阿裏雲肖力:原生安全打造雲上綠洲
2020年9月17日-18日,壹年壹度的雲棲大會在雲上如約而至。疫情加速數字化轉型大背景之下,雲原生以壹種高能見度為各行業帶來了壹個更動態多變、更具效率和生命力的架構。 雲原生安全具有什麽優勢,能否解決線下業務場景的安全困局? 作為阿裏巴巴第壹位安全工程師,阿裏巴巴集團副總裁、阿裏雲安全總經理肖力,發表了以“提速雲原生,創新安全力”為主題的演講。
肖力認為,上雲是提升安全水平的最佳選擇,創新的雲原生安全,有能力為企業用戶打造“雲上綠洲”。 數據被更有邏輯性的存儲,從物理數據中心安全、到核心雲平臺安全、以及和雲平臺無縫結合的雲安全能力……企業原本需要獨立、完整承擔的安全責任,轉移到阿裏雲平臺,低耗損的同時擁抱的是更高等級的安全。
雲原生安全的“上遊思維”
雲安全的經驗很稀缺,並且很昂貴,阿裏巴巴為此付出了多年努力,總結了業界領先的最佳實踐。基於雲的安全建設,最核心的思維轉變在於:區別傳統安全只能被動做出反應,基於雲的基礎架構改變,讓安全開始有能力在上遊解決問題。 如果還帶著傳統安全思維,來構建新環境中的安全控制,無疑大大弱化了雲的優勢。
雲原生安全,擁有從硬件層透穿的最高等級安全能力,打造全環境、全生命周期的可信環境。用戶視角看到的層級也將發生變化,安全產品隨之演進變化。用戶基於雲原生能力構建企業安全架構,只需要選擇服務去達成自己的安全目標,安全產品不再外掛,安全能力被打通。
雲上是壹個更安全的“綠洲”環境,它可以自動化幫助用戶解決掉同質化、繁雜的安全問題,讓用戶把精力集中在解決更有價值的問題上。
以下為本次演講原文的整理
這次的疫情對各行各業影響都非常大,今年上半年各行業都在加速數字化進程。壹方面,更多的行業用戶在擁抱雲計算、擁抱阿裏雲;另壹方面,我們看到網絡安全已經進入企業最關註、最需要解決的問題前三名。很多政府客戶、金融客戶在阿裏雲平臺上,用雲安全的核心能力去構建下壹代的安全架構。接下來我們會著重給各位介紹,當前阿裏雲安全在哪些技術領域上的深入、哪些雲原生的安全能力,來幫助企業更好地解決過去無解的安全問題。
2小時擴容1萬臺服務器
安全服務化默認覆蓋
2月份的疫情,釘釘承擔了數百萬人在線教育和數億人在線辦公的責任 。 面對指數級爆發的流量,釘釘只花了2個小時時間,擴容了1萬臺服務器。 這種速度在傳統架構中,安全實現全覆蓋是壹項不可能完成的任務。 攻擊能夠導致釘釘的在線會議、在線視頻中斷,用戶的隱私數據泄漏風險隨之提升。釘釘通過雲原生的安全服務化能力,快速地介入了雲抗D、雲WAF等組合安全防護手段,保障了釘釘穩定的運行。
試想壹下,如果在傳統安全線下場景,釘釘這樣的企業要部署這麽大規模的安全設備,每個設備都需要上架、調試,包括串聯在鏈路上面起到防禦效果,我相信至少需要1個月時間。那麽雲安全服務化,能夠讓整個業務在小時級別,安全能力快速地擴容,提供實時服務,為業務保駕護航。
安全能力與基礎設施融合
0贖金解決勒索軟件問題
傳統企業安全架構在鏈路上面有大量的設備,是壹個非常復雜的網絡。大型企業在線下甚至擁有上百臺安全設備串聯在網絡上,可想而知這裏面會遇到多大的整個安全設備的鏈路聯通性問題。這會導致全面管理的問題,以及安全能力的數據孤島問題。 而雲上的安全能力可以直接整合在雲產品中。 例如雲原生安全能力和CDN和負載均衡SLB進行進壹步的融合,用戶使用的時候,無論是接入性,還是全面的管理,安全能力都能得到進壹步的提升。
阿裏巴巴自身有壹個系統叫統壹接入層。在這壹層當中,我們將安全的能力融入到了這個系統當中,所有經濟體、業務系統在上線的時候只需要統壹接入這個系統,安全的能力就隨之而來。這種新型的安全對業務方來說,也是非常的方便、便捷,減輕很大的工作量。我還想再分享另壹個案例, 這半年勒索軟件其實攻擊是非常猖獗的,增幅高達72%, 攻擊者通過加密企業的數據進行獲利,已經成為企業最主要的威脅之壹。
國際知名的GPS公司佳明(Garmin)最近發生了壹起安全事故,某壹天全球的用戶無法使用、服務中斷。勒索軟件將佳明的相關數據進行了加密,並且開出上千萬美金的贖金金額。最終,佳明公司通過交付贖金解密了數據,從而恢復服務,但損失慘重。
阿裏雲的防勒索方案,是將安全能力和整個基礎設施雲產品進行整合,對勒索軟件進行檢測和防護。 用戶可以利用容器鏡像快照能力來打造這個安全方案。 就算檢測和防禦的能力遇到了挑戰,有壹些未知的蠕蟲加密了用戶的數據,阿裏雲防勒索方案用戶可以通過鏡像快照的方式快速地恢復數據,而不用去交贖金。
我們也看到有很多這樣的場景,安全能力和技術支持雲產品進行進壹步融合的時候,產生了更大的化學反應。
