บัญชีองค์กร Alibaba Cloud: การสร้างระบบป้องกันความปลอดภัยของ Alibaba Cloud

วันนี้เมื่อการเปลี่ยนแปลงทางดิจิทัลเข้าสู่เขตน้ำลึกการประมวลผลแบบคลาวด์ไม่ได้เป็นเพียงเครื่องมือ "ลดต้นทุนและเพิ่มประสิทธิภาพ" อีกต่อไปแต่เป็นหัวใจดิจิทัลของการดำเนินงานขององค์กรอย่างไรก็ตามเมื่อธุรกิจขององค์กรเข้าสู่ระบบคลาวด์อย่างเต็มที่ขอบเขตเครือข่ายทางกายภาพแบบเดิมก็ถูกทำลายลงอย่างสิ้นเชิงวิธีการโจมตีของแฮ็กเกอร์ได้พัฒนาจากการฉีด DDoS และ SQL แบบธรรมดาในยุคแรกๆไปจนถึงการเจาะแบบสามมิติและชาญฉลาดที่รวม AI และสคริปต์อัตโนมัติ

ในฐานะผู้ให้บริการคลาวด์ที่มีส่วนแบ่งการตลาดในประเทศและระดับโลกที่ดีที่สุด Alibaba Cloud มีผลิตภัณฑ์รักษาความปลอดภัยที่มีขนาดใหญ่และซับซ้อนแต่สำหรับสถาปนิกองค์กรและผู้นำด้านความปลอดภัย

การซื้อผลิตภัณฑ์รักษาความปลอดภัยจำนวนมากไม่ได้หมายความว่าคุณมีระบบป้องกันความปลอดภัย

。

จะกำจัดสถานการณ์ "ปวดหัวและปวดเท้า" ได้อย่างไร? บทความนี้จะไม่พูดถึงสโลแกนที่ว่างเปล่าตัดคำพูดทางการตลาดของผู้ผลิตจาก

สถาปัตยกรรมการป้องกันเชิงลึกการกำหนดค่าฐานหลักการป้องกันวงจรชีวิตข้อมูลการรับรู้ภัยคุกคามที่ใช้งานอยู่และการจัดการการปฏิบัติงานประจำวัน

มิติการต่อสู้ที่แท้จริงทั้งห้าจะทำให้คุณแยกชิ้นส่วนวิธีการสร้างระบบป้องกันความปลอดภัยของ Alibaba Cloud ตั้งแต่เริ่มต้น

1.แยกโครงสร้าง "การป้องกันเชิงลึก": รูปแบบสามมิติของตาข่ายป้องกันความปลอดภัยห้าชั้น

มีกฎหมายเหล็กในโลกแห่งความปลอดภัย: ไม่มีแนวป้องกันจุดเดียวที่ไม่สามารถทำลายได้อย่างแน่นอนสถาปัตยกรรมที่เติบโตเต็มที่อย่างแท้จริงต้องตั้งอยู่บน "ผ่านชั้นของป้อมปราการเส้นทางการโจมตีจะยาวขึ้นและต้นทุนการโจมตีของแฮ็กเกอร์จะเพิ่มขึ้น" ตามระบบนิเวศของ Alibaba Cloud ระบบป้องกันเชิงลึกระดับองค์กรมาตรฐานควรแบ่งออกเป็นห้าชั้นจากภายนอกสู่ภายใน:

บัญชีองค์กร Alibaba Cloud

1.ชั้นป้องกันเครือข่ายชายแดน (ระดับแรกของการฟอกสีจราจร)

นี่คือแนวหน้าของการโจมตีที่เป็นอันตรายจากการจราจรภายนอกจำนวนมาก

Anti-DDoS (New Generation of High Defense): ติดตั้งที่ชั้นนอกสุดโดยส่วนใหญ่จะจัดการกับการทิ้งระเบิดของการจราจรที่เลเยอร์เครือข่ายและเลเยอร์การขนส่งเช่น SYN Flood และ UDP Flood การใช้ความสามารถในการทำความสะอาดใกล้แหล่งที่มาของ Alibaba Cloud สามารถแก้ไขการโจมตีการจราจรขนาดใหญ่ที่ขอบของผู้ให้บริการเพื่อให้แน่ใจว่ามีความพร้อมใช้งานทางธุรกิจ

