阿里云云盾 · 云防火墙技术解读:零配置业务自动分组,安全管理有序、可见

12月19日,云栖大会 · 北京峰会上,阿里云高级产品专家吕颖轩介绍了国内首款基于可视化的微隔离产品:云防火墙的成长故事与技术原理。

简单来说,云防火墙解决了云上东西向隔离的业界难点,让企业将无序的云端资产,推向有序;从不可见,变成可见,进而降低运维成本。

针对在业务部署混乱无序的“企业病”,云防火墙可以在2到3周内,帮助企业将安全域从1-2个扩展到40多个,真正实现精细化、可视化隔离。

云防火墙诞生的背后,是对企业隔离需求的探索,和对技术的打磨。从云防火墙的成长历程,我们来认识一下这款创新的微隔离产品。

1

安全隔离,是最古老也是企业最基本的安全诉求。当前市面上传统防火墙的安全隔离技术,可缩小攻击面,保护企业的核心资产,是安全运维的帮手。但是在云计算环境下的东西向隔离,是安全隔离领域一直未突破的难点。

东西向隔离,是指企业内部针对横向访问(例如不同子业务之间的调用),去设定安全隔离策略的一项技术。在云计算环境下,尤为重要和复杂。

随着大量企业上云,新的部署环境给安全隔离带来了新的挑战,以业务可见性为最。业务不可见,将会直接影响,甚至是阻碍企业实施安全隔离。

我们很难想象一个运维人员在不清楚服务器的具体用途、不清楚业务之间的调用关系,该如何部署安全隔离策略。我们也很难想象每次业务中断或策略巡检的时候,运维人员只能用肉眼去逐条检查。

2

2016年6月,Gartner安全与风险管理峰会上, Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术(MicroSegmentation)的概念:“安全解决方案应当为企业提供流量的可见性和监控。"

他们认为黑客的攻击一旦在企业的系统中站稳脚跟,他们通常会横向移动(东/西)到其他系统中。微隔离是在云环境中,为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样,微隔离有助于在威胁发生时限制破坏。

当前,我们在全球安全市场中所看到的云上微隔离产品,通常有三种模式:

第一种是Native模式。这是一种在物理机的操作系统里,与虚拟化层紧耦合的方式,通过在物理机实现基于状态检测的一个协议栈,达到对虚机之间流量过滤的效果,现在公有云的安全组,几乎都是这种做法;

第二种是Third—party模式,这其实是一种将硬件防火墙去壳的做法,去壳就是去掉硬件的壳,这种方式虽然现在很多,但其实是非常不科学,他和native模式一样都很重,甚至更重一些,他不仅与虚拟化层紧耦合,甚至还会要求虚拟机要实现导流以配合。并且对物理机的资源占用也非常大;

第三种是Over-lay模式。这是一种很轻的方式,是通过在虚机植入agent,去完成隔离工作,这种方式可以很轻,因为他无关虚拟化层,但是agent的部署,其实也会带来一定的复杂度。

阿里云云盾· 云防火墙在设计之初,并不是在生搬硬套上面的模式——因为我们发现,这三种都存在一些问题。

首先,他们不关注隔离的对象是什么?这是个很大问题。在云环境中,跟企业侧办公网不一样,没有办法去根据interface、子接口、vlanID、ip网段去做安全隔离,只有真正了解了要隔离的服务器是干什么用的?服务器之间的访问关系,才能完成隔离部署。

第二, 他们不关注策略的正确性,因此也没办法感知到错误策略带来的影响。

最后,防火墙策略的运维,是运维工作的一项基础工作,这是很多企业日常运维的一项工作,因为人员的权限会变化、业务会变化。但策略数很多的时候,传统列表式的策略呈现方式,客户是没办法运维的。

这三个不关注,在云环境下,是个大事,基本上决定了以上3种模式的微隔离,没有办法在云环境中承担起东西向隔离的任务。

在这个基础上,我们团队发现,如果把可视化技术引进来之后,就能很好的解决这些问题,让客户先看见自己的业务,在部署隔离,这样就能很完美的解决上面所述的三个问题。

当然,这个可视化,不是简单的拓扑呈现,云防火墙,通过很多机器学习算法,才把原本非常复杂的服务器资产、访问关系、策略部署,以简单的方式呈现给客户。

这个简单化非常重要,只有有了这个简单化,客户才能真正把东西向隔离给落地了。阿里云云盾· 云防火墙就在这一理念之下诞生。

与传统防火墙相比,阿里云云盾 · 云防火墙为企业带来了这些创新价值:

首先是业务可视:让企业先看见业务,再进行策略部署;

其次,减少隔离策略错误:通过流量可视,最大程度保障了策略的正确性;

