新基建從云而生

　　——專訪阿里巴巴副總裁、阿里云安全總經理 肖力

　　導語：“新基建”已經成為當下一個現象級熱詞。新基建的核心在于數字化，5G、大數據、人工智能、工業互聯網等新一代信息技術的應用。而隨著新基建的高速發展，加大了網絡安全威脅的暴露面。近段時間，企業被黑客勒索的事件頻發，那么怎樣在高速發展新基建的同時還能保證網絡安全？通過專訪阿里巴巴副總裁肖力先生，云原生安全對新基建的意義進行了深入探討。

　　圖片來源：阿里巴巴公司提供

　　記者：在新基建大力發展的背景下，國家加快推進工業、制造業企業上云，《工業互聯網創新發展行動計劃（2021-2023年）》指出到2023年，工業企業及設備上云數量比2020年翻一番，那么什么是云原生安全理念？

　　肖力：

　　現代商業復雜程度遠遠高于過去，簡單是消解復雜的最佳路徑，安全理念需要被化約。企業員工的位移和身份動態變化的速度，大概是過去的N倍速。數據可能產生于任意終端、任意人員、任意地理位置。數據可能存儲在公共云、私有云、邊緣計算節點……這其中發生的計算、處理和交換動作更是形成了復雜的交叉網狀結構。，傳統的邊界防御失靈，安全防護已經看似無處下手。

　　云原生安全期望打造的不僅僅是一套防護體系更像是一個基于云的原生“免疫系統”。我們全方位審視安全，抽絲剝繭去看背后的邏輯。

　　云上數據的生命周期旅程可能發生于IT系統的大腦、心臟、甚至末梢，像血液一樣在企業內流轉，為各器官的運作服務，信息流代替工作流在推動著業務的發展。如何保證整個系統的安全？

　　1.云即信任

　　云原生安全的進化，在不斷縮小信任成本，讓基礎設施本身成為更加高可用、高安全等級的可信計算環境。

　　芯片級硬件可信

　　芯片級安全，是當前技術領域內最高等級的安全。硬件的不可篡改性，決定了其成為最高等級安全的基礎。阿里云在去年10月，業內首發基于SGX2.0和TPM的可信虛擬化實例，最早完成了芯片級硬件安全的落地。最新推出的第七代ECS實例，全量搭載安全芯片作為硬件可信根，實現服務器的可信啟動，確保零篡改。這意味著真正意義上第一次實現了能夠支持大數據運算的安全可信環境。

　　數據默認透明加密

　　加密是最原始的數據保護方式，這并不是一個安全新概念。而云上的數據加密是一個更天然的過程，原生數據自“出生”默認加密。云上產生的數據，實現自動加密，數據遷移上云默認落盤加密，關鍵業務敏感數據實現字節級加密。云基礎設施還提供公鑰密碼應用系統，在數據加密的基礎上再加一把鎖。密碼系統可以自動或自定義改變密碼，這個聽起來很普通，但實際需要基礎設施層算法精巧設計的功能叫“密鑰輪轉”。公共云有一個主密鑰，阿里云目前已實現默認每天輪轉一次，用戶自有密鑰可從天到年為單位自定義設置輪轉周期，讓被破解成為不可能。

　　2.對動態因素持續懷疑的零信任

　　數據總是由人創造的。企業各環節線上化，每個人都可能是數據的生產者。無論是企業訪問OA系統、審批系統、公司郵件、視頻會議等傳統需求，還是遠程開發、測試、運維、客服等復雜場景，從身份認證、網絡準入、動態權限管理等方式入手，到通過網絡能力實現安全的內網準入，打造持續懷疑、動態監測和認證的安全云環境。

　　云上安全與傳統安全最大的不同

　　2000年到2021年國內誕生了上千家安全公司，提供上百種品類的安全產品，介紹手冊里對使用體驗從未改變的一句描述是：即插即用。然而，實際情況因接口統一性、兼容性等問題，標注即插即用的設備，1個月都部署不進去的情況比比皆是。

　　云上的安全能力與云基礎設施深度融合，通過API靈活調用，全局統一的協同全網威脅情報，這是線下各安全產品長期以來希望實現，而很難真正實現的地方。

　　應對攻擊，相較于傳統安全的短兵相接，云安全更像是一種“重型兵器”的降維打擊。因此，我們所有的技術努力在讓基礎設施本身更加高可用、更高安全等級。

　　記者：5G與物聯網、工業互聯網結合將產生海量大數據，其應用正在從外圍輔助環節向核心生產環節滲透，保障新基建的數據安全面臨哪些挑戰？

　　肖力：

　　2020年數據泄露呈現爆炸式增長，短短12個月內泄露記錄比過去15年總和還多。

　　做好數據安全是一個復雜工程，可以說企業遇到的百分之八九十的安全風險最終指向的都是數據風險，而數據如同血液流動在IT基礎設施的各個角落。基于阿里云實踐，我們將數據安全挑戰歸結為三類：