WAF(Web Application Firewall): โจมตีชั้นแอปพลิเคชัน (HTTP/HTTPS) ไม่เพียงแต่ต้องเปิดกฎการป้องกัน OWASP Top 10เริ่มต้นเท่านั้นแต่ยังต้องใช้การจัดการ Bot และเครื่องมือกฎ AI ไปข้างหน้าอย่างลึกซึ้งมากกว่าครึ่งหนึ่งของการโจมตีบนเว็บในปัจจุบันเริ่มต้นโดยสคริปต์อัตโนมัติ (Bot) การวิเคราะห์พฤติกรรมของโปรแกรมรวบรวมข้อมูลคำสั่งรูดและการสแกนที่เป็นอันตราย (เช่นตามความถี่ในการร้องขอลายนิ้วมือ JA3ลายนิ้วมือของอุปกรณ์) ผ่าน WAF สามารถบล็อกภัยคุกคามส่วนหน้าได้มากกว่า80%

2.ชั้นสถาปัตยกรรมเครือข่ายหลัก ("คูเมือง" ของอินทราเน็ตขององค์กร)

หลังจากเข้าสู่อินทราเน็ตบนคลาวด์หลักการสำคัญคือ

การแยกและลดการปรากฏตัว

。

Cloud Firewall: นี่คือตำรวจจราจรที่มีการจราจรเหนือ-ใต้ (อินเทอร์เน็ตไปยังระบบคลาวด์) และตะวันออก-ตะวันตก (ระหว่าง VPC และ VPC และ VPC ไปยัง IDC ในพื้นที่) บนคลาวด์ผ่านไฟร์วอลล์ระบบคลาวด์การแลกเปลี่ยนการเยี่ยมชมทรัพย์สินทางธุรกิจสามารถแยกแยะได้อย่างชัดเจนและห้ามการเข้าถึงข้าม VPC ที่ไม่จำเป็นโดยเด็ดขาด

VPC และกลุ่มความปลอดภัย: กำหนดธุรกิจตาม "การพัฒนาการทดสอบการผลิต" หรือ "ส่วนหน้าแอปพลิเคชันตัวเลข

ตามไลบรารี "ทำการแยกทางกายภาพระดับ VPC ในฐานะไฟร์วอลล์เสมือนของขอบเขตโฮสต์กลุ่มความปลอดภัยต้องปฏิบัติตามหลักการ "การปฏิเสธเริ่มต้นการอนุญาตอย่างชัดเจน" และห้ามมิให้มีการกำหนดค่าที่มีความเสี่ยงสูง "สตรีท" 0.0.0.0/0และ TCP 22(SSH) หรือ3389(RDP) แบบเปิด

3.โฮสต์และชั้นสภาพแวดล้อมคอมพิวเตอร์ (เซิร์ฟเวอร์ "บอดี้การ์ดส่วนตัว")

เมื่อการรับส่งข้อมูลผ่านเครือข่ายไปถึงอินสแตนซ์ ECS คอนเทนเนอร์ (ACK) หรือการคำนวณฟังก์ชันการป้องกันไมล์สุดท้ายจะถูกส่งมอบให้กับความปลอดภัยของโฮสต์

Cloud Security Center (เดิมชื่อ An Knight/Cloud Security Center): นี่คือแกนหลักของระบบป้องกันทั้งหมดองค์กรต้องบรรลุความครอบคลุมของตัวแทน100% ของโฮสต์ทั้งหมดใช้สำหรับการสแกนช่องโหว่และการซ่อมแซมอัตโนมัติการตรวจสอบพื้นฐานการตรวจสอบเชลล์รีบาวน์และการตรวจสอบและฆ่าม้าโทรจันลับๆ

4.ชั้นตรรกะแอปพลิเคชันและสินทรัพย์ (วาล์วควบคุมรหัสและข้อมูลประจำตัว)

