阿里云肖力：跳過(guò)量變過(guò)程的安全質(zhì)變

肖力：阿里巴巴集團(tuán)副總裁、阿里云安全總經(jīng)理我從事網(wǎng)絡(luò)安全工作將近20年，處理過(guò)各類(lèi)攻擊威脅，經(jīng)歷了云下云上安全的建設(shè)。云計(jì)算的安全工作從10年前開(kāi)始，我們摸著石頭過(guò)河，搭建了阿里云平臺(tái)的防護(hù)體系，幫助各行業(yè)用戶在云上構(gòu)建企業(yè)安全能力。云原生的出現(xiàn)進(jìn)一步加深了我對(duì)安全的理解和思考。未來(lái)我們要實(shí)現(xiàn)的，也許已經(jīng)不再稱(chēng)之安全防護(hù)，而是一套長(zhǎng)在云里的原生“免疫系統(tǒng)”。

一  云下20年：外掛式安全2000年到2020年國(guó)內(nèi)誕生了上千家安全公司，提供上百種品類(lèi)的安全產(chǎn)品，介紹手冊(cè)里對(duì)使用體驗(yàn)從未改變的一句描述是：即插即用。然而，再無(wú)縫的外掛也難以避免兼容性問(wèn)題。其次，實(shí)際情況因接口統(tǒng)一性、兼容性等問(wèn)題，標(biāo)注即插即用的設(shè)備，1個(gè)月都部署不進(jìn)去的情況比比皆是。

停留在大部分人記憶中“熊貓燒香”級(jí)別的炫技式攻擊，早已過(guò)時(shí)。去年，全球疫情和新常態(tài)遠(yuǎn)程辦公出現(xiàn)，我們觀測(cè)到了高度復(fù)雜的攻擊。幾個(gè)月前發(fā)生的SolarWinds APT攻擊，國(guó)際頂級(jí)安全公司淪陷。阿里云成功防御的資源耗盡型DDoS攻擊，刷新了歷史觀測(cè)最大規(guī)模記錄。對(duì)企業(yè)的損失來(lái)說(shuō)，最新的勒索軟件攻擊已經(jīng)動(dòng)輒贖金要求數(shù)億。

試想一下，企業(yè)數(shù)字資產(chǎn)安全，在這種情況下會(huì)處于什么狀態(tài)？

云直接改變了這種安全現(xiàn)狀。

1月爆發(fā)的Incaseformat蠕蟲(chóng)病毒，主要依賴U盤(pán)進(jìn)行傳播，云上空間實(shí)現(xiàn)天然免疫，默認(rèn)不受該傳播方式影響，所有云上用戶無(wú)感知度過(guò)這個(gè)輿論影響很大的安全事件。

云原生容器具備鏡像快照功能，遇到勒索軟件攻擊數(shù)據(jù)被加密，用戶通過(guò)這個(gè)功能快速恢復(fù)，而不需要去交付贖金。

云原生安全發(fā)展方向，我從安全技術(shù)和理念里兩方面，總結(jié)為內(nèi)置、前置兩大關(guān)鍵詞。

內(nèi)置——單點(diǎn)的防護(hù)能力打碎重組，融入基礎(chǔ)設(shè)施本身。

前置——在更上游的階段考慮安全，樹(shù)立一個(gè)信任和一個(gè)懷疑。

二  原生安全技術(shù)：融入基礎(chǔ)設(shè)施的免疫系統(tǒng)

阿里云自身的安全實(shí)踐已久，無(wú)論基于廣義云原生還是狹義云原生概念，面向未來(lái)的幾個(gè)技術(shù)趨勢(shì)已經(jīng)越來(lái)越清晰。

1  安全成公共資源實(shí)現(xiàn)按需調(diào)用

大部分企業(yè)安全資源是非常有限的，卻存在一個(gè)矛盾點(diǎn)：即需要能支撐峰值流量，大部分時(shí)間用量卻是打不滿的。

比如阿里巴巴自身業(yè)務(wù)，雙11無(wú)疑是一個(gè)流量峰值，而全年業(yè)務(wù)由一個(gè)峰值+多個(gè)波峰+波谷構(gòu)成，峰值和波谷的區(qū)別可能非常大，安全沒(méi)必要儲(chǔ)備了大量“糧草”處于“待命”狀態(tài)。

