CWPP第一|云上原生安全的一盘组合棋
作者: 日期:2022年08月12日 阅:4,277

国际权威咨询机构IDC近期发布《2021年中国云工作负载安全市场份额报告》(以下简称报告)。针对中国云工作负载安全市场的规模、增长速度、主要玩家、市场与技术的发展趋势等纬度调研,阿里云的市场份额在整体与公有云市场排名中均为榜首位置

CWPP是基于云原生而生的安全产品(Cloud Workload Protection Platform),针对承载云计算的各种类型节点提供保护。在现代多云数据中心架构下,以租户的云工作负载为中心的安全机制,是IaaS安全的关键环节之一,也是企业安全上云的基础保障。本次是IDC第一次针对CWPP市场发布份额占比调研报告,说明云原生安全已从“趋势”逐渐落地为“主流”。

传统主机安全防护场景,能力要求点在于系统加固、防入侵、漏洞检测、补丁管理等等。在多云时代使“工作负载”必须跨越多类公共云和私有云中的虚拟机、容器和无服务器工作负载,核心资产遍布多地,企业的棋盘更广更丰富了,但安全防护方面一不小心就容易“顾此失彼。

云上“大局”难周全

安全服务

大部分企业自身的安全运营能力往往较弱,尤其是刚上云的企业对于云上威胁突发事件的处理经验不足,在CWPP这类强云原生特性的安全产品选购过程中,对于产品背后的安全服务团队选择更为重要。

安全统一

边缘云、专属云、行业云、多云部署等趋势驱动企业云上资产走向分布,同时提高了企业运维的复杂性与防护难度。针对多云、混合云环境下的所有工作负载提供统一且面面俱到的“防护平台”难度颇高。

安全前置

相关调研显示,当前超过90%的现代应用融入了开源组件,平均每个应用包含超过124个开源组件,49%的开源组件存在高危漏洞,企业安全防御充满“未知恐惧”。

云原生棋匠:阿里云安全中心

(阿里云安全中心产品概念图)

阿里云最早提出并定义云原生安全,并在中国信通院近期相关评估中成为首个完成“云原生安全成熟度评估”的云厂商。阿里云自成立起便拥有自己的安全团队,也就是今天的云安全产品团队。5年前阿里云发布第一代“云安全中心”至今已充分实现CWPP+CSPM相结合,从管理运维效率与安全防护水位角度,提供云上资源统一安全管理解决方案。双重能力加持,借助阿里云安全中心客户可以上帝视角俯瞰云上全量资产。

控棋:高效统一的云工作负载管理平台

高手下棋讲究控制局面,常言“宁失一子,不失一先”讲究先机的占有与全局观的落定。

阿里云安全中心提供超过250+威胁检测模型,覆盖全链路的威胁检测能力,进行自动关联告警、识别异常行为入侵。支持对主机、容器、serverless、云产品的统一威胁管控,支持灵活的多云及线下环境部署,即开即用。终结企业多云环境下云工作负载安全防护的碎片化管理,建立全局统一监测防御的云上塔台。

防护资产一体化

主机、容器、轻量级服务器、Severless,完整的云上检测能力,250+检测模型持续丰富,覆盖att&ck攻击链条。

云上和云外一体化

跨云平台的领先的方案设计,多云环境部署,支持阿里云、多云、线下IDC统管方案,统一威胁检测和响应。

安全和运维一体化

云上安全配置强耦合,对接云上多款云产品,提供多云环境运维和资源监控能力,提升效率。

“阿里云安全中心针对主机、容器环境提供公有云、混合云、跨云平台的统一管理,通过集中管控的管理中心 协调调度,综合各模块提供的安全信息做出准确的判断,并且可以在合适的位置检测和阻断恶意的攻击行为,有效地保护云环境不受外界攻击者的侵扰,保障用户业务系统的安全。”

 —IDC中国云工作负载安全市场份额报告原文

布棋:深耕云原生,主机及容器“安全并可信”

所谓布棋,是落子前的格局布阵,落子之前布三步,步步扎实。

企业上云后架构模式的转变要求企业需要更全局化的安全管理策略,把安全能力与容器服务在产品设计、实现环节相结合,从开发阶段开始保障后来的“落子无悔”。

阿里云安全中心的容器安全能力已完整覆盖容器生命周期中三大关键阶段,即容器构建时的镜像安全、容器部署时的安全配置(基线检查)和容器运行时的入侵检测和防御,同时深度集成云安全中心的防护能力。

