6 月 15 日,2022 雲原生產業大會宣佈,阿里雲在信通院“雲原生安全成熟度”評估中,取得國內唯一全域最高等級認證。信通院“雲原生安全成熟度”從基礎設施安全、雲原生基礎架構安全、雲原生應用安全、雲原生研發運營安全和雲原生安全 5 個維度,共計 315 個細分項考察企業雲原生架構安全水平。阿里云云原生應用平臺通過大規模企業客戶服務積累和創新性技術打磨,沉澱了全鏈路的雲原生安全解決方案,全方位展現了阿里云云原生產品安全能力的豐富度和領先性。
(圖 1:阿里云云原生安全成熟度模型測評報告)
安全合規是企業上雲、全球化部署的首要需求,隨着雲原生對計算基礎設施和企業應用架構的重定義,傳統的企業安全防護架構也面臨着新的挑戰。
-
缺少體系化的雲原生安全能力建設: 傳統企業應用安全模型通常是基於不同的信任域來劃分安全邊界,在信任域內的東西向服務交互被認爲是安全的。而上雲後容器應用可能需要在 IDC 和雲上漂移,傳統基於邊界安全模型中靜態標識符(比如 IP 地址)在雲原生場景下不再可行,需要企業安全防護更接近於基於屬性和元集羣(比如標籤標記等)識別不斷變化的動態負載,並採取零信任的安全保護措施。
-
缺少應用側全生命週期的安全防護手段:容器提供了彈性、敏捷和動態可擴展等特性,同時也改變了應用的部署模式。應用自身生命週期被大幅縮短,一個容器應用的生命週期通常是分鐘級。這需要在企業應用生命週期和安全設計架構中實施更多自動化的安全控制,從身份體系、資產管理、認證鑑權、威脅分析檢測和阻斷等應用側全生命週期安全防護。
-
缺少對雲上安全責任共擔模型的理解:在企業應用雲原生化架構轉型過程中,需要企業應用開發者和安全運維人員理解企業自身和雲服務商之間的責任邊界。從應用設計、開發、構建、分發、部署到運行時各個階段,一方面需要雲服務商提供雲原生下的安全防護產品化能力,另一方面也需要企業增強對雲原生下安全概念、工具和流程的持續學習並真正長期實踐到應用中。
雲原生安全成熟度模型
阿里云云原生安全旨在基於雲原生敏捷高效、分佈式和不可變性等架構特徵,在傳統安全模式的基礎上提供更加全鏈路、安全可信的縱深防禦。在雲原生應用生命週期中“安全左移”,儘早地整合安全並實現預防性的主動防禦;同時基於零信任、安全軟件供應鏈 DevSecOps 等安全架構設計提高企業的安全防護的效率。
本次信通院雲原生安全成熟度模型測評,全場景多維度覆蓋了雲原生平臺架構的安全防護能力。整個安全評測標準可以幫助企業提供雲原生安全能力的自檢標尺和建設指南。阿里雲在此次標準所有 5 個域的測評中均取得了國內唯一的全域最高等級認證。
(圖 2:雲原生安全成熟度模型)
雲原生安全全景圖
從容器鏡像服務 ACR、容器服務 ACK 到雲安全中心、Web 應用防火牆,阿里雲豐富的雲原生安全產品家族保障了阿里巴巴自身的大規模雲原生化實踐,確保應用全生命週期的雲原生安全。同時這些雲原生安全能力也支撐了雲上百萬企業,從基礎設施、雲原生基礎架構、雲原生應用、雲原生研發運營到雲原生安全運維,提升了全鏈路的安全性及企業安全治理的效率。
目前,阿里雲正式發佈雲原生安全全景圖,涉及阿里雲原生平臺 10 餘條產品線,50+ 款產品共計 522 項核心安全能力,助力企業打造更安全可控、更先進智能的業務體系。
(圖 3:阿里云云原生安全全景圖)
-
基礎設施安全: 阿里雲在計算、存儲、網絡等雲基礎設施側構建了夯實的平臺底座安全能力。在計算安全方向,雲安全中心和容器鏡像服務支持漏洞的自動化檢測,告警,溯源和攻擊分析,同時支持鏡像漏洞的自動化智能修復;同時支持多OS,混合雲架構的基線掃描和豐富的策略配置;在網絡安全方向,雲防火牆服務支持多重邊界防護和基於流量學習結果的自適應智能策略推薦下發;在存儲安全方向,容器服務備份中心支持應用數據的異地備份和快速恢復,ACK One提供了多雲混合雲場景下的兩地三中心備份容災能力,同時ACK-TEE還提供了基於軟硬一體的機密計算技術幫助實現內存維度的剩餘信息保護。
-
基礎架構安全/供應鏈安全: 首先在雲原生網絡側,容器服務和雲安全中心提供了pod維度的東西向策略控制和智能阻斷能力,同時支持集羣網絡拓撲的可視化展示;ASM網格服務提供了Service Mesh框架下全鏈路的流量加密、觀測,監控和七層訪問控制能力;在編排和組件安全方向,ACK容器服務支持多維度的自動化安全巡檢能力,幫助發現集羣應用潛在風險並提供加固建議,同時保證所有系統組件基於CIS等合規規範的配置加固。通過使用託管節點池可以實現集羣節點CVE的自動化自愈修復能力。在訪問控制上,ACK集羣的RRSA功能支持集羣應用側pod維度的雲上資源權限隔離;在鏡像安全方向,ACR容器鏡像服務企業版提供了雲原生交付鏈功能,結合鏡像的完整性校驗等產品化能力,構建了企業級的供應鏈DevSecOps能力;在運行時安全方向,雲安全中心支持容器維度的runtime威脅實時檢測、告警和智能處理,幫助企業抵禦容器逃逸、敏感文件操作、異常連接等多種容器內攻擊行爲。
