阿里云解決方案架構(gòu)師徐翔：云上安全建設(shè)實(shí)戰(zhàn)

2021年9月17日，阿里云用戶組（AUG）第二期線下活動(dòng)在南京召開。阿里云解決方案架構(gòu)師徐翔結(jié)合自身多年云端安全經(jīng)驗(yàn)，和現(xiàn)場(chǎng)二十家南京企業(yè)分享了云安全全景圖及安全建設(shè)的實(shí)踐經(jīng)驗(yàn)。本文根據(jù)徐翔的現(xiàn)場(chǎng)演講整理而成。

本文會(huì)從云安全全景圖、云上安全建設(shè)實(shí)踐、基礎(chǔ)安全落地、權(quán)威認(rèn)可的安全能力四大方面展開，希望能給到大家一些有用的參考。

云安全全景圖

云上安全的優(yōu)勢(shì)

Gartner數(shù)據(jù)表示：與傳統(tǒng)的數(shù)據(jù)中心相比，公共云的安全能力將幫助企業(yè)至少減少60%的安全事件。傳統(tǒng)安全或線下安全有幾個(gè)非常令用戶頭痛的問題：

• 兼容性的問題。安全對(duì)接用戶的業(yè)務(wù)系統(tǒng)，和用戶的網(wǎng)絡(luò)可能會(huì)不兼容。

• 接口不能統(tǒng)一，網(wǎng)卡適配問題。

• 最頭疼的擴(kuò)展性問題。目前數(shù)字化進(jìn)程飛快，1Gbps的防火墻突然增加到5Gbps，只能通過換硬件的方式，沒有別的辦法。

云上安全是服務(wù)化的，和計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源一樣，按需使用，需要多少就用多少，并天然具備云端持續(xù)的檢測(cè)對(duì)抗能力。阿里云安全團(tuán)隊(duì)會(huì)時(shí)刻關(guān)注云上安全的能力建設(shè)，對(duì)攻擊主動(dòng)修復(fù)、持續(xù)修復(fù)。這就是云上安全和云下安全的不同之處。

阿里云云安全的里程碑

正因?yàn)樵粕习踩绱酥匾?，阿里云從誕生第一天開始，云安全團(tuán)隊(duì)就隨之同步成立，安全可信是阿里云的第一屬性。阿里云十三年的歷程中，云安全的發(fā)展非常快速。2013年，阿里云獲得全球首個(gè)CSA安全認(rèn)證的廠商；今年的東京奧運(yùn)會(huì)，阿里云也是指定的云服務(wù)商，守護(hù)奧運(yùn)會(huì)網(wǎng)絡(luò)安全；阿里云安全連續(xù)兩年蟬聯(lián)國(guó)內(nèi)HW攻擊方第一，也是實(shí)力的展現(xiàn)。

云安全全景圖架構(gòu)

云安全全景可劃分為五橫兩縱七個(gè)維度的安全架構(gòu)保障：

• 兩個(gè)縱向維度：賬戶安全（身份和訪問控制）；安全監(jiān)控和運(yùn)營(yíng)管理。注意這兩個(gè)縱向維度包括了租戶側(cè)和云平臺(tái)側(cè)的不同實(shí)現(xiàn)。

• 五個(gè)橫向維度：最底層的云平臺(tái)層面安全；對(duì)外租戶層面的用戶基礎(chǔ)安全；用戶數(shù)據(jù)安全；用戶應(yīng)用安全和用戶業(yè)務(wù)安全。

云平臺(tái)安全中的架構(gòu)層面包含了阿里云作為云平臺(tái)默認(rèn)提供的基礎(chǔ)安全能力，尤其是兩縱的云平臺(tái)內(nèi)部身份與訪問控制以及云平臺(tái)安全監(jiān)控運(yùn)營(yíng)兩個(gè)維度，是云平臺(tái)內(nèi)部自身的安全管理和運(yùn)營(yíng)，客戶并不直接感知。

與之相似的在物理安全、硬件安全和虛擬化安全層面，客戶也無需任何設(shè)置即可享受阿里云本身的高安全等級(jí)能力。而云產(chǎn)品安全能力這一層包含了云平臺(tái)在各個(gè)產(chǎn)品中為客戶提供的安全能力和安全保障，其中部分能力（如租戶隔離）是產(chǎn)品本身默認(rèn)的保障。因此平臺(tái)側(cè)這一塊客戶不需要過多關(guān)心，需要關(guān)心的是按照等保2.0和GB22239-2019標(biāo)準(zhǔn)里講的租戶側(cè)安全。

• 上云第一個(gè)要考慮的是用戶的基礎(chǔ)安全?；A(chǔ)安全，包括主機(jī)和網(wǎng)絡(luò)這兩大塊，其中容器也屬于主機(jī)層，這兩塊是客戶上云第一步要做的很重要的一個(gè)事情。