RAM (Access Control) และเอกลักษณ์ของแอป: ใช้หลักการของสิทธิ์ที่เรียบง่ายอย่างเคร่งครัดห้ามมิให้ใช้บัญชี Alibaba Cloud Root (บัญชีคลาวด์) สำหรับการดำเนินการประจำวันพนักงานและการเรียกโปรแกรมทั้งหมดต้องใช้ผู้ใช้ RAM และเปิด MFA (การตรวจสอบความถูกต้องหลายปัจจัย)

5.ชั้นสินทรัพย์ข้อมูลหลัก (สุดท้ายแนวป้องกันทางกายภาพ)

วัตถุประสงค์สูงสุดของการป้องกันทั้งหมดคือการปกป้องข้อมูลเลเยอร์นี้มุ่งเน้นไปที่การเข้ารหัสการจัดเก็บการเข้ารหัสการส่งและการลดความไวของข้อมูลที่ละเอียดอ่อน

2.คู่มือการต่อสู้จริงเพื่อหลีกเลี่ยงหลุม: การกำหนดค่าฮาร์ดคอร์และการเพิ่มประสิทธิภาพเชิงกลยุทธ์ของผลิตภัณฑ์หลัก

หลายบริษัทซื้อไฟร์วอลล์ระบบคลาวด์ WAF และศูนย์ความปลอดภัยบนคลาวด์แต่ยังถูกโจมตีโดย ransomware เนื่องจาก

การกำหนดค่าเริ่มต้นมักไม่สามารถต้านทานการโจมตีที่กำหนดเองได้

。ต่อไปนี้เป็นคู่มือที่ใช้ได้จริงสำหรับการกำหนดค่าฮาร์ดคอร์ของผลิตภัณฑ์รักษาความปลอดภัยหลักสามตัวของ Alibaba Cloud:

1.Cloud Security Center: จาก "แค่มองแต่ไม่ป้องกัน" เป็น "การสกัดกั้นที่ใช้งานอยู่"

บัญชีองค์กร Alibaba Cloud

หลายคนมองว่าศูนย์ความปลอดภัยบนคลาวด์เป็น "สัญญาณเตือน" จากนั้นทำการซ่อมแซมด้วยตนเองเมื่อเห็นข้อความแจ้งซึ่งช้าเกินไปเมื่อต้องเผชิญกับการโจมตีอัตโนมัติ

ต้องเปิดใช้งานนโยบาย "ป้องกันการแบล็กเมล์": กำหนดค่าการป้องกันการแบล็กเมล์สำหรับเซิร์ฟเวอร์หลัก (เช่นฐานข้อมูลเซิร์ฟเวอร์ไฟล์) ศูนย์ความปลอดภัยบนคลาวด์จะสำรองไดเร็กทอรีที่ระบุโดยอัตโนมัติและปิดกั้นโดยตรงเมื่อตรวจพบกระบวนการที่ไม่รู้จักการแก้ไขขนาดใหญ่และไฟล์ที่เข้ารหัสกระบวนการ.

การป้องกันตนเองรันไทม์ของแอปพลิเคชัน (RASP): เปิด RASP สำหรับแอปพลิเคชัน Java และ Go ที่สำคัญมันฉีดหัววัดความปลอดภัยเข้าไปในแอปพลิเคชันแม้ว่าแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่0day ที่ไม่รู้จัก (เช่น Log4j2แห่งปี) ตราบใดที่พวกเขาพยายามดำเนินการตามคำสั่งของระบบที่ผิดกฎหมายหรือเข้าถึงไฟล์โดยไม่ได้รับอนุญาต RASP ก็สามารถดักจับได้โดยตรงที่ระดับหน่วยความจำ