-
雲原生應用安全: 雲原生應用安全包含了企業應用側防護的方方面面。首先在通用安全方向,通過使用雲防火牆和Web應用防火牆等服務可以實現企業應用南北向和東西向的攻擊防護和細粒度的訪問控制,支持API漏洞、注入攻擊和敏感數據泄露的監測、分析和自動修復建議,同時企業應用可以接入ARMS RASP服務,實現API維度的調用鏈監控和API服務資產管理;在微服務安全方向,MSE微服務引擎通過雲原生網關結合雲防火牆等服務保證微服務網絡通信安全,在提供豐富的微服務治理能力的同時提供了安全監控和應用代碼層的RASP防護能力。在Serverless安全方向,函數計算服務支持存儲、網絡等函數資源的細粒度訪問控制和租戶隔離,同時支持函數資源、流量的實時監控以及完備審計。
-
雲原生安全運維:雲原生應用如何進行安全運維是企業關心的重點問題。在安全管理方向,容器服務和雲安全中心等服務支持豐富細緻的可視化資產管理能力,同時基於日誌服務提供了管控側和業務側完備的審計日誌,並支持基於審計的智能分析、告警和圖表化展示能力。在策略管理上,容器服務支持基於OPA的集羣部署時刻策略治理引擎,同時雲效服務針對雲原生開發、測試流程提供了基於策略的運營流程配置和安全檢測功能。身份管理是零信任安全的基礎,阿里雲RAM和IDaaS服務支持企業LDAP對接,在服務網格中支持基於身份的服務間訪問策略規則定製以及身份憑證泄露的實時檢測告警。在安全運營方向,雲安全中心支持通過雲蜜罐誘導捕獲攻擊者並自定義攻擊反制,同時支持多維度可視化的檢測預警和溯源分析,另外阿里雲威脅情報平臺支持基於IOC搜索、判定結果,可通過多渠道進行漏洞情報的獲取並支持行業安全事件報告線下訂閱方式的訂購,幫助企業安全運維團隊提升運營管理效率。
-
研發運營安全: 阿里雲安全團隊對平臺內部研發運營流程進行嚴格的安全審計和管理。在安全需求方向,安全團隊針對雲產品定製化需求清單,支持面向應用場景特定的定製化需求和自動化的測試用例,同時支持多渠道的需求收集和系統化管理;在開發安全方向,首先在製品安全上實現組件漏洞的自動化檢查、完整性校驗和身份溯源,在安全設計上支持系統化的威脅建模以及內部標準化的安全設計規範和技術棧;在測試安全方向,在研發運營流程具備端到端的測試工具鏈,配合日常人工滲透測試,及時發現漏洞並自動錄入系統通知修復。整個DevSecOps流程可通過策略配置實現風險識別和運營,無需人工干預。
阿里雲容器產品家族 - 高效安全、智能無界
阿里雲容器服務 ACK 支撐了集團 100% 核心應用的雲原生化,同時爲雲上上萬企業實現現代化應用改造升級提供升級服務。從互聯網到零售、金融、製造、交通,越來越多的行業在利用創新的雲原生技術解決他們的業務問題。與此同時,容器也在支撐着更多行業場景創新,比如在智能駕駛領域,仿真模擬需要海量的算力。只有雲計算與雲原生技術能夠滿足業務算力的彈性、規模和效率的需求。
阿里雲容器鏡像服務 ACR 是雲原生架構重要基礎設施之一,負責雲原生應用製品的安全託管和高效分發。先後服務了數千家企業,託管了數 PB 容器鏡像數據,支撐月均鏡像拉取數億次。在 DevSecOps 場景,企業可以使用 ACR 雲原生應用交付鏈,或與自建 CI/CD 工具結合,實現高效安全的雲原生應用交付,加速企業的創新迭代。
阿里雲容器服務 ACK ONE 是基於阿里雲提供的多雲、多集羣、多環境管理能力,ACK ONE 能夠同時管理阿里雲上集羣、邊緣集羣、部署在用戶客戶中心的集羣以及其他雲上的 Kubernetes,真正實現集羣的統一管理、資源的統一調度、數據的統一容災和應用的統一交付。
(圖 4:阿里雲容器產品家族)
阿里雲容器服務期待與更多優秀合作伙伴、企業共同探索雲計算的未來,構建高效安全、智能無界的新一代雲原生基礎設施,助力企業加速雲時代的技術創新。
2022 年6月23日-7月23日,掃描上方圖片二維碼點擊:https://page.aliyun.com/form/act1888746316/index.htm 填寫問卷,首次購買阿里雲容器服務專業版 ACK Pro、容器鏡像服務企業版 ACR EE的客戶可享受7折優惠。期待您的反饋!