做一朵「透明可信」的云,火山引擎是如何保障企业数据和隐私的?
12 月 2 日,火山引擎举办“新云·共未来”发布会,现场发布了全系云产品,包括云基础、视频及内容分发、数据中台、开发中台、人工智能等五大类、共计 78 项服务。
仔细了解这些产品,云安全都成为其重要特性。针对云安全这一大家关注的焦点,火山引擎云安全高级产品经理戴国超在下午的分论坛上做了详细讲解。
如何解决企业云安全痛点
随着万物“智”联的不断深入,上云正在成为越来越多企业必然要面临的需求。上云之后的风险问题,随之成为企业必然要面对的挑战。
戴国超表示,这些风险是来自多方面的。
首先,是容器化带来的风险。云原生的应用,使得容器的使用越来越普及,与此同时容器安全问题也日益凸显,包括:不安全的镜像源、容器相关安全漏洞、不安全的环境配置、Docker 架构引发的安全问题。
其次是因内部人员安全意识不足导致的数据泄漏,以及数据生命周期所涉及范围太广、缺乏治理方案和系统,导致的治理困难。
另外,是否具备可信的计算环境也是一大挑战,包括数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性等数据管理类,以及业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性等业务质量类。
戴国超介绍,火山引擎云安全会在平台侧和租户侧两方面发力来解决企业这些痛点。
在平台侧,火山引擎将安全原生的理念融入到云平台的架构及模块中,比如将应用漏洞防护、敏感数据防泄漏的能力融合到网关上,确保防护不漏和高性能;
同时,火山引擎将白盒安全融合所有基础开发组件中确保供应链安全风险得到有效的治理;
另外,火山引擎还会将安全检测融合到所有云产品上线必做流程中,确保为用户提供的每一个云产品都是安全的。
在租户侧,火山引擎一方面为云上租户提供了安全可靠、透明可信的云平台底座;
另一方面提供了丰富的、性能卓越的云安全产品,包括已经在内部管理百万台主机与容器规模的云安全中心,具备 Tb 级防护能力的 DDoS 高防,日均阻断 10 亿+攻击的 Web 应用防火墙;
同时为用户提供云透明可信服务的云信任中心等终端、网络、应用、数据安全产品及服务,确保租户云上业务可以安全、合规、持续的增长。
在实际案例中,时有企业在创建自己的云主机的时候配置比较简单的密码,并且开放了远程登陆的服务,导致被暴力破解成功,主机被植入了挖矿木马或勒索病毒。
火山引擎为租户提供了云安全中心来进行主机安全加固,主机入侵检测,以及互联网暴露安全监控的能力,以及提供了可以为云主机提供安全运维的云堡垒机能力来保护租户的云主机安全。
透明可信,火山引擎云安全四大优势
通过在字节跳动内部云安全技术的不断积累,以及服务企业过程中,对客户痛点的把握。火山引擎云安全确立了透明可信、智能运营、原生联动、开放共建等四大优势。
其中,第一大优势透明可信,是火山引擎云安全的突出亮点。
企业在选择用云,用那个云服务厂商的时候,都会遇到几个核心问题:云平台是如何保护自己在云上的数据和隐私安全的?如果想了解该通过什么样的渠道和方式?
