数字化经济时代的浪潮下,企业上云率正在逐渐攀升,不同于线下IDC机房,云架构的特殊性在给企业带来高弹性、高可用的同时,也带来了新的安全模式,云的透明化和统一性,让云上安全防线的建立和持续运营更为便捷。
命运共同体:共担的安全责任
当企业开始使用云服务时,其实是将一部分安全责任转移给了云服务提供商,无论客户采用何种类型的云服务,阿里云均为客户提供数据安全中心和云平台的保障,企业无需关注复杂的硬件接入问题,得以更聚焦上层的安全域,保护自身在云上的业务、身份、数据等等。
阿里云安全责任共担模型
线下 vs 云上:更原生的安全防护
对于企业而言,无论是线下还是云上,配置、身份、权限都是安全绕不开的话题。
线下场景:客户会需要对硬件产品进行调试和配置,同时也需要对各类权限进行管理,但数据不互通、信息碎片化、产品难以打通等问题使得线下的安全统管极为困难。
上云后:统一的底座和开放的API接口使得原生化云产品和安全产品可以实现快速打通互联。例如在云产品和安全产品配置侧,阿里云为客户提供云安全态势管理(CSPM)能力,覆盖身份权限管理(CIEM)、云产品最佳安全实践、合规检测三个维度,覆盖70+云产品、700+安全检查项的一键化配置检查,能够更快速、全面的帮助客户发现错误的配置,进行权限的收敛和合理赋权,在事前阶段快速进行风险收敛。
而对应线下的账号管控场景,云上账号统一使用AK(AccessKey)作为登录凭证,阿里云提供了各类能力帮助客户妥善的保管和使用AK:
- KMS(密钥管理)服务可以托管客户的各类通用账号口令、OS密钥、访问密钥和Token,并支持自定义密钥管理、密钥轮转和审计等能力,即使AK丢失,也可以实现快速止血;
- 在云安全中心等安全产品中,可实现AK泄漏的检测。阿里云已率先和最大的开源代码托管服务商GitHub合作,引入Token scan机制,通过自动化检测流程,可以对在GitHub上泄露的AccessKey进行高效和精准的检测。在实际场景中,已实现在含有AccessKey的代码提交到GitHub后数秒之内,即可通知用户并且做出响应,尽可能减少对用户产生的负面影响;
- 目前,阿里云已经逐步在所有账户上开启多因素认证(MFA),支持包括TOTP、短信、电子邮件验证在内的多种认证方式,以增强账户安全性。同时禁用超过2年未登录使用过或闲置超过2年的访问登录密钥。
当然,云上还有更多的安全使用新方式:如何才能正确配置产品,进行合理的权限设置,快速识别风险配置并一键修复?此外,企业如何快速通过等保定级、备案、建设整改以及测评?云安全还有哪些实践案例?AI大模型安全有什么最新进展?
今晚,12月11日19:30分,阿里云云安全高级产品经理伍悦、阿里云云安全产品运营专家楚昊、阿里云云安全解决方案架构师青刺将空降直播间,详解云上安全从入门到进阶:中小企业如何构建云端防线?欢迎预约直播观看!
