阿里云安全肖力：云原生安全定义下一代安全架构

全面上云的拐点已至，企业上云后将带来IT基础设施云化、核心技术互联网化、应用数据化和智能化，企业架构正在因云原生技术红利而发生变革。

近日在2019网络安全生态峰会上，阿里云智能安全事业部总经理肖力提出，承云之势，云原生安全能力将定义企业下一代安全架构，助力企业打造更可控、更透明、更智能新安全体系。

新拐点 新安全

IDC最近发布的《全球云计算IT基础设施市场预测报告》显示：2019年全球云上的IT基础设施占比超过传统数据中心，成市场主导者。企业上云已成功完成从被动到主动的转变。企业上云后不只能够享受云的便捷性、稳定性和弹性扩展能力，并且云的原生安全可以帮助企业更好解决原来在线下IDC没法解决的困难和挑战。

同时，Gartner相关报告也指出：与传统 IT 相比，公共云的安全能力将帮助企业减小60%的安全事件，有效下降企业安全风险。

现场，肖力表示，“云原生技术重塑企业总体架构，云原生安全能力也将促使企业安全体系迎来全新变革。”

六大能力 安全进化

云化给企业安全建设带来根本性的变化，企业能够跳脱如今单项、碎片化的复杂安全管理模式，迎来“统一模式”，即便在复杂的混合云环境下也能够实现统一的身份接入、统一的网络安全链接、统一的主机安全以及统一的总体全局管理。肖力认为，实现这一切源于六大云原生安全能力，在不断推进企业安全架构的进化。

1. 全方位网络安全隔离管控
凭借云的网络虚拟化能力和调度能力，企业能够清晰的看到本身主机东西南北向的流量，统一管理好自身边界安全问题，包括对外的安全边界以及内部资产之间的安全边界，公网资产暴露状况、端口暴露状况，甚至是正遭受攻击的状况一目了然，从而制定更加精细化的管控策略。

2. 全网实时情报驱动自动化响应
云具有实时的全网威胁情报监测和分析能力，能够实现从发现威胁到主动防护的自动化响应。2018年4月，阿里云捕获俄罗斯黑客利用Hadoop攻击云上某客户的0day漏洞，随即对云上全部企业上线自动化防护策略，最终保证漏洞真正爆发时阿里云上客户未受影响。从捕获单点未知攻击到产生“疫苗”再到全网实施防护，阿里云正在探索从安全自动化到数据化再到智能化的最佳实践。

3. 基于云的统一身份管理认证
当企业拥抱云并享用SaaS级服务带来效能的同时，基于云的统一身份管理认证成为关键。企业安全事件中有接近50%都是员工帐户权限问题致使的。基于云的API化等原生能力，企业能够对身份权限进行统一的认证和受权，并能够在动态环境中授于不一样人不一样权限，实现精细化管理，让任何人在任什么时候间、任何地点，均可以正确、安全、便捷的访问正确的资源。

4. 默认底层硬件安全与可信环境
因为硬件安全和可信计算领域的人才稀缺，致使企业自建可信环境面临诸多挑战且成本较高。随着全面上云拐点的到来，企业能够享受阿里云内置安全芯片的底层硬件能力，并基于此构建可信环境，从而以简单、便捷、低成本的方式实现底层硬件的默认安全、可信。

5. 全链路数据加密
数据安全的技术仍然处于发展中阶段，还须要经历技术的不断迭代才能知足企业不一样的需求。将来随着数据安全、用户隐私数据保护要求愈来愈高，全链路的数据加密必定是云上企业的最大需求。基于云原生操做系统的加密能力，阿里云推出了全链路数据加密方案，秘钥由企业本身保管，不管是云服务商、外部攻击者、内部员工没有秘钥都没法看到数据。

6. DevSecOps实现上线即安全
在云和互联网模式背景下，业务的频繁调整和上线对业务流程安全提出了更高的要求，将安全工做前置，从源头上作好安全才能消除隐患。基于云的原生能力，安全能够内置到全流程的设计开发过程当中，确保上线即安全。目前，阿里云基于DevSecOps安全开发流程，确保全部上线的代码里没有能够被利用的有效漏洞，实现全部云产品默认安全。

随着愈来愈多的企业上云，目前存在的安全产品“拼凑问题”、数据孤岛等各类问题将由于云的原生技术能力迎刃而解。云原生能力定义的下一代安全架构将实现统一化的安全管理运维。基于此，阿里云也即将发布云原生混合云安全解决方案，重塑企业安全体系。

阿里云正在寻求与更多生态伙伴合做，集成全球各领域中最核心的安全能力，一样也愿意实现阿里云安全能力的被集成，与合做伙伴一块儿共同为企业构建一个更可控、更透明、更智能的安全体系，保障千万企业云上安全。

原文连接 本文为云栖社区原创内容，未经容许不得转载。