Desafíos de seguridad de contenedores en procesos nativos de la nube
El entusiasmo de la nube nativa ha generado innovaciones tecnológicas en la infraestructura empresarial y la arquitectura de aplicaciones. Bajo la tendencia general, cada vez más empresas optan por adoptar la tecnología nativa de la nube. El informe de la encuesta anual CNCF 2020 muestra que el 83% de las organizaciones han elegido Kubernetes en el entorno de producción. Obviamente, los contenedores se han convertido en el estándar para la entrega de aplicaciones y la unidad de entrega de recursos informáticos e instalaciones de soporte en la era nativa de la nube.
Sin embargo, debido a las deficiencias inherentes en el aislamiento y la seguridad, la seguridad se ha convertido en uno de los temas centrales a los que las empresas siempre prestan atención en el proceso de transformación de contenedores. En la era nativa de la nube, ¿qué nuevos desafíos de seguridad de contenedores enfrentarán las empresas?
Falta de creación de capacidad sistemática en materia de seguridad de los contenedores
El modelo de seguridad de aplicaciones empresariales tradicional generalmente divide el límite de seguridad correspondiente en función de los diferentes dominios de confianza de la arquitectura interna La interacción de servicio este-oeste en el dominio de confianza se considera segura. Después de pasar a la nube, las aplicaciones empresariales deben implementarse e interactuar en IDC y la nube. Una vez que desaparece el límite de seguridad física, cómo construir un sistema de seguridad de contenedores a nivel empresarial bajo el modelo de seguridad de red de confianza cero es un tema importante que los proveedores de servicios en la nube deben resolverlo.
Más superficie de ataque
La implementación de aplicaciones basada en la tecnología de contenedores se basa en características como los espacios de nombres del kernel de Linux y los cgroups. Desde la perspectiva de un atacante, se pueden usar múltiples dimensiones, como las vulnerabilidades del sistema del kernel, los componentes del tiempo de ejecución del contenedor y la configuración de implementación de la aplicación del contenedor para lanzar un escape y ataques no autorizados. Las comunidades de código abierto como K8s, Docker e Istio también han explotado muchas vulnerabilidades de alto riesgo en los últimos años, todas las cuales brindan oportunidades a los atacantes.
Falta de medidas de protección de seguridad durante todo el ciclo de vida del lado de la aplicación
Si bien la tecnología de contenedores proporciona escalabilidad elástica, ágil y dinámica para la arquitectura de aplicaciones empresariales, también cambia el modelo de implementación de las aplicaciones. En primer lugar, el ciclo de vida de la aplicación en sí se ha acortado considerablemente. El ciclo de vida de una aplicación de contenedor suele ser del orden de minutos. Al mismo tiempo, con la mejora de las capacidades de la infraestructura, como las redes de almacenamiento y la utilización heterogénea de los recursos , la densidad de implementación de aplicaciones de contenedores también ha aumentado. Cuanto mayor sea el futuro, las estrategias tradicionales de protección de seguridad y los métodos de monitoreo y advertencia orientados a la dimensión de la máquina virtual ya no pueden satisfacer las necesidades de la tecnología de contenedores.
Falta de comprensión del modelo de responsabilidad de seguridad compartida en la nube
La seguridad de las aplicaciones empresariales en la nube debe seguir el modelo de responsabilidad compartida. Durante la transformación de la arquitectura de la aplicación empresarial en nativa de la nube, los administradores de aplicaciones empresariales y el personal de operación y mantenimiento de seguridad deben comprender los límites de responsabilidad entre la empresa y la nube. proveedor de servicio. En este proceso, los proveedores de servicios en la nube también deben exportar las mejores prácticas de seguridad de contenedores más completas al lado de la aplicación empresarial, mejorar la facilidad de uso de las capacidades de seguridad y reducir el umbral de uso.
