带你读《阿里云安全白皮书》(十)——云上安全重要支柱(4)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全中心 免费版,不限时长
简介: 阿里云安全白皮书(2024版)介绍了零信任体系,通过全链路可信身份传递、多层纵深防御和持续监控,实现动态安全。同时,推出“安全分”机制,量化评估产品线的安全水平,提升安全管理效率。点击下载完整版内容。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(九)——云上安全重要支柱(3)

安全架构:阿里云零信任体系

零信任的核心理念是不单纯依赖网络请求来源和单一身份凭证,而是通过各层、各场景的信息, 综合分析潜在的风险,从而拦截可疑的攻击者,实现动态安全。对于云厂商而言,保护客户数据 安全是其核心要务。从设计层面实现这一目标,需要从全链路的角度识别哪个环节对客户数据执 行了操作,不仅要防止外部攻击者的渗透攻击,还需要预防内部员工被钓鱼所带来的操作风险。

安全可信:全链路可信身份传递,多层纵深防御,持续监控与响应


image.png

阿里云平台将身份数据在全链路进行传递,包括主机层、网络层、应用层及 业务层。其中主机层记录和传递主机硬件身份信息,网络层记录和传递网络 IP、端口等四层信息,应用层记录和传递进程信息、接口等应用运行时信息, 而业务层记录和传递具备业务属性的访问者身份 ID 标识信息。


阿里云通过零信任体系的建设,实现了以下关键成果:


全链路风险控制:阿里云将云原生身份体系与客户业务体系无缝对接,通过硬  件可信根、四层元数据、七层元数据, 限制数据仅可在可信范围内使用和传递, 应用间调用权限限制到接口级别。攻击者无法通过单一漏洞完成对云平台的渗  透工作。

防御 0day 漏洞: 阿里云平台的应用环境仅可运行可信组件,且持续监控运 行时状态,从而大大缓解了 0day 漏洞与供应链组件带来的威胁。

防止内部误操作:阿里云通过持续校验请求流量是否可信,对内部操作进行充 分审计,从而最大化避免误操作,确保内部操作安全规范。


安全制度:安全分机制

 

在安全实践中,“三分技术、七分管理”的理念至关重要。为持续性保障各个产线的安全水位, 阿里云创造性的推出了针对各个产品线的安全评价体系,即“安全分”。


安全分覆盖了阿里云产品安全基线条例的大部分内容,如“公网服务未接入 WAF”“ECS 实例未经安全审核开放公网”,其目的在于揭示隐藏于各类产 品配置中的潜在安全弱点,使之显而易见。并且分数权重能够清晰地呈现出治 理优先级,以帮助安全工程师和产线有序地完成改进措施。


安全分的计分逻辑是从阿里云整体安全建设角度出发,综合考虑不同问题的治 ROI。这些逻辑由具备丰富实战经验的安全专家进行设置,并经过安全团 队与产品线评审通过后正式确定。此外,在实际运行中,安全分会不断优化和 迭代,以确保其有效性和适应性。

安全分的计算基于平台自动机制完成。在云资源安全配置、安全防御接入等领 域,可以通过自动化巡检能力发现和清洗需要进行治理的数据表,并在配置完 成后自动刷新数据。对于无法进行自动计算的部分,比如产品架构设计,在产 品安全接口人上报后并通过安全团队审核完成后计分。这两部分数据源按预先 设定的权重相加来得出每个产品的最终分数。所有关于安全分的动态变化都在 统一的可视化平台上呈现。


通过内部的安全分平台,产线可以清晰感知到安全风险以及安全风险治理的优 先级。此外,安全分平台还与内部流程平台联动,不仅提供了风险治理的针对 性解决方案,而且还提供了治理入口和工单,从而极大地降低了产线内部以及 产线和安全团队间的协作成本。这也提高了安全运营的效率,确保了安全治理 目标的贯彻执行。


通过内部的安全分平台,产线可清晰感知到安全风险以及安全风险治理的优先 级。并且,安全分平台还与内部流程平台联动,在提供风险治理的针对性解决 方案的同时,也会给出治理入口和工单,极大地降低了产线内部以及产线和安 全团队间的协作成本,提高了安全运营的效率,确保了安全治理目标的落地。

相关文章
|
27天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
27天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
27天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
27天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
28天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
29天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
28天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
29天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
29天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
29天前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。

热门文章

最新文章