萬億級新基建戰場，阿裡雲的安全“防線”

導讀：在數字化與上雲的趨勢下，越來越多的企業選擇将業務與資料存儲在雲端。阿裡雲緻力于建設數字經濟的基礎設施，為新基建打造智能安全底座。那阿裡雲是如何為新基建保駕護航的？以下為來自CSDN記者與阿裡雲資深産品專家葛岱斌交流後的觀察，與大家分享。

一場“黑天鵝”事件的發生，穩定經濟增長成為全球的當務之急。作為經濟發展新動能，在國内，以前沿科技為核心的新基建正在引領一場全新的智能更新與數字化轉型浪潮。

然而在機遇與挑戰并存的時代下，要說數字化轉型為機遇，那麼新基建下的“新安全”則成為這個時代最為嚴峻的挑戰之一。畢竟這一涉及到各行各業且在全速推進的新基建，倘若受到網絡攻擊，其影響範圍不再局限于傳統網絡、雲端等層面，而是将從數字空間延伸到現實世界的實體空間，相比此前的安全事件影響隻會有過之而無不及，甚至帶來「牽一發而動全身」的效應。

不久前，阿裡雲率先宣布，未來 3 年再投 2000 億，加碼新基建，用于雲作業系統、伺服器、晶片、網絡等重大核心技術研發攻堅和面向未來的資料中心建設。在此基礎上，走在雲服務前線的阿裡雲面對新基建“防護線”這道難題，究竟是如何解的？企業數字化轉型下又該遵循哪些安全準則？值此之際，CSDN 有幸獨家專訪了在網絡安全行業摸爬滾打 10 餘年的一線安全工程師、阿裡雲資深産品專家葛岱斌，為我們分享阿裡雲數字新基建的安全底座築造之路與核心技術。

一線安全工程師眼中的新基建“新”安全

新基建之下的安全即為資料安全。

在數字化與上雲的趨勢下，越來越多的企業選擇将業務與資料存儲在雲端，進而使用更為高效、低成本、安全穩定的雲端服務。不過，近幾年間，随着 DDoS 攻擊、勒索攻擊、資料洩露等安全事件頻發，我們清晰地認知到，無論是 5G、雲計算、人工智能、物聯網等細分的技術，還是雲平台、伺服器及硬體等服務，無一不是安全的突破口與防護口。

新基建時代下，面對這道看不見摸不着且涉及範圍非常廣泛的安全防護門，傳統的“壁壘式建高牆”防護手段早已失效。

然剖開表象看本質，新基建的核心實際是數字化的基礎建設，無論運用哪一種前沿技術，最終都将展現到海量資料的采集、流轉、應用的流程之中。換而言之，新基建下的新安全與資料安全具有強相關性。

不過，在井噴式的海量資料之下，善守者，藏于九地之下，善攻者，動于九天之上，想要掌握新基建安全的主動權，即實作對内保證系統與産品的穩定，對外抵抗四面埋伏的攻擊，葛岱斌表示，可從兩大安全層面出發，逆向思考：

• 如何保證基礎設施安全？
• 在保證基礎設施安全之上，如何助力企業打造高等級安全能力？

如何初步保證基礎設施安全？

海量資料的流轉與應用最終的承載體必将是雲計算基礎設施。在雲計算時代，我們從單一的 IaaS 層面的應用，逐漸深入到 PaaS、SaaS 雲服務中，雲模式也囊括了公共雲、私有雲、混合雲，乃至邊緣雲等多種。

不過以此為之支撐的基礎設施是否真的足夠安全，其實未必。

雖然當企業核心應用上雲後，雲基礎設施包含的許多新能力，能夠賦能業界更好地進行抗攻擊能力的研發，但在安全的世界裡，正如《我是誰：沒有絕對安全的系統》電影中一句經典台詞所述，「人類才是系統中最大的漏洞。」

在真實的網絡及雲端安全環境下，葛岱斌也表示認同，整個安全态勢中，人永遠是最短的闆。

那麼，如何讓人這塊闆在安全領域相對地拔高以及讓基礎設施更有保障，以阿裡雲為例，在安全産品研發的第一步，葛岱斌表示，建設統一的預設安全防線。

所謂的預設安全防線，旨在雲平台建設與雲産品開發與傳遞整個流程中，建構一套預設安全能力。在阿裡雲内部，預設植入的安全基因主要遵循并實作了四大原則及能力：

最小權限原則

這一原則不僅适用于新基建下的安全雲産品，同樣适用于行走在安全道路上的開發者們。

在雲産品層面，葛岱斌表示，阿裡雲的伺服器、資料庫等雲産品預設最小必要權限，按照不同的業務需求，動态調整權限。

這樣帶來的主要好處是，無論從服務層面，還是管控層面，都可以做到最好的風險收斂，降低被惡意攻擊與利用時造成的損失，也可以幫助使用者在安全的起始點上位于一個較高的點。

DevSecOps安全開發流程

在日常的研發過程中，葛岱斌表示，在所有的應用及服務剛剛開始的同時，會對整個産品的架構進行安全評審，并對整個産品研發的流程進行持續性的安全的檢查與監控。

這樣保證了所有安全問題在第一時間及時發現并做到整改。

安全能力與雲産品深度內建

簡單來看，這一能力即為在低營運成本下，安全能力與産品實作深度內建與打通。

譬如開發了一套通路控制、認證授權、安全加密、審計監控等功能之後，在安全能力與産品實作了深度內建後，無論在資料庫、存儲，還是計算層面，隻要資料存在該雲産品中，均可以一鍵實作以上功能。

