒng)一身份管理認(rèn)證成為關(guān)鍵。企業(yè)安全事件中有接近50%都是員工賬戶權(quán)限問題導(dǎo)致的。基于云的API化等原生能力，企業(yè)可以對(duì)身份權(quán)限進(jìn)行統(tǒng)一的認(rèn)證和授權(quán)，并可以在動(dòng)態(tài)環(huán)境中授于不同人不同權(quán)限，實(shí)現(xiàn)精細(xì)化管理，讓任何人在任何時(shí)間、任何地點(diǎn)，都可以正確、安全、便捷的訪問正確的資源。

由于硬件安全和可信計(jì)算領(lǐng)域的人才稀缺，導(dǎo)致企業(yè)自建可信環(huán)境面臨諸多挑戰(zhàn)且成本較高。隨著全面上云拐點(diǎn)的到來(lái)，企業(yè)可以享受阿里云內(nèi)置安全芯片的底層硬件能力，并基于此構(gòu)建可信環(huán)境，從而以簡(jiǎn)單、便捷、低成本的方式實(shí)現(xiàn)底層硬件的默認(rèn)安全、可信。

數(shù)據(jù)安全的技術(shù)仍然處于發(fā)展中階段，還需要經(jīng)歷技術(shù)的不斷迭代才能滿足企業(yè)不同的需求。未來(lái)隨著數(shù)據(jù)安全、用戶隱私數(shù)據(jù)保護(hù)要求越來(lái)越高，全鏈路的數(shù)據(jù)加密一定是云上企業(yè)的最大需求?；谠圃僮飨到y(tǒng)的加密能力，阿里云推出了全鏈路數(shù)據(jù)加密方案，秘鑰由企業(yè)自己保管，無(wú)論是云服務(wù)商、外部攻擊者、內(nèi)部員工沒有秘鑰都無(wú)法看到數(shù)據(jù)。

在云和互聯(lián)網(wǎng)模式背景下，業(yè)務(wù)的頻繁調(diào)整和上線對(duì)業(yè)務(wù)流程安全提出了更高的要求，將安全工作前置，從源頭上做好安全才能消除隱患。基于云的原生能力，安全可以內(nèi)置到全流程的設(shè)計(jì)開發(fā)過程中，確保上線即安全。目前，阿里云基于DevSecOps安全開發(fā)流程，確保所有上線的代碼里沒有可以被利用的有效漏洞，實(shí)現(xiàn)所有云產(chǎn)品默認(rèn)安全。

隨著越來(lái)越多的企業(yè)上云，目前存在的安全產(chǎn)品"拼湊問題"、數(shù)據(jù)孤島等各種問題將因?yàn)樵频脑夹g(shù)能力迎刃而解。云原生能力定義的下一代安全架構(gòu)將實(shí)現(xiàn)統(tǒng)一化的安全管理運(yùn)維。基于此，阿里云也即將發(fā)布云原生混合云安全解決方案，重塑企業(yè)安全體系。

阿里云正在尋求與更多生態(tài)伙伴合作，集成全球各領(lǐng)域中最核心的安全能力，同樣也愿意實(shí)現(xiàn)阿里云安全能力的被集成，與合作伙伴一起共同為企業(yè)構(gòu)建一個(gè)更可控、更透明、更智能的安全體系，保障千萬(wàn)企業(yè)云上安全。