• 上云第二個(gè)要考慮的是數(shù)據(jù)安全。云上環(huán)境中，時(shí)時(shí)刻刻都會(huì)有海量數(shù)據(jù)的產(chǎn)生。而在對(duì)這些數(shù)據(jù)進(jìn)行處理和保護(hù)之前，如何從海量數(shù)據(jù)中發(fā)現(xiàn)并分類出各種需要被保護(hù)的敏感數(shù)據(jù)是后續(xù)數(shù)據(jù)保護(hù)機(jī)制能夠有效運(yùn)作的前提條件。目前《數(shù)據(jù)安全法》9月1日已經(jīng)正式發(fā)布《個(gè)人信息保護(hù)法》馬上11月1日也即將實(shí)施。數(shù)據(jù)安全首先需要先識(shí)別數(shù)據(jù)，再對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，并對(duì)其進(jìn)行相應(yīng)的保護(hù)，如異常訪問檢查、數(shù)據(jù)加密、數(shù)據(jù)脫敏等等。

• 隨著業(yè)務(wù)的發(fā)展，會(huì)涉及到應(yīng)用安全，包括web、APP、小程序等安全。在應(yīng)用安全層面，阿里云為用戶提供了應(yīng)用環(huán)境安全、應(yīng)用配置安全和應(yīng)用自身保護(hù)的三個(gè)維度的安全功能。包括漏洞掃描、代碼托管、審計(jì)、安全加固，web攻擊防護(hù)等等。

• 用戶上層的業(yè)務(wù)安全跟很多用戶命脈息息相關(guān)。比如業(yè)務(wù)風(fēng)控，業(yè)務(wù)里面有沒有風(fēng)險(xiǎn)，如薅羊毛、惡意注冊(cè)、刷短信等，這類阿里云提供了整套的業(yè)務(wù)安全部分的整體解決方案；又比如內(nèi)容安全，目前國(guó)家對(duì)內(nèi)容安全審查非常重視，如果業(yè)務(wù)所提供的內(nèi)容里有涉暴涉黃這些非法內(nèi)容的時(shí)候，輕則下架整改，重則吊銷執(zhí)照。

• 整體的云上安全架構(gòu)設(shè)計(jì)中，用戶的賬戶安全是貫穿始終的一個(gè)重要維度。云上用戶的賬戶安全主要體現(xiàn)在五個(gè)方面：身份認(rèn)證、訪問授權(quán)（Authorization）、賬號(hào)管理、操作審計(jì)和應(yīng)用管理，即賬戶安全中的5A 要素，這些阿里云均可以提供相關(guān)能力。

以上內(nèi)容阿里云都是以產(chǎn)品的形式去交付給客戶，來實(shí)現(xiàn)用戶整體業(yè)務(wù)和數(shù)據(jù)的安全。產(chǎn)品能力也是阿里云一整套安全運(yùn)營(yíng)，威脅檢測(cè)和響應(yīng)能力提供的，還有相關(guān)安全咨詢和安全托管一整套的安全方案交付。

云安全產(chǎn)品體系

落地到具體產(chǎn)品，基礎(chǔ)安全包括了很多客戶比較熟悉的DDoS、WAF以及云防火墻等，還包括等保里面所用的堡壘機(jī)、審計(jì)產(chǎn)品等等，阿里云都有相應(yīng)的安全產(chǎn)品和配置提供給客戶。產(chǎn)品這么多，客戶如何去建設(shè)系統(tǒng)安全問題是接下來分享的重點(diǎn)。

云上安全建設(shè)實(shí)戰(zhàn)

云上安全建設(shè)類似“看病”

• 第一，建議做個(gè)全面的“體檢”，評(píng)估一下業(yè)務(wù)系統(tǒng)的抗風(fēng)險(xiǎn)能力。您得知道系統(tǒng)的弱點(diǎn)在哪，哪些地方最容易出問題，哪些問題不能解決。不建議客戶業(yè)務(wù)系統(tǒng)全部建完了再去考慮安全，因?yàn)楹苋菀自斐伞邦^痛醫(yī)頭腳痛醫(yī)腳”的問題。

• 第二，再做一次安全的摸底。看看現(xiàn)在手里面有多少“彈藥”，可以去對(duì)付這些風(fēng)險(xiǎn)，哪些風(fēng)險(xiǎn)不需要立即處理，哪些風(fēng)險(xiǎn)需要采購(gòu)新的“武器裝備”去處理。

• 第三，安全建設(shè)。建議客戶進(jìn)行系統(tǒng)的三同步（同步建設(shè)、同步規(guī)劃、同步運(yùn)營(yíng)），根據(jù)系統(tǒng)摸底的情況再進(jìn)行安全的整體建設(shè)規(guī)劃?？蛻艨梢园凑諊?guó)家的標(biāo)準(zhǔn)進(jìn)行建設(shè)，比如以等保2.0的框架作為標(biāo)準(zhǔn)。

