精华内容
下载资源
问答
  • 云原生安全系列

    2020-09-14 20:16:19
    云原生安全-1综述篇云计算带来的安全新挑战基于边界和访问控制的安全模型被打破原本就不安全的内网迁云后加剧安全风险网络安全能力上云面临巨大挑战 云计算带来的安全新挑战 随着云计算的普及,无论是国际上的公有云...

    云计算带来的安全新挑战

    随着云计算的普及,无论是国际上的公有云,还是亚太区私有云专有云,都呈现出一个明确的信号,云计算已经成为主流。因本贴重点探讨安全相关的话题,因此云计算本身的相关的内容将不再赘述。

    基于边界和访问控制的安全模型被打破

    在传统网络安全模型中,我们最核心的是访问控制和数据安全,而访问控制最终在技术安全上落地为网络边界访问控制,从安全产品交付形态来讲就是网络防火墙。这就导致了一个非常有意思的现象,通过互联网侧我们要发现网络层的漏洞往往比较难。我们的安全攻防对抗最激烈的也都表现在网络边界上。
    在云环境下最大的挑战就在于网络边界被打破,我们过去对往往将网络边界与物理边界联系在一起的,而上云之后尤其是物理边界不乎存在。这也就引发了我们不得不重视的下面这个话题。

    原本就不安全的内网迁云后加剧安全风险

    很多时候我们认为云不安全,主要的安全问题其实在过去就大量存在,只是云的变革将过去的安全问题突显出来了。身份认证、口令强度管理、补丁管理,在内网几乎形成虚设。

    网络安全能力上云面临巨大挑战

    网络安全能力在传统IT架构下通常由独立硬件设备、专用终端软件两个大类够成,在网络边界、流量侦听、操作系统三个不同的层面各取所需实现安全预期。

    然而云计算将网络边界、流量、独立运算环境(硬件设备)都进行了云化,换句话讲传统的网络安全设备的依赖的载体不存在了。

    硬件设备
    IaaS层虚拟机
    网络边界
    NFV虚拟网络
    网络流量
    SDN或不再开放

    云计算时代的安全应对之道

    云计算环境中,需要解决传统网络中过度重视边界安全留下的隐患,同时还要解决传统安全能力无法上云的问题。经过近几年的摸索,最核心的思路是从如下几个方面着手考虑

    构建安全新边界安全能力前置

    云计算将互联网入口和流量进行了积中化,同时也带来了严重的网络安全挑战,首当其冲的就是DDOS和突发大流量请求。国际最为通用的做法是将安全能力前置,以akamai、cloudflare为例,通过构建强大的网络基础资源,实现海量DDOS清洗、CDN分发网络实现大流量攻击缓解,同时通过在这个CDN网络中引入WAF技术,将应用层攻击进行实时过滤,从而确保云计算上面的服务能平稳运行。

    云安全负载保护将成为重要的安全手段

    网络安全的防御云服务器本身将是非常重要的一个环节,充分应用云主机ECS的数据和计算资源,实现最小化开销的安全计算,已经成为云计算安全解决方案不可或缺的一部分。

    用云计算的思路去构建安全能力

    在传统时代,安全产品往往以独立硬件设备交付,背后是一系统完整的硬件、操作系统、软件、应用的集成。优点是独立可控,不足之处也显而易见,资源浪费、数据无法共享、故障无法及时切换等。
    在云计算时间安全设备最核心的将是安全能力,如果将安全能力与计算环境解耦,充分利用云原生的优势,将实现安全能力最大化,资源利用最大化。

    展开全文
  • "数字经济的发展驱动越来越多的企业上云,每个企业都会基于云原生安全能力构筑下一代企业安全架构,完成从扁平到立体式架构的进化,届时云原生安全技术红利也将加速释放!”9月27日,阿里云智能安全事业部总经理肖力...