硬件安全降維打擊固件攻擊
最高等級安全保護
剛剛前幾周,英國的網絡安全中心公布了壹份報告,有組織將新冠疫苗的研究機構作為攻擊的目標。他們利用的方式,是通過替換網絡上所有VPN服務器的固件,來長久獲得邊界網絡的控制權。
而大家都知道,這種基於固件的攻擊,是系統層安全軟件非常難以發現的。安全對抗的時候, 高維打低維效果最好,越底層的檢測能力跟防禦能力對越上層的攻擊越有效果。
阿裏雲的硬件安全能力,支持系統啟動的時候進行安全的檢測,能夠有效的發現這壹類的高安全級別的後門和木馬。這樣的例子數不勝數,我們期待通過阿裏雲硬件這壹層的高安全能力,給到所有的雲上用戶高安全級別的保護。
啟用身份作為新的安全邊界
打造零信任網絡環境
傳統網絡邊界、訪問控制包括隔離,隨著業務越來越復雜會越來越弱化, 啟用身份成為企業新的安全邊界,將成為構建新型安全的核心維度之壹。 這次疫情,80%的企業選擇了遠程辦公,而安全的挑戰包括員工在家的終端的安全、整個辦公網流量的安全、雲端的應用系統的數據泄漏風險……這對企業來說都是非常大的挑戰。
阿裏雲有個客戶叫猿輔導,作為在線教育龍頭企業,疫情期間很多員工在家裏面辦公,全球範圍內有超過3萬名員工,需要統壹的遠程管理。經過多輪生產環境驗證,猿輔導最終選擇了阿裏雲的整套零信任遠程辦公方案來解決這個問題。
阿裏雲零信任方案對所有員工的終端進行了可信認證,對每個用戶的身份進行雙因素的強認證,在雲端的決策引擎打通了後端所有的核心應用系統,實現統壹ID、統壹授權。雲端智能決策引擎還可以通過當下的安全因子,來判斷給到每個用戶什麽樣的對應權限,實現了辦公效率、員工體驗感和安全等級的全面提高。
數據默認加密*密鑰輪轉
讓隱私泄露成為不可能
雲上的數據安全壹定是所有企業非常關註的, 而數據默認加密是數據安全的壹個明確的趨勢。 我分享壹個國內手機廠商的案例。大家手機照片都會存在雲端,這對個人來說壹定是非常重要的隱私數據。這家手機廠商將雲端的數據存儲在我們OSS的雲產品上面,客戶通過OSS的默認加密的功能。
所有的雲端的用戶隱私照片存放在阿裏雲OSS上面的時候,都是默認加密的,所有的密鑰都是由客戶自己來保管。這樣子有效防止了雲端的數據泄漏後會造成的所有的安全隱患。 我們當前在17款雲產品當中都支持了默認加密的功能,同時提供密鑰輪轉的功能, 用戶可以通過密鑰管理系統來自主管理密鑰,而且壹旦雲端密鑰泄漏,可以進壹步通過壹鍵密鑰輪轉來提升雲端數據安全性。
數據智能驅動安全技術
原來,企業遇到的安全挑戰在於數據量太大,在海量的流量中需要有效地發現威脅,精準的檢測出威脅在哪裏,第壹時間進行攔截。 而阿裏雲把數據技術應用在了多個安全方面的領域,帶了很好的效果。
我們在DDoS防禦、Web安全防禦當中,通過算法模型能夠非常精準地識別攻擊流量、進行阻斷。 在威脅情報方面,阿裏雲可以識別全網的惡意IP,自動化地分析威脅,自動化地產生“安全疫苗”。 內容安全以及風控的場景,通過對圖像、視頻的分析和理解,幫助用戶在業務上面識別涉黃、涉恐、涉暴的違禁內容,以及對用戶進行視頻的實人認證等等。這些是過去壹年實踐中總結出的雲原生安全“六點核心優勢”,基於很多已經落地的安全產品能力和框架,今天我也重點發布阿裏雲原生安全架構。
每個企業可以基於這個架構,根據自己的業務需求、業務場景特點來構建基於雲的下壹代創新安全架構。整個架構會分為三大層面:
第壹個層面:雲平臺安全
阿裏雲使用硬件安全能力和全局雲平臺的威脅檢測和響應能力,來打造更安全的雲平臺底層。
第二個層面: 雲產品安全
安全能力和安全威脅建模能力在產品設計階段,就已經被融入到產品的開發流程當中。所有代碼上線前確保是安全的,給到用戶壹個安全的雲產品。
第三個層面:內置原生安全
在主機層、網絡層、應用層甚至在數據層、業務層,各個層面上將安全能力融合成場景化的解決方案,提供給各行業用戶。
今天毋庸置疑,無論是IDC 、Gartner、 Forrester等國際第三方咨詢機構全線領導者象限的認可,還是國內外行業頭部用戶的選擇,阿裏雲安全已經是雲安全的領導者。
阿裏巴巴全棧上雲,我們壹方面基於雲平臺、雲原生的安全能力幫助各業務主體去解決好安全問題;另壹方面,也希望通過雲平臺,讓雲上的數百萬級用戶能夠享受到跟阿裏巴巴同等安全能力的保護。
雲演進到今天, 底層基礎設施變化給安全帶來了天翻覆地的變化,我相信未來所有的企業都會在雲上享受最高等級的安全。
雲安全領域會有更多的創新的湧入,那我也期待通過雲原生的安全能力,來協助用戶構建下壹代的安全架構,使用雲更要駕馭雲,在“雲上綠洲”充分釋放企業的商業競爭力!