最后,简化运维:云防火墙通过拓扑化将资产、资产的访问关系一一呈现出来,让运维更加简单。

3

将“业务可视”与“微隔离”原本看似关系不大的两项技术,有效的结合在一起,顺滑地做好云上业务隔离,是阿里云云盾· 云防火墙最不一样的地方。具体来说,云防火墙具有三大技术创新点:

首先是智能分组(Intelligent Segmentation),该项技术结合了阿里云数加机器学习的算法,企业无需进行任何配置,一开通就可以自身的业务的分区、分组、服务器资产、服务器之间的访问关系。

第二就是可视化与微隔离的结合落地,企业再也不用进行列表式的ACL配置。通过云防火墙的可视化拓扑,企业点击拓扑中的业务元素(流量、角色、业务),即可完成全部策略的下发和维护。

这项策略管理技术,可以有效的区分了业务内外的不同安全等级的流量、已授权和未授权的流量,并直线下发安全策略。

当云防火墙通过智能算法,自动把整个业务用拓扑图的形式呈现出来的时候,企业的运维水平将提升到一个高度,并可以解决很多以前无法解决的问题。

4

目前,云防火墙已经为超过150家阿里云的企业服务。其中包括G7(北京汇通天下物联科技有限公司) —— 物联网行业车辆领域领先的企业。通过云防火墙,G7不仅重新定义了安全边界,还可以重新梳理那些“年久失修”和“不干正事”的服务器,及时进行纠正。

云防火墙帮助G7改变了原来由两个安全域承载上百台服务器的现状,而是切分为43个安全域,每个安全域保管10多台服务器。同时,G7还基于云防火墙,建立了定期的安全策略巡检机制,发现那些因人员变更、权限变更而造成的过时策略、错误策略。

5

G7的信息安全负责人李剑勇先生,对于云防火墙的评价是:“云防火墙开创了云安全管理与隔离的新方式,是一款能够直击云安全管理痛点的创新型产品。”

就在发布之前一周,阿里云云盾· 云防火墙也击败来自Tenable,思科等全球安全厂商的19个提名产品,摘得WitAwards2017互联网安全评选“年度创新产品”大奖。评选委员会一致认为,它在技术、功能与用户体验上,实现了三重创新。

未来,云防火墙将通过更多的智能算法和大数据分析,帮助全球企业实现更多业务之间、服务器之间、应用之间的策略管控,让安全管理迈入有序、可见、自动化的时代。

阿里云产品链接:https://www.aliyun.com/product/cfw?spm=5176.8142029.388261.283.3836dbccBuf6Ce

时间: 2024-11-08 19:47:35

阿里云云盾 · 云防火墙技术解读:零配置业务自动分组,安全管理有序、可见的相关文章

游戏安全资讯精选 2017年第十八期:富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权,游戏市场的收入超2千亿,阿里云与中国电信云堤达成DDoS防护领域重大合作,阿里云云盾 · 云防火墙技术解读

[游戏行业安全动态]富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权 概要:富控互动发布公告,拟13.668亿收购百搭网络51%股权.百搭网络成立于2016年10月,是一家专注于开发.运营移动端棋牌游戏的互联网游戏公司.目前,百搭网络在线运营的主要游戏有阿拉宁波麻将.阿拉浙江麻将.阿拉血战麻将.阿拉舟山麻将.阿拉江西麻将.阿拉跑得快.阿拉干瞪眼.阿拉斗牛.阿拉玩三张等棋牌游戏. 百搭网络2016年总营收25.82万元,净利润1.25万元:2017年前三个季度总营收1.25亿元,净利润9

阿里云云盾 · 云防火墙获WitAwards2017年度创新产品大奖,领奖词太燃!

12月14日,在Freebuf 互联网安全创新大会上,阿里云云盾· 云防火墙捧得WitAwards2017互联网安全评选"年度创新产品"大奖.这已是阿里云安全团队及云盾产品,连续三年获得WitAwards奖项. 阿里云云盾· 云防火墙是国内首款基于可视化的微隔离产品. 评选委员会认为:阿里云云盾 · 云防火墙可以让企业在零配置的情况下,自动实现业务分组,清楚看见业务结构,保持业务的有序性,并最大程度地减少企业配置隔离策略的错误概率.实现技术.功能与用户体验的三大创新. 阿里云云盾 ·