    "数字经济的发展驱动越来越多的企业上云,每个企业都会基于云原生安全能力构筑下一代企业安全架构,完成从扁平到立体式架构的进化,届时云原生安全技术红利也将加速释放!”9月27日,阿里云智能安全事业部总经理肖力在2019杭州云栖大会·云安全峰会上指出。

    肖力强调,云原生安全技术会默认植入在下一代企业安全架构的每个模块,从而升级整体安全水位。

     

    _1
    阿里云智能安全事业部总经理肖力

    一个立体式的安全架构

    峰会现场,肖力正式发布了《阿里云安全白皮书4.0》,用“五横两纵”的方式展示了下一代企业安全架构所应具备的核心能力。

    从横向角度看,用户需要搭建以业务需求为导向的递进式安全体系,从最底层的云平台安全,到用户侧逐级向上的基础安全、数据安全、应用安全和业务安全。在这之中,云原生安全技术可以通过产品功能或安全服务的形式默认沉淀在每个架构模块中,让企业获得云原生安全的更高性能、更强弹性、更智能化防御等诸多优势。

    从纵向角度看,要构建覆盖全方位、全节点的账户安全和安全运营两大纵深系统,完成从扁平式安全架构到立体式安全架构的全新转变,这也是所有企业云上安全架构所应具备的核心能力。

     

    _
    下一代企业安全架构

    同时,肖力在会上给出了阿里云为用户提供的云上安全方案最佳实践,即“统一的账号认证授权、统一的网络访问控制、统一的数据安全、统一的威胁检测与响应及全局安全防御”,帮助企业构建高等级的安全能力。

    随着云原生安全技术红利的加速释放,这种“统一”的安全产品或服务模式将成为必然。为此,阿里云提前布局,将云的原生安全技术默认构筑在为云上企业提供的每一项产品和服务中,并产生最佳实践。

    三大王牌产品

    峰会现场除了对下一代企业安全架构做了详细阐述之外,还为企业提供了基于云原生安全能力的三大王牌产品。

    首先推出的混合云安全解决方案,基于云上威胁情报、大数据分析和自动化运维等原生安全能力,有效解决了混合云环境下割裂的安全管理、不同的底层架构、不一致的安全工具等运营挑战,帮助企业做到通过一个控制台实现一致的安全策略。目前已应用在政府、烟草行业、科技金融等领域产生最佳实践。

    可信是安全的基石,没有可信就没有安全可言。现场推出的云平台可信解决方案,分别适用于公共云和专有云,通过保障云平台之上业务系统和应用的关键代码和数据不被篡改,来确保系统和应用运行在一个可信的状态,从根本上保障安全。目前已经在公共云有实践应用。

    数据安全是云平台立身之本,客户隐私保护一直是阿里云第一原则。峰会现场开创性的推出了内部操作透明化服务,实现平台侧与用户相关操作日志对用户可见。同时为用户提供了可靠的全链路数据加密,且密钥仅为用户所有,并完全可控,帮助用户构建云上全栈数据保护体系。

    未来,安全管理和运营将不再是企业的一种负担,而是一种内置在基础设施里的默认能力。阿里云会携手生态伙伴,为客户打造更完整的安全方案,将高等级的安全能力普惠给每一个云上企业。肖力最后表示。

    原文链接
    本文为云栖社区原创内容,未经允许不得转载。

    转载于:https://www.cnblogs.com/yunqishequ/p/11607923.html

    展开全文
  • 集群的云原生安全

    2020-11-20 11:27:53
    为了能够与社区的其他成员共享这一知识,由Emily Fox领导的CNCF SIG Security的成员(一个向CNCF TOC回报的小组,他们也是Kubernetes SIG Security的朋友)在白皮书中概述了整体的云原生安全问题和最佳实践。...

    作者:Pushkar Joglekar

    在过去的几年中,一个关注安全的小型社区一直在努力工作,以加深我们对安全的理解,并给出了不断发展的云原生基础设施和相应的迭代部署实践。为了能够与社区的其他成员共享这一知识,由Emily Fox领导的CNCF SIG Security的成员(一个向CNCF TOC回报的小组,他们也是Kubernetes SIG Security的朋友)在白皮书中概述了整体的云原生安全问题和最佳实践。在来自世界各地35个成员的1200多个评论、修改和讨论之后,我们很自豪地与大家分享云原生安全白皮书v1.0,它是企业、金融和医疗保健行业、学术界、政府和非营利组织的安全领导必备的阅读材料。

    白皮书试图不关注任何特定的云原生项目。相反,其目的是将安全性建模并注入云原生应用生命周期的四个逻辑阶段:开发、分发、部署和运行时。

    Kubernetes原生安全控制

    当使用Kubernetes作为工作负载协调器时,这个版本的白皮书推荐的一些安全控制如下:

    • Pod安全策略:为整个集群的“最少特权”工作负载实现一个真实源

    • 资源请求和限制:对共享资源(如内存和CPU)应用请求(软约束)和限制(硬约束)

    • 审计日志分析:启用Kubernetes API审计和筛选与安全相关的事件

    • 控制平面身份验证和信任的证书根:启用相互TLS身份验证,使用可信的CA在集群内进行通信

    • 秘密管理:与内置或外部秘密存储集成

    云原生互补安全控制

    Kubernetes直接参与部署阶段,较少参与运行时阶段。为了使Kubernetes中的工作负载“默认情况下是安全的”,必须确保安全地开发和分发工件。在云原生应用程序生命周期的所有阶段,存在一些针对Kubernetes编排的工作负载的补充性安全控制,包括但不限于:

    • 开发:

      • 镜像签名与验证

      • 镜像漏洞扫描器

    • 分发:

      • 部署前检查是否存在过度特权

      • 启用可观察性和日志记录

    • 部署:

      • 使用服务网格进行工作负载身份验证和授权

      • 通过网络插件为工作负载间通信强制执行“默认拒绝”网络策略

    • 运行时:

      • 为工作负载部署安全监视代理

      • 使用SELinux、AppArmor等隔离在同一节点上运行的应用程序。

      • 根据公认的安全基线扫描节点、工作负载和协调器的配置

    先了解,后安全

    云原生方式(包括容器)为其用户提供了巨大的安全优势:不变性、模块化、更快的升级和跨环境的一致状态。意识到“做事方式”的这种根本性变化,促使我们从云原生的角度来看待安全问题。对于白皮书作者来说显而易见的一件事是,如果你不了解手头的工具、模式和框架,那么就如何以及哪些在云原生生态系统中进行保护就很难做出更明智的决定(除了了解自己的重要资产之外)。因此,对于那些想要成为合作伙伴而不是在操作、产品开发和合规方面为朋友看门人的安全从业者来说,让我们尝试学习更多知识以便更好地确保安全。

    我们推荐遵循这7步R.U.N.T.I.M.E.路径来开始云原生安全:

    1. 阅读(Run )白皮书和其中任何相关的材料

    2. 了解(Understand)环境中的挑战和限制

    3. 注意(Note)应用于环境的内容和控件

    4. 和你的同伴谈论(Talk)你的观察

    5. 让你的领导参与(Involve)进来,寻求帮助

    6. 基于现有的和缺失的安全控制,制作(Make)一个风险概要

    7. 在适当的地方,花费(Expend)时间、金钱和资源来改善安全状况并降低风险。

    鸣谢

    感谢Emily Fox、Tim Bannister(The Scale Factory)、Chase Pettet(Mirantis)和Wayne Haber(GitLab)为这篇博客提供的精彩建议。

    点击阅读网站原文


    CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
    CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。扫描二维码关注CNCF微信公众号。
    在这里插入图片描述

    展开全文
  • 近日在2019网络安全生态峰会上,阿里云智能安全事业部总经理肖力提出,承云之势,云原生安全能力将定义企业下一代安全架构,助力企业打造更可控、更透明、更智能新安全体系。 阿里云智能安全事业部总经理肖力 新...

    全面上云的拐点已至,企业上云后将带来IT基础设施云化、核心技术互联网化、应用数据化和智能化,企业架构正在因云原生技术红利而发生变革。

    近日在2019网络安全生态峰会上,阿里云智能安全事业部总经理肖力提出,承云之势,云原生安全能力将定义企业下一代安全架构,助力企业打造更可控、更透明、更智能新安全体系。


    阿里云智能安全事业部总经理肖力

    新拐点 新安全

    IDC最近发布的《全球云计算IT基础设施市场预测报告》显示:2019年全球云上的IT基础设施占比超过传统数据中心,成市场主导者。企业上云已成功完成从被动到主动的转变。企业上云后不仅可以享受云的便捷性、稳定性和弹性扩展能力,而且云的原生安全能够帮助企业更好解决原来在线下IDC无法解决的困难和挑战。

    同时,Gartner相关报告也指出:与传统 IT 相比,公共云的安全能力将帮助企业减少60%的安全事件,有效降低企业安全风险。

    现场,肖力表示,“云原生技术重塑企业整体架构,云原生安全能力也将促使企业安全体系迎来全新变革。”

