① 阿里云肖力:原生安全打造云上绿洲
2020年9月17日-18日,一年一度的云栖大会在云上如约而至。疫情加速数字化转型大背景之下,云原生以一种高能见度为各行业带来了一个更动态多变、更具效率和生命力的架构。 云原生安全具有什么优势,能否解决线下业务场景的安全困局? 作为阿里巴巴第一位安全工程师,阿里巴巴集团副总裁、阿里云安全总经理肖力,发表了以“提速云原生,创新安全力”为主题的演讲。
肖力认为,上云是提升安全水平的最佳选择,创新的云原生安全,有能力为企业用户打造“云上绿洲”。 数据被更有逻辑性的存储,从物理数据中心安全、到核心云平台安全、以及和云平台无缝结合的云安全能力……企业原本需要独立、完整承担的安全责任,转移到阿里云平台,低耗损的同时拥抱的是更高等级的安全。
云原生安全的“上游思维”
云安全的经验很稀缺,并且很昂贵,阿里巴巴为此付出了多年努力,总结了业界领先的最佳实践。基于云的安全建设,最核心的思维转变在于:区别传统安全只能被动做出反应,基于云的基础架构改变,让安全开始有能力在上游解决问题。 如果还带着传统安全思维,来构建新环境中的安全控制,无疑大大弱化了云的优势。
云原生安全,拥有从硬件层透穿的最高等级安全能力,打造全环境、全生命周期的可信环境。用户视角看到的层级也将发生变化,安全产品随之演进变化。用户基于云原生能力构建企业安全架构,只需要选择服务去达成自己的安全目标,安全产品不再外挂,安全能力被打通。
云上是一个更安全的“绿洲”环境,它可以自动化帮助用户解决掉同质化、繁杂的安全问题,让用户把精力集中在解决更有价值的问题上。
以下为本次演讲原文的整理
这次的疫情对各行各业影响都非常大,今年上半年各行业都在加速数字化进程。一方面,更多的行业用户在拥抱云计算、拥抱阿里云;另一方面,我们看到网络安全已经进入企业最关注、最需要解决的问题前三名。很多政府客户、金融客户在阿里云平台上,用云安全的核心能力去构建下一代的安全架构。接下来我们会着重给各位介绍,当前阿里云安全在哪些技术领域上的深入、哪些云原生的安全能力,来帮助企业更好地解决过去无解的安全问题。
2小时扩容1万台服务器
安全服务化默认覆盖
2月份的疫情,钉钉承担了数百万人在线教育和数亿人在线办公的责任 。 面对指数级爆发的流量,钉钉只花了2个小时时间,扩容了1万台服务器。 这种速度在传统架构中,安全实现全覆盖是一项不可能完成的任务。 攻击能够导致钉钉的在线会议、在线视频中断,用户的隐私数据泄漏风险随之提升。钉钉通过云原生的安全服务化能力,快速地介入了云抗D、云WAF等组合安全防护手段,保障了钉钉稳定的运行。
试想一下,如果在传统安全线下场景,钉钉这样的企业要部署这么大规模的安全设备,每个设备都需要上架、调试,包括串联在链路上面起到防御效果,我相信至少需要1个月时间。那么云安全服务化,能够让整个业务在小时级别,安全能力快速地扩容,提供实时服务,为业务保驾护航。
安全能力与基础设施融合
0赎金解决勒索软件问题
传统企业安全架构在链路上面有大量的设备,是一个非常复杂的网络。大型企业在线下甚至拥有上百台安全设备串联在网络上,可想而知这里面会遇到多大的整个安全设备的链路联通性问题。这会导致全面管理的问题,以及安全能力的数据孤岛问题。 而云上的安全能力可以直接整合在云产品中。 例如云原生安全能力和CDN和负载均衡SLB进行进一步的融合,用户使用的时候,无论是接入性,还是全面的管理,安全能力都能得到进一步的提升。
阿里巴巴自身有一个系统叫统一接入层。在这一层当中,我们将安全的能力融入到了这个系统当中,所有经济体、业务系统在上线的时候只需要统一接入这个系统,安全的能力就随之而来。这种新型的安全对业务方来说,也是非常的方便、便捷,减轻很大的工作量。我还想再分享另一个案例, 这半年勒索软件其实攻击是非常猖獗的,增幅高达72%, 攻击者通过加密企业的数据进行获利,已经成为企业最主要的威胁之一。
国际知名的GPS公司佳明(Garmin)最近发生了一起安全事故,某一天全球的用户无法使用、服务中断。勒索软件将佳明的相关数据进行了加密,并且开出上千万美金的赎金金额。最终,佳明公司通过交付赎金解密了数据,从而恢复服务,但损失惨重。
阿里云的防勒索方案,是将安全能力和整个基础设施云产品进行整合,对勒索软件进行检测和防护。 用户可以利用容器镜像快照能力来打造这个安全方案。 就算检测和防御的能力遇到了挑战,有一些未知的蠕虫加密了用户的数据,阿里云防勒索方案用户可以通过镜像快照的方式快速地恢复数据,而不用去交赎金。
我们也看到有很多这样的场景,安全能力和技术支持云产品进行进一步融合的时候,产生了更大的化学反应。