安全能力服務(wù)化（SaaS化），是一個(gè)行業(yè)內(nèi)展望已久的趨勢(shì)，安全能不能按需調(diào)用？

我去年經(jīng)常講一個(gè)例子，疫情期間釘釘1小時(shí)擴(kuò)容2萬(wàn)臺(tái)服務(wù)器，安全防護(hù)實(shí)現(xiàn)小時(shí)級(jí)覆蓋。云下場(chǎng)景的同類(lèi)企業(yè)，每臺(tái)設(shè)備都需要上架、調(diào)適，串聯(lián)在鏈路上做防御阻斷，至少需要1個(gè)月時(shí)間。

云環(huán)境中，業(yè)務(wù)系統(tǒng)上線只需要完成接入動(dòng)作，安全保護(hù)隨之而來(lái)。

2  基礎(chǔ)設(shè)施天然具備檢測(cè)防護(hù)能力

安全能力直接內(nèi)置在基礎(chǔ)設(shè)施節(jié)點(diǎn)中。流量通過(guò)某些節(jié)點(diǎn)時(shí)，比如SLB負(fù)載均衡和CDN邊緣計(jì)算，直接完成安全檢測(cè)。同一份帶寬資源，業(yè)務(wù)提速做到無(wú)感保護(hù)。

遍布基礎(chǔ)設(shè)施的各安全能力節(jié)點(diǎn)，面對(duì)風(fēng)險(xiǎn)如同開(kāi)啟了 “上帝視角”， 單點(diǎn)威脅實(shí)現(xiàn)全網(wǎng)秒級(jí)協(xié)同，提升了全I(xiàn)T環(huán)境的風(fēng)險(xiǎn)反應(yīng)和處理速度。過(guò)去幾年，阿里云在一些客戶重大事件保障和大型實(shí)戰(zhàn)演習(xí)中，攻防能力一直是榜首的位置。一方面優(yōu)勢(shì)來(lái)自于自身技術(shù)的儲(chǔ)備，更多的則來(lái)自于基于云的全局威脅發(fā)現(xiàn)和聯(lián)動(dòng)處置能力。

3  攻擊主動(dòng)修復(fù)實(shí)現(xiàn)無(wú)感防御

十幾年前我們做安全，系統(tǒng)不行全靠人肉來(lái)補(bǔ)。

有時(shí)候一個(gè)漏洞出現(xiàn)，幾十上百個(gè)應(yīng)用，要挨個(gè)手動(dòng)排查。修復(fù)過(guò)程中業(yè)務(wù)不能下線，還要做到用戶無(wú)感，導(dǎo)致后臺(tái)的操作緩慢又痛苦。這種被迫降速，又進(jìn)一步拉長(zhǎng)攻擊窗口期，提升了業(yè)務(wù)風(fēng)險(xiǎn)。

今天，阿里云上的漏洞修復(fù)，已經(jīng)變得非常簡(jiǎn)單。一旦漏洞出現(xiàn)，云自動(dòng)開(kāi)啟防護(hù)罩，保證攻擊打不進(jìn)來(lái)，云也將持續(xù)進(jìn)化實(shí)現(xiàn)自動(dòng)修復(fù)。

我們把很多可能產(chǎn)生問(wèn)題的難點(diǎn)，在IT建設(shè)的時(shí)候就思考和解決掉了，安全人員看到的是相對(duì)簡(jiǎn)單的統(tǒng)一控制臺(tái)，通過(guò)業(yè)務(wù)邏輯來(lái)進(jìn)行安全策略的配置，把精力聚焦到高價(jià)值的事情上。

三  原生安全理念：絕對(duì)信任和持續(xù)懷疑

現(xiàn)代商業(yè)復(fù)雜程度遠(yuǎn)遠(yuǎn)高于過(guò)去，簡(jiǎn)單是消解復(fù)雜的最佳路徑，安全理念需要被化約。

企業(yè)員工的位移和身份動(dòng)態(tài)變化的速度，大概是過(guò)去的N倍速。數(shù)據(jù)可能產(chǎn)生于任意終端、任意人員、任意地理位置。數(shù)據(jù)可能存儲(chǔ)在公共云、私有云、邊緣計(jì)算節(jié)點(diǎn)……這其中發(fā)生的計(jì)算、處理和交換動(dòng)作更是形成了復(fù)雜的交叉網(wǎng)狀結(jié)構(gòu)。

