阿裡雲的水晶計劃

2018年9月的一天，阿裡雲基礎産品首席架構師黃瑞瑞在跟H銀行客戶交流時，聽到了這樣的吐槽：“我上雲之後，看不到你們在雲上的資料操作過程，其他雲廠商我也看不到。雖然我會繼續用你們的産品，但我心裡不舒服。”

讓這位客戶不舒服的正是行業一大痛點：對于上雲企業來說，雲廠商對雲上資料的操作、運維過程完全是一個黑盒子。就像一台汽車，你能看到方向盤、底盤、座艙，但是看不到引擎到底是怎麼運作的。

這容易埋下隐患。随着資料被定義為數字時代的新型生産要素，從過去單純的“資料資訊”變成如今的“企業資産”，其重要性陡然提升。把自家的資料資産交給别人保管，而且看不到保管的過程，這讓人如何相信資料資産的安全？

這種疑惑并非個例，雲廠商隻好苦口婆心地向外界宣告公有雲是安全的。早在2015年7月，阿裡雲就釋出《資料保護倡議書》，明确表示絕對不碰客戶資料。之後，其他國内雲廠商跟進表示自己“不碰資料”。

但是，這更像是一種倡議而非機制，資料黑盒的行業通病并沒有從根本上得到解決。

直到今天，這一行業痛點迎來轉機。在10月19日的阿裡雲栖大會上，阿裡雲智能總裁張建鋒（花名：行癫）在主論壇的演講環節，重申了保護客戶資料安全是阿裡雲的第一原則。行癫在台上沒有提到的細節是，阿裡雲給出了對于資料黑盒的解決方案——透明廚房。

透明廚房在阿裡雲内部有一個特殊的代号——水晶計劃，它與本次雲栖大會上釋出的第四代神龍架構，同屬2019年阿裡雲基礎産品的六大戰役。值得一提的是，放眼全球也隻有谷歌雲（Google Cloud）有類似的産品。

本文，「甲子光年」采訪了阿裡雲基礎産品首席架構師黃瑞瑞，來還原透明廚房的前世今生。

在資料安全受到前所未有的重視後，雲計算也走進深水區。透明廚房是阿裡雲的一小步，也是資料安全的一大步。

1.打不開的資料黑盒

在雲計算之前的IT服務時代，企業将資料儲存在自己的IDC（資料中心）機房中，運維人員的每一步操作都會生成相應的日志，來記錄整個操作過程。是以對于企業來說，這是一個白盒。

而資料黑盒是雲計算的副産品。

從IDC切換到雲服務之後，雲廠商除了提供計算、存儲這些基礎的資源外，還會提供智能托管的服務——也就是代運維。但是，就像把家裡的鑰匙完全交給裝修師傅一樣，雲廠商在雲平台上的操作過程并不能被客戶感覺。這對客戶來說，就形成了資料黑盒。

盡管雲廠商已經通過各種加密手段、第三方審計報告或合規證書來證明其資料的安全性，但黃瑞瑞認為“這隻是安全的及格線”。

黃瑞瑞告訴「甲子光年」：“客戶常常表示，我相信你們阿裡雲不會碰我的資料，但你們怎麼保證沒有員工頭腦發熱，或者誤操作？”

為了打消企業對資料安全的疑慮，過去雲廠商通常有兩種做法：

第一種是商業手段，将資料安全寫進合同。如果企業發現雲廠商對自己的資料做了手腳，那麼雲廠商要做出一定的賠償。

這是一個行業标準做法，但問題又回到了邏輯的原點。“既然你都不告訴客戶雲平台内部到底發生了什麼，他又怎麼能發現你動了他的資料呢？他發現不了。你寫在合同裡無非是表達一種承諾，讓客戶心裡好受一點罷了。”黃瑞瑞表示。這種方式治标不治本。

還有一種技術手段，将雲平台内部所有的運維API接口向客戶開放，把“鑰匙”還給業主，把黑盒再次變成白盒。

但是這種做法有點不切實際。負責着阿裡飛天雲平台總體架構設計，以及下一代雲平台底座技術架構設計、更新等工作的黃瑞瑞深知，把雲平台内部的接口全部對外開放是一種不負責任的行為。

站在客戶的角度看，很多客戶不具備敏感資料、API的管理能力，這樣做等于雲廠商将資料安全問題甩給沒有安全能力的客戶；站在雲廠商自己的角度，大量暴露API接口實際上擴大了黑客的攻擊面，此外權限收斂和配置設定是以也更加複雜，難以做到最小化授權。

從創立開始，阿裡雲就一直在思索這個問題的最佳解決方案應該是什麼。

他們最早的靈感來自一則牛奶廣告：牛奶廠商為了證明牛奶品質的可靠性，邀請很多家長、小朋友去牧場參觀從奶牛到牛奶的生産全流程，來切身感覺一杯牛奶的誕生。牛奶廠商要做的，就是消除消費者和企業的資訊差。