硬件安全降维打击固件攻击
最高等级安全保护
刚刚前几周,英国的网络安全中心公布了一份报告,有组织将新冠疫苗的研究机构作为攻击的目标。他们利用的方式,是通过替换网络上所有VPN服务器的固件,来长久获得边界网络的控制权。
而大家都知道,这种基于固件的攻击,是系统层安全软件非常难以发现的。安全对抗的时候, 高维打低维效果最好,越底层的检测能力跟防御能力对越上层的攻击越有效果。
阿里云的硬件安全能力,支持系统启动的时候进行安全的检测,能够有效的发现这一类的高安全级别的后门和木马。这样的例子数不胜数,我们期待通过阿里云硬件这一层的高安全能力,给到所有的云上用户高安全级别的保护。
启用身份作为新的安全边界
打造零信任网络环境
传统网络边界、访问控制包括隔离,随着业务越来越复杂会越来越弱化, 启用身份成为企业新的安全边界,将成为构建新型安全的核心维度之一。 这次疫情,80%的企业选择了远程办公,而安全的挑战包括员工在家的终端的安全、整个办公网流量的安全、云端的应用系统的数据泄漏风险……这对企业来说都是非常大的挑战。
阿里云有个客户叫猿辅导,作为在线教育龙头企业,疫情期间很多员工在家里面办公,全球范围内有超过3万名员工,需要统一的远程管理。经过多轮生产环境验证,猿辅导最终选择了阿里云的整套零信任远程办公方案来解决这个问题。
阿里云零信任方案对所有员工的终端进行了可信认证,对每个用户的身份进行双因素的强认证,在云端的决策引擎打通了后端所有的核心应用系统,实现统一ID、统一授权。云端智能决策引擎还可以通过当下的安全因子,来判断给到每个用户什么样的对应权限,实现了办公效率、员工体验感和安全等级的全面提高。
数据默认加密*密钥轮转
让隐私泄露成为不可能
云上的数据安全一定是所有企业非常关注的, 而数据默认加密是数据安全的一个明确的趋势。 我分享一个国内手机厂商的案例。大家手机照片都会存在云端,这对个人来说一定是非常重要的隐私数据。这家手机厂商将云端的数据存储在我们OSS的云产品上面,客户通过OSS的默认加密的功能。
所有的云端的用户隐私照片存放在阿里云OSS上面的时候,都是默认加密的,所有的密钥都是由客户自己来保管。这样子有效防止了云端的数据泄漏后会造成的所有的安全隐患。 我们当前在17款云产品当中都支持了默认加密的功能,同时提供密钥轮转的功能, 用户可以通过密钥管理系统来自主管理密钥,而且一旦云端密钥泄漏,可以进一步通过一键密钥轮转来提升云端数据安全性。
数据智能驱动安全技术
原来,企业遇到的安全挑战在于数据量太大,在海量的流量中需要有效地发现威胁,精准的检测出威胁在哪里,第一时间进行拦截。 而阿里云把数据技术应用在了多个安全方面的领域,带了很好的效果。
我们在DDoS防御、Web安全防御当中,通过算法模型能够非常精准地识别攻击流量、进行阻断。 在威胁情报方面,阿里云可以识别全网的恶意IP,自动化地分析威胁,自动化地产生“安全疫苗”。 内容安全以及风控的场景,通过对图像、视频的分析和理解,帮助用户在业务上面识别涉黄、涉恐、涉暴的违禁内容,以及对用户进行视频的实人认证等等。这些是过去一年实践中总结出的云原生安全“六点核心优势”,基于很多已经落地的安全产品能力和框架,今天我也重点发布阿里云原生安全架构。
每个企业可以基于这个架构,根据自己的业务需求、业务场景特点来构建基于云的下一代创新安全架构。整个架构会分为三大层面:
第一个层面:云平台安全
阿里云使用硬件安全能力和全局云平台的威胁检测和响应能力,来打造更安全的云平台底层。
第二个层面: 云产品安全
安全能力和安全威胁建模能力在产品设计阶段,就已经被融入到产品的开发流程当中。所有代码上线前确保是安全的,给到用户一个安全的云产品。
第三个层面:内置原生安全
在主机层、网络层、应用层甚至在数据层、业务层,各个层面上将安全能力融合成场景化的解决方案,提供给各行业用户。
今天毋庸置疑,无论是IDC 、Gartner、 Forrester等国际第三方咨询机构全线领导者象限的认可,还是国内外行业头部用户的选择,阿里云安全已经是云安全的领导者。
阿里巴巴全栈上云,我们一方面基于云平台、云原生的安全能力帮助各业务主体去解决好安全问题;另一方面,也希望通过云平台,让云上的数百万级用户能够享受到跟阿里巴巴同等安全能力的保护。
云演进到今天, 底层基础设施变化给安全带来了天翻覆地的变化,我相信未来所有的企业都会在云上享受最高等级的安全。
云安全领域会有更多的创新的涌入,那我也期待通过云原生的安全能力,来协助用户构建下一代的安全架构,使用云更要驾驭云,在“云上绿洲”充分释放企业的商业竞争力!