戴国超表示,为了解答这些问题和打消租户选择火山引擎的疑虑,火山引擎对租户的透明可信及如何构建透明可信看做最重要的事情,专门推出了云信任中心这一安全产品。
用户在使用火山引擎云产品服务时,针对所使用的产品,可以通过云信任中心来完成信任承诺协议的签署。
信任协议是火山为了保护用户在云上的数据与隐私安全作出的承诺,一旦签署就会具备相应的法律约束。
经用户授权后,云信任中心会对接云基础设施、产品、服务,将云内云上的信任情况完全透明展示给用户,并提供全面丰富的信任审计、信任评估集合和信任举证分析。
云信任中心会针对云基础设施,火山、生态产品制定统一的信任评估标准、火山引擎准入标准、整改建议,可以对产品进行统一的量化分析和评分,为高安全要求用户提供可信计算的产品服务,满足高价值场景的计算需求。
云信任中心还会逐步提供更丰富的信任举证分析,通过火山内部操作、云运维、基础配置等内容进行关联分析,发现敏感操作、异常操作,进行及时的告警和阻断,确保云租户在云上的数据与隐私的安全。
第二大优势是智能运营,主要解决的就是企业因安全人员、工具、系统、流程的不足,导致云安全风险长时间未得已修复,修复不完善,且安全问题频发,难以根本治理和有效运营。
火山引擎将内部安全运营体系、经验、安全知识库结合安全运营实际过程中所遇到的各种场景如入侵事件、网络攻击事件、主机漏洞修复过程的每个关键步骤进行分类和模块化封装,然后通过云安全中心来执行特定场景的运营流程。
用户可以选择按照流程提示手动执行处理,也可以对高风险的事件进行自动化处置,以此来达到最小人力、最低成本、最大收益的云上安全运营。
第三大优势就是原生联动。
云上安全产品服务繁多,租户该如何选择合适的安全产品及服务来解决实际遇到的安全问题;同时各个安全产品之间、安全产品与云产品之间存在比较大的割裂,导致实际的使用复杂性增高,产品防护效果会降低。
为了让租户可以降低选择成本和更好的产品体验,火山引擎将云上的安全产品完成跟租户业务相关的云服务功能、配置、操作的联动与协同(LB-WAF、云安全中心与 ECS),甚至将一些租户常用的安全能力直接融合到所用的云产品中,实现安全能力与云产品的服务融合,来简化用户使用、提升防护效果、降低安全使用的成本。
第四大优势就是开放共建。火山引擎云安全会将火山引擎自研的一些安全技术进行对外开源(如主机入侵检测系统),同时也会参与很多开源技术的维护。
对于用户来说云上使用的安全产品和技术,都可以参与其中设计和维护。火山引擎安全产品侧也将封装和开放更多的基础、原子的能力。
用户可以通过开源的技术来了解火山引擎上的安全技术和产品,又可以通过开放的接口进行安全能力在云上的二次开发,构建出满足自己特定需求的安全功能。
戴国超表示,未来,火山引擎会逐步提供更多维度的云信任的能力构建,包括信任审计、信任评估、信任承诺、信任推荐、信任预警、信任认证等模块,来帮助用户更加了解火山引擎,让用户使用一朵“透明可信”的云。
立足企业需求,应对云安全未来挑战
在企业从事安全建设的人经常遇到这种问题:自己挖出了那么多安全漏洞,也找了外部安全公司来帮忙做渗透,但是安全风险面还是不断在增大,遇到的安全事件也不断在增多。
戴国超解释说,这是因为这些行为只解决了已知风险,并没有从根本上去解决风险的收敛。
所以这里需要安全运营来通过标准的流程、成熟的平台,专业的工具来去持续制定检测、监控、分析、响应、阻断、止损策略,以及相关方案的实施,以及流程管理。
火山引擎会针对不同用户对安全运营的需求提供专业安全运营平台和安全托管服务。
租户可以利用云安全中心提供的基于内部最佳实践运营流程来完成一些特定场景的安全处置,如漏洞运营、事件运营。
火山引擎也可以直接将云上的安全运营托管于火山引擎由安全专家来进行统一运营,并且每个运营托管都会签订保密协议,并且所有的运营流程以及操作都会完全对租户透明,并且把运营系统的控制权交由租户来控制,相关运营人员是否可以进行运营操作,同时内部也会对所有运营操作进行实时的安全监控和审计,确保被运营租户的应用、数据、隐私的安全。
戴国超认为,随着物联网的快速发展,网络终端的不断丰富、增长,远程办公的企业越来越多,以及企业内部安全意识不足。
云安全正在呈现出终端安全风险多维化,网络安全风险离散化,应用安全风险常态化,数据安全风险合规化等趋势。
针对未来租户可能遇到的安全风险,戴国超表示,火山引擎云安全团队会秉承为云租户提供最高等级的安全保障,最优质的安全产品与服务的宗旨,加强云平台基础安全的建设,同时提供可以满足租户在终端安全、网络安全、应用安全、数据与隐私安全需求的云安全产品和安全专家服务,为用户提供一个安全可靠、透明可信、协同联动的云安全服务。
评论