阿裡雲肖力訪談實錄：雲安全推進者之路

在網際網路與人們生活關系如此密切的今天，網絡像水、電一樣走進千家萬戶，成為生活必不可少的一部分。網絡安全引發的問題日益普遍，其危害性愈發嚴重，維護網絡安全已經上升為國家安全戰略。“我和我的網安之路”是對國内網絡安全大咖的系列專訪，他們中有國内頂級網絡安全學者、著名白帽子、CTF挑戰賽冠軍、名校教授、權威測評機構專家、青年創業者等。通過傾聽一線網安從業者真實的聲音，向大家呈現當今網絡安全世界的生動景象。

第23篇 雲安全推進者之路

本期嘉賓：肖力，現任阿裡巴巴副總裁、阿裡雲智能安全總經理，深耕企業安全體系架建構設，具備近20年的實踐和管理經驗。參與了阿裡巴巴、淘寶安全防禦體系的建設、安全技術團隊的組建和管理，并負責阿裡巴巴集團安全體系建構，專注于雲計算安全領域戰略方向的研究。

· 索 引 ·

雲安全推進者肖力：阿裡雲助力大中小企業更好地實作雲端化；基礎設施變革帶來的雲原生安全是大勢所趨；目前雲安全在使用者體驗、安全效果和一體化上還有很大提升空間；雲端一體為使用者提供高安全性、高客制化的安全防護體系；多領域配合打造完整的資料安全保護架構；互聯時代下雲安全事業充滿機遇與挑戰，面向未來方可把握發展脈絡。

目 錄

• 雲安全的原生動力
• 基礎設施變化帶來安全體系的變化
• 雲安全的發展趨勢
• 零信任理念下的轉變
• 雲上資料安全
• 問題與挑戰
• 雲端一體的優勢
• 互聯時代下的新機遇

一、雲安全的原生動力

阿裡雲安全建設的驅動力主要來源于兩個方面，一是雲平台的需求，全量上雲的阿裡巴巴作為電商平台，涉及資産資料、客戶資訊等敏感資訊，是以保障雲服務的安全，才能為客戶提供安全可靠、優質的服務。二是幫助其他大中小企業更好地實作雲端化，提升他們在雲上的能力，解決在業務轉型中遇到的問題。

二、基礎設施變化帶來安全體系的變化

雲安全在體系架構上有别于傳統安全廠商。從安全業務的角度而言，傳統安全廠商早期的安全業務一般專注于解決某個方面的安全問題，如專注上網行為管理，或者業務主要集中在防火牆。經過業務的單點切入後，再進行其他方面的扇形拓展。而對于雲廠商，由于使用者都在雲上，其安全防護需要涉及各個層面，是以雲安全的業務不再是解決單一的安全問題，而是幫助使用者解決各種安全風險和挑戰，保證雲上企業業務的連續性和安全性。

随着雲技術的發展與應用，傳統資訊系統中的硬體、網絡、系統、應用等都被雲上的虛拟化産品所替代，且雲上使用者的裝置與系統等都是動态變化的，是以傳統的系統安全、邊界安全等概念在雲安全中不再适用。系統的基礎設施變化導緻使用者在安全管理體系、安全組織架構等客體上發生了改變，相應的安全解決方案也随之改進，整個安全體系也就産生了變革，雲原生安全應運而生。雲原生安全要求雲廠商建構以使用者業務需求為導向的遞進式安全體系，提供從底層的雲平台安全，到使用者側逐級向上的基礎安全、資料安全、應用安全、業務安全等方面更為全面、更具針對性的安全解決方案。未來雲安全的能力将全部融入到雲基礎設施中，雲原生安全能夠為使用者提供統一的安全産品或服務模式，使用者不再需要安全裝置，企業的安全管理和營運将不再是一種負擔，而是一種内置在基礎設施裡的預設能力。

三、雲安全的發展趨勢

目前大部分的安全防護軟體是單機版且被嵌入在安全硬體裝置中，對外提供軟硬體一體的捆綁服務，該封閉化形式導緻其防護能力有限，且存在一定應用局限性。三年前安全業界已清晰地認識到硬體安全防護裝置在将來一定會被替代。

随着雲計算的快速發展和網絡基礎設施的變化，以隔離作為主要安全手段的傳統方法在目前多租戶共享的雲場景下已經失效，傳統網絡安全防護表現出的硬體盒子化特征在将來也會被慢慢取締。雲平台應用的普及使得實體計算資源共享情況逐漸深化，安全防護産品的去硬體化勢在必行，是以具有共享化、開放化的雲安全是大勢所趨。雲安全或更加具體的雲原生安全是一系列基于雲端的安全服務産品，是安全的一種服務化形式。雲端的安全服務打破了安全裝置的生态封閉性，能夠将安全裝置與應用軟體進行有效的融合，使使用者可靈活地将安全軟體與自身業務需求結合，并形成安全裝置間的有效關聯防禦以提升整體的安全性。未來大量使用者會采用雲端的安全服務或基于雲原生安全的服務，讓安全廠商更加關注雲上安全産品的開發，逐漸實作安全左移，将安全能力全部融入到雲基礎設施裡，讓使用者無需考慮安全設施，整個企業的安全體系也變得更加精簡、高效且低成本。