Los principios básicos de la construcción de un sistema de seguridad de contenedores
Para hacer frente a los desafíos de seguridad de las aplicaciones empresariales mencionadas anteriormente en el proceso de contenedorización, los proveedores de servicios en la nube y el personal de operación y mantenimiento de gestión de seguridad de aplicaciones empresariales deben trabajar juntos para construir un sistema de seguridad de aplicaciones de contenedores:
Figura 1: Modelo de intercambio de responsabilidades de seguridad del servicio de contenedores ACK
Lado de la oferta de servicios en la nube
Para los proveedores de servicios en la nube, primero confíe en las capacidades de seguridad propias de la plataforma en la nube para construir una plataforma de infraestructura de contenedores segura y estable, y cree los métodos de protección de seguridad correspondientes para todo el ciclo de vida de las aplicaciones de contenedores, desde la construcción, la implementación hasta el tiempo de ejecución. La construcción de todo el sistema de seguridad debe seguir los siguientes principios básicos:
1. Garantizar la seguridad predeterminada de la capa de infraestructura de la plataforma de control y gestión de contenedores.
La capa de infraestructura de la plataforma de contenedores lleva los servicios de gestión y control de las aplicaciones empresariales, que es la clave para garantizar el funcionamiento normal de las aplicaciones comerciales. Los proveedores de servicios en la nube deben prestar especial atención a la seguridad de la plataforma de contenedores.
1) Capacidades de seguridad de la plataforma completa : en primer lugar, la seguridad de la propia infraestructura del proveedor de servicios en la nube es la base para la seguridad de la plataforma del contenedor, como las capacidades de configuración de seguridad de VPC, control de acceso SLB, capacidades DDoS y control de acceso al sistema de cuentas. capacidades a los recursos de la nube Estas son las capacidades de seguridad básicas que el lado de la plataforma proporciona para las aplicaciones empresariales;
2) Actualización de la versión y mecanismo de respuesta a emergencias de vulnerabilidad : la actualización de la versión del sistema operativo de la máquina virtual y la capacidad de instalar parches de vulnerabilidad también son medidas de protección básicas para garantizar la seguridad de la infraestructura. Además, las vulnerabilidades de riesgo en las comunidades de código abierto relacionadas con los contenedores como los K8 pueden convertirse en La ruta de ataque preferida por los atacantes malintencionados requiere que el proveedor proporcione un mecanismo de respuesta jerárquica para las vulnerabilidades y proporcione las capacidades de actualización de versión necesarias;
3) La seguridad y el cumplimiento de la plataforma : este también es un requisito previo fundamental para que muchas empresas financieras y departamentos gubernamentales lo apliquen a la nube. Los proveedores de servicios en la nube deben garantizar la seguridad predeterminada de la configuración de los componentes del servicio según los estándares de cumplimiento de seguridad comunes de la industria y proporcionar un mecanismo de auditoría completo para los usuarios de la plataforma y los auditores de seguridad.
2. Proporcionar capacidades de defensa en profundidad para la aplicación de contenedores.
Los proveedores de servicios en la nube no solo necesitan establecer brazos de seguridad completos en su propio lado de administración y control, sino que también deben enfrentar cargas de aplicaciones comerciales, proporcionar métodos de protección de seguridad adecuados para aplicaciones de contenedores en escenarios nativos de la nube y ayudar a los usuarios finales a tener un valor correspondiente. todas las etapas del ciclo de vida de la aplicación Programa de gobierno de seguridad. Debido a que la nube nativa tiene una infraestructura dinámica y flexible, una arquitectura de aplicaciones distribuida y métodos innovadores de operación y mantenimiento de entrega de aplicaciones, es necesario que los proveedores de la nube y los proveedores de servicios en la nube combinen las capacidades de seguridad básicas de sus plataformas para potenciar las capacidades nativas de la nube. modelo de seguridad, cree una nueva arquitectura de seguridad nativa de la nube.
