如何选择阿里云云安全服务
本文为您列举了云安全产品选型的主要考虑因素,介绍云上安全系统如何构建,您可结合您的业务需要选择您所需的阿里云云安全产品。
了解
什么是云安全?
安全是企业上云的基石。一旦发生安全事件,企业的业务可能中断,还会遭受严重的数据及经济损失。根据阿里云安全团队的调研数据,仅有少量企业表示未遭受过网络攻击等安全威胁,因此,建设云安全能力非常关键。
云安全是指保护基于云的系统、数据和基础设施,免受各类网络威胁和攻击的一系列技术、策略和管控措施。云安全以云上服务化的方式应对各类安全威胁,为各个业务提供防护。有效的安全防护体系不仅仅是使用几款云产品单向防护,或仅搭建了云上安全防护体系但安全体系未有效运行,而是要将安全防护和管理融入到企业日常的运营工作中,并尽可能实现自动化、流程化。
云上安全威胁主要有哪些?
企业的系统和数据中可能会涉及各种安全风险,常见的安全威胁可以归为以下几类:
安全领域 | 常见的安全威胁 | 威胁产生的主要原因 |
云上负载安全 | 主机入侵,如挖矿 |
|
云上应用流量安全 | 恶意攻击,如DDoS、CC攻击、注入攻击等 |
|
云上数据安全 | 数据丢失或泄漏、被篡改 |
|
身份与权限管控 | 外部未经授权的访问、操作或内部权限过大 |
|
分析
根据阿里云多年的攻击情报观测,网络攻击正在变得常态化,攻击方式变得简单和低成本使得任意一个组织或个人都能发起一场可能会带来巨大损失的攻击。传统安全体系中,有三个问题会导致安全态势被削弱:告警过多难以及时处理、使用的安全产品管理混乱甚至出现互斥的情况、手动流程过多导致无法及时响应关键任务。
结合云上安全现状问题,安全防护的思路应该从100%阻止攻击的发生,向事前防御、事中及时响应和快速止血、事后加固和完善的预防与处置相结合的方向转变。
安全的建设需要围绕网络和基础设施的保护、数据安全的保护、威胁和入侵的精准识别、身份和权限管理等方面,并在遭受攻击时保持基础设施的可操作性,尽可能地减少安全风险造成的威胁和损失。
因此,一个完善的安全防护体系,不仅需要全方位的防护能力,还需要针对企业特点建立有效的运行机制,包括合理的安全配置、风险监测周期、报警机制、响应和处置策略。
选用云安全产品前,您需要了解您企业和业务正面临的安全问题。不同的云厂商提供的服务不同,了解以下信息能帮助您作出合适的选择。
检测能力
云产品是否支持对常见安全威胁进行检测、检测范围的大小、检测准确率、是否支持攻击溯源都是非常关键的考虑因素。例如:阿里云云安全中心支持250+威胁检测模型,可大大提升安全风险的命中率和威胁的事前防范效果。
安全运营与管理能力
资产统一管理
是否支持云下(IDC)或混合云场景也是一个重要的考量因素。如果您的业务部署在线下IDC,还涉及其他云厂商等多种环境,实现云上、云下资产和系统的统一防护和管理,包括安全规则的集中管理、云上/云下资产的发现和状态监控等,能确保无论是数据和应用程序无论是部署在本地还是云上,都可以受到同等级别的安全防护。这种管理模式能有效帮助您提升系统整体的安全水位,降低安全管理的成本。阿里云云安全中心、Web应用防火墙、运维安全中心(堡垒机)均支持云下IDC或混合云场景。云安全中心支持防护阿里云、线下IDC、其他云厂商等多种环境下的服务器主机,提供包括病毒查杀、漏洞扫描、防勒索等安全防护。
安全风险检测与可视化
产品开启防护后,需对业务或资产的流量、配置安全等方面进行实时检测并提供可视化展示,帮助您及时了解您的资源、系统、业务中的风险趋势并对其进行有效管理,为您制定安全运营策略和采取处置措施提供决策依据。
事件响应与处置
遭受攻击后,响应时间需尽可能缩短,分钟级的响应一定比小时级的响应更能快速止血,更能有效降低安全风险。同时,越短的止血时间意味着越少的损失。您需要借助特定云产品的帮助,清晰地了解企业的资产及其动态变化,更快地发现异常行为和事件。如果从根源上阻止安全威胁的发生,您还需要建立有效的云上安全防护机制,从源头对攻击和威胁进行阻断,并提供告警。