深入浅出,解读阿里云云盾WAF防护功能

深入浅出,解读阿里云云盾WAF防护功能 在我第一天接触安全时,就被告之,没有绝对的安全,再经过一段时间深入学习后,又深刻的体会到,安全是以牺牲效率为代价的.想要既高效又安全,就需要有超强的处理性能.现在看来,要让安全真正起到其应有的作用,关键要看应用.以WAF为例,在当今的企业安全框架下,企业不但想要能看清楚访问我这个人是谁,还可以知道这个人在干些什么,正常访问的我们开门欢迎,搞破坏.偷东西的拒之门外.那么,云WAF安全技术在云计算的网络系统中,是如何实现的呢?下面让我来具体分析一下,如何通过云

城市大脑入选国家新一代人工智能开放创新平台,阿里iDST副院长华先胜技术解读

11月15日,科技部召开新一代人工智能发展规划暨重大科技项目启动会,公布了首批国家新一代人工智能开放创新平台名单,阿里云城市大脑与百度自动驾驶.腾讯医疗影像和讯飞智能语音入选. 阿里云城市大脑项目始于2016年,旨在以摄像头为核心进行数据采集与计算,对整个城市进行全局实时分析,自动调配公共资源,修正城市运行中的Bug,提升城市运行的效率和质量.现在,城市大脑已经成功落地杭州.苏州等地,解决了很多实际难题,并在2017杭州云栖大会上交出了一份漂亮答卷:经过一年测试,城市大脑成功接管了杭州128个信

阿里云数据库技术峰会回顾整理:演讲幻灯+直播视频,赶紧下载!

云数据库产品及架构设计背后的考量 嘉宾:萧少聪,阿里云数据库高级产品专家 演讲内容:阿里云数据库产品全体系介绍及数据库产品实现架构分享. 听众收益:通过本次议题,了解阿里云全数据库产品体系能解决哪些实用场景的问题,同时了解其解决的原理. PDF下载:https://yq.aliyun.com/attachment/download/?id=1963 直播视频:https://yq.aliyun.com/edu/lesson/698 整理文章:https://yq.aliyun.com/artic

【世界知名量子科学家加盟阿里】施尧耘出任阿里云量子技术首席科学家

量子技术领域重量级人物施尧耘已经确认加入阿里巴巴,担任阿里云量子技术首席科学家.施尧耘教授在阿里巴巴的主要工作和角色是组建并负责阿里云量子计算实验室.施教授说,阿里云不仅强力支撑量子,也是未来量子应用的输出渠道.阿里做量子计算的源动力就是要做好云计算.在接受新智元的独家专访时,施教授谈到了为什么加入阿里.量子技术的最新发展趋势和现状.量子技术与人工智能的关系等等话题. 根据新智元获得的最新消息,量子技术领域重量级人物施尧耘已经确认加入阿里巴巴,担任阿里云量子技术首席科学家. 施教授是最新入职阿里

阿里云网络技术在线高峰论坛回顾出炉:PDF+视频!

2017阿里云网络技术在线高峰论坛顺利结束,下面是本次活动回顾资料. 提示:目前回顾持续生成中,敬请保持关注. 阿里云ECS网络增强型实例设计原理--李星 / 阿里云高级技术专家 议题简介:为了满足直播.游戏.Hadoop.消息中间件等对网络转发能力有非常高要求的用户场景,主流的云计算厂商都推出了针对网络性能优化的虚拟机实例.如何实现高性能.低延迟.少抖动的虚拟机网络性能,一直都是非常有挑战的问题,业界的有多种实现的方法,但是都各有利弊. 本次分享会重点介绍阿里云的网络增强型的解决方案和思考,包

阿里云飞天技术总架构师唐洪:飞天技术与应用

一年一度的阿里技术论坛(Alibaba Technology Forum)已走进第7个年头,4月15日,阿里众多技术领军人走进清华校园.通过特设的三大技术论坛,参会人员近距离接触了阿里巴巴在云计算.大数据.金融.电商等方面的技术创新. 在云计算与大数据论坛上,来自阿里云飞天技术总架构师唐洪带来了以<飞天技术与应用>为主题的深度分享.下面是精彩内容内容整理. 图:阿里云发展历程 飞天是阿里云自主研发的大规模分布式云操作系统 飞天设计原则 在开始介绍飞天技术前,唐洪和现场观众分享了当初判断要做云计

阿里云Tech Insight,云上技术者的任意门

10月10日,Tech Insight·杭州峰会,在2017杭州云栖大会举办前夕拉开了帷幕.作为"一扇云计算与技术人员的任意门", 吸引了大量技术决策者,和一线的工程师.运维工程师以及高校学生付费报名参会.   Tech Insight·2017杭州峰会新看点? 10月10日上午,阿里云MVP Demo Show在Tech Insight首开.由阿里云 MVP 王鹏翰,阿里云 MVP 候选人陈琦,两位带来的"日志服务+开源可视化套件"以及"态势感知+Dat