雲平台預設安全能力

雲平台預設安全的建構不僅可以確定産品在傳遞服務時處于一個很安全的狀态，在企業上雲過程以及雲産品部署使用過程中也能夠維持在一個比較高的安全水位。

基于以上的預設安全能力，不僅可以保證使用者在整個上雲過程中，到後續的應用部署均處于一個很安全的環境下，也可以大幅降低人為操作失誤帶來的重大安全風險。

如何助力企業打造高等級安全能力？

事實上，在數字化基礎建設下，将基礎設施安全地搭建起來後，最重要的是，需要将産生的海量資料更加安全地使用到商業化場景中，實作真正的業務化，讓其産生業務價值，能夠真正地為社會各行各業服務。

在此之下，阿裡雲除了在預設安全能力之外，也大力投入研發了高等級安全能力。

相比預設安全，阿裡雲的“高”等級安全能力，追根溯源，不僅因為其拿到了合規領域資質的“全滿貫”，從研發與應用角度來看，葛岱斌表示，更因為所有雲原生的安全産品是基于雲基礎設施的能力研發而成的，也專門是為雲環境打造的。

這一點可從新舊安全産品的對比中可見一番，以防火牆為例，過去研發防火牆安全産品時，主要需要考量辦公網的出口流量進而進行設計，傳統防火牆架構設計一般不考慮彈性的伸縮與擴充，不過在企業雲化過程中，在将應用從本地遷移到雲環境時，無論是在網際網路業務還是電商場景中，乃至為政府提供市民服務，倘若流量不穩定，那麼在經曆大流量高峰時，沿用以前防火牆産品，必定無法滿足使用者的需求。這也是，時下諸多使用者在雲化過程中，發現原有辦公網中諸多安全産品使用面臨各種問題且難以確定效果的主要原因。

在建構的過程中，高等級安全能力借助了很多雲原生能力開發而成。如大資料分析能力、網絡虛拟化能力、伺服器快照、存儲備份等雲原生能力等。與此同時，葛岱斌表示，高等級安全能力也融入了諸多的前沿技術：

人工智能

以人工智能為例，阿裡雲不僅在整個雲平台的管控上，還有很多内外部的産品技術層面，均有 AI 深度的應用，可自主防禦絕大多數網絡攻擊。

「在雲安全中心、應用防火牆、雲防火牆、業務風控等産品中運用 AI，可極大地提升安全檢測的準确率和自動化能力。」對此，葛岱斌表示，比如人工智能的融入可讓安全打造自動化溯源能力。過往，安全工程師想要完成檢測，需要關聯響應，而這一過程需要非常高水準、經驗豐富的安全工程師、營運人員參與。時下，可以将工程師積累下的經驗教育訓練人工智能，借用雲上圖資料庫的計算能力，進而實作自動化的檢測與預判，由此在提升檢測準确率的同時降低了安全誤報率，并實作了安全響應閉環的自動化。為了保障新基建的業務高速變化發展，智能自動化是安全的必然之路。

可信計算和加密計算

憑借雲原生安全體系的優勢，阿裡雲從硬體層到應用層，完成了可信計算的縱向融合。不僅可以實作 TPM 虛拟化，支援雲平台可信，也可以通過底層硬體能力幫助實作加密計算的能力，保證資料的可用不可見。

除此之外，阿裡雲安全産品和整個基礎設施的完全融合也為高等級安全能力賦能。葛岱斌表示，整個基礎設施中不論是計算資源、還是網絡資源、亦或是存儲資源，均處于同一個雲平台下。所有資料的貫通，IaaS 層、PaaS 層和 SaaS 層的能力融合，為安全的一體化提供更多的可能，這也允許安全工程師們更容易實作安全自動化、智能化的系列能力，并真正達到在雲上的高等級安全的能力。

安全工程師的成長路線

預設安全與高等級安全能力的強強結合與落地，阿裡雲正在将雲能力無縫下沉，築造了更為安全的雲。不過，新基建領域涉及範圍之廣，也絕非一家企業亦或一夕之間可以完成 360 度全方位的防護，隻有更多的企業與工程師參與進來，沒有絕對安全的網絡世界才能更為相對地安全。

最後，在安全工程師成長之路上，葛岱斌建議道，如果對雲安全感興趣的開發者，首先需明白「安全永遠建立在基礎設施之後，是以想要入門的第一件事是首先了解雲計算基礎設施，以及相關的整個基礎設施的技術演變。」

其次，對于安全工程師而言，要充分了解雲基礎設施的技術演進對安全的影響。無論是大資料的分析能力，還是人工智能的計算能力、加密計算等能力，均是雲基礎設施帶來的紅利，讓曾經做不到的安全能力在今天成為可能，并能夠真正的在實踐中應用以及産生價值。

在這個時代的開發者需要及時跟進雲基礎設施帶來的一些新技術，明白這些技術對安全層面的影響并去學習與探索。

因為安全一直在路上！

本文來源：CSDN

記者：屠敏

被訪人：阿裡雲資深産品專家葛岱斌