    六大能力 安全进化

    云化给企业安全建设带来根本性的变化,企业可以跳脱现在单项、碎片化的复杂安全管理模式,迎来“统一模式”,即使在复杂的混合云环境下也可以实现统一的身份接入、统一的网络安全连接、统一的主机安全以及统一的整体全局管理。肖力认为,实现这一切源于六大云原生安全能力,在不断推动企业安全架构的进化。

    1. 全方位网络安全隔离管控
    凭借云的网络虚拟化能力和调度能力,企业可以清晰的看到自己主机东西南北向的流量,统一管理好自身边界安全问题,包括对外的安全边界以及内部资产之间的安全边界,公网资产暴露情况、端口暴露情况,甚至是正遭受攻击的情况一目了然,从而制定更加精细化的管控策略。

    2. 全网实时情报驱动自动化响应
    云具备实时的全网威胁情报监测和分析能力,可以实现从发现威胁到主动防御的自动化响应。2018年4月,阿里云捕获俄罗斯黑客利用Hadoop攻击云上某客户的0day漏洞,随即对云上所有企业上线自动化防御策略,最终保证漏洞真正爆发时阿里云上客户未受影响。从捕获单点未知攻击到产生“疫苗”再到全网实施防御,阿里云正在探索从安全自动化到数据化再到智能化的最佳实践。

    3. 基于云的统一身份管理认证
    当企业拥抱云并享用SaaS级服务带来效能的同时,基于云的统一身份管理认证成为关键。企业安全事件中有接近50%都是员工账户权限问题导致的。基于云的API化等原生能力,企业可以对身份权限进行统一的认证和授权,并可以在动态环境中授于不同人不同权限,实现精细化管理,让任何人在任何时间、任何地点,都可以正确、安全、便捷的访问正确的资源。

    4. 默认底层硬件安全与可信环境
    由于硬件安全和可信计算领域的人才稀缺,导致企业自建可信环境面临诸多挑战且成本较高。随着全面上云拐点的到来,企业可以享受阿里云内置安全芯片的底层硬件能力,并基于此构建可信环境,从而以简单、便捷、低成本的方式实现底层硬件的默认安全、可信。

    5. 全链路数据加密
    数据安全的技术仍然处于发展中阶段,还需要经历技术的不断迭代才能满足企业不同的需求。未来随着数据安全、用户隐私数据保护要求越来越高,全链路的数据加密一定是云上企业的最大需求。基于云原生操作系统的加密能力,阿里云推出了全链路数据加密方案,秘钥由企业自己保管,无论是云服务商、外部攻击者、内部员工没有秘钥都无法看到数据。

    6. DevSecOps实现上线即安全
    在云和互联网模式背景下,业务的频繁调整和上线对业务流程安全提出了更高的要求,将安全工作前置,从源头上做好安全才能消除隐患。基于云的原生能力,安全可以内置到全流程的设计开发过程中,确保上线即安全。目前,阿里云基于DevSecOps安全开发流程,确保所有上线的代码里没有可以被利用的有效漏洞,实现所有云产品默认安全。

    随着越来越多的企业上云,目前存在的安全产品“拼凑问题”、数据孤岛等各种问题将因为云的原生技术能力迎刃而解。云原生能力定义的下一代安全架构将实现统一化的安全管理运维。基于此,阿里云也即将发布云原生混合云安全解决方案,重塑企业安全体系。

    阿里云正在寻求与更多生态伙伴合作,集成全球各领域中最核心的安全能力,同样也愿意实现阿里云安全能力的被集成,与合作伙伴一起共同为企业构建一个更可控、更透明、更智能的安全体系,保障千万企业云上安全。

     

