10月11日，浙江省網(wǎng)絡(luò)安全宣傳周活動啟動，阿里巴巴集團副總裁，阿里云安全總經(jīng)理肖力受邀參與“云谷論劍”網(wǎng)絡(luò)安全高峰論壇活動，分享了數(shù)字化改革中，云安全如何助力企業(yè)構(gòu)建更高等級的新一代基礎(chǔ)設(shè)施。

（阿里云安全總經(jīng)理肖力發(fā)表演講）

云，數(shù)字化改革的關(guān)鍵路徑

“數(shù)據(jù)，是政務(wù)數(shù)字化改革的基礎(chǔ)”，肖力認為，在當下的互聯(lián)網(wǎng)發(fā)展階段中，數(shù)據(jù)已經(jīng)越來越重要，特別是對于政企客戶，全景化的數(shù)據(jù)運營可以打破數(shù)據(jù)孤島，最大程度發(fā)掘其價值?！澳冒⒗镌频囊粋€重要客戶鄭州市政府舉例”，在云的助力下，鄭州搭建起具備業(yè)務(wù)和數(shù)據(jù)“雙中臺”的城市大腦底座，在底座之上提供了涵蓋政務(wù)服務(wù)、智慧交通、智慧醫(yī)療、城市應急等14個領(lǐng)域的118個智慧應用服務(wù)，“通過這一套體系的構(gòu)建，幫助政府業(yè)務(wù)實現(xiàn)了三個特點：高效、精細和穩(wěn)定”。

全場景數(shù)字化運營的基礎(chǔ)，是實現(xiàn)大量碎片化數(shù)據(jù)的統(tǒng)一支撐和共享，這一點需要依賴云底座的能力。數(shù)據(jù)直觀顯示，中國企業(yè)的上云率正在快速上升。根據(jù)《中國云計算產(chǎn)業(yè)發(fā)展報告白皮書》中預測，2021年中國政府機構(gòu)和大型企業(yè)的上云率將會達到61%，而從IDC的全球數(shù)據(jù)來看，2019年云的基礎(chǔ)設(shè)施已經(jīng)超過傳統(tǒng)數(shù)據(jù)中心。

未來所有企業(yè)都會上云，所有的終端、辦公網(wǎng)、數(shù)據(jù)中心都會云化，這是一個必然的趨勢。云計算已經(jīng)成為新的，并且是更安全的基礎(chǔ)設(shè)施。

攻防形勢依舊嚴峻

云安全將有效降低事故率

傳統(tǒng)IT架構(gòu)之下，做安全往往是單點的、外掛式的，哪里有問題就給哪里打補丁，治標不治本。在日益復雜的國際形勢下，政府部門、醫(yī)療衛(wèi)生行業(yè)和事業(yè)單位的業(yè)務(wù)網(wǎng)站成為了攻擊者攻擊的主要目標。2020年，我國境內(nèi)就有約1030個政府網(wǎng)站被篡改，同比增長31%。隨著企業(yè)上云率的提升，IT架構(gòu)的改變也造成了邊界防御的失效，傳統(tǒng)的安全防御思路無法解決云上企業(yè)的安全痛點。

失效的邊界防御

現(xiàn)在大部分的企業(yè)員工都在用主機、筆記本，甚至手機等各種移動設(shè)備辦公，以阿里為例，有超過20萬的員工，內(nèi)網(wǎng)常年運行著100萬臺設(shè)備，光靠VPN肯定是不行的。未來超過70%的數(shù)據(jù)會在邊緣處理，企業(yè)面對的是疫情下的遠程辦公、復雜的供應鏈、SaaS化應用中包含的在線文檔、視頻會議等等場景帶來的安全風險。

更加復雜的數(shù)據(jù)安全

2023年，全世界75%的數(shù)據(jù)庫都會以云的方式在運行。隨著數(shù)字化的發(fā)展和上云率的增加，我們發(fā)現(xiàn)數(shù)據(jù)類型變得越來越豐富，數(shù)據(jù)訪問變得越來越復雜，而這直接帶來的后果是，近幾年數(shù)據(jù)泄漏成為了大中型企業(yè)的頭號威脅。

愈演愈烈的勒索軟件

WannaCry的余溫尚未退卻，2021年，勒索軟件攻勢卻愈演愈烈，光上半年全球至少發(fā)生1200多起勒索軟件攻擊事件，造成的直接經(jīng)濟損失高達300億美元。面對愈來愈復雜的安全攻防形勢，構(gòu)建更高等級的云基礎(chǔ)設(shè)施刻不容緩。

相對傳統(tǒng)IDC環(huán)境，云原生的安全能力，在未來3年內(nèi)可幫助用戶有效降低60%的事故率。

更高等級的云基礎(chǔ)設(shè)施

基于阿里云多年的云上安全實踐，肖力用五個關(guān)鍵詞總結(jié)了云安全獨有特性，“原生、彈性、全局、默認、共擔”。

 

原生

在云上，安全能力和基礎(chǔ)設(shè)施的結(jié)合是明確趨勢。

傳統(tǒng)安全架構(gòu)造成了安全數(shù)據(jù)孤島，導致企業(yè)難以統(tǒng)一管理，增加了網(wǎng)絡(luò)不穩(wěn)定性。但是云可以將安全能力與各個云產(chǎn)品進行融合，將安全能力打碎重組，融入基礎(chǔ)設(shè)施，實現(xiàn)云基礎(chǔ)設(shè)施默認安全。

