共计 3710 个字符,预计需要花费 10 分钟才能阅读完成。
6 月 15 日,2022 云原生产业大会发表,阿里云在信通院“云原生平安成熟度”评估中,获得国内惟一全域最高等级认证。信通院“云原生平安成熟度”从基础设施平安、云原生基础架构平安、云原生利用平安、云原生研发经营平安和云原生平安 5 个维度,共计 315 个细分项考查企业云原生架构平安程度。阿里云云原生利用平台通过大规模企业客户服务积攒和创新性技术打磨,积淀了全链路的云原生平安解决方案,全方位展示了阿里云云原生产品安全能力的丰盛度和当先性。
(图 1:阿里云云原生平安成熟度模型测评报告)
平安合规是企业上云、全球化部署的首要需要,随着云原生对计算基础设施和企业应用架构的重定义,传统的企业平安防护架构也面临着新的挑战。
- 短少体系化的云原生平安能力建设: 传统企业应用平安模型通常是基于不同的信赖域来划分平安边界,在信赖域内的东西向服务交互被认为是平安的。而上云后容器利用可能须要在 IDC 和云上漂移,传统基于边界平安模型中动态标识符(比方 IP 地址)在云原生场景下不再可行,须要企业平安防护更靠近于基于属性和元集群(比方标签标记等)辨认一直变动的动静负载,并采取零信赖的平安保护措施。
- 短少利用侧全生命周期的平安防护伎俩:容器提供了弹性、麻利和动静可扩大等个性,同时也扭转了利用的部署模式。利用本身生命周期被大幅缩短,一个容器利用的生命周期通常是分钟级。这须要在企业应用生命周期和平安设计架构中施行更多自动化的安全控制,从身份体系、资产治理、认证鉴权、威逼剖析检测和阻断等利用侧全生命周期平安防护。
- 短少对云上平安责任共担模型的了解:在企业应用云原生化架构转型过程中,须要企业应用开发者和平安运维人员了解企业本身和云服务商之间的责任边界。从利用设计、开发、构建、散发、部署到运行时各个阶段,一方面须要云服务商提供云原生下的平安防护产品化能力,另一方面也须要企业加强对云原生下平安概念、工具和流程的继续学习并真正长期实践到利用中。
云原生平安成熟度模型
阿里云云原生平安旨在基于云原生麻利高效、分布式和不可变性等架构特色,在传统平安模式的根底上提供更加全链路、平安可信的纵深进攻。在云原生利用生命周期中“平安左移”,尽早地整合平安并实现预防性的主动防御;同时基于零信赖、安全软件供应链 DevSecOps 等平安架构设计进步企业的平安防护的效率。
本次信通院云原生平安成熟度模型测评,全场景多维度笼罩了云原生平台架构的平安防护能力。整个平安评测规范能够帮忙企业提供云原生平安能力的自检标尺和建设指南。阿里云在此次规范所有 5 个域的测评中均获得了国内惟一的全域最高等级认证。
(图 2:云原生平安成熟度模型)
云原生平安全景图
从容器镜像服务 ACR、容器服务 ACK 到云平安核心、Web 利用防火墙,阿里云丰盛的云原生平安产品家族保障了阿里巴巴本身的大规模云原生化实际,确保利用全生命周期的云原生平安。同时这些云原生平安能力也撑持了云上百万企业,从基础设施、云原生基础架构、云原生利用、云原生研发经营到云原生平安运维,晋升了全链路的安全性及企业平安治理的效率。
目前,阿里云正式公布 云原生平安全景图,波及阿里云原生平台 10 余条产品线,50+ 款产品共计 522 项外围平安能力,助力企业打造更平安可控、更先进智能的业务体系。
(图 3:阿里云云原生平安全景图)
- 基础设施平安: 阿里云在计算、存储、网络等云基础设施侧构建了夯实的平台底座平安能力。在计算平安方向,云平安核心和容器镜像服务反对破绽的自动化检测,告警,溯源和攻打剖析,同时反对镜像破绽的自动化智能修复;同时反对多 OS,混合云架构的基线扫描和丰盛的策略配置;在网络安全方向,云防火墙服务反对多重边界防护和基于流量学习后果的自适应智能策略举荐下发;在存储平安方向,容器服务备份核心反对利用数据的异地备份和疾速复原,ACK One 提供了多云混合云场景下的两地三核心备份容灾能力,同时 ACK-TEE 还提供了基于软硬一体的秘密计算技术帮忙实现内存维度的残余信息爱护。
- 基础架构平安 / 供应链平安: 首先在云原生网络侧,容器服务和云平安核心提供了 pod 维度的东西向策略管制和智能阻断能力,同时反对集群网络拓扑的可视化展现;ASM 网格服务提供了 Service Mesh 框架下全链路的流量加密、观测,监控和七层访问控制能力;在编排和组件平安方向,ACK 容器服务反对多维度的自动化平安巡检能力,帮忙发现集群利用潜在危险并提供加固倡议,同时保障所有零碎组件基于 CIS 等合规标准的配置加固。通过应用托管节点池能够实现集群节点 CVE 的自动化自愈修复能力。在访问控制上,ACK 集群的 RRSA 性能反对集群利用侧 pod 维度的云上资源权限隔离;在镜像平安方向,ACR 容器镜像服务企业版提供了云原生交付链性能,联合镜像的完整性校验等产品化能力,构建了企业级的供应链 DevSecOps 能力;在运行时平安方向,云平安核心反对容器维度的 runtime 威逼实时检测、告警和智能解决,帮忙企业抵挡容器逃逸、敏感文件操作、异样连贯等多种容器内攻击行为。