Lado de seguridad empresarial
Para el personal de gestión y operación y mantenimiento de la seguridad empresarial , primero es necesario comprender los límites del modelo de intercambio de responsabilidades de seguridad en la nube y las responsabilidades de seguridad que debe asumir la empresa. Bajo la arquitectura de microservicios nativa de la nube, las aplicaciones empresariales se implementan e interactúan en IDC y la nube. El límite de seguridad de la red tradicional ya no existe. La arquitectura de seguridad de la red en el lado de las aplicaciones empresariales debe seguir el modelo de seguridad de confianza cero y reconstruir el acceso control basado en autenticación y autorización Fundación de confianza. Para los gerentes de seguridad empresarial, puede consultar las siguientes instrucciones para fortalecer la seguridad de la producción en el ciclo de vida de las aplicaciones empresariales:
1. Garantizar la seguridad de la cadena de suministro de los productos de la aplicación.
El desarrollo de aplicaciones nativas de la nube ha permitido implementar cada vez más aplicaciones de contenedores a gran escala en entornos de producción empresarial y ha enriquecido enormemente la diversidad de productos de aplicaciones nativas de la nube.Las imágenes de contenedores y los gráficos de timón son formatos de productos comunes. Para las empresas, la seguridad de la cadena de suministro del producto es la fuente de la seguridad de la producción de aplicaciones empresariales. Por un lado, la seguridad del producto debe garantizarse durante la fase de construcción de la aplicación; por otro lado, el control de acceso correspondiente debe establecerse en el momento del almacenamiento, distribución e implementación del producto. Mecanismos de escaneo de seguridad, auditoría y verificación de acceso para garantizar la seguridad de la fuente del producto.
2. La configuración de la autoridad y la emisión de credenciales siguen el principio de minimizar la autoridad
La autenticación y autorización basadas en un sistema de identidad unificado es la base para desarrollar capacidades de control de acceso bajo el modelo de seguridad de confianza cero. Para los gerentes de seguridad empresarial, es necesario utilizar las capacidades de control de acceso proporcionadas por los proveedores de servicios en la nube, combinarlas con el sistema de cuentas de autoridad interna de la empresa y seguir estrictamente el principio de autoridad mínima para configurar políticas de control de acceso para los recursos de la nube y la aplicación del lado del contenedor. recursos; además, controlar estrictamente la emisión de credenciales de acceso a recursos y revocar a tiempo las credenciales emitidas que puedan causar ataques no autorizados. Además, es necesario evitar la configuración de plantillas de aplicaciones de contenedores con permisos excesivos, como contenedores privilegiados, para garantizar que la superficie de ataque se minimice.
3. Preste atención a los datos de la aplicación y a la seguridad de la aplicación en todo momento.
El despliegue exitoso de la aplicación no significa el final del trabajo de seguridad. Además de la auditoría de solicitudes de recursos completamente configurada, el personal de operación y mantenimiento de administración de seguridad también necesita usar las alarmas de monitoreo de tiempo de ejecución y los mecanismos de notificación de eventos proporcionados por el fabricante para mantener la atención a la seguridad de las aplicaciones de contenedor durante el tiempo de ejecución y descubrir eventos de ataque de seguridad y posibles riesgos de seguridad de manera oportuna. Para los datos confidenciales en los que se basan las aplicaciones empresariales (como contraseñas de bases de datos, claves privadas de certificados de aplicaciones, etc.), se debe adoptar el mecanismo de cifrado de claves correspondiente de acuerdo con el nivel de seguridad de los datos de la aplicación, utilizando esquemas de gestión de claves en la nube y cifrado de disco. , informática confidencial, etc. Capacidad para garantizar la seguridad de los datos en el enlace de transmisión y almacenamiento de datos.
