轻盈如薄纱,坚固若磐石云原生网络安全开发应用高级产品专家朱家睿
1、云上安全运维困难和挑战
安全是纵深在整条业务架构中的必要因素,但与业务的割裂导致安全建设和运维成本高安全与业务的割裂计费模式的割裂缺少安全效果计费部署形式的割裂安全能力的割裂业务变革的安全挑战计费模式的不统一部署对架构入侵大缺少混合云统一管理基础安全能力部分缺失安全生态能力融合难业务边缘化的安全挑战容器和硬件安全需求
用不爽用不了不能换IP多资产多端口延迟不能增加不希望改变网络架构被攻击换IP手忙脚乱防绕过额外增加配置证书多处维护获取真实IP麻烦TLS1.0、弱算法风险大带宽业务成本高运维复杂度大大增加接入效率低,链路复杂度增加因资产规模、业务模型复杂等无法接入因域名、DNS、端口、SNI等无法接入没有域名、纯IP访问客户端不支持SNI非标端口不能修改DNS接入后需要复杂配置、有扫描风险等传统网络安全方案部署时遇到的挑战额外增加链路故障风险
2.阿里云-原生网络安全方案
阿里云-原生安全帮助客户在现有业务架构基础上提供无缝部署、快速启用、按需付费的安全能力阿里云-原生网络安全方案阿里云原生网络安全混合云原生DDoS防护OSS存储EIP、负载均衡边缘加速和CDN亮点客户价值最小化业务架构变化部署安全一键启用按需使用简化安全建设和运维,专注业务建设安全能力,效果驱动付费安全投入与业务发展阶段匹配统一管理云上和云下安全能力加速企业云化原生WAF
•不需要修改DNS接入•任何端口都可以接入WAF•不需要更换IP•不需要兼容SNI•不需要修改客户端和服务器逻辑原生透明WAF解决方案架构•通过XGW技术将去往SLB的公网IP流量先牵引到WAF集群•安全检测后,流量回注到SLB并修改IP,让SLB看到真实客户端IP•在七层SLB(开启HTTP/S协议)上的端口、证书、TLS等设置均自动同步到WAF、无需额外配置•按量计费、根据防护需求按需定制合适的防护策略,进一步降低用户接入成本SLB、ECS透明WAF防护集群API安全AI引擎威胁情报Bot管理阿里云XGW125346透明WAF业务数据流向图
•账号级防护,支持防御数百上千云资产•支持全类型云产品,包括ECS、VPC、EIP、SLB、WAF、NAT等•全力防护模式,不产生攻击后付费,无需升级弹性防护•部分开放按量计费模式费用可控•基于云原生,无需改变IP,一步完成•不增加延迟,不改变网络结构不改架构不增延迟支持大型业务•适配所有业务规模,从100Mbps到1000Gbps,都可以合理成本接入DDoS原生防护解决方案全账号全资产
3、云原生网络安
云原生网络安全开发应用.pdf