Descripción general
Alibaba Cloud es compatible con SecOps con el principio de "autorización mínima" durante el despliegue y la operación de sus aplicaciones. Puede almacenar datos confidenciales, como contraseñas, mediante el servicio Secret Management. También, puede establecer el alcance de permisos con el enfoque de "política como código", mediante el uso de código para definir y administrar las reglas y condiciones de sus permisos. Por último, puede lograr una autorización de acceso detallado a servicios mediante "confianza cero".
Secret Management
Los datos confidenciales, como las contraseñas, generalmente se almacenan en archivos secretos. Los Secret Managers pueden leer los archivos secretos almacenados en Key Management Service y copiarlos en sus clústeres de Kubernetes. Puede almacenar, administrar y rotar regularmente los archivos secretos con Secret Manager para mejorar la seguridad de los datos confidenciales.
Gobernanza de políticas
Al implementar recursos, puede establecer y habilitar restricciones con las plantillas de reglas de OPA y Gatekeeper para cumplir los requisitos de alta seguridad. Por ejemplo, puede especificar espacios de nombres de un clúster para la implementación de recursos y, a continuación, prohibir la implementación en otros espacios de nombres.
Agente de políticas abiertas (OPA)
OPA es un conjunto de herramientas unificado y un marco con control basado en políticas para entornos nativos en la nube. Adopta el enfoque de "política como código" al desacoplar la política del código de servicio. Puede publicar, analizar y revisar políticas sin sacrificar la disponibilidad ni el rendimiento.
Gatekeeper
Gatekeeper es un motor de políticas para entornos nativos en la nube alojados por Kubernetes. Puede usarlo para administrar e implementar las políticas ejecutadas por OPA en sus clústeres de Kubernetes.
Confianza cero
Puede controlar el acceso al servicio a través de una autorización precisa en Service Mesh para aumentar aún más su seguridad. Por ejemplo, puede restringir las aplicaciones de un espacio de nombres que ejecuta la administración en segundo plano, evitando que accedan a aplicaciones en otros espacios de nombres. También puede restringir el acceso de las aplicaciones de un espacio de nombres a las bases de datos, o establecer el cumplimiento de las reglas de mTLS para el acceso entre aplicaciones.
Política de autorización
Puede controlar el acceso al servicio a través de una autorización precisa en Service Mesh para aumentar aún más su seguridad. Por ejemplo, puede restringir las aplicaciones de un espacio de nombres que ejecuta la administración en segundo plano, evitando que accedan a aplicaciones en otros espacios de nombres. También puede restringir el acceso de las aplicaciones de un espacio de nombres a las bases de datos, o establecer el cumplimiento de las reglas de mTLS para el acceso entre aplicaciones.
Mutual Transport Layer Security (mTLS)
Puede establecer la configuración global de mTLS o la configuración de mTLS para un espacio de nombres en Service Mesh y elegir la aplicación estricta de mTLS. Sino puede deshabilitar mTLS para configurar de manera flexible la autenticación mutua según sus necesidades de política de "confianza cero".
Puntos destacados de la solución
-
Líder en plataformas de contenedores en la nube pública
Acelere el desarrollo de aplicaciones basadas en contenedores y la operación y mantenimiento para el mercado global basado en las capacidades nativas en la nube de pila completa de Alibaba Cloud, con experiencia probada reconocida por The Forrester Wave™
-
Control de seguridad basado en políticas
Simplifique el control de seguridad basado en políticas con más de 30 plantillas OPA creadas previamente en Container Service for Kubernetes (ACK) y adaptadas para resolver riesgos de seguridad en escenarios comunes nativos en la nube
-
Gestión de acceso detallado
Implemente el control de acceso según el usuario basado en los recursos de roles de RAM para cuentas de servicio (RRSA), como bases de datos, instancias y archivos clave en Key Management Service (KMS)
-
Soporte de "Confianza cero"
Implemente una política de autorización de "Confianza cero" al personalizar políticas de autorización como mTLS para instancias, espacios de nombres y sitios web, etc. mediante la interfaz gráfica ASM o los archivos de configuración YAML
Más información sobre Alibaba Cloud SecOps
Contactar con VentasProductos destacados
-
-
Key Management Service
Servicios de criptografía y administración de claves seguros y compatibles para ayudarlo a cifrar y proteger los activos de datos confidenciales
- Servicios de administración de claves y criptografía
- Cifrado de datos para servicios en la nube integrados
- Cifrado personalizado y firmas digitales
Seguridad y cumplimiento
-
CSA STAR
-
ISO 27001
-
SOC2 Type II Report
-
C5
-
MLPS 2.0
-
MTCS
Recursos relacionados
Blog
Tecnología de operación y mantenimiento nativa en la nube: mejore la seguridad de las aplicaciones en ASM con el "concepto de confianza cero" y OPA
En este artículo, se explica el concepto de confianza cero y cómo utilizarlo para mejorar la seguridad de las aplicaciones en Service Mesh.
Documento técnico
Descubra la tecnología nativa en la nube que potencia el Double 11 Global Shopping Festival de Alibaba
Descubra cómo las tecnologías nativas en la nube de Alibaba Cloud apoyan el Double 11 Global Shopping Festival 2020.
Seminario web
Uso de Kubernetes para modernizar sus aplicaciones a escala
En este seminario web, se analiza cómo Alibaba Cloud ayuda a las empresas a garantizar una alta eficiencia mediante la ejecución de aplicaciones en contenedores en la nube.
Empiece a utilizar las soluciones de Alibaba Cloud
Descubra y experimente la potencia de Alibaba Cloud.
Contactar con Ventas