阿里云肖力:數字化改革的云計算安全
10月11日,浙江省網絡安全宣傳周活動啟動,阿里巴巴集團副總裁,阿里云安全總經理肖力受邀參與“云谷論劍”網絡安全高峰論壇活動,分享了數字化改革中,云安全如何助力企業構建更高等級的新一代基礎設施。
(阿里云安全總經理肖力發表演講)
云,數字化改革的關鍵路徑
“數據,是政務數字化改革的基礎”,肖力認為,在當下的互聯網發展階段中,數據已經越來越重要,特別是對于政企客戶,全景化的數據運營可以打破數據孤島,最大程度發掘其價值。“拿阿里云的一個重要客戶鄭州市政府舉例”,在云的助力下,鄭州搭建起具備業務和數據“雙中臺”的城市大腦底座,在底座之上提供了涵蓋政務服務、智慧交通、智慧醫療、城市應急等14個領域的118個智慧應用服務,“通過這一套體系的構建,幫助政府業務實現了三個特點:高效、精細和穩定”。
全場景數字化運營的基礎,是實現大量碎片化數據的統一支撐和共享,這一點需要依賴云底座的能力。數據直觀顯示,中國企業的上云率正在快速上升。根據《中國云計算產業發展報告白皮書》中預測,2021年中國政府機構和大型企業的上云率將會達到61%,而從IDC的全球數據來看,2019年云的基礎設施已經超過傳統數據中心。
未來所有企業都會上云,所有的終端、辦公網、數據中心都會云化,這是一個必然的趨勢。云計算已經成為新的,并且是更安全的基礎設施。
攻防形勢依舊嚴峻
云安全將有效降低事故率
傳統IT架構之下,做安全往往是單點的、外掛式的,哪里有問題就給哪里打補丁,治標不治本。在日益復雜的國際形勢下,政府部門、醫療衛生行業和事業單位的業務網站成為了攻擊者攻擊的主要目標。2020年,我國境內就有約1030個政府網站被篡改,同比增長31%。隨著企業上云率的提升,IT架構的改變也造成了邊界防御的失效,傳統的安全防御思路無法解決云上企業的安全痛點。
失效的邊界防御
現在大部分的企業員工都在用主機、筆記本,甚至手機等各種移動設備辦公,以阿里為例,有超過20萬的員工,內網常年運行著100萬臺設備,光靠VPN肯定是不行的。未來超過70%的數據會在邊緣處理,企業面對的是疫情下的遠程辦公、復雜的供應鏈、SaaS化應用中包含的在線文檔、視頻會議等等場景帶來的安全風險。
更加復雜的數據安全
2023年,全世界75%的數據庫都會以云的方式在運行。隨著數字化的發展和上云率的增加,我們發現數據類型變得越來越豐富,數據訪問變得越來越復雜,而這直接帶來的后果是,近幾年數據泄漏成為了大中型企業的頭號威脅。
愈演愈烈的勒索軟件
WannaCry的余溫尚未退卻,2021年,勒索軟件攻勢卻愈演愈烈,光上半年全球至少發生1200多起勒索軟件攻擊事件,造成的直接經濟損失高達300億美元。面對愈來愈復雜的安全攻防形勢,構建更高等級的云基礎設施刻不容緩。
相對傳統IDC環境,云原生的安全能力,在未來3年內可幫助用戶有效降低60%的事故率。
更高等級的云基礎設施
基于阿里云多年的云上安全實踐,肖力用五個關鍵詞總結了云安全獨有特性,“原生、彈性、全局、默認、共擔”。
原生
在云上,安全能力和基礎設施的結合是明確趨勢。
傳統安全架構造成了安全數據孤島,導致企業難以統一管理,增加了網絡不穩定性。但是云可以將安全能力與各個云產品進行融合,將安全能力打碎重組,融入基礎設施,實現云基礎設施默認安全。
(阿里云原生安全能力全景圖)
比如,在云上有多個流量入口,我們可以將CDN、SLB各云產品和安全能力直接融合,流量直接在節點就可以進行清洗,降低了網絡的復雜性。此外,通過統一的OpenAPI接口,阿里云目前10條產品線271個云產品默認融入了安全能力,實現云產品上線即安全。將安全能力融入到業務統一接入層,新上線的應用只需要接入,就能夠做到默認安全。
此外,基于云產品架構優勢和層層白名單,同時加上持續化的滲透測試、穩定性演練等,讓云成為更難被攻入的安全環境,幫助客戶實現更高水準的可視化、精細化安全管理。
彈性
云計算天然的彈性擴縮容能力,可以實現安全能力與業務同步上線。
疫情期間,由于遠程辦公場景激增,釘釘需要緊急擴容,在1個小時內就完成了2萬臺主機的安全部署,實現了安全能力服務化,而如果在線下操作,則起碼需要1個月的時間。
彈性還代表著快速止血,快速修復的能力,即“跌倒后站起來的速度”。我們需要長期與攻擊共存,玻璃杯一擊即碎,而皮球可以將打擊化為彈性。阿里云云上環境通過強大的資源情報庫,多產品聯動,幫助客戶實現小時級止血修復,最大程度挽回業務損失。
全局
不同于傳統安全的單點式防護,云安全通過體系化的架構設計,構建的是全局的能力。
以數據安全為例,不能只做數據加密或防泄漏就可以了,而需要從數據生命周期的角度,對資產管理發現、權限控制、數據加密、入侵防護,以及必要的合規保障上進行全面和全局的防護。
(阿里云數據安全能力全景圖)
默認
對比人體來說,最高級的防護是自身默認的免疫機制,這也是云安全嘗試構建的防御機制。
安全只有具備了默認免疫能力,才能對未知威脅實現實時的自動化防護,這就意味著需要建立一整套的全局威脅情報與實時漏洞響應機制,而云計算有兩個天然優勢:算力+協同
- 海量算力:數據不分析、不流動是無法產生價值的。云上天然計算優勢,支持海量日志的計算和分析;
- 協同:環境高度一致性對于漏洞、惡意IP、異常行為,可以實現數百萬臺主機策略秒級下發。
肖力同時分享了阿里云發現Apache Flink 0day漏洞和JumpServer 0day漏洞設計的預警協同機制,通過這套防御體系,阿里云全年響應了66起事件,積累10萬余個漏洞,其中有PoC的漏洞超過一萬個,可利用的高危漏洞超過一千個。
共擔
安全責任共擔,當客戶選擇云之后,不需要再考慮平臺本身安全,包括合規性、云產品的安全基線,以及客戶在平臺之上的租戶側合規、物理安全、平臺安全和災備等。善用云原生安全能力,根據行業和業務的需求,構建起真正更高防護水平的新一代云基礎設施。
