阿裡雲肖力：雲即信任

2005年，杭州文二路的一家不知名企業，迎來了公司成立後的第一名安全工程師，這在那個連“網際網路業務”都還有些模糊不清的年代裡，無疑是一次略顯前衛的決定

安全是什麼？為什麼需要安全？安全會發生怎樣的進化？哪裡又需要更多的安全？這些問題，都交代在了那個剛剛入職的年輕工程師身上。

隻不過，沒人能預想這個年輕人的到來對這家公司來說意味着什麼，這家公司又會在日後發展成什麼模樣，彼時的他和它，都在等待一個從0到1的機會。

14年後的今天，當初這家不知名的企業早已實作了從0到99的突破，正在朝向100的終點邁進；而那個年輕的安全工程師，則呼嘯着雲計算的浪潮，帶領着自己的團隊，一次又一次将雲安全的産品和服務輸出到更多的使用者身邊。

這個人就是肖力，而那家不知名企業，便是阿裡巴巴。

兩段“創業史”

2005年，肖力加入阿裡巴巴，開始負責組建阿裡巴巴安全技術團隊，同時建構阿裡巴巴安全體系，這在他的從業經曆中，可以被劃分成“純甲方安全”的第一次創業。

業務的高速發展往往會迫使安全工作不得不找尋新的技術和方向，來滿足業務進化的需求，這對人來說，也無疑是一次次能力上的提升。

由于阿裡巴巴經濟體業務屬性的多樣，橫跨電商、金融等多個領域和業務場景，是以在建構阿裡巴巴安全體系的過程中，肖力幸運地接觸了多種業務屬性的安全體系，也深刻了解了不同業務屬性對于安全的需求，對自身能力模型的建構，也得到了極大的鍛煉和提高。

肖力回憶，在2008年“雙11”首次問世之時，沒有人會預想到幾年後，“雙11”零點到來的那一刻，流量會像原子彈一樣瞬間爆炸，伺服器會因為無法承載巨大的流量而崩潰。事實上，“雙11”龐大的流量，的确是無法單純通過任何一款安全裝置就可以承載的，而業内安全産品逐漸無法滿足自身業務需求的種種缺陷，便成了倒逼阿裡巴巴安全能力自我更新、進化、疊代的“罪魁禍首”。

2009年，肖力被委任負責阿裡雲計算安全，在負責阿裡巴巴安全的同時，還需要組建并上司阿裡雲安全團隊，設計阿裡雲計算平台的安全體系架構。

在這段時期内，肖力沉澱了對雲安全技術和人才管理上的能力與思考，也因為業務屬性的變化與差異，才讓他有了“在同一家公司兩次創業”的感覺。

當然，正如肖力所說，業務的發展紅利能夠讓人的能力得到更高的發展，然而随着能力的提高以及技術的演進，“能力越大責任越大”的使命感便會越來越清晰地驅使着一個人、一個團隊甚至是一家企業，去做影響更深遠的事情。

2012年，“中國雲計算實踐元年”轟轟烈烈昭示着自己的到來，而積累了3年的阿裡雲安全團隊，已經對雲計算的趨勢有了一定的判斷與見解。正值數字化轉型初級階段的起步，此時的肖力便開始思考如何幫助中國的企業和機構，解決數字化轉型中所面對的安全痛點。

對于阿裡雲和肖力來說，這無疑是實作從0到1的最好機會。

越過山丘，有人等候

從托勒密的“地心說”到哥白尼的“日心說”，中間橫跨了公元前與公元後，整整1500個春夏秋冬；而從“日心說”的提出到被證明，哥白尼又足足等待了60年的潮起潮落。

在這個漫長的過程中，陪伴他的并不是贊譽傍身、世人敬仰，有的隻是數不清的教會、大學等機構和天文學家們，無盡的蔑視與嘲諷。

一項新事物的産生，總會從理論、實踐再到結果經曆漫長的過程——雲計算也不例外。

2012年，阿裡雲安全團隊躊躇滿志，決心将積累多年的經驗、技術和能力，轉化為可以向行業輸出的産品和服務，為受困于“數字化轉型”和“上雲”的國内企業機構，尋求更優秀更适合他們的解決辦法。