安全防護(hù)看似無(wú)處下手，這也是“免疫系統(tǒng)”的重要性。我們?nèi)轿粚徱暟踩?，抽絲剝繭去看背后的邏輯。

云上數(shù)據(jù)的生命周期旅程可能發(fā)生于IT系統(tǒng)的大腦、心臟、甚至末梢，像血液一樣在企業(yè)內(nèi)流轉(zhuǎn)，為各器官的運(yùn)作服務(wù)，信息流代替工作流在推動(dòng)著業(yè)務(wù)的發(fā)展。如何保證整個(gè)系統(tǒng)的安全？

1  云即信任

云原生安全的進(jìn)化，在不斷縮小信任成本，讓基礎(chǔ)設(shè)施本身成為更加高可用、高安全等級(jí)的可信計(jì)算環(huán)境。

芯片級(jí)硬件可信

芯片級(jí)安全，是當(dāng)前技術(shù)領(lǐng)域內(nèi)最高等級(jí)的安全。硬件的不可篡改性，決定了其成為最高等級(jí)安全的基礎(chǔ)。

阿里云在去年10月，業(yè)內(nèi)首發(fā)基于SGX2.0和TPM的可信虛擬化實(shí)例，最早完成了芯片級(jí)硬件安全的落地。最新推出的第七代ECS實(shí)例，全量搭載安全芯片作為硬件可信根，實(shí)現(xiàn)服務(wù)器的可信啟動(dòng)，確保零篡改。這意味著真正意義上第一次實(shí)現(xiàn)了能夠支持大數(shù)據(jù)運(yùn)算的安全可信環(huán)境。

用戶不需要再關(guān)心硬件層的基礎(chǔ)上，任何篡改異?？杀坏谝粫r(shí)間發(fā)現(xiàn)，從而更專(zhuān)注于安全開(kāi)發(fā)，進(jìn)一步減少代碼量。

數(shù)據(jù)默認(rèn)透明加密

加密是最原始的數(shù)據(jù)保護(hù)方式，這并不是一個(gè)安全新概念。

而云上的數(shù)據(jù)加密是一個(gè)更天然的過(guò)程，原生數(shù)據(jù)自“出生”默認(rèn)加密。云上產(chǎn)生的數(shù)據(jù)，實(shí)現(xiàn)自動(dòng)加密，數(shù)據(jù)遷移上云默認(rèn)落盤(pán)加密，關(guān)鍵業(yè)務(wù)敏感數(shù)據(jù)實(shí)現(xiàn)字節(jié)級(jí)加密。

云基礎(chǔ)設(shè)施還提供公鑰密碼應(yīng)用系統(tǒng)，在數(shù)據(jù)加密的基礎(chǔ)上再加一把鎖。

密碼系統(tǒng)可以自動(dòng)或自定義改變密碼，這個(gè)聽(tīng)起來(lái)很普通，但實(shí)際需要基礎(chǔ)設(shè)施層算法精巧設(shè)計(jì)的功能叫“密鑰輪轉(zhuǎn)”。公共云有一個(gè)主密鑰，默認(rèn)每天輪轉(zhuǎn)一次，用戶自有密鑰可從天到年為單位自定義設(shè)置輪轉(zhuǎn)周期，讓被破解成為不可能。

2  對(duì)動(dòng)態(tài)因素持續(xù)懷疑的零信任

數(shù)據(jù)總是由人創(chuàng)造的。企業(yè)各環(huán)節(jié)線上化，每個(gè)人都可能是數(shù)據(jù)的生產(chǎn)者。

無(wú)論是企業(yè)訪問(wèn)OA系統(tǒng)、審批系統(tǒng)、公司郵件、視頻會(huì)議等傳統(tǒng)需求，還是遠(yuǎn)程開(kāi)發(fā)、測(cè)試、運(yùn)維、客服等復(fù)雜場(chǎng)景，從身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入、動(dòng)態(tài)權(quán)限管理等方式入手，到通過(guò)網(wǎng)絡(luò)能力實(shí)現(xiàn)安全的內(nèi)網(wǎng)準(zhǔn)入，實(shí)現(xiàn)打造持續(xù)懷疑、動(dòng)態(tài)監(jiān)測(cè)和認(rèn)證的安全云環(huán)境。

當(dāng)云作為IT基礎(chǔ)設(shè)施，算力成為像水、電、煤一樣的公共資源，這其中安全意味著什么不言而喻。我們也希望打造全世界最安全的云，在越來(lái)越復(fù)雜中，提供越來(lái)越簡(jiǎn)單的選擇。