2. WAF 3.0: "การดำเนินการที่ละเอียดอ่อนแบบไดนามิก" ภายใต้การทำให้เป็นมาตรฐานของสัญญาณเตือน

การรักษาความปลอดภัย API และการค้นพบทรัพย์สินอัตโนมัติ: ด้วยความนิยมของไมโครเซอร์วิส "API เงา" ที่ไม่ได้ลงทะเบียนจึงกลายเป็นช่องโหว่ด้านความปลอดภัยที่ใหญ่ที่สุดต้องเปิดใช้งานฟังก์ชันการรักษาความปลอดภัย API ของ WAF เพื่อระบุอินเทอร์เฟซ API ทั้งหมดที่เปิดเผยบนคลาวด์โดยอัตโนมัติและวิเคราะห์ว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตหรือการรั่วไหลของข้อมูลที่ละเอียดอ่อนหรือไม่ (เช่นเอาต์พุตบัตรประจำตัวประชาชนและหมายเลขโทรศัพท์มือถือที่ไม่ไวต่อความรู้สึก)

สร้างการรับรู้รายการบทสนทนาใหม่: ห้ามโดยเด็ดขาด

เพื่อความสะดวกในการทดสอบ IP ส่วนใหญ่จะถูกเพิ่มลงในรายการที่อนุญาตพิเศษของ WAF สภาพแวดล้อมการทดสอบควรผ่านการทดสอบอิสระ WAF หรือการป้องกันชื่อโดเมนเฉพาะรายการที่อนุญาตพิเศษของสภาพแวดล้อมการผลิตต้องมีความแม่นยำถึง IP เดียว URL เดียวและกำหนดเวลาหมดอายุ

3.ไฟร์วอลล์ระบบคลาวด์: ดึงตาข่ายและปิดกั้นการเจาะจากตะวันออกไปตะวันตก

หลังจากแฮ็กเกอร์เจาะผ่านเซิร์ฟเวอร์ทดสอบขอบพวกเขามักจะใช้สิ่งนี้เป็นจุดเริ่มต้นในการสแกนและเจาะอินทราเน็ตในแนวนอนอย่างบ้าคลั่ง

เปิดการป้องกันการจราจรทางตะวันออก-ตะวันตก: บนคอนโซลไฟร์วอลล์ระบบคลาวด์คลิกเดียวเพื่อเปิดการป้องกันขอบเขตการจราจรระหว่าง VPC

การบล็อกข่าวกรองภัยคุกคามอัจฉริยะ: การบล็อก "การเข้าถึงแบบแอคทีฟ" ที่เปิดไฟร์วอลล์ระบบคลาวด์เมื่อเซิร์ฟเวอร์ในอินทราเน็ตตกลงไปอย่างน่าเสียดายและพยายามเชื่อมต่อเซิร์ฟเวอร์ C2 (คำสั่งและการควบคุม) ภายนอกและ IP พูลของเหมืองไฟร์วอลล์ระบบคลาวด์จะตัดการรับส่งข้อมูลภายนอกทันทีตามข้อมูลภัยคุกคามของเครือข่ายทั้งหมดของ Alibaba Cloud และบล็อกขั้นตอนต่อไปของแฮกเกอร์คำแนะนำ.

3.ความปลอดภัยของข้อมูลการป้องกันวงจรชีวิตเต็มรูปแบบ: สร้าง "ตู้เซฟ" สำหรับสินทรัพย์ดิจิทัล

ข้อมูลเป็นเส้นชีวิตขององค์กรการสร้างระบบป้องกันความปลอดภัยของข้อมูลจำเป็นต้องปฏิบัติตามการจัดการวงจรชีวิตและมุ่งเน้นไปที่การใช้สองบรรทัดหลักของ "การเข้ารหัสและการถอดรหัส" และ "การตรวจสอบ"

ขั้นตอน

ภัยคุกคามหลัก

การกำหนดค่าแนวทางปฏิบัติที่ดีที่สุดของ Alibaba Cloud

การถ่ายโอนข้อมูล

การตรวจสอบการจราจรการโจมตีของคนกลาง

ทั้งไซต์บังคับ HTTPS / TLS 1.3;SLB (Load Balancing) บังคับกำหนดค่าใบรับรองความปลอดภัยการรับส่งข้อมูลที่ละเอียดอ่อนของอินทราเน็ตใช้การเชื่อมต่อแบบเพียร์ทูเพียร์ VPC ที่เข้ารหัส