　　盲人摸象：摸清數據資產情況

　　當企業意識到需要做數據保護的時候，往往已經有很多數據，這些數據散落在IT系統中的什么位置，是什么類型的數據，哪些數據需要重點保護，看不見也看不全。

　　而且傳統情況下，數據庫及存儲類產品賬號密碼分散在各個開發人員手中，安全人員難以獲得統一管理權限。

　　多如牛毛：敞口風險如何最小化

　　數據是流動的，可能會出現在企業業務各個環節、IT系統中各個角落，造成可能帶來數據泄露的敞口風險變得動態和復雜，比如一個看似低危的漏洞、或者復雜系統中的老舊API都可能成為攻擊者竊取數據的跳板，再比如數據訪問權限管理不清晰很可能會被“內鬼”利用等等。

　　用保兼備：數據使用/分享/計算需要兼顧安全

　　數據只有被合理合法的有效使用才能成為企業的真正資產，但數據的使用、分享、計算不僅會面臨各種合規要求，而且當數據在不同人、系統、網絡中流動時會加大風險暴露面。數據作為新生產要素需要被高效利用，促進業務和經濟的發展，聯合研發、聯合營銷等多方計算場景需求出現，對數據被安全的使用也提出新要求……

　　傳統環境下，數據本身以“孤島”形式存在于企業各個服務器之上，訪問日志數據也各自孤立，安全產品外掛模式又難與數據庫類產品深度集成，從割裂、孤立的數據中能夠分析得出的高價值信息非常有限，安全工作被局限于表面。云打通了數據的集約化發展，讓深度的安全保護成為可能。比如阿里云的數據庫產品，上線即安全保證產品自身攻擊面最小化；其次，原生安全能力內置到基礎設施，阿里云數據庫產品具備存儲加密、VPC隔離、BYOK、接口級權限控制等等十幾項安全功能，用戶購買的云產品本身就是安全又具備一定保護能力的。

　　記者：當前國內眾多企業都在為新基建和數字化轉型做準備，然而目前世界網絡安全形勢十分嚴峻，眾多企業都遭受到黑客勒索，導致勒索事件頻發的原因是什么？

　　肖力：

　　勒索軟件的確是疫情發生后的主要攻擊方法之一，2020年上半年增長了7倍，贖金要求是往年同期的4倍，最近的新數據顯示全球有近一半的成功攻擊都來自勒索軟件。

　　造成勒索事件上漲的原因，我認為主要有以下三個方面：

　　一是越來越多的勒索病毒集成了豐富的攻擊模塊，不再只是傳統地爆破弱口令，而是具備了自傳播、跨平臺和蠕蟲的功能，如Lucky、Satan勒索病毒等。

　　二是云環境租戶業務的多樣性，不斷出現的業務場景日趨復雜，使得用戶展示給黑客的基礎攻擊面不斷放大，持續面臨漏洞的威脅。

　　三是企業安全意識不足，未做好口令管理和訪問控制，因此給了黑客可乘之機。

　　不過云具備解決這個問題的天然優勢，原生容器自備鏡像快照功能，遇到數據被加密，用戶通過這個功能快速恢復，完全不需要交付贖金。

　　記者：云時代，開源組件得到廣泛應用，分布式異構計算也普遍存在，這就分別帶來軟、硬件層面的供應鏈安全風險。那么軟、硬件的供應鏈安全應該從何做起？

　　肖力：

　　受益于開源軟件與成熟的三方產品和服務的優勢，國內互聯網、金融行業快速發展。Synopsys公司最新報告顯示，超過90%的現代應用融入了開源組件，平均每個應用包含超過124個開源組件，其中49%的開源組件存在高危漏洞。

　　在傳統邊界安全的防護理念下，安全是一個整體，保證安全不在于強大的地方有多強大，而在于真正薄弱的地方在哪里。企業邊界無限擴大后，面臨的風險會隨之增加，邊界上任一節點的「安全性」被打破，攻擊者就能通過這層信任鏈路，利用多種APT手段滲透到企業內部，竊取核心數據。

　　以往企業防護的策略，可以從梳理企業最有價值的資產開始，再看資產面臨的最大潛在威脅是什么，基于威脅分級、資產分級的方式來循序漸進做治理。

　　在今天這種企業架構與軟件開發形態下，越來越多的商業軟件、硬件設備、開源項目被集成到企業的IT基礎設施中，從而擴大了潛在的攻擊面，讓安全防御變得越來越復雜，以及充滿著大量「不確定性」。攻擊不再關注你是誰，只要你與被攻擊目標的網絡或業務存在關聯，就會成為重點攻擊對象。

　　風險主要來自于，首先，并不是所有的軟硬件供應商都會自建完善的安全團隊，對產品開展軟件安全生命周期管理來確保其安全性。其次，三方軟件供應商對安全的「漠視態度」，是導致攻擊者頻頻入侵「輕易得手」的關鍵原因。

　　應對供應鏈攻擊的三大建議：

　　一、梳理數字資產，建立物料清單：從最關鍵的供應商開始，將數字資產納入安全評估體系。為每個硬件、應用程序持續構建詳細的物料清單，全面洞察每個硬件、應用軟件的組件情況。