- 云原生利用平安: 云原生利用平安蕴含了企业应用侧防护的方方面面。首先在通用平安方向,通过应用云防火墙和 Web 利用防火墙等服务能够实现企业应用南北向和东西向的攻打防护和细粒度的访问控制,反对 API 破绽、注入攻打和敏感数据泄露的监测、剖析和主动修复倡议,同时企业应用能够接入 ARMS RASP 服务,实现 API 维度的调用链监控和 API 服务资产治理;在微服务平安方向,MSE 微服务引擎通过云原生网关联合云防火墙等服务保障微服务网络通信平安,在提供丰盛的微服务治理能力的同时提供了安全监控和利用代码层的 RASP 防护能力。在 Serverless 平安方向,函数计算服务反对存储、网络等函数资源的细粒度访问控制和租户隔离,同时反对函数资源、流量的实时监控以及齐备审计。
- 云原生平安运维:云原生利用如何进行平安运维是企业关怀的重点问题。在平安治理方向,容器服务和云平安核心等服务反对丰盛粗疏的可视化资产治理能力,同时基于日志服务提供了管控侧和业务侧齐备的审计日志,并反对基于审计的智能剖析、告警和图表化展现能力。在策略管理上,容器服务反对基于 OPA 的集群部署时刻策略治理引擎,同时云效服务针对云原生开发、测试流程提供了基于策略的经营流程配置和平安检测性能。身份治理是零信赖平安的根底,阿里云 RAM 和 IDaaS 服务反对企业 LDAP 对接,在服务网格中反对基于身份的服务间拜访策略规定定制以及身份凭证泄露的实时检测告警。在平安经营方向,云平安核心反对通过云蜜罐诱导捕捉攻击者并自定义攻打反制,同时反对多维度可视化的检测预警和溯源剖析,另外阿里云威逼情报平台反对基于 IOC 搜寻、断定后果,可通过多渠道进行破绽情报的获取并反对行业安全事件报告线下订阅形式的订购,帮忙企业平安运维团队晋升经营管理效率。
- 研发经营平安: 阿里云平安团队对平台外部研发经营流程进行严格的平安审计和治理。在平安需要方向,平安团队针对云产品定制化需要清单,反对面向利用场景特定的定制化需要和自动化的测试用例,同时反对多渠道的需要收集和系统化治理;在开发平安方向,首先在制品平安上实现组件破绽的自动化查看、完整性校验和身份溯源,在平安设计上反对系统化的威逼建模以及外部标准化的平安设计规范和技术栈;在测试平安方向,在研发经营流程具备端到端的测试工具链,配合日常人工浸透测试,及时发现破绽并主动录入零碎告诉修复。整个 DevSecOps 流程可通过策略配置实现危险辨认和经营,无需人工干预。
阿里云容器产品家族 – 高效平安、智能无界
阿里云容器服务 ACK 撑持了团体 100% 外围利用的云原生化,同时为云上上万企业实现现代化利用革新降级提供降级服务。从互联网到批发、金融、制作、交通,越来越多的行业在利用翻新的云原生技术解决他们的业务问题。与此同时,容器也在撑持着更多行业场景翻新,比方在智能驾驶畛域,仿真模仿须要海量的算力。只有云计算与云原生技术可能满足业务算力的弹性、规模和效率的需要。
阿里云容器镜像服务 ACR 是云原生架构重要基础设施之一,负责云原生利用制品的平安托管和高效散发。先后服务了数千家企业,托管了数 PB 容器镜像数据,撑持月均镜像拉取数亿次。在 DevSecOps 场景,企业能够应用 ACR 云原生利用交付链,或与自建 CI/CD 工具联合,实现高效平安的云原生利用交付,减速企业的翻新迭代。
阿里云容器服务 ACK ONE 是基于阿里云提供的多云、多集群、多环境治理能力,ACK ONE 可能同时治理阿里云上集群、边缘集群、部署在用户客户核心的集群以及其余云上的 Kubernetes,真正实现集群的对立治理、资源的对立调度、数据的对立容灾和利用的对立交付。
(图 4:阿里云容器产品家族)
阿里云容器服务期待与更多优良合作伙伴、企业独特摸索云计算的将来,构建高效平安、智能无界的新一代云原生基础设施,助力企业减速云时代的技术创新。
理解产品能力更多详情:
阿里云容器镜像服务 ACR:
https://www.aliyun.com/produc…
阿里云容器服务 ACK:
https://www.aliyun.com/produc…