而就在兵強馬壯、彈藥充沛整裝待發之時，卻險些被硬生生扼殺在搖籃之中。

肖力說，雲計算的發展初期漫長且艱難，從2009年負責阿裡雲安全開始，雲安全團隊也用了足足3年的時間，才弄明白什麼叫“雲計算”，才摸清楚“雲安全”應該怎麼做。

隻不過，3年後他們懂了，但客戶沒懂。“商業模式看不清，客戶信任度低”恐怕就是當時最真實的寫照。

就像李宗盛在《山丘》裡娓娓道來的那句“越過山丘，才發現無人等候”，那時的阿裡雲安全團隊，根本不知道自己到底在做什麼，做的對不對？有沒有必要堅持？堅持到最後是“勝利”還是“一無所有”？越過山丘是否又是更高的山丘......

幸運的是，雲計算的發展并沒有像“日心說”一樣，羁絆了哥白尼的整個人生。僅僅一年以後，雲計算的“風口”就忽如一夜地吹來了。

肖力告訴我，他至今都忘不了當第一個使用者接入阿裡雲平台時，寫在每一名同學臉上的激動和喜悅。而随着雲計算的不斷成熟，越來越多的使用者開始嘗試用“雲”來解決傳統線下場景裡解決不了的問題，數以萬計的中小企業創業者，更是在數字化轉型的關口面前，毫不猶豫地乘上了第一班發往“雲上”的列車。

而在靜靜地觀望和等待了幾年以後，如今也有越來越多的傳統行業和企業，愈發開始信任“雲計算”存在的意義和價值。而對雲安全來說，雲計算的每一次發展與擴大，都是對雲安全賦予的一次壓力與挑戰。不久的将來，全球雲安全市場更會超過線下IDC市場，那時将會有更多的企業駕馭在這一片浩渺的雲海之上。

這本是件令人頭疼的事情，然而肖力和阿裡雲安全團隊，卻期待着這一天的到來。

雲即是“信任”

如果說阿裡雲與客戶之間的關系，經曆了從陌生、質疑到嘗試、信任的過程，那麼在這個過程中，阿裡雲安全團隊的一路相守，則是讓使用者在使用阿裡雲的同時，始終有“安全感”陪伴的原因。

隻不過，安全在最初，其實是讓雲計算最令人難以信任的“減分項”。

就如同“支付寶”剛剛問世時那般，絕大多數人的态度是不敢也不願意把自己的真金白銀從安全的銀行裡托付給一家“不知道能不能信得過”的民營企業。他們所想的是：錢在你那安不安全？會不會有人偷？你自己有沒有問題？

任何人對一個新興事物的産生，都會在初期存在一定的顧慮，而這種顧慮，絕大多數時候都來源于“信任度”和“安全感”的缺失。

中國自古是人情社會，我信得過你，就會全權托付你；我信不過你，我們之間就沒法做生意。是以，“資料放在雲上安不安全”、“攻擊者會不會攻擊”、“阿裡雲自己有沒有問題”，這些仿佛與當年拷問支付寶時如出一轍的問題，又再一次攔在了阿裡雲的面前。

肖力說，使用者“上雲”最大的顧慮是不相信雲服務商能夠尊重他們的資料，擔心資料上雲後，自己失去了管控的資格和權限。說白了，客戶需要的，就是雲服務商能給予他們“透明”與“可控”的承諾。

針對使用者提出的訴求，肖力帶領團隊搭建了一套層層遞進且嚴密的資料保護體系：不僅為使用者提供了全鍊路資料加密服務，而且密鑰隻有一把，交由使用者自己保管，除使用者以外，沒有人可以解密資料；并将雲平台的運維記錄檔透明化給使用者，以防止雲服務商暗箱操作，讓使用者更安心。

