Article / 文章中心

阿里云肖力:数字化改革的云计算安全

发布时间:2021-11-24 点击数:287

10月11日,浙江省网络安全宣传周活动启动,阿里巴巴集团副总裁,阿里云安全总经理肖力受邀参与“云谷论剑”网络安全高峰论坛活动,分享了数字化改革中,云安全如何助力企业构建更高等级的新一代基础设施。


image.png

(阿里云安全总经理肖力发表演讲)



云,数字化改革的关键路径


“数据,是政务数字化改革的基础”,肖力认为,在当下的互联网发展阶段中,数据已经越来越重要,特别是对于政企客户,全景化的数据运营可以打破数据孤岛,最大程度发掘其价值。“拿阿里云的一个重要客户郑州市政府举例”,在云的助力下,郑州搭建起具备业务和数据“双中台”的城市大脑底座,在底座之上提供了涵盖政务服务、智慧交通、智慧医疗、城市应急等14个领域的118个智慧应用服务,“通过这一套体系的构建,帮助政府业务实现了三个特点:高效、精细和稳定”。


image.png


全场景数字化运营的基础,是实现大量碎片化数据的统一支撑和共享,这一点需要依赖云底座的能力。数据直观显示,中国企业的上云率正在快速上升。根据《中国云计算产业发展报告白皮书》中预测,2021年中国政府机构和大型企业的上云率将会达到61%,而从IDC的全球数据来看,2019年云的基础设施已经超过传统数据中心。


未来所有企业都会上云,所有的终端、办公网、数据中心都会云化,这是一个必然的趋势。云计算已经成为新的,并且是更安全的基础设施。



攻防形势依旧严峻

云安全将有效降低事故率


传统IT架构之下,做安全往往是单点的、外挂式的,哪里有问题就给哪里打补丁,治标不治本。在日益复杂的国际形势下,政府部门、医疗卫生行业和事业单位的业务网站成为了攻击者攻击的主要目标。2020年,我国境内就有约1030个政府网站被篡改,同比增长31%。随着企业上云率的提升,IT架构的改变也造成了边界防御的失效,传统的安全防御思路无法解决云上企业的安全痛点。


失效的边界防御


现在大部分的企业员工都在用主机、笔记本,甚至手机等各种移动设备办公,以阿里为例,有超过20万的员工,内网常年运行着100万台设备,光靠VPN肯定是不行的。未来超过70%的数据会在边缘处理,企业面对的是疫情下的远程办公、复杂的供应链、SaaS化应用中包含的在线文档、视频会议等等场景带来的安全风险。


更加复杂的数据安全


2023年,全世界75%的数据库都会以云的方式在运行。随着数字化的发展和上云率的增加,我们发现数据类型变得越来越丰富,数据访问变得越来越复杂,而这直接带来的后果是,近几年数据泄漏成为了大中型企业的头号威胁。


愈演愈烈的勒索软件


WannaCry的余温尚未退却,2021年,勒索软件攻势却愈演愈烈,光上半年全球至少发生1200多起勒索软件攻击事件,造成的直接经济损失高达300亿美元。面对愈来愈复杂的安全攻防形势,构建更高等级的云基础设施刻不容缓。


相对传统IDC环境,云原生的安全能力,在未来3年内可帮助用户有效降低60%的事故率。



更高等级的云基础设施


基于阿里云多年的云上安全实践,肖力用五个关键词总结了云安全独有特性,“原生、弹性、全局、默认、共担”。


 

原生


在云上,安全能力和基础设施的结合是明确趋势。


传统安全架构造成了安全数据孤岛,导致企业难以统一管理,增加了网络不稳定性。但是云可以将安全能力与各个云产品进行融合,将安全能力打碎重组,融入基础设施,实现云基础设施默认安全。


image.png

(阿里云原生安全能力全景图)


比如,在云上有多个流量入口,我们可以将CDN、SLB各云产品和安全能力直接融合,流量直接在节点就可以进行清洗,降低了网络的复杂性。此外,通过统一的OpenAPI接口,阿里云目前10条产品线271个云产品默认融入了安全能力,实现云产品上线即安全。将安全能力融入到业务统一接入层,新上线的应用只需要接入,就能够做到默认安全。


此外,基于云产品架构优势和层层白名单,同时加上持续化的渗透测试、稳定性演练等,让云成为更难被攻入的安全环境,帮助客户实现更高水准的可视化、精细化安全管理。


 

弹性


云计算天然的弹性扩缩容能力,可以实现安全能力与业务同步上线。


疫情期间,由于远程办公场景激增,钉钉需要紧急扩容,在1个小时内就完成了2万台主机的安全部署,实现了安全能力服务化,而如果在线下操作,则起码需要1个月的时间。


弹性还代表着快速止血,快速修复的能力,即“跌倒后站起来的速度”。我们需要长期与攻击共存,玻璃杯一击即碎,而皮球可以将打击化为弹性。阿里云云上环境通过强大的资源情报库,多产品联动,帮助客户实现小时级止血修复,最大程度挽回业务损失。


 

全局


不同于传统安全的单点式防护,云安全通过体系化的架构设计,构建的是全局的能力。


以数据安全为例,不能只做数据加密或防泄漏就可以了,而需要从数据生命周期的角度,对资产管理发现、权限控制、数据加密、入侵防护,以及必要的合规保障上进行全面和全局的防护。  


image.png

(阿里云数据安全能力全景图)


 

默认


对比人体来说,最高级的防护是自身默认的免疫机制,这也是云安全尝试构建的防御机制。


安全只有具备了默认免疫能力,才能对未知威胁实现实时的自动化防护,这就意味着需要建立一整套的全局威胁情报与实时漏洞响应机制,而云计算有两个天然优势:算力+协同


  • 海量算力:数据不分析、不流动是无法产生价值的。云上天然计算优势,支持海量日志的计算和分析;


  • 协同:环境高度一致性对于漏洞、恶意IP、异常行为,可以实现数百万台主机策略秒级下发。


image.png

点击查看原视频01:11

(云平台默认免疫防护模块)


肖力同时分享了阿里云发现Apache Flink 0day漏洞和JumpServer 0day漏洞设计的预警协同机制,通过这套防御体系,阿里云全年响应了66起事件,积累10万余个漏洞,其中有PoC的漏洞超过一万个,可利用的高危漏洞超过一千个。


 

共担


安全责任共担,当客户选择云之后,不需要再考虑平台本身安全,包括合规性、云产品的安全基线,以及客户在平台之上的租户侧合规、物理安全、平台安全和灾备等。善用云原生安全能力,根据行业和业务的需求,构建起真正更高防护水平的新一代云基础设施。


同时,阿里云还出席了在西安举办的2021年国家网络安全宣传周网络安全博览会,并作为阿里巴巴“科技创新保障网络安全”主题展区(C06)的重要组成部分,以“原生免疫”为关键词,系统化、可视化展示了云原生安全能力下的企业解决方案。也欢迎大家前往参观。(亮相国家网络安全宣传周,阿里云全新展现云原生免疫防线)


 阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。