01一体式监测

容器网络可视化从集群、容器、镜像、应用等资产维度提供安全可视化的管控能力和云上容器资产的网络拓扑,满足运维需求;

02容器主动防御

监测容器逃逸过程中使用的高危系统调用,对容器开启写保护,程序启动时自动识别非镜像原有、容器运行时植入的恶意程序等行为进行拦截,主动防御恶意行为;

03可信调用

实现容器镜像的可信签名,只允许部署可信的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性;

04自动化部署管理

针对阿里云的镜像仓服务,云安全中心支持自动接入ACR,统一查看被防护镜像信息;

05前置化防护

前置化防护:容器防火墙提供访问控制并集智能学习、告警、攻击行为拦截为一体的防火墙服务。该功能利用机器学习识别容器应用程序之间的流量,对异常流量进行告警或拦截。

传统主机架构资源占用高、单点故障风险大、检测能力受终端资源限制、部署及运维成本高、单独部署控制中心还需额外的资源开销。阿里云原生架构方案,云上检测能力无上限,资源占用低,终端/平台/网络立体检测联动响应,云原生资产监控+云端运维即开即用,控制台免费且不额外消耗资源。

阿里云安全中心勒索病毒三重防护:

1主机入侵检测和防护:云安全中心基于强大的病毒查杀引擎,实现了对勒索病毒的实时防御,避免发生文件被病毒加密而进行勒索的情况。

2诱饵检测,阻断并告警:云安全中心通过独有机器学习、勒索病毒诱饵捕获等安全机制,识别异常加密行为发生,有效拦截新型未知勒索。

3文件备份与恢复:云安全中心通过定期备份重要文件,及时在发生极端情况环境下,也可及时恢复,为整体方案兜底。

4基线检查和修复:实现基线问题一键修复,快速满足企业等保合规。

运棋:全场景防护,安全、稳定、合规

业务更多是动态而非静止,就像我们棋盘在运棋过程中,无论何种复杂局势,充分结合云原生防护优势及集团多年实战经验保证棋子稳定落盘,不散、不丢。

在重大活动保障、攻防演练等场景,云安全中心提供基于云蜜罐的主动防御能力,通过快速部署SAAS化高交互蜜罐,伪装成业务系统,对攻击行为进行欺骗、诱捕,帮助防守方延缓攻击,并对攻击进行溯源分析;同时提供了基于RASP的应用加固方案,可对内存木马攻击、高危应用漏洞的利用攻击提供应用代码层面的防护和加固,防护效果等同于“应用疫苗”,主动免疫应用攻击

  • 针对高压高并发的重保、攻防对抗云上主机防护场景,结合威胁情报,基于整体攻击链进行检测和响应。
  • 针对不确定性极强的云上主机补丁自动化运营场景,提供以资产为中心的自动化漏洞全流程解决方案。
  • 针对无孔不入的云上主机防勒索场景,基于云端情报、诱饵监测、行为监控、备份还原等多个维度,支持一键防勒索与数据备份兜底能力。
  • 针对业务连续性、稳定性要求极高的主机安全检测通报场景,建立安全、运维、业务三方联合处理
  • 针对风险敞口突然打开的停服系统安全防护场景,提供云上停服主机解决方案,对于主机系统自动盘点资产,划分安全组。专属安全基线并主动加固和告警,溯源四个维度防护能力。

客户案例

客户背景

  • 总部在上海,业务量庞大;
  • 业务已经全面容器化,跨云主机数量超过5万台,近百万核的算力;
  • 原主机侧安全通过线下主机安全产品进行防护,将agent和控制台署在云上防护

客户痛点

  • 业务部署在4个不同的公有云平台中,针对每个平台都需要单独的安全管理和防护,运维成本高,效率低,存在大量容器集群,业务变化快速,安全防护需要弹性支持;
  • 不同云平台安全能力、安全指标不相同,无法统一量化和衡量效果,针对应急突发问题,无法快速统一响应

解决方案及客户反馈

  • 提供跨云的快速接入方案,将跨云的多个平台进行统一的管理和防护,提升整体安全防御水位,节省人力成本;
  • 基于云原生能力,实现云和安全之间的无缝集成和自动安全调度,实现基于业务变化的弹性伸缩防护能力和持续性的高安全防御能力;
  • 提供DEV + SEC + OPS的云原生安全能力,覆盖多云环境下容器的部署、配置、运行的全生命周期安全防护。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章