這樣一來，底層清晰透明，雲上安全可控，使用者的顧慮和訴求得到了尊重和滿足，對于阿裡雲基礎的“信任感”也随之得以建立，“信任度”和“安全感”也便在這個過程中得到了提升。

肖力表示，要知道，企業上雲的過程，不僅僅隻是數字化轉型的需要和一次資料的遷徙，背後的意義更是一種“身家性命的托付”。

是以，阿裡雲安全團隊的每一個人，都時刻懷抱着一顆敬畏的心，去保證阿裡雲平台基礎設施的穩定。而隻有保證阿裡雲自身的穩定與安全，才能為使用者更多地帶去“信任度”和“安全感”。

肖力認為，對于雲計算業務來說，最核心的安全一定是基礎設施的安全，這當中包括了對硬體安全、系統安全、網絡安全整個平台的治理，以及對于在這個過程中衍生出來的雲産品所需要提供的安全産品和服務。

但其實對于雲平台安全問題，業界最早提出的卻是“責任共擔模型”，也就是說底層安全由雲服務商負責，而對于企業上雲的資料，則要由企業自己單獨買單。

在肖力看來，如果将雲比作一台全世界最大的計算機，那麼這台計算機的擁有者，就應當具備一套完整的安全方案确儲存放在計算機裡檔案的安全。并不是說計算機擁有者隻要管好正常開關機、系統穩定運作就可以了，一旦存儲在這台計算機裡的檔案因為安全問題導緻損壞和丢失，計算機擁有者也同樣應該承擔一定的責任。

是以，阿裡雲安全團隊從一開始，就在安全産品服務上給到阿裡雲使用者完整的解決方案。

而得益于一直以來負責阿裡巴巴集團的安全産品技術，以及将阿裡巴巴經濟體能力轉化成雲的安全産品與服務的初衷，肖力硬是摸索出了一條具有阿裡雲安全特色的路。

實際上，如今很多雲服務商也紛紛推出了自己的安全産品和服務，以此來保障使用者業務在雲上的安全。因為我們清楚地認識到，隻有保證百萬家企業、千萬家企業在雲上的安全，獲得“安全感”，不會因為發生問題而孤立無援、無人買單，才能真正給予雲“信任感”。

事實證明，阿裡雲在很早以前，就已經弄清楚“雲”和“信任”之間這門生意，而十年前布好的局，也終于在今天得到了肯定。

肖力感歎，目前阿裡雲上的企業實在是太多了，每一次的雲平台故障都會對團隊成員帶來巨大的心理挑戰和良心問責。沒人能夠承諾這個世界上有100%的安全，他一樣，阿裡雲也一樣，但阿裡雲安全團隊一定會努力通過不斷的技術疊代，讓阿裡雲平台距離絕對安全更近一點點，幫助客戶建構安全體系，用阿裡巴巴生态體的力量保護每一個雲上使用者的安全。

讓使用者真正能從阿裡雲身上獲得“安全感”，讓越來越多的使用者信任阿裡雲。

對未來敏銳的嗅覺

在阿裡雲發展的十餘年間，肖力與雲安全團隊經曆過大大小小無數個像前文所描述那樣的磨砺與困難，也許因為雲計算的成熟讓阿裡雲“幸運地”走出了困境，而對于“信任”這門生意的經營也讓雲安全團隊“幸運地”走在了前面，但這一切又何止“幸運”那麼簡單。

2012年，對于雲計算環境的讨論，業界認為要以確定“穩定”為首要目的，是以，對于可能會為決策帶來風險的Agent，普遍采取堅決否定的态度。然而當時的肖力卻堅定地認為，安全用戶端一定是未來雲安全的核心。

在他看來，在雲計算環境下，流量和資料終究是需要加密的，而對于加密後的流量和資料來說，通過主機端異常檢測能夠更有效地發現威脅。是以，當大量的安全威脅和行為分析在未來落到主機端上時，保障主機的安全，就成了雲安全發展當中的重要一環。

