10月11日，浙江省網(wǎng)絡(luò)安全宣傳周活動(dòng)啟動(dòng)，阿里巴巴集團(tuán)副總裁，阿里云安全總經(jīng)理肖力受邀參與“云谷論劍”網(wǎng)絡(luò)安全高峰論壇活動(dòng)，分享了數(shù)字化改革中，云安全如何助力企業(yè)構(gòu)建更高等級(jí)的新一代基礎(chǔ)設(shè)施。

（阿里云安全總經(jīng)理肖力發(fā)表演講）

云，數(shù)字化改革的關(guān)鍵路徑

“數(shù)據(jù)，是政務(wù)數(shù)字化改革的基礎(chǔ)”，肖力認(rèn)為，在當(dāng)下的互聯(lián)網(wǎng)發(fā)展階段中，數(shù)據(jù)已經(jīng)越來(lái)越重要，特別是對(duì)于政企客戶，全景化的數(shù)據(jù)運(yùn)營(yíng)可以打破數(shù)據(jù)孤島，最大程度發(fā)掘其價(jià)值?！澳冒⒗镌频囊粋€(gè)重要客戶鄭州市政府舉例”，在云的助力下，鄭州搭建起具備業(yè)務(wù)和數(shù)據(jù)“雙中臺(tái)”的城市大腦底座，在底座之上提供了涵蓋政務(wù)服務(wù)、智慧交通、智慧醫(yī)療、城市應(yīng)急等14個(gè)領(lǐng)域的118個(gè)智慧應(yīng)用服務(wù)，“通過(guò)這一套體系的構(gòu)建，幫助政府業(yè)務(wù)實(shí)現(xiàn)了三個(gè)特點(diǎn)：高效、精細(xì)和穩(wěn)定”。

全場(chǎng)景數(shù)字化運(yùn)營(yíng)的基礎(chǔ)，是實(shí)現(xiàn)大量碎片化數(shù)據(jù)的統(tǒng)一支撐和共享，這一點(diǎn)需要依賴云底座的能力。數(shù)據(jù)直觀顯示，中國(guó)企業(yè)的上云率正在快速上升。根據(jù)《中國(guó)云計(jì)算產(chǎn)業(yè)發(fā)展報(bào)告白皮書(shū)》中預(yù)測(cè)，2021年中國(guó)政府機(jī)構(gòu)和大型企業(yè)的上云率將會(huì)達(dá)到61%，而從IDC的全球數(shù)據(jù)來(lái)看，2019年云的基礎(chǔ)設(shè)施已經(jīng)超過(guò)傳統(tǒng)數(shù)據(jù)中心。

未來(lái)所有企業(yè)都會(huì)上云，所有的終端、辦公網(wǎng)、數(shù)據(jù)中心都會(huì)云化，這是一個(gè)必然的趨勢(shì)。云計(jì)算已經(jīng)成為新的，并且是更安全的基礎(chǔ)設(shè)施。

攻防形勢(shì)依舊嚴(yán)峻

云安全將有效降低事故率

傳統(tǒng)IT架構(gòu)之下，做安全往往是單點(diǎn)的、外掛式的，哪里有問(wèn)題就給哪里打補(bǔ)丁，治標(biāo)不治本。在日益復(fù)雜的國(guó)際形勢(shì)下，政府部門、醫(yī)療衛(wèi)生行業(yè)和事業(yè)單位的業(yè)務(wù)網(wǎng)站成為了攻擊者攻擊的主要目標(biāo)。2020年，我國(guó)境內(nèi)就有約1030個(gè)政府網(wǎng)站被篡改，同比增長(zhǎng)31%。隨著企業(yè)上云率的提升，IT架構(gòu)的改變也造成了邊界防御的失效，傳統(tǒng)的安全防御思路無(wú)法解決云上企業(yè)的安全痛點(diǎn)。

失效的邊界防御

現(xiàn)在大部分的企業(yè)員工都在用主機(jī)、筆記本，甚至手機(jī)等各種移動(dòng)設(shè)備辦公，以阿里為例，有超過(guò)20萬(wàn)的員工，內(nèi)網(wǎng)常年運(yùn)行著100萬(wàn)臺(tái)設(shè)備，光靠VPN肯定是不行的。未來(lái)超過(guò)70%的數(shù)據(jù)會(huì)在邊緣處理，企業(yè)面對(duì)的是疫情下的遠(yuǎn)程辦公、復(fù)雜的供應(yīng)鏈、SaaS化應(yīng)用中包含的在線文檔、視頻會(huì)議等等場(chǎng)景帶來(lái)的安全風(fēng)險(xiǎn)。