② 阿里云未及时通报重大网络安全漏洞,会带来什么后果
【文/观察者网 吕栋】
这事缘起于一个月前。当时,阿里云团队的一名成员发现阿帕奇(Apache)Log4j2组件严重安全漏洞后,随即向位于美国的阿帕奇软件基金会通报,但并没有按照规定向中国工信部通报。事发半个月后,中国工信部收到网络安全专业机构的报告,才发现阿帕奇组件存在严重安全漏洞。
阿帕奇组件存在的到底是什么漏洞?阿里云没有及时通报会造成什么后果?国内企业在发现安全漏洞后应该走什么程序通报?观察者网带着这些问题采访了一些业内人士。
漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
关于Log4j2组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。按这个图片解读,如果没有Log4j2组件的支撑,所有现代数字基础设施都存在倒塌的危险。
国外社交媒体用户以漫画的形式,说明Log4j2的重要性
观察者网梳理此次阿帕奇严重安全漏洞的时间线如下:
根据公开资料,此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具,控制Java类系统日志信息生成、打印输出、格式配置等,大量的业务框架都使用了该组件,因此被广泛应用于各种应用程序和网络服务。
有资深业内人士告诉观察者网,Log4j2组件出现安全漏洞主要有两方面影响:一是Log4j2本身在java类系统中应用极其广泛,全球Java框架几乎都有使用。二是漏洞细节被公开,由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低,所以影响立即扩散并迅速传播到各个行业领域。
简单来说,这一漏洞可以让网络攻击者无需密码就能访问网络服务器。
这并非危言耸听。美联社等外媒在获取消息后评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”,甚至犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿里云官网截图
然而,阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后,并没有按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,而只是向阿帕奇软件基金会通报了相关信息。
观察者网查询公开资料发现,阿帕奇软件基金会(Apache)于1999年成立于美国,是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。
12月10日,在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后,中国国家信息安全漏洞共享平台才获得相关信息,并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》,称阿帕奇官方已发布补丁修复该漏洞,并建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。
中国国家信息安全漏洞共享平台官网截图
事实上,国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍,业界通用的漏洞报送流程是,成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台(CNVD) CVE 中国信息安全测评中心 > 国家信息安全漏洞库(CNNVD)> 国际非盈利组织CVE;非成员单位或个人注册提交CNVD或CNNVD。
根据公开资料,CVE(通用漏洞共享披露)是国际非盈利组织,全球通用漏洞共享披露协调企业修复解决安全问题,由于最早由美国发起该漏洞技术委员会,所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台,由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
上述业内人士认为,阿里这次因为漏洞影响较大,所以被当做典型通报。在CNVD建立之前以及最近几年,国内安全人员对CVE的共识、认可度和普及程度更高,发现漏洞安全研究人员惯性会提交CVE,虽然最近两年国家建立了CNVD,但普及程度不够,估计阿里安全研究员提交漏洞的时候,认为是个人技术成果的事情,上报国际组织协调修复即可。
但根据最新发布的《网络产品安全漏洞管理规定》,国内安全研究人员发现漏洞之后报送CNVD即可,CNVD会发起向CVE报送流程,协调厂商和企业修复安全漏洞,不允许直接向国外漏洞平台提交。
由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理,根据工信部最新通报,工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
业内人士向观察者网指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告,只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。
本文系观察者网独家稿件,未经授权,不得转载。
③ 阿里云盾(云安全)是什么有什么作用
阿里云盾(云安全)是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云云计算平台强大的数据分析能力。为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务。阿里云盾每天保护着全国超过37%的网站,致力于成为互联网安全的基础设施,云盾旗下包括DDoS高防、web应用防火墙、服务器安全(安骑士)、先知、态势感知等安全产品及服务。
一直以来,阿里云将网络安全视为生命,曾先后多次推出安全防护功能,比如:DDOS高防、CC安全防护、云监控、安全组等系列功能。云盾防护不仅丰富了阿里云安全防护产品线,更进一步保障了用户网站及数据安全。
阿里云盾使用重要知识点:
1. 云盾提供什么服务?
