本文根据 3 月 19 日播出的【阿里CIO学院攻“疫"技术公益培训第十场】肖力:企业安全体系发展与最佳实践分享直播整理。
点击回看直播
点击下载 PPT
一、企业安全体系演进
(一)企业面临的安全问题
(1)数据泄露风险并未得到有效控制
(2)勒索软件爆发
(3)内容安全违规严重影响业务连续性
(4)内部员工是数据安全的最大隐患
(5)高危漏洞的威胁形势愈发严峻
(6)DDoS对业务可用性威胁越来越大
(二)企业安全需求的驱动力
企业安全需求主要由合规驱动和威胁驱动双驱动:
(1)威胁驱动
近年来,随着企业业务在线化、移动化、数据化,催生出了更多的威胁和黑产。比如数据泄露/篡改,勒索加密,业务连续性和可用性,内容安全处罚,业务资损等。
(2)政策合规驱动
除了上述威胁驱动外,政策合规也是企业安全需求的驱动力。比如国家实行网络安全等级保护制度(等保2.0),欧盟的通用数据保护条例(GDPR)。
(三)不同行业/业务对于安全的核心痛点不同
以阿里为例,因为业务的不同,所以安全的需求包括安全的重点都不一样,这也决定了安全体系的侧重性。在天猫淘宝的用户的场景下面,其实也不光是隐私保护,还包括业务的风控,甚至是假货,知识产权,刷信用这些方面,都是天猫淘宝业务主体对应的安全刚需重点的风险领域。
阿里云作为基础设施,从硬件到系统到网络,甚至到用户的合规,这些领域其实都是云计算业务主体非常重要的风险域。
蚂蚁金服作为最大的互联网金融公司,金融风控一定是最重要的,也叫核心安全能力建设。
对于不同行业,各自业务的需求导致安全体系建设的侧重性,方向性有很大的不同,如下图所示。
(四)不同企业的安全体系发展阶段不同
每个企业安全体系发展的成熟度有很大的不同,基本上看三个方面。第一个方面是业务的成熟度,业务在线率和数字化程度越高,企业安全体系建设越完善。第二个方面跟安全团队的积累有关,安全团队规模与攻防经验的积累决定安全的核心能力。第三个方面跟安全团队的组织架构有关,组织架构是安全团队构建内部影响力的决定因素。
(五)数字化转型引发企业安全体系深刻技术变革
(1)IT基础设施云化
相信未来所有的企业都会在云上。云计算其实也是通过普惠的技术让更多的用户更方便的去享受到计算资源。包括不用再去自己搭交换机然后去组网,在需要计算能力的时候,可以通过虚拟化服务化,能够快速的去获得这些能力。
(2)核心技术互联网化
用互联网技术赋能各行业。比如分布式架构打破单机能力限制,云端大数据实时处理,安全能力在线服务化。核心技术的互联网化,解决了性能问题,成本问题,甚至弹性的问题。
(3)应用数据化和智能化
相信未来所有的企业都需要数据化和智能化。数据是能源、是动力、是血液,智能化是让数据价值最大化的必然途径。企业数字化和智能化的转型,引发其安全体系深刻技术变革,比如全网威胁数据集中驱动策略统一,自动化闭环响应提升效率,安全融合实现智能化主动防御。
二、最佳安全实践
(一)企业安全体系
从各个技术域的角度来看企业整个的安全体系,有办公网安全,也叫内网的安全。当然在基础设施这一层,从硬件到系统到网络,各个层面上技术都需要做得非常完善。如下图所示,安全涉及到了每一个技术领域,每个技术领域的深度都很关键。安全体系是一个非常典型的木桶原理。企业的安全短板决定了整个企业的安全水位到底在哪里。安全体系涉及到了机制,流程,组织架构规范,再加上产品,甚至包括运营。
(二)企业八大风险域
(1)安全运维
通过将安全融入企业IT运维过程中,实现对账号权限、软件审核、访问控制、漏洞管理等安全运营的规范化、流程化和持续管理。
(2)应用安全
通过将安全前移并贯穿软件安全开发生命周期,实现更早地检测系统缺陷并降低整体业务风险。
(3)威胁检测与响应
通过对包括网络攻击、Web入侵、勒索等攻击行为的实时识别、分析、响应和预警,实现对资产的保护以及满足监管合规要求。
(4)身份识别与访问管理
通过集中式身份管理,实现对企业用户、服务和资源统一的身份权限管理和访问控制。
(5)内网安全
保障办公网终端安全、企业核心数据防泄漏,对抗病毒蠕虫攻击。
(6)数据安全
基于机器学习精准识别数据安全威胁,通过加解密、审计、风险预警等手段防止数据泄露和满足GDPR等合规要求。
(7)业务风控
通过大数据和智能化技术,提升企业在用户注册、运营活动、交易、信贷审核等关键业务中的反欺诈效率。
(8)内容安全
基于AI技术,帮助企业降低色情、暴恐、涉政等违规风险,大幅度降低人工审核成本。
三、云计算带来的变化
(一)云上比云下更安全
云计算会给整个安全体系的演进带来很大的不同,现在大部分的用户都已经认知到云对整个企业带来技术和体系的变化。相信未来所有的企业都会关注如何在运营层面,基于云计算,基于云原生的一些能力,让企业的安全体系更加的强壮。
在云上,云服务提供商承载着大量企业业务系统的数据构建,决定了云服务提供商在安全方面的投入是非常巨大的。云上比云下更安全已成普遍共识,这是因为不管在云上还是云下,构建全面且具有纵深的安全体系的要求都是非常重要的。事实上,与传统数据中心相比,公共云的安全能力将帮助企业至少减少60%的安全事件。阿里也一直在思考,怎样把我们的一些安全能力能够更好地帮助到大量的企业构建更强壮的安全体系。阿里有许多优势,包括安全数据智能的优势,威胁情报的优势,我们会提供云上的安全产品,以及提供全局的漏洞管理能力,很多都是免费的。我们的理念一直是希望能够帮助用户更好的基于云的架构来提升整个安全的能力,基于云延伸的能力来构建自己的安全系统。
(二)云赋能企业提升安全能力
如下图所示,云有许多原生优势。比如,每个企业都需要统一的身份认证授权体系,在云上能够通过虚拟化的网络调度能力实现东西南北向的网络访问控制与隔离技术。阿里给到用户的所有云产品,都是在设计阶段即引入安全能力,包括代码安全,经过了严格的安全测试才能上线发布。再比如,云上全局数据安全保护体系,能够让用户对于云上数据整个生命周期的防护更加有信心。最后,全局威胁检测平台通过构建检测、响应和防御的闭环,可以帮助用户更好地应对各种威胁。
(三)让云上用户享受普惠安全
时至今日,阿里云平台保护了国内超过40%的网站。这对阿里云数据的能力,智能的能力,安全的能力要求都非常高。阿里巴巴一直秉承的理念是,将我们在各个安全技术域的核心能力和核心产品,给到阿里云上的用户,帮助用户构建更安全的企业安全体系。
企业安全体系将随着业务的不断变化而不断演进,我们期待阿里云上的用户在其安全体系的演进过程中,获得与阿里巴巴同等级别的安全能力,通过构建安全的、强壮的体系为其业务保驾护航。