一年一度的阿裡安全峰會創立于 2014 年,今年已是第三屆,于7月13-14日在北京國家會議中心舉辦。峰會旨在促進亞太區資訊安全行業發展,為本地區資訊安全組織、資訊安全專業人士和決策者搭建一個資訊交流展示平台,探讨目前安全行業的最佳實踐、熱點議題、資訊安全人才培養、新 興技術與發展趨勢等。2016 阿裡安全峰會設立12個分論壇,數十家領軍企業參與、國内外頂級安全專家演講,在電商金融安全,移動安全,威脅情報,人才培養,電子驗證等熱門安全行業問題進行深入探讨與交流,除此之外大會前一天還進行了頂級電商安全移動安全等方向的專業安全技術教育訓練。
“傳統idc要求使用者對所有安全問題負責,到了雲上,安全迎來責任共擔新時代,安全問題變成廠商與使用者共同解決。”7月13日2016阿裡安全峰會上,阿裡雲安全事業群資深總監肖力總結七年實踐,重新定義雲計算時代的安全本質。
<b>阿裡雲資深總監 肖力</b>
<b>以下為演講實錄:</b>
<b>肖力:</b>大家下午好,今天很高興在這裡和大家分享目前的雲計算的發展趨勢,以及我們在雲安全方面的思考和實踐。這是剛才釋出的全球的雲計算的整個行業的預測,那麼,在今年年底的時候,全球的雲計算的市場預期到2030億美元,通過短短的幾年,2019年預期整個全球雲計算市場高達三千多億美元,這個數字的背後意味着什麼,意味着全球的企業,包括政府機構,包括的開發者,都在全面的擁抱雲計算。通過雲計算的技術來進行産業的更新,包括的業務的創新。
右邊這些圖,這都是美國的企業,這些都是美國各行各業的企業在擁抱雲計算,其中包括了像cia,美國的cdc,疾病的治療中心,還有傳統的制造業向西門子,包括聯合利華已經把自身的核心系統放在雲平台上。當然了,美國有很著名的創新公司,共享基金的代表等等,這些都是非常創新的企業,他們的業務完全基于整個雲計算的平台。
看完全球再看看中國,中國的雲計算市場,我們預測到2018年年底的時候,全國的雲計算市場會高達620億美元,而且最重要的是整個每一年的年複合增長率預期超過54%。而且我們現在會看到中國現在在推行網際網路+的戰略,包括移動網際網路的興起。中國的企業在擁抱雲計算的速度方面,會比全球的企業,包括了政府機構都要來得快。上面的案例是我們現在在雲平台上很多的大型企業,其中包括了很多的央企,我們也看到了很明顯的趨勢,中國很多央企在擁抱雲計算方面比很多的民企來得快,他們希望借助與雲計算的技術以及資料的力量來進行整個産業的更新,這是我們看到非常明顯的雲計算的趨勢發展。
是以,阿裡雲相信,現在網際網路已經成為整個社會的基礎設施,雲計算會成為整個社會的公共服務。什麼叫做公共服務,大家知道水、電、煤、這種叫做公共服務。今天,我相信所有的企業,都需要電力,但是,沒有一家企業會自己買發電機,隻需要向電力局申請按需供給,按需付費就好了,我相信不久的将來,雲計算,計算能力是每個企業都需要的。但是每個企業不需要資金買伺服器,租用機架搭建自己的業務,隻需要找雲服務提供商來提供相應的計算能力,在整個雲平台上搭建自己的業務,基于資料,基于計算進行進一步的創新。
接下來,也會有很多的,像個人裝置的資料,包括了個人的一些很多商業的資料,會被企業沉澱下來,但是這些都是企業進一步的創新,基于計算能力,基于資料的更多創新的人群。
這是我們阿裡雲在2013年的時候,當時客戶的分布圖。大家看到當時主要的客戶還在東部的沿海地區,經過短短兩年發展,現在阿裡雲的客戶已經遍布了全國各個地區。而且分布在各個行業,我們發現有很多的行業的領頭企業都在全面的擁抱雲計算,都在使用雲計算的技術來進行更多的創新。那麼接下來安全一定是雲,一定是企業上的雲,以及在雲上的企業最關注的一個話題,那麼我們最近來看到csa對全球的一些企業進行資料調研,那麼其中有64%的企業,現在對雲上的安全越來越有信心,包括很大的比例認為現在雲上的安全比線下的自建abc的安全會更加強壯,更加的安全。
雲安全,我自己總結了三個方面,跟原來線下的安全有非常大的不同。