（阿里云原生安全能力全景圖）

比如，在云上有多個流量入口，我們可以將CDN、SLB各云產(chǎn)品和安全能力直接融合，流量直接在節(jié)點就可以進行清洗，降低了網(wǎng)絡(luò)的復雜性。此外，通過統(tǒng)一的OpenAPI接口，阿里云目前10條產(chǎn)品線271個云產(chǎn)品默認融入了安全能力，實現(xiàn)云產(chǎn)品上線即安全。將安全能力融入到業(yè)務(wù)統(tǒng)一接入層，新上線的應用只需要接入，就能夠做到默認安全。

此外，基于云產(chǎn)品架構(gòu)優(yōu)勢和層層白名單，同時加上持續(xù)化的滲透測試、穩(wěn)定性演練等，讓云成為更難被攻入的安全環(huán)境，幫助客戶實現(xiàn)更高水準的可視化、精細化安全管理。

 

彈性

云計算天然的彈性擴縮容能力，可以實現(xiàn)安全能力與業(yè)務(wù)同步上線。

疫情期間，由于遠程辦公場景激增，釘釘需要緊急擴容，在1個小時內(nèi)就完成了2萬臺主機的安全部署，實現(xiàn)了安全能力服務(wù)化，而如果在線下操作，則起碼需要1個月的時間。

彈性還代表著快速止血，快速修復的能力，即“跌倒后站起來的速度”。我們需要長期與攻擊共存，玻璃杯一擊即碎，而皮球可以將打擊化為彈性。阿里云云上環(huán)境通過強大的資源情報庫，多產(chǎn)品聯(lián)動，幫助客戶實現(xiàn)小時級止血修復，最大程度挽回業(yè)務(wù)損失。

 

全局

不同于傳統(tǒng)安全的單點式防護，云安全通過體系化的架構(gòu)設(shè)計，構(gòu)建的是全局的能力。

以數(shù)據(jù)安全為例，不能只做數(shù)據(jù)加密或防泄漏就可以了，而需要從數(shù)據(jù)生命周期的角度，對資產(chǎn)管理發(fā)現(xiàn)、權(quán)限控制、數(shù)據(jù)加密、入侵防護，以及必要的合規(guī)保障上進行全面和全局的防護。  

（阿里云數(shù)據(jù)安全能力全景圖）

 

默認

對比人體來說，最高級的防護是自身默認的免疫機制，這也是云安全嘗試構(gòu)建的防御機制。

安全只有具備了默認免疫能力，才能對未知威脅實現(xiàn)實時的自動化防護，這就意味著需要建立一整套的全局威脅情報與實時漏洞響應機制，而云計算有兩個天然優(yōu)勢：算力+協(xié)同

• 海量算力：數(shù)據(jù)不分析、不流動是無法產(chǎn)生價值的。云上天然計算優(yōu)勢，支持海量日志的計算和分析；
  

• 協(xié)同：環(huán)境高度一致性對于漏洞、惡意IP、異常行為，可以實現(xiàn)數(shù)百萬臺主機策略秒級下發(fā)。
  

點擊查看原視頻01:11

（云平臺默認免疫防護模塊）

肖力同時分享了阿里云發(fā)現(xiàn)Apache Flink 0day漏洞和JumpServer 0day漏洞設(shè)計的預警協(xié)同機制，通過這套防御體系，阿里云全年響應了66起事件，積累10萬余個漏洞，其中有PoC的漏洞超過一萬個，可利用的高危漏洞超過一千個。

 

共擔

安全責任共擔，當客戶選擇云之后，不需要再考慮平臺本身安全，包括合規(guī)性、云產(chǎn)品的安全基線，以及客戶在平臺之上的租戶側(cè)合規(guī)、物理安全、平臺安全和災備等。善用云原生安全能力，根據(jù)行業(yè)和業(yè)務(wù)的需求，構(gòu)建起真正更高防護水平的新一代云基礎(chǔ)設(shè)施。

同時，阿里云還出席了在西安舉辦的2021年國家網(wǎng)絡(luò)安全宣傳周網(wǎng)絡(luò)安全博覽會，并作為阿里巴巴“科技創(chuàng)新保障網(wǎng)絡(luò)安全”主題展區(qū)（C06）的重要組成部分，以“原生免疫”為關(guān)鍵詞，系統(tǒng)化、可視化展示了云原生安全能力下的企業(yè)解決方案。也歡迎大家前往參觀。（亮相國家網(wǎng)絡(luò)安全宣傳周，阿里云全新展現(xiàn)云原生免疫防線）

 阿里云安全  

國際領(lǐng)先的云安全解決方案提供方，保護全國 40% 的網(wǎng)站，每天抵御 60 億次攻擊。

2020 年，國內(nèi)唯一云廠商整體安全能力獲國際三大機構(gòu)（Gartner/Forrester/IDC）認可，以安全能力和市場份額的絕對優(yōu)勢占據(jù)領(lǐng)導者地位。

阿里云最早提出并定義云原生安全，持續(xù)為云上用戶提供原生應用、數(shù)據(jù)、業(yè)務(wù)、網(wǎng)絡(luò)、計算的保護能力，和基礎(chǔ)設(shè)施深度融合推動安全服務(wù)化，支持彈性、動態(tài)、復雜的行業(yè)場景，獲得包括政府、金融、互聯(lián)網(wǎng)等各行業(yè)用戶認可。

作為亞太區(qū)最早布局機密計算、最全合規(guī)資質(zhì)認證和用戶隱私保護的先行者，阿里云從硬件級安全可信根、硬件固件安全、系統(tǒng)可信鏈、可信執(zhí)行環(huán)境和合規(guī)資質(zhì)等方面落地可信計算環(huán)境，為用戶提供全球最高等級的安全可信云。