国内唯一！全球云安全，强劲表现者 阿里云首次进入挑战者象限

从1956年“虚拟化”概念第一次被提出到现在，半个世纪里，云计算以雷霆万钧之势迈入了历史洪流中。现如今，产业数字化仍方兴未艾，智能化时代的大幕已徐徐拉开，云计算的浪潮再一次涌动起来。

而支撑云上一切创新、应用、业务的基石，就是安全。

近日消息，全球权威研究机构Forrester日前发布了2023第二季度《基础设施即服务平台原生安全Wave™》，阿里云凭借技术实力和策略前瞻性，首次进入强劲表现者象限，云平台在数据中心、容器安全和合作伙伴生态系统标准中均获得了最高分。

不同于传统安全的碎片化，云安全是一个从下至上的工程化体系建设，依赖于精细的设计和巧妙的逻辑嵌套，从底层的基础设施，到虚拟化层的资源调度，平台侧的身份、网络、合规，再到上层的数据、负载、配置安全，均需提供给企业可信的运行环境。

自2009年阿里云诞生的那天起，安全便已伴其左右，经过十余年的发展探索，为云上客户提供从基础设施层到业务层的全栈安全防护：

为多租户模式设计的基础设施

作为企业数据中心的延伸，稳定，是一切云服务的基础，也是追求的终极目标之一。

一方面，稳定依赖于物理性安全。阿里云已面向全球开服运营了公共云地域、86个可用区，超过100+数据中心，通过大体量服务器集群为客户业务提供强力支持；同时，每个物理中心从分区设计、安全设备、安防人员，到内部管控、权限控制、维护保障，均处于多层安全防护中。

另一方面，云上资源磁化所需求的是一套完全不同的，适应多租户、分布式部署的底层架构。其核心包括两点，一是云上服务需被多方共用，二是租户之间的逻辑隔离，在保障客户业务空间独立性的同时，提升基础资源的利用效率。

1、虚拟化隔离：

单机隔离能力是企业上云的前提，解决的是资源瞬时的隔离能力和优先级能力，阿里云已实现：

• 计算隔离：阿里云平台使用的虚拟化环境，将用户实例作为独立虚拟机运行，并通过物理处理器权限级别强制执行此隔离，
• 网络多租户隔离：通过网络虚拟化（Overlay）技术方案，通过VxLAN技术对云网络进行编址实现路由层面的隔离。阿里云向云上客户提供VPC产品，基于隧道技术来实现，不同用户的流量都只在各自的隧道里面流动，默认不互通，即客户在云上有了一个自己私有隔离的网络环境，并拥有了自身的网络管理能力。
• 存储隔离：通过分库方案、分表方案、租户唯一标识等手段，实现租户数据的私密性、隔离性；
• 业务隔离：是用户可以直接感知到的隔离，核心点是做好权限管控。阿里云多租户系统的权限控制基于RBAC模式进行设计，即用户、角色、权限和资源的绑定，服务负责人可以使用访问控制管理功能，精确限制哪些服务可以访问和通信；

同时，阿里云会在应用层通过租户标识来区分不同租户的数据，每一个租户都拥有一个唯一标识符，从而实现数据调用的隔离。

2、资源调度：

阿里云的资源调度系统可谓是云计算的大脑，负责在众多集群内的机器里，选择一台最合适的，以最佳的资源使用姿势，做到最少的相互干扰来运行用户提交的计算作业。

调度系统决定着基础设施的利用率和整体运作成本。

2021年，阿里云将发展了十多年的双调度系统重构为基于ACK的“统一调度系统”，新框架基于阿里云容器服务 Kubernetes 版（简称容器服务 ACK），通过一套调度协议、一套系统架构，统一管理底层的计算、存储、网络资源。ACK 本身提供了一个全托管的 Kubernetes 集群的调度能力，对于 IaaS 层不同类型的计算、存储、网络等能力都可以统一调度，运行业务规模达到数千万级别，是云服务稳定性的另一层保障。

（阿里云伏羲系统资源划分逻辑）

依云构建的原生化安全

云上独特的架构，也决定着安全的形态必然与基础设施紧密结合，与云产品深度绑定，以基因式的内生化逻辑，借助于多样化的安全数据与海量的安全算力，为客户提供智能化、原生化、集成化的云上安全。

云安全架构的构建，依赖于连接云上所有资源的身份体系。在零信任动态体系逐渐普及的当下，云上数据、流量的访问、管理都离不开以身份为基石的访问控制和权限验证。在CSA 2022年发布的《Top Threats to Cloud Computing》报告中，云上风险TOP 1为：

不完善的身份体系、凭证、访问和密钥管理、特权账号

Insufficient Identity、Credentical、Access and Key Management、Privileged Accounts

一套完整的云上账户体系应该能保障客户的设备、应用、工作负载、数据等资产被正确的访问，帮助客户在各类情况下，通过多源上下文信息对每一个访问行为进行信任评估，动态授予相应权限，并且通过多因素身份认证（MFA）、用户行为分析（UEBA）等高强度认证手段，最大程度避免凭据盗用、横向移动等安全威胁。

