阿裡雲肖力：跳過量變過程的安全質變

本文轉載自：阿裡技術（ 阿裡雲肖力：跳過量變過程的安全質變 ）

肖力：阿裡巴巴集團副總裁、阿裡雲安全總經理

我從事網絡安全工作将近20年，處理過各類攻擊威脅，經曆了雲下雲上安全的建設。

雲計算的安全工作從10年前開始，我們摸着石頭過河，搭建了阿裡雲平台的防護體系，幫助各行業使用者在雲上建構企業安全能力。

雲原生的出現進一步加深了我對安全的了解和思考。未來我們要實作的，也許已經不再稱之安全防護，而是一套長在雲裡的原生“免疫系統”。

雲下20年

外挂式安全

2000年到2020年國内誕生了上千家安全公司，提供上百種品類的安全産品，介紹手冊裡對使用體驗從未改變的一句描述是：即插即用。然而，再無縫的外挂也難以避免相容性問題。其次，實際情況因接口統一性、相容性等問題，标注即插即用的裝置，1個月都部署不進去的情況比比皆是。

停留在大部分人記憶中“熊貓燒香”級别的炫技式攻擊，早已過時。去年，全球疫情和新常态遠端辦公出現，我們觀測到了高度複雜的攻擊。幾個月前發生的SolarWinds APT攻擊，國際頂級安全公司淪陷。阿裡雲成功防禦的資源耗盡型DDoS攻擊，重新整理了曆史觀測最大規模記錄。對企業的損失來說，最新的勒索軟體攻擊已經動辄贖金要求數億。

試想一下，企業數字資産安全，在這種情況下會處于什麼狀态？

雲直接改變了這種安全現狀。

1月爆發的Incaseformat蠕蟲病毒，主要依賴U盤進行傳播，雲上空間實作天然免疫，預設不受該傳播方式影響，所有雲上使用者無感覺度過這個輿論影響很大的安全事件。

雲原生容器具備鏡像快照功能，遇到勒索軟體攻擊資料被加密，使用者通過這個功能快速恢複，而不需要去傳遞贖金。

雲原生安全發展方向，我從安全技術和理念裡兩方面，總結為内置、前置兩大關鍵詞。

• 内置-單點的防護能力打碎重組，融入基礎設施本身；
• 前置-在更上遊的階段考慮安全，樹立一個信任和一個懷疑。

原生安全技術

融入基礎設施的免疫系統

阿裡雲自身的安全實踐已久，無論基于廣義雲原生還是狹義雲原生概念，面向未來的幾個技術趨勢已經越來越清晰。

安全成公共資源實作按需調用

大部分企業安全資源是非常有限的，卻存在一個沖突點：即需要能支撐峰值流量，大部分時間用量卻是打不滿的。

比如阿裡巴巴自身業務，雙11無疑是一個流量峰值，而全年業務由一個峰值+多個波峰+波谷構成，峰值和波谷的差別可能非常大，安全沒必要儲備了大量“糧草”處于“待命”狀态。

安全能力服務化（SaaS化），是一個行業内展望已久的趨勢，安全能不能按需調用？

我去年經常講一個例子，疫情期間釘釘1小時擴容2萬台伺服器，安全防護實作小時級覆寫。雲下場景的同類企業，每台裝置都需要上架、調适，串聯在鍊路上做防禦阻斷，至少需要1個月時間。

雲環境中，業務系統上線隻需要完成接入動作，安全保護随之而來。

基礎設施天然具備檢測防護能力

安全能力直接内置在基礎設施節點中。流量通過某些節點時，比如SLB負載均衡和CDN邊緣計算，直接完成安全檢測。同一份帶寬資源，業務提速做到無感保護。

遍布基礎設施的各安全能力節點，面對風險如同開啟了 “上帝視角”， 單點威脅實作全網秒級協同，提升了全IT環境的風險反應和處理速度。過去幾年，阿裡雲在一些客戶重大事件保障和大型實戰演習中，攻防能力一直是榜首的位置。一方面優勢來自于自身技術的儲備，更多的則來自于基于雲的全局威脅發現和關聯處置能力。