การจัดเก็บข้อมูล

ลากห้องสมุดการสูญเสียสื่อทางกายภาพ

เปิดใช้งาน KMS (บริการจัดการคีย์) สำหรับดิสก์บนคลาวด์ (EBS) หน่วยเก็บข้อมูลอ็อบเจ็กต์ (OSS) และฐานข้อมูลเชิงสัมพันธ์ (RDS) เพื่อเปิดการเข้ารหัสลงจอด (TDE) คีย์จะได้รับการจัดการโดยผู้ใช้โดยอิสระ

การใช้ข้อมูล

พนักงานภายในมีอำนาจเกินอำนาจในการดูและรั่วไหล

ปรับใช้การป้องกันข้อมูลที่ละเอียดอ่อน (SDP) การลดความไวแบบไดนามิกของฟิลด์ที่ละเอียดอ่อน (เช่นชื่อหมายเลขบัตร) ในระบบการจัดการพื้นหลังและรายงาน BI ที่ชั้นแสดงผล

การไหลออกของข้อมูล

ชนห้องสมุดดาวน์โหลดภายนอกที่ผิดกฎหมาย

จำกัดการอนุญาตถังเก็บข้อมูล OSS อย่างเคร่งครัดและห้ามมิให้ตั้งค่าเป็น "Public Read" โดยเด็ดขาดข้อจำกัดในการดาวน์โหลดจะดำเนินการผ่านนโยบาย RAM ร่วมกับรายการที่อนุญาตพิเศษ IP

เน้นเป็นพิเศษ: อาวุธที่ดีที่สุดในการป้องกัน ransomware คือการสำรองข้อมูลสามขั้นตอน

ใช้ Alibaba Cloud

HBR (ไฮบริดคลาวด์สำรอง)

, สแนปชอตปกติและสำรองข้อมูลของดิสก์ระบบ ECS หลักและฐานข้อมูลที่สำคัญคุณต้องเปิดฟังก์ชัน "Backup Library Lock (WORM)" เมื่อเปิดใช้งานแล้วจะไม่มีใคร (รวมถึงรูทบัญชีคลาวด์) สามารถลบหรือยุ่งเกี่ยวกับข้อมูลสำรองได้ภายในระยะเวลาการเก็บรักษาที่กำหนดแม้ว่าแนวหน้าจะล้มเหลวทั่วกระดานแต่บริษัทก็ยังคงมีไพ่สำหรับเปิดระบบอีกครั้ง

4."Zero Trust" (Zero Trust) ของข้อมูลประจำตัวและสิทธิ์

ในระบบรักษาความปลอดภัยสมัยใหม่ขอบเขตเครือข่ายกำลังจางหายไปและ

ตัวตนกลายเป็นพรมแดนใหม่

。ในการสร้างระบบป้องกันความปลอดภัยของ Alibaba Cloud เราต้องใช้แนวคิด "การตรวจสอบอย่างต่อเนื่องและไม่ไว้วางใจ" เป็นศูนย์

บัญชีองค์กร Alibaba Cloud

การตัดผู้ใช้ RAM อย่างละเอียด: การแยกความรับผิดชอบ (SoD): เจ้าหน้าที่ปฏิบัติการและบำรุงรักษามีสิทธิ์ในการจัดการ ECS และ VPC เท่านั้น

DBA มีสิทธิ์ในการจัดการ RDS เท่านั้นและผู้ตรวจสอบทางการเงินจะมีสิทธิ์ในการดูค่าธรรมเนียมเท่านั้นการควบคุมเงื่อนไขข้อจำกัด: การแนะนำ Acs: การจำกัด SourceIp ในนโยบาย RAM 。ตัวอย่างเช่นมีการกำหนดว่าการดำเนินการที่มีความเสี่ยงสูงหลักบางอย่าง (เช่นการลบฐานข้อมูลและการปรับเปลี่ยนสถาปัตยกรรมเครือข่าย) สามารถดำเนินการได้ภายใต้ IP อินทราเน็ตขององค์กรของบริษัทเท่านั้น (หรือ IP ของเครื่องป้อมปราการที่กำหนด)