阿裡雲安全和産品團隊從這則廣告中獲得了啟發，雲服務的過程就像牛奶生産的過程，想要獲得客戶的信任，最好要讓客戶獲得全鍊路的感覺能力。但是這一想法一直沒有很好的落地契機。直到H銀行客戶在和阿裡雲溝通時，提到了它在海外給谷歌提出了一個需求，即在雲上系統中的内部操作，運維日志都要對客戶透明公開。

放眼全球，這稱得上是一個創新。黃瑞瑞認為，這對阿裡雲的高安全等級需求客戶（如金融類客戶）來說，也會是一個非常重要的需求。

要不要做這件事呢？與其說這是一個痛點，倒不如說是一個癢點。市場調研機構IDC釋出的市場佔有率報告顯示，2018年阿裡雲在國内的市場佔有率占比高達45.5%，牢牢占據第一位。即使不解決資料黑盒問題，阿裡雲的收入似乎也不會有影響。

但黃瑞瑞當時有一個更理想化的追求。他認為，首先這是客戶真真切切的需求；其次作為全球排名第三、國内第一的雲計算廠商，阿裡雲有義務為行業樹立一個标杆。

說幹就幹，在經過需求論證之後，阿裡雲将這一資料安全産品上升到戰略高度，定為2019年阿裡雲基礎産品的6大戰役之一，并起了一個代号——水晶計劃。

2.從水晶計劃到透明廚房

水晶計劃的過程則是一波三折。

最開始，阿裡雲安全和産品團隊把問題想得很簡單，雖然不能把API接口全部對外，但直接把運維日志給到客戶不就行了？

實際操作起來才發現，阿裡雲的内部運維日志是海量資料，大量的内部運維日志非但不能給客戶産生價值，反而變成了一種白噪音——客戶并不能從海量日志中分辨哪些東西對他是有用的。

同時，還有很多資料并非人為操作産生，而是機器自動産生。黃瑞瑞告訴「甲子光年」：“比如說機器監控到某個叢集水位高了，就會自動遷移到其他地方，這個過程本身是符合安全要求的，即使給到客戶也沒有多少參考價值。”

有時候大而全不是最優解，反而給客戶帶來負擔。阿裡雲需要小而美的解決方案。

最終，阿裡雲将對外公開的日志範圍縮小到人為記錄檔。這樣能保證客戶拿到資料之後，快速分析和判斷阿裡雲從業人員對客戶的資料執行了哪些操作。

理清思路後，接下來就是内部團隊的協調和開發。阿裡雲做的第一個産品，是針對OSS存儲（對象存儲服務）運維日志的透明化。OSS适合存放任意類型的檔案，包括文字、圖像、視訊等等，是以也是阿裡雲客戶使用最多的産品之一。

阿裡雲做了兩層“透明化”，第一層是日志的訂閱管理。

客戶可以通過訂閱的方式，在任何他想看的時刻來獲得阿裡雲内部的運維記錄檔，來擷取什麼人員因為什麼原因做了什麼操作。這是平台為了“自證清白”。

但如果将阿裡雲内部的運維日志不加處理交給客戶，有時候是沒有意義的。因為這些日志，隻有在内部運維系統的上下文中才有意義。是以要提取有效資訊，并将其翻譯成客戶能看懂的示例。此外，阿裡雲要保證資料脫敏，不能在保護客戶資料的初心下反而造成雲廠商資料隐私的洩露。

第二層“透明化”，是在第一層的基礎上再加一層保險箱，稱為客戶工單的授權管理。

黃瑞瑞告訴「甲子光年」，當客戶發起工單，平台會追加一個子項目，在從業人員操作之前向客戶申請授權，“工單是工單，授權是授權，如果隻有工單沒有授權，我們是不會進行任何操作的”。

這樣，阿裡雲不僅要打通工單系統，還要打通授權系統。盡管這增大了工作量，但能夠讓客戶買的安全，用的放心。

阿裡雲将這個産品的理念描述為“透明廚房”。顧名思義，阿裡雲将雲服務比作去餐廳吃飯，過去人們看不到菜品的烹饪過程。而在透明的廚房，人們可以像在家裡做飯一樣，看到每個菜的烹饪細節。

2019年下半年，經過一個6人小組以及存儲産品團隊小夥伴們半年多的努力，針對OSS存儲的“透明廚房”終于落地了。在推向市場的時候，阿裡雲卻同時得到了一個好消息和一個壞消息。好消息是，客戶對此産品的評價是“有幫助”，壞消息是“幫助不大”。