是以，基于雲原生安全形式，在全生命周期中以業務為導向，解決安全問題，是未來雲安全的一大發展趨勢。

四、零信任理念下的轉變

零信任是安全體系的一個重要設計理念，與雲安全類似。傳統網絡安全中，邊界隔離是企業安全防護的主要手段，而在零信任概念下，最核心的變化在于從邊界安全到身份安全的轉變。身份安全是零信任也是雲安全解決方案的基礎之一，在雲上進行身份的安全管理，是一種高效的安全防護方案。邊界安全防護産品最典型的代表就是防火牆，而目前防火牆市場需求量在不斷地下降，印證了零信任概念下、雲安全中的新舊邊界交替。

五、雲上資料安全

系統安全、網絡安全、身份安全的核心目的之一是保證資料安全。狹義上的資料安全主要通過網絡防護、系統防護以及資料的加解密、脫敏、審計等多種防護體系來保證資料的安全。相比傳統資訊系統中資料安全，雲上資料安全提出了更高的要求，需要不同領域上的資料安全技術互相配合，并依靠網絡安全和系統安全的保障，才能確定對資料的有效防護，并保證雲上業務系統的安全性。

可信計算可保證資料在計算過程中的完整性和保密性，故可配合其他安全技術保證雲上資料安全。而這些技術在配合同時會對雲平台性能及業務的效率和穩定産生一定的影響，是以需結合多領域安全技術，并對産品的易用性、安全性、穩定性進行綜合考量，從中尋求最優解來保障雲上資料安全。

六、問題與挑戰

雲安全技術乃至整個安全技術，經10到25年的發展，已到達了一定階段，但仍存在多項問題：

第一，使用者體驗有待提升。安全産品或安全服務的使用者體驗是非常關鍵的，安全産品應服務于企業，當産品服務與企業需求緊密結合時，其應用性才能得到保證。是以産品的易用性是非常重要的，安全産品不應隻有特定的企業或安全工程師才能使用，因為不是每個企業都有專業的業務人員。一個好的安全産品應該讓每個人都可以非常便捷地使用檢測、對抗、漏洞修複、安全防禦等安全防護功能。

第二，安全效果需要增強。随着企業數字化、資訊化的推進，企業的核心業務與資料都部署在資訊系統或雲端上，其安全的重要性不言而喻。雲安全的防護效果直接決定了企業業務的穩定性和可連續性，但攻擊方式逐年不斷疊代，是以雲安全防護的性能亟需提升；雲安全是個複雜的體系，涉及資訊系統各個層面，故需要大量科研與人才的投入。

第三，安全産品的碎片化問題仍需改善。目前安全産品在設計上仍存在突出的片面化與碎片化問題。以隔離為主的傳統安全體系催生出防火牆、入侵檢測防禦系統、WEB應用防火牆、統一威脅管理、上網行為管理探針、加密機等單一化的安全裝置，導緻網絡安全工作呈分散割據化，影響安全與業務應用間的結合。未來安全産品将會統一且高度內建，同時得益于雲計算能力的提升以及安全廠商的深厚技術積累，預計雲安全産品将迎來重大突破，安全産品的碎片化問題會迎刃而解。

七、雲端一體的優勢

雲端一體化是種具備階層化、區域化的“雲、管、邊、端”結構體系，共包含四層架構。第一層，即最核心的一層，是各中心機房組成的雲計算平台。第二層是各城市的基站節點構成的連接配接管道，為使用者提供最近距離的雲端服務連接配接。第三層是邊緣計算端，負責為使用者提供就近的邊緣計算服務。第四層是涵蓋了各種計算終端裝置。

目前銀行、證券、保險和央企等多個重要行業已逐漸将業務轉移到雲上，未來更多的業務場景将會在雲上實作，會形成混合雲等不同形态的雲。相比自建機房，雲安全的投入開銷更小且防護性能更強，通過“雲、管、邊、端”的協同，實作資料傳輸速度更快、資料處理實時性更強、計算環境更安全和穩定、定制化程度更高的業務解決方案，具有較強的優勢。

八、互聯時代下的新機遇

在萬物互聯、雲端一體時代，安全的重要性不言而喻。雲計算呈高速發展的态勢，給雲安全帶來更多的需求，當多數企業都上雲後，雲安全的應用場景将更加多樣化。未來10年将是雲安全發展的黃金階段，需要更多優秀的人才來維護和探索雲安全技術。近幾年大量各行業的優秀人才轉入到雲安全防線，這也是整個行業市場持續發展的一個印證。

新晉從業人員的平台切入點必須面向未來，需具有長遠的目光，關注未來3到5年會面對的挑戰、威脅，并做好相應的技術儲備。未來安全行業會随着需求的變化而會不斷進化和改變，整個行業蓬勃發展，孵化出更多的安全公司、創業公司或孵化廠商。但年輕人創業時一定要保持初心，且銘記創新是創業的必要條件之一。

安全是一個高速發展的行業，安全人才是非常稀缺的，其市場價值也是非常明确的。未來幾年是雲安全行業高速發展的時刻，相信大家隻要在這個行業不斷地創新，解決不同的安全問題，都會得到較好的發展。

文章來源于：網絡空間安全之路

作者：阮丹陽

策劃：Calvin

采集：楊安