    本文作者:云安全专家

    原文链接

    本文为云栖社区原创内容,未经允许不得转载。

    展开全文
  • "数字经济的发展驱动越来越多的企业上云,每个企业都会基于云原生安全能力构筑下一代企业安全架构,完成从扁平到立体式架构的进化,届时云原生安全技术红利也将加速释放!”9月27日,阿里云智能安全事业部总经理肖力...
  • 云原生应用安全by Jamie Lewis, Venture Partner 合伙人杰米·刘易斯 ( Jamie Lewis) The rapid move to cloud-native architectures is having a profound impact on enterprise security posture and operations....
  • 随着云计算技术的日趋成熟,越来越多的企业意识到云计算应用的...在腾讯安全和技术媒体CSDN联合发起的「产业安全公开课 · 云原生安全专场」中,来自腾讯安全的七位专家分别就主机安全、安全运营中心、密码技术应用、数
  • 在上云成为企业拥抱产业互联网必由之路的过程中,云上安全成为各方的关注焦点,云原生安全的理念应运而生。但贴合国内产业发展的云原生安全内涵是什么?云原生安全技术具体是哪些?云原生安全未来又将如何发展? ...
  • 云原生应用安全 解决代码中的安全漏洞时,没有什么新鲜的东西。 尽管在服务器端应用程序的架构方面已发生了很大的变化,包括迁移到云中以及容器和微服务的使用增加,但可悲的现实是,代码中发现的最大安全漏洞是最...
  • 腾讯安全正在积极推动“产业上云,安全第一”的安全理念,为助力各行各业数字化发展,并打造云原生安全理念,腾讯安全计划联合安全合作伙伴共建智慧安全生态。本次研讨会以“云原生安全技术发展”为主题,由中国产业...
  • 云原生安全具备开箱即用、弹性、自适应、全生命周期防护等显著优势让企业在应对安全挑战时更加从容。 两分钟了解 企业如何快速构建云原生安全防护体系 企业如何构建云原生安全防护体系? ..
  • 近年来,我国数字化发展迅猛,为社会经济注入全新动能,产业互联网对各行各业的渗透和助力日益...云原生安全具备开箱即用、弹性、自适应、全生命周期防护等显著优势。腾讯安全围绕安全治理、数据安全、应用安全、计算安
  • 【小佑科技】-【2020年8月20日】近日,云原生安全领导厂商小佑科技宣布,获得千万级人民币的天使轮融资。该轮融资由达泰资本独家投资,将主要用于加强云原生安全产品核心技术研发、销售网络拓展和生态伙伴建设等关键...
  • 近日,国内云原生安全领导厂商北京小佑科技宣布完成Pre-A融资,该轮融资由九合创投投资,融资金额达数千万元人民币。此前,小佑科技在2020年8月由达泰资本完成天使轮投资。 如今,云原生已经成为云计算发展的重要...
  • 在各行各业加速上云拥抱产业互联网的时代,云上的安全也自然成为了大家的关注焦点,与此同时,云原生安全也正在成为大量政企构建安全防线的“最优解”,其具备的弹性、自适应、自迭代、开箱即用、按需付费、全生命...
  • 你有听过云原生吗?在过去一年里,几乎每一个云计算的产品厂商都会把自己的产品与云原生联系在一起。真可谓是云计算最火的用词之一了。但是到底这个词是什么意思,它的具体含义是什么,其实却是非常含糊的。云原生指...
  • 12月19日,2020 Techo Park开发者大会在北京举办,腾讯云首席安全官董志强出席并发表了以《用云原生安全铸造产业互联网时代的坚实底座》为主题的演讲。他表示,云计算已成为产业互联网和未来数字化变革的主要载体,...
  • 来源 |玉符科技在传统的研发中,我们经常关注的「安全」包括代码安全、机器(运行环境)安全、网络运维安全,而随着云原生时代的到来,如果还按原有的几个维度切分的话,显然容易忽略很多云原生环...
  • 腾讯安全联合CSDN共同发起《产业安全公开课 · 云原生安全专场》,邀请7位腾讯安全专家分享其对云原生安全的技术理解、应用落地和实践经验,涵盖主机安全、安全运营中心、密码技术应用、数据安全、DDoS防护、Web应用...
  • 3月21日,在2019阿里峰会·北京上,阿里正式发布云安全中心,依托原生能力,实现从安全预防到主动防御为一体的自动化安全运营闭环,有效降低企业安全运营门槛、提升企业整体安全水位,有望成为安全行业标准...
  • 3月21日,在2019阿里峰会·北京上,阿里正式发布云安全中心,依托原生能力,实现从安全预防到主动防御为一体的自动化安全运营闭环,有效降低企业安全运营门槛、提升企业整体安全水位,有望成为安全行业标准...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,541
精华内容 1,016
关键字:

云原生安全