2020年9月17日-18日,一年一度的雲栖大會在雲上如約而至。疫情加速數字化轉型大背景之下,雲原生以一種高能見度為各行業帶來了一個更動态多變、更具效率和生命力的架構。雲原生安全具有什麼優勢,能否解決線下業務場景的安全困局?作為阿裡巴巴第一位安全工程師,阿裡巴巴集團副總裁、阿裡雲安全總經理肖力,發表了以“提速雲原生,創新安全力”為主題的演講。
肖力認為,上雲是提升安全水準的最佳選擇,創新的雲原生安全,有能力為企業使用者打造“雲上綠洲”。資料被更有邏輯性的存儲,從實體資料中心安全、到核心雲平台安全、以及和雲平台無縫結合的雲安全能力……企業原本需要獨立、完整承擔的安全責任,轉移到阿裡雲平台,低耗損的同時擁抱的是更高等級的安全。
雲原生安全的“上遊思維”
雲安全的經驗很稀缺,并且很昂貴,阿裡巴巴為此付出了多年努力,總結了業界領先的最佳實踐。基于雲的安全建設,最核心的思維轉變在于:差別傳統安全隻能被動做出反應,基于雲的基礎架構改變,讓安全開始有能力在上遊解決問題。如果還帶着傳統安全思維,來建構新環境中的安全控制,無疑大大弱化了雲的優勢。
雲原生安全,擁有從硬體層透穿的最高等級安全能力,打造全環境、全生命周期的可信環境。使用者視角看到的層級也将發生變化,安全産品随之演進變化。使用者基于雲原生能力建構企業安全架構,隻需要選擇服務去達成自己的安全目标,安全産品不再外挂,安全能力被打通。
雲上是一個更安全的“綠洲”環境,它可以自動化幫助使用者解決掉同質化、繁雜的安全問題,讓使用者把精力集中在解決更有價值的問題上。
*以下為本次演講原文的整理:
這次的疫情對各行各業影響都非常大,今年上半年各行業都在加速數字化程序。一方面,更多的行業使用者在擁抱雲計算、擁抱阿裡雲;另一方面,我們看到網絡安全已經進入企業最關注、最需要解決的問題前三名。很多政府客戶、金融客戶在阿裡雲平台上,用雲安全的核心能力去建構下一代的安全架構。接下來我們會着重給各位介紹,目前阿裡雲安全在哪些技術領域上的深入、哪些雲原生的安全能力,來幫助企業更好地解決過去無解的安全問題。
**2小時擴容1萬台伺服器
安全服務化預設覆寫**
2月份的疫情,釘釘承擔了數百萬人線上教育和數億人線上辦公的責任。面對指數級爆發的流量,釘釘隻花了2個小時時間,擴容了1萬台伺服器。這種速度在傳統架構中,安全實作全覆寫是一項不可能完成的任務。攻擊能夠導緻釘釘的線上會議、線上視訊中斷,使用者的隐私資料洩漏風險随之提升。釘釘通過雲原生的安全服務化能力,快速地介入了雲抗D、雲WAF等組合安全防護手段,保障了釘釘穩定的運作。
試想一下,如果在傳統安全線下場景,釘釘這樣的企業要部署這麼大規模的安全裝置,每個裝置都需要上架、調試,包括串聯在鍊路上面起到防禦效果,我相信至少需要1個月時間。那麼雲安全服務化,能夠讓整個業務在小時級别,安全能力快速地擴容,提供實時服務,為業務保駕護航。
**安全能力與基礎設施融合
0贖金解決勒索軟體問題**
傳統企業安全架構在鍊路上面有大量的裝置,是一個非常複雜的網絡。大型企業線上下甚至擁有上百台安全裝置串聯在網絡上,可想而知這裡面會遇到多大的整個安全裝置的鍊路聯通性問題。這會導緻全面管理的問題,以及安全能力的資料孤島問題。而雲上的安全能力可以直接整合在雲産品中。例如雲原生安全能力和CDN和負載均衡SLB進行進一步的融合,使用者使用的時候,無論是接入性,還是全面的管理,安全能力都能得到進一步的提升。
阿裡巴巴自身有一個系統叫統一接入層。在這一層當中,我們将安全的能力融入到了這個系統當中,所有經濟體、業務系統在上線的時候隻需要統一接入這個系統,安全的能力就随之而來。這種新型的安全對業務方來說,也是非常的友善、便捷,減輕很大的工作量。我還想再分享另一個案例,這半年勒索軟體其實攻擊是非常猖獗的,增幅高達72%,攻擊者通過加密企業的資料進行獲利,已經成為企業最主要的威脅之一。
國際知名的GPS公司佳明(Garmin)最近發生了一起安全事故,某一天全球的使用者無法使用、服務中斷。勒索軟體将佳明的相關資料進行了加密,并且開出上千萬美金的贖金金額。最終,佳明公司通過傳遞贖金解密了資料,進而恢複服務,但損失慘重。
阿裡雲的防勒索方案,是将安全能力和整個基礎設施雲産品進行整合,對勒索軟體進行檢測和防護。使用者可以利用容器鏡像快照能力來打造這個安全方案。就算檢測和防禦的能力遇到了挑戰,有一些未知的蠕蟲加密了使用者的資料,阿裡雲防勒索方案使用者可以通過鏡像快照的方式快速地恢複資料,而不用去交贖金。
我們也看到有很多這樣的場景,安全能力和技術支援雲産品進行進一步融合的時候,産生了更大的化學反應。