<b>第一,雲的服務提供商擁有更強壯的基礎設施的安全,以及更強大的安全的資源</b>。阿裡雲作為一個雲服務提供商,在整個基礎設施安全,包括了實體安全,包括我們整個的内部的管理體系方面,其實做了大量的工作,包括了投入了大量的資源。我們經常會遇到各行各業需要做安全的審計,他們審計的公司會直接到我們機房來進行飛行的抽檢,確定我們機房的安全問題,包括我們的錄音帶是否能夠正常的銷毀來確定基礎設施的安全。另外一個方面,雲服務提供商擁有更強壯的安全的資源,為什麼這麼說?任何一家企業,不可能會儲備五百g,甚至是上t的帶寬來抵禦攻擊,雲服務提供商擁有着更強大的帶寬的資源,是以我們也能夠很好的幫助使用者解決大流量的攻擊問題。
<b>第二,雲服務在雲安全這一塊基于雲的環境下,使用者擁有着更快的應急響應的能力。</b>我相信今天在座的有非常多的安全的同仁,大家做安全,最關鍵的一點是都知道應急響應的時間,對企業的安全來講非常重要,是以在雲的環境下,我們最近剛剛一個案例,最近我們有一個cms的漏洞爆發。我們團隊通過兩個小時的時候對漏洞進行了分析,上線了防禦規則,第一時間對平台上的使用者進行防禦。另外兩個小時之内,我們對所有的雲平台的相應使用者進行了檢測。這個漏洞确認數千個企業,包括了數千個伺服器受到了漏洞的影響。我們四個小時之内就通知了這些相應的使用者,告訴他們這個漏洞,以及這個漏洞的危害。在他們授權的情況下,我們通過了更新檔幫助數千家企業快速修複這個漏洞,整個應急響應時間沒有超過六個小時。是以大家都知道現在如果有一家安全的廠商要服務數千家企業,應急響應的時間,包括投入的資源,這個不可能在幾個小時内就可以做到。這也是雲計算給企業,給廠商帶來的更大的優勢。
第三,<b>當然是全面的威脅情報能力</b>,我們基于整個雲平台會分析自動化的分析,更多的攻擊的手法,包括了自動化的分析全球的攻擊源,包括入侵和僵屍網絡的情況。這個時候當有一個攻擊者在使用者進行發起攻擊的時候,我們的雲平台的免疫系統就能夠第一時間的感覺到,把這個威脅情況,把這個防禦政策,攻擊手法分析出來,告知其他的使用者,讓更多的使用者第一時間的防禦,更好的解決黑客攻擊而導緻的風險。
2009年阿裡雲成立的第一天起,阿裡雲的安全團隊就成立了。我相信很多的企業一定是業務到了一定的規模的時候才會成立安全團隊。但是阿裡雲在第一天起,就知道安全是雲計算最重要的一個組成。是以我們阿裡雲團隊和阿裡雲這些年都一直在成長,我們在2012年的時候,我們看到了雲上有越來越多的使用者。但是這些企業使用者沒有能力解決好安全問題,是以我們就想把自己在阿裡層面的十幾年的安全産品和安全的能力來賦能于企業,幫助企業更好的解決安全的問題,是以我們在2012年的時候推出了雲盾安全品牌,我們希望能夠幫助使用者更好的解決安全,遇到的安全問題。
2014年的時候,當時我們基于整個雲的環境幫助使用者修複了超過十萬條個漏洞,線下的廠商修複這麼多漏洞幾乎不可能,是以我覺得這是雲計算給使用者帶來的更大的價值。資料安全一直是雲計算這個平台上最重要的,使用者最關心的一個點。是以我們在去年的時候,釋出了整個資料安全的公約。我們告訴所有的使用者,資料是使用者的資産,雲平台不能擅自的挪做他用。另外一個方面我們基于使用者的需求和雲上的風險,推出了資料的安全性。我們希望能通過各種方案,各種産品和服務幫助使用者更好的解決雲上資料安全的問題。
目前,阿裡雲上面,已經擁有的全國超過35%的網站。那麼我們幫助這些企業,幫助這些網站每天通路量超過兩2億次的密碼暴力破解和攻擊,去年上半年幫助使用者修複了47萬高危漏洞,現在每天幫助使用者防禦2000次的ddos的攻擊,而且都是5g以上的,而且我們平台上對5g以下做了清洗,我們預測,我們幫助使用者做預防ddos的攻擊超過全網的40%,甚至是50%,我們會遇到各行各業包括了各個國家對我們最高強度的要求,是以我們整個的内部安全體系,包括了基礎設施安全方面,我們是非常的重視的。我們是2013年的時候就獲得了全球的caca的金牌認證,我們是全球首家的雲服務提供商,通過的這個安全的認證。剛才最近我們剛剛獲得了新加坡政府mtcs也是關于雲的安全的标準,t3等級,最高安全等級的認證,這些認證的背後也是各行各業,包括了各個國家對我們阿裡雲安全能力的認可,以及内部安全管理體系的強壯性。