พอร์ทัลการจัดการระยะไกลแบบคอนเวอร์เจนซ์เต็มรูปแบบ (ปฏิเสธการเปิดรับเครือข่ายสาธารณะ): ปิดพอร์ต22/3389ของ ECS ที่ฝั่งเครือข่ายสาธารณะอย่างเด็ดขาดการทำงานและการบำรุงรักษาระยะไกลต้องผ่านระบบคลาวด์/ป้อมปราการ (Bastion Host) การระบุตัวตนแบบรวมและการพิสูจน์ตัวตนแบบคู่จะดำเนินการผ่านเครื่องป้อมปราการและบรรทัดคำสั่งการเคาะทั้งหมด (เช่น rm -rf) ของเจ้าหน้าที่ปฏิบัติการและบำรุงรักษาจะดำเนินการตรวจสอบวิดีโอเต็มรูปแบบสำหรับการดำเนินการและการบำรุงรักษาในกรณีฉุกเฉินชั่วคราวคุณสามารถใช้การจัดการการดำเนินการและบำรุงรักษาระบบ (OOS)-Session Manager ของ Alibaba Cloud ซึ่งช่วยให้เจ้าหน้าที่ปฏิบัติการและบำรุงรักษาสามารถเชื่อมต่อกับ ECS ในเบราว์เซอร์ได้โดยตรงและปลอดภัยโดยไม่ต้องเปิดพอร์ตเครือข่ายสาธารณะใดๆนอกจากนี้ยังสามารถใช้ ECS ของ Internet IP

5.จาก "การป้องกันแบบคงที่" เป็น "การดำเนินการแบบไดนามิก": การกำกับดูแลประจำวันของ SecOps

ความปลอดภัยไม่ใช่โครงการคงที่แต่เป็นกระบวนการที่ไม่หยุดนิ่งของวิวัฒนาการอย่างต่อเนื่องหลังจากสร้างระบบแล้วจะมั่นใจได้อย่างไรว่าเครื่องนี้สามารถทำงานได้อย่างมีประสิทธิภาพ?

1.การรวบรวมบันทึกแบบรวมและการตอบสนองต่อภัยคุกคาม: Cloud Native SIEM (การตรวจสอบบันทึก)

เชื่อมต่อ WAF, ไฟร์วอลล์ระบบคลาวด์, ศูนย์ความปลอดภัยบนคลาวด์, ActionTrail และบันทึกสตรีม VPC เข้ากับ Alibaba Cloud

Log Service (SLS) ศูนย์ความปลอดภัย

หรือ

บริการแม่บ้านรักษาความปลอดภัย

。

ใช้ความสามารถ SIEM ดั้งเดิมของคลาวด์เพื่อทำการวิเคราะห์ความสัมพันธ์ข้ามผลิตภัณฑ์ตัวอย่างเช่นเมื่อ WAF พบว่า IP กำลังพยายามฉีด SQL อย่างบ้าคลั่ง (สัญญาณเตือน A) ไฟร์วอลล์ระบบคลาวด์พบว่า IP เริ่มการระเบิด SSH (สัญญาณเตือน B) บน ECS บนอินทราเน็ตและในที่สุดศูนย์ความปลอดภัยบนคลาวด์ก็แจ้งว่า ECS ปรากฏขึ้นพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ (สัญญาณเตือน C) ระบบจะเชื่อมโยง A, B และ C โดยอัตโนมัติตัดสินว่าเป็นเหตุการณ์การบุกรุกที่ประสบความสำเร็จและทำให้เกิดการบล็อกการเชื่อมต่อเครือข่ายทั้งหมด

2.การจัดเรียงความปลอดภัยอัตโนมัติและการตอบสนอง (SOAR)

การอาศัยการบล็อก IP ด้วยตนเองและการแยกโฮสต์ดูเหมือนจะยืดออกเมื่อเผชิญกับการโจมตีของแฮ็กเกอร์ในไม่กี่วินาทีบริษัทต่างๆควรค่อยๆสร้างแผนอัตโนมัติ (Playbooks):