更加復(fù)雜的數(shù)據(jù)安全

2023年，全世界75%的數(shù)據(jù)庫(kù)都會(huì)以云的方式在運(yùn)行。隨著數(shù)字化的發(fā)展和上云率的增加，我們發(fā)現(xiàn)數(shù)據(jù)類型變得越來(lái)越豐富，數(shù)據(jù)訪問(wèn)變得越來(lái)越復(fù)雜，而這直接帶來(lái)的后果是，近幾年數(shù)據(jù)泄漏成為了大中型企業(yè)的頭號(hào)威脅。

愈演愈烈的勒索軟件

WannaCry的余溫尚未退卻，2021年，勒索軟件攻勢(shì)卻愈演愈烈，光上半年全球至少發(fā)生1200多起勒索軟件攻擊事件，造成的直接經(jīng)濟(jì)損失高達(dá)300億美元。面對(duì)愈來(lái)愈復(fù)雜的安全攻防形勢(shì)，構(gòu)建更高等級(jí)的云基礎(chǔ)設(shè)施刻不容緩。

相對(duì)傳統(tǒng)IDC環(huán)境，云原生的安全能力，在未來(lái)3年內(nèi)可幫助用戶有效降低60%的事故率。

更高等級(jí)的云基礎(chǔ)設(shè)施

基于阿里云多年的云上安全實(shí)踐，肖力用五個(gè)關(guān)鍵詞總結(jié)了云安全獨(dú)有特性，“原生、彈性、全局、默認(rèn)、共擔(dān)”。

 

原生

在云上，安全能力和基礎(chǔ)設(shè)施的結(jié)合是明確趨勢(shì)。

傳統(tǒng)安全架構(gòu)造成了安全數(shù)據(jù)孤島，導(dǎo)致企業(yè)難以統(tǒng)一管理，增加了網(wǎng)絡(luò)不穩(wěn)定性。但是云可以將安全能力與各個(gè)云產(chǎn)品進(jìn)行融合，將安全能力打碎重組，融入基礎(chǔ)設(shè)施，實(shí)現(xiàn)云基礎(chǔ)設(shè)施默認(rèn)安全。

（阿里云原生安全能力全景圖）

比如，在云上有多個(gè)流量入口，我們可以將CDN、SLB各云產(chǎn)品和安全能力直接融合，流量直接在節(jié)點(diǎn)就可以進(jìn)行清洗，降低了網(wǎng)絡(luò)的復(fù)雜性。此外，通過(guò)統(tǒng)一的OpenAPI接口，阿里云目前10條產(chǎn)品線271個(gè)云產(chǎn)品默認(rèn)融入了安全能力，實(shí)現(xiàn)云產(chǎn)品上線即安全。將安全能力融入到業(yè)務(wù)統(tǒng)一接入層，新上線的應(yīng)用只需要接入，就能夠做到默認(rèn)安全。

此外，基于云產(chǎn)品架構(gòu)優(yōu)勢(shì)和層層白名單，同時(shí)加上持續(xù)化的滲透測(cè)試、穩(wěn)定性演練等，讓云成為更難被攻入的安全環(huán)境，幫助客戶實(shí)現(xiàn)更高水準(zhǔn)的可視化、精細(xì)化安全管理。

 

彈性

云計(jì)算天然的彈性擴(kuò)縮容能力，可以實(shí)現(xiàn)安全能力與業(yè)務(wù)同步上線。

疫情期間，由于遠(yuǎn)程辦公場(chǎng)景激增，釘釘需要緊急擴(kuò)容，在1個(gè)小時(shí)內(nèi)就完成了2萬(wàn)臺(tái)主機(jī)的安全部署，實(shí)現(xiàn)了安全能力服務(wù)化，而如果在線下操作，則起碼需要1個(gè)月的時(shí)間。

彈性還代表著快速止血，快速修復(fù)的能力，即“跌倒后站起來(lái)的速度”。我們需要長(zhǎng)期與攻擊共存，玻璃杯一擊即碎，而皮球可以將打擊化為彈性。阿里云云上環(huán)境通過(guò)強(qiáng)大的資源情報(bào)庫(kù)，多產(chǎn)品聯(lián)動(dòng)，幫助客戶實(shí)現(xiàn)小時(shí)級(jí)止血修復(fù)，最大程度挽回業(yè)務(wù)損失。

 

全局

不同于傳統(tǒng)安全的單點(diǎn)式防護(hù)，云安全通過(guò)體系化的架構(gòu)設(shè)計(jì)，構(gòu)建的是全局的能力。

以數(shù)據(jù)安全為例，不能只做數(shù)據(jù)加密或防泄漏就可以了，而需要從數(shù)據(jù)生命周期的角度，對(duì)資產(chǎn)管理發(fā)現(xiàn)、權(quán)限控制、數(shù)據(jù)加密、入侵防護(hù)，以及必要的合規(guī)保障上進(jìn)行全面和全局的防護(hù)。  