是以,我們初衷,也就是說幫助使用者更好的在雲上解決好各種遇到的安全問題,我們最近剛剛幫助神州租車很好的抵禦了ddos的攻擊問題,保證了業務的穩定性和連續性,另外把阿裡積累的很多年的圖檔的識别和視訊的禁黃能力,包括新浪、優酷做圖檔和視訊的禁黃,現在大家知道直播行業特别火,遇到涉黃問題會被監管,是以我們會幫助這些企業做好需求。在反欺詐方面,因為我們集團多年沉澱了各種的反欺詐的能力。是以我們也幫助像大麥網這種票務平台和網際網路保險企業更好的做反欺詐的建設。
聊了很多在雲計算思考的實踐,但是我自己思考在雲的環境下和原來的傳統的idc的環境下最大的不同,其實是安全責任的不同。在雲的環境下,意味着雲服務提供商和使用者共同承擔着相應的安全的責任。那麼阿裡雲作為雲的服務提供商最核心的職責保障整個雲平台的安全,以及整個雲平台的基礎設施的安全。實體安全和虛拟化的安全,以及各個雲産品的安全。客戶也有相應的責任,需要對自身的業務安全,資料安全甚至是系統安全負責的。最近我們遇到很多客戶,有一些客戶有不了解,覺得好像業務系統搬上雲以後,遇到的問題應該是雲服務提供商來解決,我覺得這個方面應該需要跟整個,借助整個全球,全國所有的各個領域的安全廠商一起來幫助使用者解決各種安全問題。是以我想去年的時候我們就在積極的發展整個的雲的安全生态。目前我們在平台這一塊已經有44家安全的廠商,包括一百多個産品在我們的雲安全市場裡面供戶去選擇,我們去年的時候和一家資料加密領域非常領先的廠商一起推出語言資料加密服務,不是傳統的硬體加密包裝成整個雲加密服務,幫助使用者解決好資料安全,以及資料加密的問題。
另外一個方面我們也和資料庫安全領域非常成熟的公司合作,我們希望和他們在資料安全方面的積累來在雲安全上共同解決好資料安全的問題。我們和全球最好的漏洞管理和漏洞檢測廠商一起合作通過這種能力幫助使用者更好的解決在漏洞,在應急響應,安全次元上遇到的問題。我們企業做的十多年,我們深刻的知道現在每家企業都需要安全的重視。像前一段時間美國五角大樓向全球懸賞,希望白帽子幫助五角大樓找到安全漏洞,及時防禦黑客的攻擊。
是以我們認為未來每一家企業都需要這種白帽子的服務來盡可能的挖掘漏洞,盡可能的比攻擊者更好的找到漏洞。是以我們引進了更多的像安全公司裡面的白帽子團隊,我們希望通過白帽子的力量來使以後百萬,千萬家的企業來進行更好的漏洞挖掘和修複。另外一個方面雲上和線下很大的不同,因為原來線下的廠商是以賣裝置為主,但是雲環境下,已經不可能再進入裝置,這個時候安全saas合作非常關鍵,我也看到一個現象,全球最好的安全廠商服務的企業客戶數應該都不會超過一萬,超過一萬非常少,為什麼?因為線下的裝置,包括了線下的運維,包括商家,包括實施都需要大量的人力,無法拓展使用者,但是雲的環境下,我們可以看到我們有機會,一個安全廠商可以服務十萬家企業,甚至是百萬家企業。這是雲計算給安全行業所帶來的不同。
現在在阿裡雲的平台上,已經有數萬家企業自發的,有需求的去購買産品和服務。我們也看到有很多的廠商在接觸越來越多的使用者,我也相信未來整個全球下一個安全的獨角獸公司,一定是基于安全saas服務,能夠服務十萬家企業,甚至是希望百萬家企業公司。我也期待阿裡雲的平台上能夠誕生更多的安全的獨角獸公司,通過saas服務幫助我們雲上這些企業使用者更好的解決安全問題。
是以我們最近也釋出了整個安全saas的合作夥伴計劃,我們把現在的一些我們認為非常好的安全saas的合作夥伴引入到雲市場裡面來幫助使用者解決好安全問題。
最後,我想說阿裡雲希望能夠把自身的安全能力,包括雲計算的能力,以及大資料的能力和中間件的能力,我們積累了這麼多年的能力能夠賦能給企業包括開發者,我們希望幫助企業更好的進行創新,降低創新的成本,讓資料以及計算,幫助企業發揮更大的價值。
謝謝大家。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)