• 第四、第五步持續(xù)要做的工作是安全管理和安全運(yùn)營(yíng)。安全規(guī)劃和建設(shè)完畢后還沒結(jié)束，安全產(chǎn)品和設(shè)備買回來就像是武器彈藥，得有人去“操作”才能真正發(fā)揮作用，而不是僅僅去配置，另外安全的管理也是重中之重。通過對(duì)日常的安全管理，形成相關(guān)制度，對(duì)人、系統(tǒng)、網(wǎng)絡(luò)設(shè)備、物料環(huán)境等整體的管理、外包的管理、日常安全意識(shí)的灌輸?shù)鹊?。同時(shí)，安全運(yùn)營(yíng)工作同步持續(xù)進(jìn)行，包括資產(chǎn)管理、漏洞管理，應(yīng)急響應(yīng)等等。這樣，才能發(fā)揮整個(gè)安全能力的最大作用。

云上安全建設(shè)三大階段

云上的安全建設(shè)建議分三個(gè)階段去做：

• 第一階段，打好基礎(chǔ)是云上最基礎(chǔ)的安全建設(shè)。包括網(wǎng)絡(luò)邊界的安全建設(shè)和主機(jī)的安全建設(shè)等。

• 第二階段，涉及合規(guī)建設(shè)。比如等保2.0、數(shù)據(jù)方面的安全、完善審計(jì)類措施、完善數(shù)據(jù)安全措施（惡意訪問、防泄密等），對(duì)這些投入完畢后，基本上用戶也能滿足等保建設(shè)要求。

• 第三階段建設(shè)針對(duì)安全要求更高的用戶，包括加大數(shù)據(jù)安全的力度（如敏感數(shù)據(jù)保護(hù)、加密等）、建設(shè)身份認(rèn)證中臺(tái)來對(duì)整體的用戶賬戶進(jìn)行統(tǒng)一管理，以及業(yè)務(wù)安全建設(shè)（如內(nèi)容安全、防止薅羊毛、惡意刷單等）。

云上安全建設(shè)的實(shí)踐

阿里云的安全實(shí)踐也落地到了各行各業(yè)，無論是政府、教育、醫(yī)療、金融、企業(yè)等等都大量采用了阿里云的安全方案來保護(hù)他們的云上資產(chǎn)。

基礎(chǔ)安全的落地——云上三把鎖

很多客戶很關(guān)注基礎(chǔ)安全到底要做什么。有客戶提到DDoS高防，DDoS高防的確是邊界安全的一個(gè)比較重要的部分，主要是針對(duì)網(wǎng)絡(luò)鏈路的業(yè)務(wù)連續(xù)性，防止線路被DDoS打癱瘓。但有些客戶對(duì)業(yè)務(wù)連續(xù)性要求沒那么高的時(shí)候，更應(yīng)該關(guān)注應(yīng)用層邊界（WAF防火墻）、網(wǎng)絡(luò)層邊界（云防火墻）、主機(jī)層邊界（云安全中心）這三把“鎖”。

• 打個(gè)形象的比方，這三把“鎖”就類似我們居住的小區(qū)。小區(qū)出口大門類似應(yīng)用層，所有的人（流量）都會(huì)進(jìn)出這個(gè)小區(qū)大門，因此小區(qū)的門口得安裝門禁、要求物業(yè)派保安值守。所以應(yīng)用層第一把“鎖”也需要用WAF來對(duì)網(wǎng)站、Web、App、小程序等對(duì)外發(fā)布的業(yè)務(wù)安裝“門禁”、派人值守。因此WAF這個(gè)門禁會(huì)識(shí)別這些流量哪些是正常的，哪些可以進(jìn)小區(qū)，哪些流量是“小偷”、“刷子”不讓進(jìn)小區(qū)。

• 第二把鎖是云防火墻。這個(gè)墻類似家里的入戶防盜門，雖然小區(qū)入口大門有看守（WAF），但是同一小區(qū)，同一棟樓（VPC）之間其實(shí)也會(huì)擔(dān)心有惡意訪問。互聯(lián)網(wǎng)方向的流量，主機(jī)和主機(jī)之間的流量，VPC和VPC之間的流量，就需要自己家的防盜門進(jìn)行監(jiān)控和隔離。云防火墻就是實(shí)現(xiàn)南北向（互聯(lián)網(wǎng)方向）和東西向（VPC和VPC之間等）的安全流量隔離。