原因也很簡單，企業不僅僅用阿裡雲OSS存儲這一個産品，也用了資料庫、雲盤、大戶資料分析等等産品，隻保證OSS存儲這“一道菜”的透明化遠遠不夠，必須擴大到“滿漢全席”。

如果說OSS存儲是透明廚房從零到一的探索性産品，接下來的兩年，透明廚房團隊做的事情就是從一到十的規模性擴大。如今，透明廚房已經适配了包括資料庫、雲盤在内的超過十款阿裡雲主流産品，并延伸到了線上賬号管理系統和權限管理系統，以及密鑰管理系統。

有一個金融客戶讓黃瑞瑞印象深刻。在聽說阿裡雲研發了透明廚房之後，該金融客戶打電話給黃瑞瑞說，他們正在内部審計，比較着急，“如果送出工單之後能第一時間看到阿裡雲的運維日志，不管需要多少錢，我馬上就買”。黃瑞瑞則告訴對方：“日志可以馬上給，但是不要錢，這是免費的産品。”

對此，黃瑞瑞向「甲子光年」解釋：“透明廚房沒有商業化的計劃。我們認為資料安全是阿裡雲應該提供的基礎服務而非增值服務。”

後來，黃瑞瑞收到了審計部門對于透明廚房的回報，隻有簡單一句話：“做的不錯，這是一個新的可審計資料集，符合可審計的需求。”

這給了透明廚房團隊很大的鼓勵。

3.行至雲深處：可靠、可控、可見

在資料安全之下，如今雲計算的發展正呈現出兩個趨勢。

第一是針對資料安全生命周期建立全鍊路保護機制。

資料的全生命周期一般為6個階段，包括資料采集、資料傳輸、資料計算、資料交換、資料存儲到資料銷毀。黃瑞瑞告訴「甲子光年」，幾年前雲廠商的宣傳大多停留在單點保護，而實際上客戶需要的是全流程全周期的保護。

透明廚房不針對某一階段，而是貫穿資料全流程的産品。不過現在，透明廚房相對側重在企業更常用的資料計算、資料傳輸和資料存儲，來記錄資料是否被觸碰或修改。

基于6個階段和1個全流程産品，阿裡雲将其資料安全能力總結為三個詞：可靠、可控與可見，三者螺旋交替，互為補充。

可靠性，是指阿裡雲建立的全鍊路資料保護機制。雲上資料的6個關鍵階段都需要不同的安全能力，這依賴于阿裡雲高安全等級的基礎設施産品。

每年的雲栖大會也是阿裡雲基礎産品的集中釋出會。今年，阿裡雲釋出了自研CPU倚天710、磐久伺服器、第四代神龍架構等基礎産品。比如，通過自研的神龍雲伺服器，阿裡雲能提供“晶片級”加密安全環境，隻有使用者才能看到并使用自己的資料。

可控性，是指阿裡雲把資料控制權交給使用者所有。這裡的資料控制權，主要指資料“密鑰”。

企業的資料明文通過加密算法加密後就會變成資料密文。無論國際還是國内，都對加密算法有嚴格的合規标準，就像一個資料保險箱，打開保險箱的唯一方式就是拿到保險箱的鑰匙，即“密鑰”。

阿裡雲做的就是把加密算法的密鑰，完全給到使用者。目前阿裡雲上40餘款産品支援全鍊路加密能力，和在适用場景下的自選密鑰能力，讓使用者對資料的調用和讀取具有完全的控制權。

最後是可見性，即透明廚房。

阿裡雲目前已經實作雲平台内部操作完整記錄，并通過了第三方權威審計公司的嚴苛審計，審計期間會做大規模随機抽樣，可驗證阿裡雲是否遵循嚴格的安全控制措施。目前，阿裡雲幾乎已經拿到了安全合規領域的“全滿貫”資質。

第二個變化趨勢是黃瑞瑞從客戶側感受到的——客戶越來越懂行業了。

過去客戶會糾結于上不上雲，現在這已不成為問題了。早在2019年Veritas（資料管理公司）對1654名來自世界各地的雲架構師和管理人員做了調研，80%的中國受訪者表示“他們希望将大部分甚至全部的應用程式放至公有雲架構中”。

同時，客戶的專業性也越來越高。黃瑞瑞提到：“我們其實很早就在做全鍊路加密和自選密鑰的雲産品功能了，但是一直到最近的一年多客戶的需求才呈現井噴式增長。很多客戶開始問我們密鑰的控制權能不能交給他們，放在過去如果我們不提，可能很多人都不知道有自選密鑰這回事。”

黃瑞瑞認為，雲廠商與客戶各進一步，是這個行業正在走向成熟的一個标志。

今年的雲栖大會上，行癫的演講主題是“雲深處，新世界”。行至雲深處，這是雲計算發展的一個縮影，而保護資料安全始終是第一原則，就像“水晶計劃”名字所希望的那樣，透明而堅固。

END.