产品易用
产品是否易用、易操作也非常重要。这样才能方便用户快速高效地使用产品,让产品发挥出应有的防护能力。即开即用的云产品可以降低使用门槛,搭配已有的内置规则,能让产品快速发挥作用。
由于网络攻击技术的不断发展,网络威胁也变得越来越多样化和复杂化,最大限度地实现自动化处理能有效提升安全风险的处置及时性和处置效率,比如资产的自动发现、资产数据的自动采集、威胁数据的自动统计、威胁事件的自动检测、严重威胁事件的自动告警通知(例如阿里云云安全中心的Rootkit检测)、漏洞的自动检测、恶意攻击的自动拦截和处置(例如SSH暴力破解、恶意代码执行等)等,这些都应该成为选择云安全产品时的重要考虑因素。
稳定、高可用
云安全产品需要具备容灾机制,确保服务稳定可用,不影响您的业务正常运行。
例如阿里云云防火墙采用双可用区部署,任意一台服务器或任意一个云防火墙可用区故障时,云防火墙都可正常提供服务;且云防火墙提供防火墙开关的功能,支持一键开启或关闭云防火墙,关闭云防火墙后,业务流量不再经过云防火墙,可在云防火墙服务故障时确保业务不受影响。阿里云Web应用防火墙(WAF)在混合云场景下支持手动设置bypass和自动bypass,确保WAF集群在发生故障时,业务流量绕过WAF直接到达后端服务器,避免集群故障对业务造成影响。阿里云DDoS高防采用高可用网络防护集群,可避免单点故障和冗余;同时对流量清洗机房的所有入流量、所有服务器CPU和内存进行监控,保障机房可用性。
成本因素
不同的产品成本范围不同,有的产品支持按扫描次数收费,有的产品支持按扫描的数据量收费。例如:阿里云云安全中心提供了云安全基线检测的功能,该功能根据每个检查项扫描的次数来计费;云安全中心的漏洞修复功能支持按漏洞修复次数收费;云防火墙提供按量计费版本,可根据您实际接入的公网IP数和每日公网/私网流量处理费来计费。如果您业务流量经常变化、资源使用有临时性和突发性等场景,建议使用云防火墙按量计费版本。
满足合规要求
如果您的业务需要收集个人身份信息或其他敏感数据,请确保云产品能满足监管部门对于数据安全等方面的合规要求。例如:中国的网络安全法要求人脸信息、个人隐私数据等敏感信息应该在中国境内存储,不得向境外传输,这要求您在使用数据安全类云产品时必须关注数据存储的地域。同时,云产品应使用加密技术确保个人信息的传输和存储的安全性,防止敏感数据泄漏。
此外,云上安全需要云厂商和云用户责任共担。云厂商主要负责数据中心基础设施和云平台的安全,云用户主要负责自身数据、应用和账户的安全。主流的云厂商,如AWS、Google Cloud、Azure、阿里云,都通过官方渠道发布了自己的安全责任共担模型。以阿里云为例,云厂商和云用户的责任划分如下图所示,您可以参考下图,了解自己需要重点关注和投入建设的安全域。
前往阿里云安全合规中心,了解关于阿里云平台和客户责任共担模型的更多介绍以及阿里云在安全领域获得的认证资质。
选择
阿里云针对云上安全威胁,提供了全方位的安全防护,覆盖云安全、流量安全、数据安全、身份安全、业务安全和安全服务等。
下图展示了阿里云云安全架构:
选择阿里云云安全产品
结合前面的介绍,您已了解云安全产品选型的主要考虑因素。下表为您展示了构建云上安全系统和加固安全能力所需要的主要产品,您可结合业务需要选择所需的云安全产品。
安全防护场景 | 真实发生的安全问题 | 云安全产品 | 可解决的主要问题 |
安全运营中心与全局风险预警 |
|
| |
负载安全 |
|
| |
流量安全 |
|
| |
|
| ||
|
| ||
数据安全 |
|
| |
|
| ||
|
| ||
|
| ||
业务安全 |
|
| |
|
| ||
|
| ||
身份安全 |
|
| |
|
| ||
办公安全 |
|
|
您可以在阿里云官网查看到全部的云安全产品。
您还需要结合您企业所处的不同的上云阶段,选择对应的安全方案。阿里云提供了Landing Zone企业上云框架、卓越架构的理念,供您参考。