• 那萬一來個(gè)“高手”，繞過了小區(qū)出口的“門禁”，把自己家的防盜門也突破了，那還需要最后一把“鎖”來阻擋，這就是主機(jī)層的一把鎖，最后的防線，類似自家的房間“鎖”。房間里面住的是人（核心資產(chǎn)），阿里云的云安全中心就是主機(jī)層的安全防護(hù)手段，來保護(hù)ECS資產(chǎn)、容器資產(chǎn)等等。

因此上云做安全，先做基礎(chǔ)安全，做WAF、云防火墻和云安全中心。下面我們來看一下這三把“鎖”到底是解決哪些問題。

WEB防火墻（應(yīng)用層）

WAF其實(shí)就是web應(yīng)用防火墻的簡(jiǎn)稱，從字面意思就可以看到它其實(shí)就是防護(hù)web層，也就是HTTP協(xié)議的防護(hù)。它實(shí)現(xiàn)最基礎(chǔ)應(yīng)用層的防護(hù)，比如CC攻擊、跨站攻擊，SQL注入等等，保護(hù)網(wǎng)站、web站點(diǎn)、APP、小程序等的安全。如果用戶要過等保，WAF也是合規(guī)要求里面必須要的一個(gè)安全能力落地措施。

云防火墻（網(wǎng)絡(luò)層）

云防火墻重點(diǎn)關(guān)注的三大能力：

• 第一個(gè)，邊界的管控。包括互聯(lián)網(wǎng)邊界、主機(jī)邊界，VPC邊界等等訪問控制，哪些流量能過，哪些流量不能過。

• 第二個(gè)，安全防護(hù)，包括入侵檢測(cè)和防護(hù)。不管是網(wǎng)絡(luò)層的攻擊、漏洞攻擊、入侵攻擊防護(hù)、非法外聯(lián)、檢測(cè)資產(chǎn)淪陷等等都是由防火墻的防護(hù)模塊來實(shí)現(xiàn)的，還有個(gè)很重要的點(diǎn)，之前有用戶提到不敢在主機(jī)上打補(bǔ)丁，怕重啟、怕打掛掉，云防護(hù)墻有虛擬補(bǔ)丁模塊，通過網(wǎng)絡(luò)層解決打補(bǔ)丁問題，

• 第三個(gè)，審查。所有的流量進(jìn)入業(yè)務(wù)資產(chǎn)訪問，有什么流量，哪些是正常的、哪些是非正常的，通通都會(huì)被云防火墻記錄下來，并且以圖形化的方式展示。針對(duì)網(wǎng)絡(luò)日志存儲(chǔ)180天，安全組是沒有網(wǎng)絡(luò)流量日志功能的。如果用戶要通過等保，防火墻更是個(gè)必須項(xiàng)。

云安全中心（主機(jī)層）

再看看“最后一道防線”——主機(jī)層的安全。阿里云安全中心主要關(guān)注主機(jī)層的安全，包括ECS和容器的安全：

• 事前協(xié)助用戶做安全運(yùn)營(yíng)，包括漏洞掃描修復(fù)、安全基線檢查看有沒有問題。

• 事中提供防護(hù)，包括惡意病毒查殺、勒索病毒、挖礦病毒等、攻擊滲透防御（如上傳腳本攻擊等）。

• 事后提供相應(yīng)追溯調(diào)查，相關(guān)攻擊日志提供、攻擊鏈展示等等。

同時(shí)云安全中心也可以聯(lián)動(dòng)其他的阿里云安全產(chǎn)品，比如和云防火墻做聯(lián)動(dòng)處置，當(dāng)發(fā)現(xiàn)告警后通知防火墻阻斷鏈接。

權(quán)威認(rèn)可的阿里云安全能力

在國(guó)內(nèi)乃至整個(gè)亞太地區(qū)，阿里云是合規(guī)資質(zhì)最多的一朵云，無論在國(guó)內(nèi)還是在歐美、東南亞等等，基本上該有的認(rèn)證阿里云都有，能滿足用戶國(guó)內(nèi)以及出海場(chǎng)景的合規(guī)要求。

阿里云安全在國(guó)內(nèi)外通過了很多認(rèn)證也獲得了很多獎(jiǎng)項(xiàng)，比如WAF國(guó)內(nèi)唯一的大滿貫，DDOS能力大中華區(qū)第一，原生安全能力國(guó)內(nèi)排名第一等等，由于時(shí)間關(guān)系，在這里不再贅述。

通過本篇分享，希望大家能了解阿里云的安全架構(gòu)、產(chǎn)品能力，以及了解如何做安全建設(shè)、上云最基礎(chǔ)的安全工作等等，希望本次分享能給大家?guī)硪恍┬碌氖斋@。（完）

阿里云解決方案架構(gòu)師徐翔：云上安全建設(shè)實(shí)戰(zhàn) 云安全全景圖云上安全建設(shè)實(shí)戰(zhàn)基礎(chǔ)安全的落地——云上三把鎖權(quán)威認(rèn)可的阿里云安全能力