從2012年開始，阿裡雲安全團隊“離經叛道”地開始對主機Agent平台投入關注和研究，而在Agent平台的研究過程中，阿裡雲自己也确實遭受過嚴重的故障，踩盡了這條路上大大小小無數的坑，當然這條路終究是堅持了下來。

時至今日，Agent平台已經有效地幫助了上千萬的雲使用者以及數百萬主機的安全，保障了他們在雲平台上的安全。這便足以說明，阿裡雲這群“瘋子”曾經那些“不合群”和“瘋狂”的想法，确實是對未來的準确預測。

在旁人的眼中來看，這與肖力和雲安全團隊對于雲計算技術的精準掌握和認知，以及雲安全趨勢和需求的準确判斷是絕對離不開的。

肖力說，站在今天的節點上，如果讓他從雲計算的現狀去演算未來的趨勢，那麼在他看來，未來網絡安全産品發展将呈現All in One的趨勢演變。他覺得，目前的網絡安全産品就像是一個“羊肉串”——這個串上有防火牆、IPS、WAF等，未來，不同的安全産品會內建和被內建，最終結合成一種新的形态。

這個想法要是放在以前，絕對又是要被罵“瘋子”、“變态”的，因為在雲計算發展到今天之前，沒有任何一種計算能力可以實作将這麼多功能的集中，然而雲計算的誕生，成為了這個“瘋狂”想法實作的最佳媒介。

随着雲計算基礎設施雲化和核心技術網際網路化的趨勢發展，雲計算分布式架構可以有效解決計算能力和穩定性問題，是以他堅信，網絡安全産品一定會朝着“All in One”的趨勢發展。

阿裡雲懂你的安全

回望從2005年加入阿裡巴巴至今，無論是負責安全體系的建構，還是帶領阿裡雲安全一路走來，肖力始終認為自己更多地還是處在“甲方做安全”。

從淘寶、天貓等電商安全體系中所需的業務風控，到螞蟻金服安全體系裡的金融風控，這當中考驗的，其實都是作為一名甲方CISO對于網絡安全的了解、資源調配和管控。

是以，同為甲方安全人，肖力認為自己更加了解甲方安全的苦楚，更加認同甲方安全工作者的價值。

“善戰者無赫赫戰功”，在肖力看來，每一名甲方安全人都在時時刻刻警惕着各類安全風險事件的到來，承受着常人所無法了解的心理壓力與挑戰，卻還要無端承受随時可能降臨頭上的問責。

從某種角度講，安全理應是要在根源上做起的，而想要從根源上解決問題，就需要安全工作者将安全做在事前，防範于未然。

因為甲方安全需要為最終結果負責，保證結果，而結果又是由所有的安全技術點彙聚而成，是以在整個甲方的安全體系建設中，對安全工作者的技術知識域及對業務的深刻了解就提出了更高的要求。

除了系統安全、網絡安全以外，甲方安全體系還包括了業務安全、安全的管理、流程、體系、教育訓練等一系列環節，甚至在業務上也有着全然不同的了解，這還對甲方安全工作者的能力模型提出了更高更全的要求。

與此同時，由于甲方需要以超前的眼光判斷業務風險，是以作為甲方安全人，就需要主動去分析企業内部目前面對的風險有哪些，供應鍊的安全風險是什麼。

要知道，對于雲上業務主體來說，供應鍊安全極其重要，是以更需要安全工作者從業務的屬性來全面地判斷風險域的範圍，判斷業務的發展走向，找出可能遇到的風險，從源頭上控制風險。

而随着雲計算的發展，數字化轉型的推進，更多的企業“上雲”，必然會因為資料的分散和轉移，産生更多更新的安全問題。這就會對安全工作者的風險預判能力和業務了解能力提出更高的挑戰，更加考驗甲方安全人對于未來趨勢的預判。