4. Solucione oportunamente las vulnerabilidades de seguridad y actualice la versión.
Ya sea que se trate de un sistema de máquina virtual, una imagen de contenedor o las vulnerabilidades de seguridad de la propia plataforma del contenedor, los atacantes malintencionados pueden utilizarlos como trampolín para invadir la aplicación. El personal de operación y mantenimiento de la administración de seguridad empresarial debe realizar las vulnerabilidades de seguridad de acuerdo con la guía esquema recomendado por los proveedores de servicios en la nube Correcciones y actualizaciones de versión (como la versión del clúster de K8, la versión del espejo de la aplicación, etc.). Además, la empresa debe ser responsable de la formación en seguridad de los empleados internos, estar preparada para el peligro en tiempos de paz y mejorar la conciencia de la protección de la seguridad es también la prioridad básica de la producción segura de la empresa.
Arquitectura de seguridad de contenedores nativa de la nube de un extremo a otro
Alibaba Cloud ACK Container Service ha creado un completo sistema de seguridad de contenedores para una amplia gama de clientes de nivel empresarial, que proporciona capacidades de seguridad de aplicaciones de extremo a extremo. En la evaluación de seguridad de Forrester IaaS de este año, las capacidades de seguridad de contenedores de Alibaba Cloud empataron con Google para obtener la máxima puntuación, liderando a otros proveedores. La siguiente figura muestra la arquitectura de seguridad de Alibaba Cloud Container Service:
Figura 2: Diagrama de arquitectura de seguridad del servicio de contenedor ACK
En primer lugar, todo el sistema de seguridad de contenedores se basa en las sólidas capacidades de seguridad de la plataforma de Alibaba Cloud, incluidas las capacidades de seguridad física / hardware / virtualización y de productos en la nube, para construir una base sólida de seguridad de la plataforma.
Por encima de la capa de seguridad de la plataforma en la nube se encuentra la capa de seguridad de la infraestructura de contenedores, que lleva las capacidades de gestión y control de las aplicaciones de contenedores empresariales, y su seguridad predeterminada es una base importante para el funcionamiento estable de las aplicaciones. En el lado de la gestión y el control de contenedores, Alibaba Cloud Container Service implementa un refuerzo de seguridad predeterminado para la configuración de la gestión de contenedores y los componentes del plano de control basados en líneas de base estándar de seguridad de la industria, como CIS Kubernetes, y al mismo tiempo sigue el principio de minimizar los permisos para converger. los permisos predeterminados de los componentes del sistema del plano de gestión y control y los nodos del clúster para minimizar la superficie de ataques.
En marzo, el punto de referencia CIS Kubernetes para ACK presentado por Alibaba Cloud Container Service pasó oficialmente la auditoría de certificación de la organización comunitaria CIS, convirtiéndose en la primera empresa nacional en publicar la línea de base del estándar de seguridad internacional CIS Kubernetes ( https://www.cisecurity.org) / cis-benchmarks / ) Proveedor de servicios en la nube Proveedor de servicios en la nube.
Un sistema de identidad unificado y un modelo de política de control de acceso son el núcleo de la construcción de una arquitectura de seguridad bajo el modelo de seguridad de confianza cero. El lado de control ACK está conectado al sistema de cuentas Alibaba Cloud RAM, lo que proporciona un sistema de operación y mantenimiento automatizado basado en un sistema unificado modelo de identidad y credenciales de acceso al certificado de clúster Al mismo tiempo, frente al riesgo de fuga de credenciales de usuario, se propuso una solución innovadora para la revocación de credenciales de usuario para ayudar a los gerentes de seguridad corporativa a revocar las credenciales de acceso al clúster de empleados potencialmente filtrados o renunciados en de manera oportuna para evitar ataques de acceso no autorizado.
Para los elementos de seguridad clave en los enlaces de acceso interactivo de las aplicaciones empresariales, como la administración de claves, el control de acceso y la auditoría de registros, ACK Container Service también proporciona las capacidades de seguridad correspondientes en el lado de la plataforma :
1. Control de acceso
ACK proporciona capacidades de control de acceso para los recursos de la aplicación en el clúster según el modelo de política RBAC de K8s. Bajo la premisa de garantizar la seguridad de las cuentas no principales o la autorización predeterminada del creador del clúster, los administradores del clúster pueden usar la consola o OpenAPI para especificar subcuentas o La función RAM realiza la autorización RBAC por lotes en las dimensiones de clúster y cuenta. ACK proporciona cuatro plantillas de autorización preestablecidas para escenarios de autorización comunes en empresas, lo que reduce aún más el costo de aprendizaje de los modelos de recursos RBAC y K8 para los usuarios.