**硬體安全降維打擊固件攻擊
最高等級安全保護**
剛剛前幾周,英國的網絡安全中心公布了一份報告,有組織将新冠疫苗的研究機構作為攻擊的目标。他們利用的方式,是通過替換網絡上所有VPN伺服器的固件,來長久獲得邊界網絡的控制權。
而大家都知道,這種基于固件的攻擊,是系統層安全軟體非常難以發現的。安全對抗的時候,高維打低維效果最好,越底層的檢測能力跟防禦能力對越上層的攻擊越有效果。
阿裡雲的硬體安全能力,支援系統啟動的時候進行安全的檢測,能夠有效的發現這一類的高安全級别的後門和木馬。這樣的例子數不勝數,我們期待通過阿裡雲硬體這一層的高安全能力,給到所有的雲上使用者高安全級别的保護。
**啟用身份作為新的安全邊界
打造零信任網絡環境**
傳統網絡邊界、通路控制包括隔離,随着業務越來越複雜會越來越弱化,啟用身份成為企業新的安全邊界,将成為建構新型安全的核心次元之一。這次疫情,80%的企業選擇了遠端辦公,而安全的挑戰包括員工在家的終端的安全、整個辦公網流量的安全、雲端的應用系統的資料洩漏風險……這對企業來說都是非常大的挑戰。
阿裡雲有個客戶叫猿輔導,作為線上教育龍頭企業,疫情期間很多員工在家裡面辦公,全球範圍内有超過3萬名員工,需要統一的遠端管理。經過多輪生産環境驗證,猿輔導最終選擇了阿裡雲的整套零信任遠端辦公方案來解決這個問題。
阿裡雲零信任方案對所有員工的終端進行了可信認證,對每個使用者的身份進行雙因素的強認證,在雲端的決策引擎打通了後端所有的核心應用系統,實作統一ID、統一授權。雲端智能決策引擎還可以通過當下的安全因子,來判斷給到每個使用者什麼樣的對應權限,實作了辦公效率、員工體驗感和安全等級的全面提高。
*資料預設加密密鑰輪轉
讓隐私洩露成為不可能**
雲上的資料安全一定是所有企業非常關注的,而資料預設加密是資料安全的一個明确的趨勢。我分享一個國内手機廠商的案例。大家手機照片都會存在雲端,這對個人來說一定是非常重要的隐私資料。這家手機廠商将雲端的資料存儲在我們OSS的雲産品上面,客戶通過OSS的預設加密的功能。
所有的雲端的使用者隐私照片存放在阿裡雲OSS上面的時候,都是預設加密的,所有的密鑰都是由客戶自己來保管。這樣子有效防止了雲端的資料洩漏後會造成的所有的安全隐患。我們目前在17款雲産品當中都支援了預設加密的功能,同時提供密鑰輪轉的功能,使用者可以通過密鑰管理系統來自主管理密鑰,而且一旦雲端密鑰洩漏,可以進一步通過一鍵密鑰輪轉來提升雲端資料安全性。
資料智能驅動安全技術
原來,企業遇到的安全挑戰在于資料量太大,在海量的流量中需要有效地發現威脅,精準的檢測出威脅在哪裡,第一時間進行攔截。而阿裡雲把資料技術應用在了多個安全方面的領域,帶了很好的效果。
我們在DDoS防禦、Web安全防禦當中,通過算法模型能夠非常精準地識别攻擊流量、進行阻斷。在威脅情報方面,阿裡雲可以識别全網的惡意IP,自動化地分析威脅,自動化地産生“安全疫苗”。内容安全以及風控的場景,通過對圖像、視訊的分析和了解,幫助使用者在業務上面識别涉黃、涉恐、涉暴的違禁内容,以及對使用者進行視訊的實人認證等等。這些是過去一年實踐中總結出的雲原生安全“六點核心優勢”,基于很多已經落地的安全産品能力和架構,今天我也重點釋出阿裡雲原生安全架構。
每個企業可以基于這個架構,根據自己的業務需求、業務場景特點來建構基于雲的下一代創新安全架構。整個架構會分為三大層面:
第一個層面:雲平台安全
阿裡雲使用硬體安全能力和全局雲平台的威脅檢測和響應能力,來打造更安全的雲平台底層。
第二個層面: 雲産品安全
安全能力和安全威脅模組化能力在産品設計階段,就已經被融入到産品的開發流程當中。
所有代碼上線前確定是安全的,給到使用者一個安全的雲産品。
第三個層面:内置原生安全
在主機層、網絡層、應用層甚至在資料層、業務層,各個層面上将安全能力融合成場景化的解決方案,提供給各行業使用者。
今天毋庸置疑,無論是IDC 、Gartner、 Forrester等國際第三方咨詢機構全線上司者象限的認可,還是國内外行業頭部使用者的選擇,阿裡雲安全已經是雲安全的上司者。
阿裡巴巴全棧上雲,我們一方面基于雲平台、雲原生的安全能力幫助各業務主體去解決好安全問題;另一方面,也希望通過雲平台,讓雲上的數百萬級使用者能夠享受到跟阿裡巴巴同等安全能力的保護。
雲演進到今天,底層基礎設施變化給安全帶來了天翻覆地的變化,我相信未來所有的企業都會在雲上享受最高等級的安全。
雲安全領域會有更多的創新的湧入,那我也期待通過雲原生的安全能力,來協助使用者建構下一代的安全架構,使用雲更要駕馭雲,在“雲上綠洲”充分釋放企業的商業競争力!