（阿里云數(shù)據(jù)安全能力全景圖）

 

默認(rèn)

對(duì)比人體來(lái)說(shuō)，最高級(jí)的防護(hù)是自身默認(rèn)的免疫機(jī)制，這也是云安全嘗試構(gòu)建的防御機(jī)制。

安全只有具備了默認(rèn)免疫能力，才能對(duì)未知威脅實(shí)現(xiàn)實(shí)時(shí)的自動(dòng)化防護(hù)，這就意味著需要建立一整套的全局威脅情報(bào)與實(shí)時(shí)漏洞響應(yīng)機(jī)制，而云計(jì)算有兩個(gè)天然優(yōu)勢(shì)：算力+協(xié)同

• 海量算力：數(shù)據(jù)不分析、不流動(dòng)是無(wú)法產(chǎn)生價(jià)值的。云上天然計(jì)算優(yōu)勢(shì)，支持海量日志的計(jì)算和分析；
  

• 協(xié)同：環(huán)境高度一致性對(duì)于漏洞、惡意IP、異常行為，可以實(shí)現(xiàn)數(shù)百萬(wàn)臺(tái)主機(jī)策略秒級(jí)下發(fā)。
  

點(diǎn)擊查看原視頻01:11

（云平臺(tái)默認(rèn)免疫防護(hù)模塊）

肖力同時(shí)分享了阿里云發(fā)現(xiàn)Apache Flink 0day漏洞和JumpServer 0day漏洞設(shè)計(jì)的預(yù)警協(xié)同機(jī)制，通過(guò)這套防御體系，阿里云全年響應(yīng)了66起事件，積累10萬(wàn)余個(gè)漏洞，其中有PoC的漏洞超過(guò)一萬(wàn)個(gè)，可利用的高危漏洞超過(guò)一千個(gè)。

 

共擔(dān)

安全責(zé)任共擔(dān)，當(dāng)客戶選擇云之后，不需要再考慮平臺(tái)本身安全，包括合規(guī)性、云產(chǎn)品的安全基線，以及客戶在平臺(tái)之上的租戶側(cè)合規(guī)、物理安全、平臺(tái)安全和災(zāi)備等。善用云原生安全能力，根據(jù)行業(yè)和業(yè)務(wù)的需求，構(gòu)建起真正更高防護(hù)水平的新一代云基礎(chǔ)設(shè)施。

同時(shí)，阿里云還出席了在西安舉辦的2021年國(guó)家網(wǎng)絡(luò)安全宣傳周網(wǎng)絡(luò)安全博覽會(huì)，并作為阿里巴巴“科技創(chuàng)新保障網(wǎng)絡(luò)安全”主題展區(qū)（C06）的重要組成部分，以“原生免疫”為關(guān)鍵詞，系統(tǒng)化、可視化展示了云原生安全能力下的企業(yè)解決方案。也歡迎大家前往參觀。（亮相國(guó)家網(wǎng)絡(luò)安全宣傳周，阿里云全新展現(xiàn)云原生免疫防線）

 阿里云安全  

國(guó)際領(lǐng)先的云安全解決方案提供方，保護(hù)全國(guó) 40% 的網(wǎng)站，每天抵御 60 億次攻擊。

2020 年，國(guó)內(nèi)唯一云廠商整體安全能力獲國(guó)際三大機(jī)構(gòu)（Gartner/Forrester/IDC）認(rèn)可，以安全能力和市場(chǎng)份額的絕對(duì)優(yōu)勢(shì)占據(jù)領(lǐng)導(dǎo)者地位。

阿里云最早提出并定義云原生安全，持續(xù)為云上用戶提供原生應(yīng)用、數(shù)據(jù)、業(yè)務(wù)、網(wǎng)絡(luò)、計(jì)算的保護(hù)能力，和基礎(chǔ)設(shè)施深度融合推動(dòng)安全服務(wù)化，支持彈性、動(dòng)態(tài)、復(fù)雜的行業(yè)場(chǎng)景，獲得包括政府、金融、互聯(lián)網(wǎng)等各行業(yè)用戶認(rèn)可。

作為亞太區(qū)最早布局機(jī)密計(jì)算、最全合規(guī)資質(zhì)認(rèn)證和用戶隱私保護(hù)的先行者，阿里云從硬件級(jí)安全可信根、硬件固件安全、系統(tǒng)可信鏈、可信執(zhí)行環(huán)境和合規(guī)資質(zhì)等方面落地可信計(jì)算環(huán)境，為用戶提供全球最高等級(jí)的安全可信云。