阿里雲安全肖力：雲原生安全定義下一代安全架構

全面上雲的拐點已至，企業上雲後將帶來IT基礎設施雲化、核心技術互聯網化、應用數據化和智能化，企業架構正在因雲原生技術紅利而發生變革。

近日在2019網絡安全生態峯會上，阿里雲智能安全事業部總經理肖力提出，承雲之勢，雲原生安全能力將定義企業下一代安全架構，助力企業打造更可控、更透明、更智能新安全體系。

阿里雲智能安全事業部總經理肖力

新拐點 新安全

IDC最近發佈的《全球雲計算IT基礎設施市場預測報告》顯示：2019年全球雲上的IT基礎設施佔比超過傳統數據中心，成市場主導者。企業上雲已成功完成從被動到主動的轉變。企業上雲後不只能夠享受雲的便捷性、穩定性和彈性擴展能力，並且雲的原生安全可以幫助企業更好解決原來在線下IDC沒法解決的困難和挑戰。

同時，Gartner相關報告也指出：與傳統 IT 相比，公共雲的安全能力將幫助企業減小60%的安全事件，有效下降企業安全風險。

現場，肖力表示，「雲原生技術重塑企業總體架構，雲原生安全能力也將促使企業安全體系迎來全新變革。」

六大能力 安全進化

雲化給企業安全建設帶來根本性的變化，企業能夠跳脫如今單項、碎片化的複雜安全管理模式，迎來「統一模式」，即便在複雜的混合雲環境下也能夠實現統一的身份接入、統一的網絡安全鏈接、統一的主機安全以及統一的總體全局管理。肖力認爲，實現這一切源於六大雲原生安全能力，在不斷推進企業安全架構的進化。

1. 全方位網絡安全隔離管控
憑藉雲的網絡虛擬化能力和調度能力，企業能夠清晰的看到本身主機東西南北向的流量，統一管理好自身邊界安全問題，包括對外的安全邊界以及內部資產之間的安全邊界，公網資產暴露狀況、端口暴露狀況，甚至是正遭受攻擊的狀況一目瞭然，從而制定更加精細化的管控策略。

2. 全網實時情報驅動自動化響應
雲具有實時的全網威脅情報監測和分析能力，能夠實現從發現威脅到主動防護的自動化響應。2018年4月，阿里雲捕獲俄羅斯黑客利用Hadoop攻擊雲上某客戶的0day漏洞，隨即對雲上全部企業上線自動化防護策略，最終保證漏洞真正爆發時阿里雲上客戶未受影響。從捕獲單點未知攻擊到產生「疫苗」再到全網實施防護，阿里雲正在探索從安全自動化到數據化再到智能化的最佳實踐。

3. 基於雲的統一身份管理認證
當企業擁抱雲並享用SaaS級服務帶來效能的同時，基於雲的統一身份管理認證成爲關鍵。企業安全事件中有接近50%都是員工帳戶權限問題致使的。基於雲的API化等原生能力，企業能夠對身份權限進行統一的認證和受權，並能夠在動態環境中授於不一樣人不一樣權限，實現精細化管理，讓任何人在任什麼時候間、任何地點，均可以正確、安全、便捷的訪問正確的資源。

4. 默認底層硬件安全與可信環境
因爲硬件安全和可信計算領域的人才稀缺，致使企業自建可信環境面臨諸多挑戰且成本較高。隨着全面上雲拐點的到來，企業能夠享受阿里雲內置安全芯片的底層硬件能力，並基於此構建可信環境，從而以簡單、便捷、低成本的方式實現底層硬件的默認安全、可信。

5. 全鏈路數據加密
數據安全的技術仍然處於發展中階段，還須要經歷技術的不斷迭代才能知足企業不一樣的需求。將來隨着數據安全、用戶隱私數據保護要求愈來愈高，全鏈路的數據加密必定是雲上企業的最大需求。基於雲原生操做系統的加密能力，阿里雲推出了全鏈路數據加密方案，祕鑰由企業本身保管，不管是雲服務商、外部攻擊者、內部員工沒有祕鑰都沒法看到數據。

6. DevSecOps實現上線即安全
在雲和互聯網模式背景下，業務的頻繁調整和上線對業務流程安全提出了更高的要求，將安全工做前置，從源頭上作好安全才能消除隱患。基於雲的原生能力，安全能夠內置到全流程的設計開發過程當中，確保上線即安全。目前，阿里雲基於DevSecOps安全開發流程，確保全部上線的代碼裏沒有能夠被利用的有效漏洞，實現全部雲產品默認安全。

隨着愈來愈多的企業上雲，目前存在的安全產品「拼湊問題」、數據孤島等各類問題將由於雲的原生技術能力迎刃而解。雲原生能力定義的下一代安全架構將實現統一化的安全管理運維。基於此，阿里雲也即將發佈雲原生混合雲安全解決方案，重塑企業安全體系。

阿里雲正在尋求與更多生態夥伴合做，集成全球各領域中最核心的安全能力，一樣也願意實現阿里雲安全能力的被集成，與合做夥伴一塊兒共同爲企業構建一個更可控、更透明、更智能的安全體系，保障千萬企業雲上安全。

 

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。