เมื่อศูนย์ความปลอดภัยบนคลาวด์ตรวจพบว่า ECS บางตัวเด้งเชลล์ (มีความเสี่ยงสูงมาก) ระบบจะเรียกใช้การคำนวณฟังก์ชัน (FC) หรือสคริปต์ผู้ช่วยระบบคลาวด์โดยอัตโนมัติ

สคริปต์ดำเนินการสองขั้นตอนทันที: ก. แก้ไขกลุ่มความปลอดภัยของ ECS ดึงเข้าไปใน VPC ที่แยกและตัดการเชื่อมต่อกับเครื่องอินทราเน็ตอื่นๆ b. สร้างสแนปชอตดิสก์ระบบสำหรับ ECS โดยอัตโนมัติและเก็บไซต์ไว้สำหรับการตรวจสอบย้อนกลับและการรวบรวมหลักฐานในภายหลัง

3.การฝึกซ้อมพื้นฐานแบบปกติกับกองทัพสีน้ำเงิน

ไม่ว่าแนวป้องกันจะสมบูรณ์แบบแค่ไหนก็มีช่องโหว่ของมนุษย์องค์กรควรรักษากลไกระยะยาวสองประการ:

การตรวจสอบการปฏิบัติตามการกำหนดค่าอัตโนมัติ: ใช้ฟังก์ชันหลักของการตรวจสอบการกำหนดค่า (Config) ของ Alibaba Cloud เพื่อตรวจสอบระบบคลาวด์แบบเรียลไทม์

การปฏิบัติตามสินทรัพย์เมื่อพนักงานใหม่ต้องการความสะดวกในการสร้างถังเก็บข้อมูลอ็อบเจ็กต์แบบ "เปิดทั้งเครือข่าย" หรือเปิดพอร์ตที่มีความเสี่ยงสูง Config จะส่งสัญญาณเตือนทันทีหรือแม้แต่แก้ไขโดยอัตโนมัติ

ดำเนินการฝึกซ้อมการรุกและการป้องกันเป็นประจำ: แนะนำทีมรักษาความปลอดภัยมืออาชีพภายนอก (กองทัพสีน้ำเงิน) เพื่อดำเนินการแทรกซึมการต่อสู้จริงโดยไม่ต้องแจ้งการดำเนินการและการบำรุงรักษาแนวหน้าล่วงหน้าและทดสอบความสามารถและเวลาตอบสนองของทีมรักษาความปลอดภัยทั้งหมดไปยังคอนโซลและเครื่องมือรักษาความปลอดภัยของ Alibaba Cloud

สรุป: ความปลอดภัยเป็นตรรกะพื้นฐานของธุรกิจไม่ใช่ต้นทุนเพิ่มเติม

การสร้างระบบป้องกันความปลอดภัยของ Alibaba Cloud ไม่ใช่ "Product Lianliankan" ง่ายๆต้องใช้บริษัทจากด้านล่าง

การกำกับดูแลตัวตนที่ไม่มีความไว้วางใจ

เริ่มผ่าน

ความลึกสามมิติของเครือข่ายและโฮสต์

ปิดกั้นภัยคุกคามจากภายนอกและพึ่งพา

การเข้ารหัสเต็มรูปแบบและการสำรองข้อมูลต่อต้าน ransomware

ความปลอดภัยของข้อมูลด้านล่างและรวบรวมในที่สุด

SecOps แบบครบวงจรการทำงานที่ปลอดภัยอัตโนมัติ

。

บัญชีองค์กร Alibaba Cloud

ในสงครามธุรกิจในยุคดิจิทัลไม่เพียงแต่ความเร็วของการดำเนินธุรกิจเท่านั้นแต่ยังรวมถึงผู้ที่สามารถมีแชสซีที่มั่นคงกว่าเมื่อเผชิญกับพายุการฝังระบบป้องกันความปลอดภัยไว้อย่างลึกซึ้งในทุกเซลล์ของสถาปัตยกรรมคลาวด์เป็นคูเมืองเทคโนโลยีที่มั่นคงที่สุดสำหรับบริษัทต่างๆที่จะไปต่างประเทศและกลายเป็นดิจิทัล