　　二、慎選供應商，全鏈路加密和驗簽：降低對第三方組件、開源軟件的依賴，選擇可信度較高，對安全重視的供應商，加強信任鏈路的自主安全能力。

　　三、提升軟硬件產品的安全發現能力：通過產品架構，或在產品設計中內置安全性，部署和啟用惡意軟件防護和檢測能力，提升企業在遭受供應鏈攻擊時的響應與恢復能力。

　　記者：在新基建的不斷發展下，云原生安全還有哪些不足？未來的技術發展趨勢是什么樣的？

　　肖力：

       云安全技術乃至整個安全技術，經10到25年的發展，已到達了一定階段，但仍存在多項問題：

　　第一，用戶體驗有待提升。安全產品或安全服務的用戶體驗是非常關鍵的，安全產品應服務于企業，當產品服務與企業需求緊密結合時，其應用性才能得到保證。因此產品的易用性是非常重要的，安全產品不應只有特定的企業或安全工程師才能使用，因為不是每個企業都有專業的業務人員。一個好的安全產品應該讓每個人都可以非常便捷地使用檢測、對抗、漏洞修復、安全防御等安全防護功能。

　　第二，安全效果需要增強。隨著企業數字化、信息化的推進，企業的核心業務與數據都部署在信息系統或云端上，其安全的重要性不言而喻。云安全的防護效果直接決定了企業業務的穩定性和可連續性，但攻擊方式逐年不斷迭代，因此云安全防護的性能亟需提升；云安全是個復雜的體系，涉及信息系統各個層面，需要大量科研與人才的投入。

　　第三，安全產品的碎片化問題仍需改善。目前安全產品在設計上仍存在突出的片面化與碎片化問題。以隔離為主的傳統安全體系催生出防火墻、入侵檢測防御系統、WEB應用防火墻、統一威脅管理、上網行為管理探針、加密機等單一化的安全設備，導致網絡安全工作呈分散割據化，影響安全與業務應用間的結合。未來安全產品將會統一且高度集成，同時得益于云計算能力的提升以及安全廠商的深厚技術積累，預計云安全產品將迎來重大突破，安全產品的碎片化問題會迎刃而解。

　　目前銀行、證券、保險和央企等多個重要行業已逐步將業務轉移到云上，未來更多的業務場景將會在云上實現，會形成混合云等不同形態的云。相比自建機房，云安全的投入開銷更小且防護性能更強，通過“云、管、邊、端”的協同，實現數據傳輸速度更快、數據處理實時性更強、計算環境更安全和穩定、定制化程度更高的業務解決方案，具有較強的優勢。

　　云原生安全發展方向，我從安全技術和理念里兩方面，總結為內置、前置兩大關鍵詞。

　　第一、內置-單點的防護能力打碎重組，融入基礎設施本身；

　　第二、前置-在更上游的階段考慮安全，樹立一個信任和一個懷疑；

　　阿里云自身的安全實踐已久，無論基于廣義云原生還是狹義云原生概念，面向未來的幾個技術趨勢已經越來越清晰。

　　1. 安全成公共資源實現按需調用

　　大部分企業安全資源是非常有限的，卻存在峰值流量和日常流量資源支撐差距過大的矛盾。比如阿里巴巴自身業務，雙11無疑是一個流量峰值，而全年業務由一個峰值+多個波峰+波谷構成，峰值和波谷的區別可能非常大，安全沒必要儲備了大量“糧草”處于“待命”狀態。安全能力服務化（SaaS化），是一個行業內展望已久的趨勢。在云環境中，安全可以實現按需調用，業務系統上線只需要完成接入動作，安全保護隨之而來。

　　2.基礎設施天然具備檢測防護能力

　　安全能力直接內置在基礎設施節點中。流量通過某些節點時，比如SLB負載均衡和CDN邊緣計算，直接完成安全檢測。同一份帶寬資源，業務提速做到無感保護。

　　遍布基礎設施的各安全能力節點，面對風險如同開啟了 “上帝視角”， 單點威脅實現全網秒級協同，提升了全IT環境的風險反應和處理速度。

　　3.攻擊主動修復實現無感防御

　　十幾年前我們做安全，系統不行全靠手動排查。修復過程業務不能下線，還要做到用戶無感，導致后臺的操作緩慢又痛苦。這種被迫降速，又進一步拉長攻擊窗口期，提升了業務風險。

　　云原生安全可以把產生問題的難點在IT建設的時候就思考和解決掉，安全人員看到的是相對簡單的統一控制臺，通過業務邏輯來進行安全策略的配置，把精力聚焦到高價值的事情上。

　　新基建對新一代信息技術的應用，無疑會擴大暴露面，帶來網絡安全理念上的顛覆，需要我們堅持不斷創新，用新理念、新手段來解決發展中出現的新問題。

　　當云作為IT基礎設施，算力成為像水、電、煤一樣的公共資源，這其中安全意味著什么不言而喻。我們也希望打造全世界最安全的云，在越來越復雜中，提供越來越簡單的選擇。