阿里云RAM控制系统，原生接入云上各类服务、资源体系，并且对于多账号、多用户等场景，也可实现权限分离和统一管理，实现云上身份体系的快速构建。

而身份所连接的资源，大多基于云上网络、计算、存储三大件而构建：负载、流量、数据。

1、敏捷开发下的工作负载保护：

不同于线下“瀑布式”开发流程，云的高弹性、高算力使CI/CD、DevOps等快速开发方式成为可能，以容器为核心的虚拟负载的存活时间可能只有秒级，阿里云所提供的DADI引擎可实现秒级启动上万个容器，而与原生平台天然一体的底座优势，让对容器资产的感知和保护成为可能。

在技术侧，阿里云发布了国内首个云原生容器安全ATT&CK攻防矩阵，也是国内首家通过赛可达容器安全测评的厂商。Forrester在报告中评论：“阿里云提供强大的容器安全能力。”依云而生的容器安全，在天然的架构优势的加持下，已保障服务了上万客户数百万的主机。

2、融入网络节点的流量防护：

分布式部署、虚拟化互通的云上网络，早已打破了传统的“边界”概念，不同于线下常见的南北向流量，云上更多的是在VPC、虚拟机、容器之间流动的东西向流量，其安全需要更细粒度的流量可视化和过滤，这依赖于和网络架构深度融合的安全：

• 云Web应用防火墙已经完成了和ALB负载均衡、MSE等云产品的插件集成，一键接入即可实现防御；
• 云防火墙与云网络CEN TR深度集成，实现东西向流量一键自动引流，自定义分配防火墙网段并自动同步新增；
• 云DDoS接入了阿里云专属SCDN网络，每个节点均拥有百万级QPS的防护能力，并提供独享IP段，隔离风险；

依托云基础设施而构建的流量型产品也实现了安全能力的原子化，根据不同场景、用户群体或特殊要求，共享安全数据并且持续、动态编排安全原子能力，组合成匹配业务逻辑和管理流程的安全功能。

（云上流量安全产品架构）

3、覆盖生命周期的数据安全：

云上的数据防护是一个体系化工程，围绕着数据全生命周期，阿里云提供数据识别、分类分级、数据加密、数据脱敏、传输加密、KMS管控等多样化安全能力，保护客户云上数据生命线。

（阿里云云上数据生命周期防护图）

企业需关注数据在云上的全生命周期流程，在不同阶段匹配对应的安全产品：

• 对所有数据进行扫描、分类，并对识别出的敏感数据进行打标；
• 对核心的敏感数据进行保护，并对其传输过程进行加密；
• 建立完善的数据访问权限体系，依照最小权限原则并开启多因素认证；
• 对于更高密级的数据传输，采用机密计算、同态加密等技术保护其安全；

4、融入云产品的配置管理

和防守思路不同，攻击者会想方设法绕过“马其顿防线”，从某个意向不到的关联路径入侵。在云上，过度开放的端口、核心账户弱密码、过度授权等等错误配置正在成为攻击者的入口，这是一场需要和全线云产品共同联防的持久战。

依赖于云上统一的技术底座和Open API接口，云安全中心所提供的CSPM（云安全配置管理）能力，已全面接入数十款云上产品，提供16大类检查类别、100+检查项，覆盖20+款云产品，对云客户的基础设施、合规性配置进行持续性的评估和改进，并在去年新增身份配置管理CIEM，整体身份管理系统IDaaS、资源管理系统RAM，帮助企业管理云访问风险账户中的异常情况，是原生安全建设不可或缺的一环。

混合云趋势下安全原子化

Gartner在《中国混合云运营的三个重要经验》报告中指出，中国的混合云采用率在2021年达到了42%，预计到2024年，其渗透率将达到70%，已成为主流。在多云混线下的场景中，阿里云通过产品能力原子化模块化、SDK服务化、接口标准化，让客户的选择更加灵活。

此外，针对多云混线下的部署现状，阿里云各类基线安全产品也支持多场景部署：

• 云安全中心支持阿里云、华为云、腾讯云、AWS等公共云的负载安全检测
• Web应用防火墙可支持任意三方IaaS平台部署，通过CNAME代理模式导流或SDK混合部署；
• DDoS防护可通过代理转发规则保护三方IaaS平台免受L4/L7层攻击；
• 阿里云容器安全所提供的agent可部署在其他IaaS节点上，通过daemonset方式来连接三方节点实现风险扫描；
• 阿里云KMS密钥管理系统支持三方密钥统管；

数字化时代，安全是所有企业必须面对的问题。传统安全能力单点极致的思路，在体系化防护思想中呈现边际效益递减，碎片化所带来的复杂性，难以为客户带来正比的安全收益。阿里云安全与基础架构紧密耦合，依云而生的一体化原生安全，才能提供给客户更极致的安全体验。

Forrester评论：“对于需要在中国拥有安全的公共云平台IT设施的企业/组织，阿里云是绝佳的选择。”

在信通院发布的《云原生安全成熟度》标准评估中，阿里云取得国内唯一全域最高等级认证。作为亚洲合规资质最全的云厂商之一，阿里云整体安全能力获得了国际三大权威机构一致认可，未来，阿里云将持续致力于为客户提供安全、可靠、高效的云计算服务。