這就是肖力所了解的在甲方做安全和在乙方做安全之間最大的不同。而盡管阿裡雲安全在輸出安全能力的過程中，扮演的是乙方的角色，但作為團隊的負責人和建設者，肖力卻一直是以甲方的視角來了解甲方對于安全的訴求；雲安全團隊過去也一直作為為阿裡巴巴經濟體服務的甲方安全團隊，能夠更好地了解甲方安全的痛點和難題。

是以，在雲平台上，阿裡雲安全團隊始終以甲方安全的基因，更好地為使用者提供甲方真正需要的産品和服務。而這也許也是阿裡雲安全能夠始終準确對未來做出判斷的另一個重要原因。

因為甲方的安全，阿裡雲懂你。

看不見的未來，看得見的初心

站在今天的節點上回望十年前，2009年的肖力和阿裡雲安全團隊，就像是站在一片煙霧彌漫的荒野之中，看不見身前身後，更看不清未來的路應該怎麼走。而那份迷茫、彷徨與孤獨，至今仍留在不少經曆過那段曆史的人心中。

如果讓肖力來回答“是什麼讓他們堅持了下來”，恐怕生性灑脫且有些“健忘”的他，隻會淡淡地說上一句“沒什麼大不了”。但還有更多阿裡雲的安全人告訴我，他們記得那是“使命必達”的初心。

起初，大家的想法都很簡單，就是一直以來，面對國内最大的電商和最大的網際網路金融，雲安全團隊已經得到了證明和認同，而當這份能力和責任感逐漸提升的時候，就會想要在能力範圍之内，為社會回報更多。

在雲平台的技術變革過程中，肖力和雲安全團隊敏銳地發現了未來企業将會大量上雲的趨勢，又從雲原生的晶片能力，找尋到更好地幫助企業保護網絡空間安全的方法。是以，雲安全團隊堅定地認為雲是未來的方向，而保證使用者安全的重任，自然就落到了他們的肩上。

肖力說，方向定了，剩下來要做的事就隻是堅決執行而已，就算看不見未來，但隻要記得自己的初心，至于未來成功與否，那就要等到親自去确認了以後才能知道。

正如“生活不會辜負每一個善良且努力的人”一樣，如果沒有曾經在迷失中堅定的信念，就不會有阿裡雲安全今天走向成功的第一步。

從2012年到今天不過短短7年的時間，阿裡雲安全團隊已經為超過20萬家的企業提供了企業級雲安全服務；幫助雲上企業搭建簡單、智能的雲上安全架構，實作業務創新；幫助全中國超過40%的網站，每天抵禦50億次攻擊；阿裡雲也成為了資料安全和使用者隐私保護的領先實踐者，肖力還釋出了業内首個雲上安全“5S”标準，定義雲安全生态體系的服務規範。

回過頭來看，肖力非常慶幸業務的飛速發展所倒逼技術的提升，以及每一次站在困難面前沖破困難的決心。每一次解決難題的過程，都是破繭成蝶的一次蛻變，換句話說，如果沒有曾經的困境，就不會有阿裡雲安全今天取得的成績。

所幸的是，時至今日，阿裡雲的前路已經一片晴朗了，看得見未來，看得見初心，肖力對明天，很是期待。

寫在最後

在前不久剛剛結束的雲栖大會上，肖力作為阿裡雲智能安全事業部總經理，又一次對“雲原生安全”進行了解讀。

他說，目前還是有很多人不夠了解雲是什麼，更沒有聽說過“雲原生”的概念。但是，全面上雲的拐點已至，企業上雲後必然會帶來IT基礎設施雲化、核心技術網際網路化、應用資料化和智能化的變化，企業架構也正在因為雲原生技術紅利而發生變革。

是以，雲原生安全能力重塑企業安全架構，是未來一定會發生的事實。而現在，阿裡巴巴集團正在全面上雲，正是因為看清雲原生安全能力将會在未來所帶來的改變，是以才會毫無保留地親自實踐，最終用自己的成果告訴業界，什麼叫做最佳實踐。

屆時，一個更可控、更透明、更智能的新安全體系，将會成為保障更多企業雲上安全的庇護傘。

本文首發于安在，作者：藍河小天使