2. 云盾控制台补丁管理使用方法
3. 云盾开启补丁管理功能 (web shell自动修复功能)
购买云服务器 ECS 即可免费使用云盾的基础功能,帮您轻松应对各种攻击、安全漏洞问题,确保云服务稳定正常。
DDoS防护
包含1-5G的DDos防护和基础Web攻击,防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式;提供5分钟到7天范围的防护带宽报表,并且提供实时防护带宽展示;根据业务自动计算清洗阀值。
服务器安全
包含高危漏洞修复、登录检测和防密码破解、木马文件云查杀等防入侵功能。支持各云平台 Windows、Linux 云服务器安装部署。
应用防火墙
基于阿里云百万个应用做大数据分析,对各种web攻击做出快速响应,让黑客无可乘之机;专业安全团队每天更新防护规则,告别天天担忧的日子。
信息安全
提供多种违规内容的实时监控和检测;可分时段、分方式进行消息提醒,灵活配置接收邮箱或手机;提供“疑似违规”及“违规记录”模块,方便用户快速查阅及操作。
阿里云盾热门产品:
云安全中心(态势感知) :有效保护主机安全,让安全运维变得简单,防勒索防篡改。
Web应用防火墙(WAF) :中国区市场占有第一的云WAF,适用于网站、小程序、H5等的安全防护。
SSL证书 :网站必备安全产品,解决网站在浏览器显示”不安全“的提示。
DDoS防护 :覆盖全球的DDoS防护网络,快速解决攻击造成的延迟、业务中断。
④ 导致阿里云被暂停合作的漏洞 究竟是什么
新京报贝壳 财经 讯(记者 罗亦丹)因发现安全漏洞后的处理问题,近日阿里云引发了一波舆论。
据媒体报道,11月24日,阿里云安全团队向美国开源社区Apache(阿帕奇)报告了其所开发的组件存在安全漏洞。12月22日,因发现Apache Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。
12月23日,阿里云在官方微信公号表示,其一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助,“随后,该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。”
“之前发现这样的漏洞都是直接通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长,我觉得漏洞的发现者,最开始也未必能评估到漏洞影响的范围这么大。所以严格来说,这个处理不算冤,但处罚其实也没有那么严格,一不罚钱,二不影响做业务。””某安全公司技术总监郑陆(化名)告诉贝壳 财经 记者。
漏洞影响有多大?
那么,如何理解Log4j2漏洞的严重程度呢?
安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”,奇安信描述称,Apache Log4j 是 Apache 的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程,“Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。”
安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于java开发的应用平台都会受到影响。
“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注,不仅在于其易于利用,更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件,它所带来的危害就像多米诺骨牌一样,影响深远。”奇安信安全专家对贝壳 财经 记者表示。
“这个漏洞严重性在于两点,一是log4j作为java日志的基础组件使用相当广泛,Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多,几乎达到了(只要)是这个漏洞影响的范围,只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等,以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵,网友“yuange1975”在微博发文称。
“简而言之,该漏洞算是这几年来最大的漏洞了。”郑陆表示。
在“yuange1975”看来,该漏洞出来后,因为影响太广泛,IT圈都在加班加点修补漏洞。不过,一些圈子里发文章为了说明这个漏洞的严重性,又有点用了过高评价这个漏洞的词语,“我不否认这个漏洞很严重,肯定是排名很靠前的漏洞,但是要说是有史以来最大的网络漏洞,就是说目前所有已经发现公布的漏洞里排第一,这显然有点夸大了。”
“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足,这个应用的范围以及漏洞触发路径,我相信一直到阿里云上报完漏洞,恐怕漏洞发现者都没完全明白这个漏洞的真正严重性,有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。
9月1日起施行新规 专家:对于维护国家网络安全具有重大意义
据了解,业界的开源条例遵循的是《负责任的安全漏洞披露流程》,这份文件将漏洞披露分为5个阶段,依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商,是业内常见的程序漏洞披露的做法。
贝壳 财经 记者观察到,白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道,把漏洞报给原厂商而不是平台方,也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励,“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体,都会公开致谢。“对于安全研究人员而言,这种名声也会让他们非常在意。
不过,今年9月1日后,这一行业“常见程序”就要发生变化。
7月13日,工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,要求任何组织或者个人设立的网络产品安全漏洞收集平台,应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。
值得注意的是,《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。第七条第七款则表示,不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示,《网络产品安全漏洞管理规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。
张卓表示,《规定》第十条指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。同时在第六条中指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为,有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。