Para la cuenta de servicio de credenciales de acceso al clúster en la que suelen depender los contenedores de aplicaciones, el clúster ACK admite la habilitación de la función de proyección del volumen de tokens para la cuenta de servicio, admite la vinculación de la identidad de la audiencia a la configuración del token sa y admite la configuración del tiempo de vencimiento, lo que mejora aún más el control de la aplicación. Apiserver de superficie Capacidades de control de acceso.
2. Gestión de claves
En respuesta a los requisitos de los clientes empresariales para la autonomía y el cumplimiento de la seguridad de los datos, el clúster ACK Pro admite la capacidad de cifrado de almacenamiento secreto de K8s (https://help.aliyun.com/document_detail/177372.html) y admite el uso de BYOK La capacidad de cifrado de disco en la nube (https://developer.aliyun.com/article/717399) garantiza que los datos centrales de la empresa se puedan transferir de forma segura a la nube; al mismo tiempo, el clúster ACK admite la sincronización en tiempo real de información confidencial alojada por el usuario en el administrador de credenciales de Alibaba Cloud KMS (https: //github.com/AliyunContainerService/ack-secret-manager) en el clúster de aplicaciones, el usuario puede montar directamente la instancia secreta designada para la sincronización de credenciales en K8s aplicación, que además evita el problema de codificación rígida de la información confidencial de la aplicación.
3. Auditoría de registros
Además de admitir la auditoría de auditoría de clúster de K8s (https://help.aliyun.com/document_detail/91406.html), ACK admite registros de componentes del plano de control básico (https://help.aliyun.com/document_detail/198268.html) , etc. Además de la recopilación de registros en el plano de gestión y control, también admite la auditoría de registros del tráfico de Ingress (https://help.aliyun.com/document_detail/195702.html) y alarmas de eventos anormales basadas en el complemento NPD ( https://help.aliyun.com/) document_detail / 125679.html).
Las capacidades de auditoría de registros anteriores están todas conectadas al servicio de registro SLS de Alibaba Cloud. La recuperación rápida, el análisis de registros y las capacidades de visualización de tablero enriquecidas proporcionadas por el servicio SLS reducen en gran medida la dificultad del desarrollo, operación y mantenimiento de aplicaciones de contenedores y auditorías de seguridad.
Al hacer frente a los desafíos de seguridad de la capa de aplicaciones de contenedores en la cadena de suministro y el tiempo de ejecución, Alibaba Cloud proporciona una gama completa de capacidades de seguridad que cubren todo el ciclo de vida, desde la construcción de la aplicación de contenedores hasta la implementación y la operación .
Figura 3: Capacidades de seguridad del ciclo de vida de la aplicación de servicio de contenedor ACK
1. Fase de construcción de la aplicación
Según la encuesta de Prevasio de 4 millones de imágenes de contenedores alojadas en Docker Hub (https://prevasio.com/static/web/viewer.html?file=/static/Red_Kangaroo.pdf?spm=ata.13261165.0.0.541a166903MbFp&ref = thechiefio) , El 51% de las imágenes tienen vulnerabilidades de alto riesgo; además, se han detectado 6432 imágenes que contienen caballos de Troya maliciosos o programas de minería, y solo estas 6432 imágenes maliciosas se han descargado 300 millones de veces.