攻擊主動修複實作無感防禦

十幾年前我們做安全，系統不行全靠人肉來補。

有時候一個漏洞出現，幾十上百個應用，要挨個手動排查。修複過程業務不能下線，還要做到使用者無感，導緻背景的操作緩慢又痛苦。這種被迫降速，又進一步拉長攻擊視窗期，提升了業務風險。

今天，阿裡雲上的漏洞修複，已經變得非常簡單。一旦漏洞出現，雲自動開啟防護罩，保證攻擊打不進來，雲也将持續進化實作自動修複。

我們把很多可能産生問題的難點，在IT建設的時候就思考和解決掉了，安全人員看到的是相對簡單的統一控制台，通過業務邏輯來進行安全政策的配置，把精力聚焦到高價值的事情上。

原生安全理念

絕對信任和持續懷疑

現代商業複雜程度遠遠高于過去，簡單是消解複雜的最佳路徑，安全理念需要被化約。

企業員工的位移和身份動态變化的速度，大概是過去的N倍速。資料可能産生于任意終端、任意人員、任意地理位置。資料可能存儲在公共雲、私有雲、邊緣計算節點……這其中發生的計算、處理和交換動作更是形成了複雜的交叉網狀結構。

安全防護看似無處下手，這也是“免疫系統”的重要性。我們全方位審視安全，抽絲剝繭去看背後的邏輯。

雲上資料的生命周期旅程可能發生于IT系統的大腦、心髒、甚至末梢，像血液一樣在企業内流轉，為各器官的運作服務，資訊流代替工作流在推動着業務的發展。如何保證整個系統的安全？

雲即信任

雲原生安全的進化，在不斷縮小信任成本，讓基礎設施本身成為更加高可用、高安全等級的可信計算環境。

晶片級硬體可信

晶片級安全，是目前技術領域内最高等級的安全。硬體的不可篡改性，決定了其成為最高等級安全的基礎。

阿裡雲在去年10月，業内首發基于SGX2.0和TPM的可信虛拟化執行個體，最早完成了晶片級硬體安全的落地。最新推出的第七代ECS執行個體，全量搭載安全晶片作為硬體可信根，實作伺服器的可信啟動，確定零篡改。這意味着真正意義上第一次實作了能夠支援大資料運算的安全可信環境。

使用者不需要再關心硬體層的基礎上，任何篡改異常可被第一時間發現，進而更專注于安全開發，進一步減少代碼量。

資料預設透明加密

加密是最原始的資料保護方式，這并不是一個安全新概念。

而雲上的資料加密是一個更天然的過程，原生資料自“出生”預設加密。雲上産生的資料，實作自動加密，資料遷移上雲預設落盤加密，關鍵業務敏感資料實作位元組級加密。

雲基礎設施還提供公鑰密碼應用系統，在資料加密的基礎上再加一把鎖。

密碼系統可以自動或自定義改變密碼，這個聽起來很普通，但實際需要基礎設施層算法精巧設計的功能叫“密鑰輪轉”。公共雲有一個主密鑰，預設每天輪轉一次，使用者自有密鑰可從天到年為機關自定義設定輪轉周期，讓被破解成為不可能。

對動态因素持續懷疑的零信任

資料總是由人創造的。企業各環節線上化，每個人都可能是資料的生産者。

無論是企業通路OA系統、審批系統、公司郵件、視訊會議等傳統需求，還是遠端開發、測試、運維、客服等複雜場景，從身份認證、網絡準入、動态權限管理等方式入手，到通過網絡能力實作安全的内網準入，實作打造持續懷疑、動态監測和認證的安全雲環境。

當雲作為IT基礎設施，算力成為像水、電、煤一樣的公共資源，這其中安全意味着什麼不言而喻。我們也希望打造全世界最安全的雲，在越來越複雜中，提供越來越簡單的選擇。

  阿裡雲安全  

國際領先的雲安全解決方案提供方，保護全國 40% 的網站，每天抵禦 60 億次攻擊。

2020 年，國内唯一雲廠商整體安全能力獲國際三大機構（Gartner/Forrester/IDC）認可，以安全能力和市場佔有率的絕對優勢占據上司者地位。

阿裡雲最早提出并定義雲原生安全，持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力，和基礎設施深度融合推動安全服務化，支援彈性、動态、複雜的行業場景，獲得包括政府、金融、網際網路等各行業使用者認可。

作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者，阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境，為使用者提供全球最高等級的安全可信雲。