建设云上企业安全能力的最佳实践
安全体系建设不是一蹴而就的,需要分阶段构建整体的安全防护能力。
构建基础安全体系
构建基础安全体系是建设云上安全能力的首要步骤。在这个过程中,您需要对企业的安全能力建设进行合理的规划与设计,解决优先级最高的安全问题:
评估企业面临的主要安全风险。
清晰地定义您企业对于云安全的基本需求,包括但不限于合规性需求、系统安全需求、业务安全需求等。
例如:您需要清晰地了解企业的哪些资源和数据需要被监控、监控的频率、应该采取怎样的且符合企业业务需要的异常情况与安全风险通知策略、以及异常情况和安全风险的处理策略等。如果您采用成熟的云厂商的云服务或解决方案,就能帮您解决这些繁琐且耗费人力、财力的工作。
建设云安全能力还需要对访问企业系统和资源的用户进行身份和访问权限的统一管理,严格实施权限最小化原则,确保只有获得授权的用户和服务才能访问对应的资源,有效管控最基本的操作层面的安全风险。
您可以通过以下基础单元组合,实现云资源访问权限的管控和安全风险的实时检测和统一管理,构建您的基础安全体系:
构建主动性防御
在完成基础安全体系搭建后,还需进一步构建主动性防御体系。主动性防御体系是指采取积极的策略,在安全威胁发生之前提前识别潜在的风险和威胁、缩小攻击面、减少被入侵或攻击的可能性。
构建主动性防御体系包含以下几个要点:
对安全态势进行管理。
被动式响应安全风险和入侵事件,会耗费企业大量的人力和财力。常常是当获知系统被入侵时,业务其实已遭受了巨大的损失。通过对业务或企业的管理系统进行安全态势管理和风险预测,可以帮助您自动识别潜在风险和入侵威胁,从被动响应转为主动防御,提升全局安全能力。
入侵防范。
确保所有资源和设备都采用了安全的配置,并持续监控配置的变更;支持对主机的主动外联行为进行检测和告警。
大数据实时分析与检索能力。
由于检测能力的限制,随着业务的发展,安全检测后产生的告警数量激增,有效的告警信息会被淹没在海量的告警通知中。如何快速接收到有效的告警信息、过滤掉无效的告警或误报,是一个难题。此外,如何将风险识别、防御、检测、响应真正联动起来,也存在诸多障碍。大数据分析能力利用大数据技术对海量信息进行识别和处理,可快速发现各种已知威胁和潜在威胁。因此,充分利用大数据关联分析和实施检索能力,可以帮助您精准定位风险,发现更多深度的威胁。
实时检测、精准告警。
实时检测安全风险有助于及时阻断威胁和攻击。同时,安全系统结合智能防护的能力,可有效提升识别威胁和攻击的精准率。
您可以通过以下云安全产品组合,构建主动性防御的安全体系:
等保合规解决方案
国家法务法规和行业监管策略要求企业开展等级保护工作,明确规定金融、电力、广电、教育、医疗等行业信息系统的运营必须符合网络安全等级保护制度的要求,履行安全保护义务,否则将会受到相应处罚。
阿里云安全整合云平台等保测评经验和云安全产品优势,联合等保咨询、等保测评机构等合作资源,提供一站式等保测评服务,覆盖等保定级、备案、建设整改及测评阶段,助您快速通过等保测评。此处必须要说明的是,要顺利通过等保安全合规测评,除了要满足等保技术防护部分的要求之外,还需要根据等保合规解决方案中的整改建议,完成您企业内部相应的安全管理策略的实施。
您可以通过以下基础单元组合(必选的云服务),帮助您通过等保测评:
使用
部分云产品为您提供了免费试用的资源和环境、操作教程,您可前往对应的免费试用页面进行体验。
对于暂不支持免费试用的云服务,您可以通过产品文档提供的新手入门文档了解如何使用该产品。
应用场景 | 云服务 | 快速上手指引 |
安全运营中心与全局风险预警 | 云安全中心 | |
流量安全 | Web应用防火墙 | |
DDoS防护 | ||
云防火墙 | ||
数据安全 | 数字证书管理服务 | |
加密服务 | ||
密钥管理服务 | ||
数据安全中心 | ||
业务安全 | 实人认证 | |
风险识别 | ||
身份安全 | 访问控制 | |
应用身份服务 | ||
办公安全 | 办公安全平台 |