Para hacer frente a estos desafíos de seguridad que acechan en los productos de imágenes, por un lado, los desarrolladores de aplicaciones empresariales deben utilizar una imagen básica confiable al crear imágenes de aplicaciones, estandarizar el proceso de construcción de imágenes y garantizar que la imagen se minimice; por otro lado , el servicio de imágenes de contenedores ACR de Alibaba Cloud está dirigido a Los riesgos de seguridad en el proceso de construcción de imágenes brindan capacidades básicas como control de acceso al almacén, auditoría de operaciones y escaneo de seguridad de imágenes.
Entre ellos, el escaneo de seguridad de imágenes es el medio básico para que los usuarios descubran activamente vulnerabilidades de seguridad. Servicio de imágenes de contenedores ACR (https://help.aliyun.com/document_detail/160146.html) y Alibaba Cloud Security Center (https: // help .aliyun. com / document_detail / 174046.html) proporciona diferentes versiones de la base de datos de vulnerabilidades reflejada, que admite el escaneo profundo de espejos y tiene la capacidad de actualizar la base de datos de vulnerabilidades en tiempo real para cumplir con los requisitos de cumplimiento de seguridad corporativos.
En la versión empresarial de Alibaba Cloud Container Image Service, también puede crear y administrar instancias de la cadena de entrega (https://help.aliyun.com/document_detail/155853.html) para combinar libremente los procesos de escaneo y distribución de seguridad y convertirlos en procesos automatizados. Tareas e interceptar automáticamente las imágenes que contienen vulnerabilidades para garantizar la seguridad de las imágenes distribuidas al almacén.
En el proceso de creación de imágenes, además del descubrimiento oportuno de las vulnerabilidades de la imagen, la forma de garantizar que la imagen no sea manipulada maliciosamente en el momento de la distribución y la implementación también es un método de protección de seguridad importante, que requiere que se verifique la integridad de la imagen. . En la instancia de Alibaba Cloud Container Service Enterprise Edition, los gerentes de seguridad empresarial pueden configurar las reglas de firma (https://help.aliyun.com/document_detail/159642.html) para firmar automáticamente y enviar al almacén con la clave KMS Mirror especificada.
2. Momento de implementación de la aplicación
El mecanismo de admisión nativo de K8s proporciona un mecanismo de verificación natural en el momento de la implementación de la aplicación.
Al abusar de contenedores privilegiados, montar directorios confidenciales e iniciar contenedores como usuarios raíz, es probable que estas configuraciones de plantillas de aplicaciones comunes se conviertan en un trampolín para los ataques de escape de contenedores. El modelo PSP nativo de K8s restringe el comportamiento de seguridad del contenedor de la aplicación en tiempo de ejecución mediante definiciones de políticas.
ACK Container Service proporciona una función de gestión de políticas orientada a clústeres (https://help.aliyun.com/document_detail/173620.html) para ayudar al personal de mantenimiento y operación de seguridad empresarial a personalizar las instancias de políticas de PSP de acuerdo con diferentes requisitos de seguridad y vincularlas a En la cuenta de servicio, el interruptor de un botón para las funciones de PSP también protege a los usuarios de su complicado umbral de configuración. Además, el servicio de contenedor ACK también admite la instalación y administración de componentes de control de acceso, y los usuarios pueden personalizar las políticas de seguridad en función de los escenarios más ricos del motor de políticas OPA.
En respuesta a los requisitos de verificación de seguridad de la duplicación de aplicaciones en el momento de la implementación, Google tomó la iniciativa al presentar una solución productiva de autorización binaria (https://cloud.google.com/binary-authorization) en 18 años. El servicio de contenedor ACK también lanzó oficialmente las capacidades de verificación y firma de imágenes en el momento de la implementación de la aplicación a principios del año pasado. Al instalar componentes personalizados de kritis, el personal de operación y mantenimiento de seguridad empresarial puede garantizar la seguridad de las imágenes de implementación de aplicaciones a través de estrategias de verificación de firmas personalizadas y evitar que las imágenes maliciosas que han sido manipuladas se implementen en el entorno de producción empresarial.
3. Tiempo de ejecución de la aplicación
El funcionamiento estable de las aplicaciones empresariales es inseparable de las medidas de protección de seguridad en tiempo de ejecución. ACK Container Service coopera con el equipo del Cloud Security Center para realizar un monitoreo en tiempo real y alertas de ataques comunes en tiempo de ejecución, como intrusión interna de contenedores, escape de contenedores, virus y programas maliciosos, conexiones de red anormales, etc. (https: //help.aliyun .com / document_detail /182305.html) .Al mismo tiempo, Cloud Security Center también proporciona capacidades de análisis de ataques y trazabilidad para eventos de alarma.
Al mismo tiempo, ACK Container Service proporciona capacidades de inspección de seguridad gratuitas con un solo clic para las aplicaciones que se ejecutan en el clúster según las líneas base de seguridad de la industria y las mejores prácticas. A través de las tareas de inspección, expone rápidamente las verificaciones de estado / restricciones de recursos / restricciones de las aplicaciones de contenedores en ejecución. • Parámetros de seguridad de red / parámetros de seguridad y otras configuraciones peligrosas que no cumplen con los requisitos básicos, y piden a los usuarios que reparen sugerencias para evitar posibles ataques.
Para los clientes empresariales con mayores requisitos de aislamiento de seguridad, puede optar por utilizar un clúster de contenedor de espacio aislado seguro. El contenedor de espacio aislado seguro se implementa en base a una tecnología de virtualización liviana. La aplicación se ejecuta en un kernel independiente y tiene mejores capacidades de aislamiento de seguridad. Aislamiento de la aplicación de información , aislamiento de fallas, aislamiento de rendimiento, aislamiento de carga entre múltiples usuarios y otros escenarios.
Para pagos financieros, blockchain y otros escenarios que tienen fuertes requisitos de seguridad para la integridad, integridad y confidencialidad del proceso de cálculo de datos, puede optar por implementar el clúster de hospedaje informático confidencial ACK-TEE (https://help.aliyun.com) /document_detail/164536.html), donde la informática confidencial se basa en la tecnología Intel SGX, que admite la protección de datos y códigos importantes en un entorno de ejecución de confianza (TEE) especial sin estar expuesto a otras partes del sistema. Otras aplicaciones, BIOS, SO, Kernel, administradores, personal de operación y mantenimiento, proveedores de servicios en la nube e incluso hardware que no sea la CPU no pueden acceder a datos confidenciales de la plataforma informática, lo que reduce en gran medida el riesgo de fuga de datos confidenciales.
La seguridad es la principal preocupación para que las empresas pasen a la nube
En los últimos diez años, los clientes que han elegido Alibaba Cloud Container Service han presentado varios escenarios de seguridad para Alibaba Cloud, como la seguridad de los activos de TI internos de la empresa, la seguridad de las operaciones de datos y la gestión y el control eficientes de los derechos. de todas las partes. Estos requisitos típicos se prueban. Alibaba Cloud ha acumulado la familia de productos nativos de la nube más rica, la contribución de código abierto nativo de la nube más completa, el grupo de clientes y el clúster de contenedores más grande, y una amplia gama de prácticas de aplicaciones nativas de la nube .
La seguridad es la principal preocupación de las empresas que se dirigen a la nube. Con la redefinición de la infraestructura informática nativa de la nube y la arquitectura de aplicaciones empresariales, los contenedores, como la nueva interfaz de la nube, también seguirán la tendencia del desarrollo nativo de la nube y se desarrollarán en una dirección más segura y confiable. En el futuro, Alibaba Cloud Container Service siempre tendrá como objetivo "hacer que las empresas vayan a la nube con tranquilidad y utilicen la nube con tranquilidad", mantener la competitividad de clase mundial en el campo de la seguridad de contenedores y continuar consolidándose seguridad de su propia infraestructura para brindar a los clientes seguridad en las aplicaciones.
﹀
﹀
﹀
Pocket Monster: Curso de tecnología sin servidor piloto de escena de traducción en línea
Haga clic en uno para ver, dejar que más personas vean