11月3日，以“計算·進化·未來”為主題的2022云棲大會在杭州舉辦。作為我國科技領域的一大峰會，云棲大會以引領計算技術(shù)創(chuàng)新為宗旨，承載著計算技術(shù)的新思想、新實踐、新突破。從云計算到數(shù)據(jù)智能，從飛天操作系統(tǒng)到城市大腦，云棲大會在云棲小鎮(zhèn)傳遞創(chuàng)新火種，描繪計算未來。

隨著云計算產(chǎn)業(yè)的發(fā)展，云計算概念的普及和人們對云計算技術(shù)認知的加深，企業(yè)客戶開始對云計算服務有了更多的要求。面臨著越來越復雜的安全環(huán)境和威脅的逐漸擴大，企業(yè)對于安全不再局限于邊界防御，而是逐漸打破邊界，形成以云為基礎的新一代安全模式。在這個趨勢下，云計算是如何改變企業(yè)的防護模式的？云安全產(chǎn)品又具備哪些特點？為此，安在特別采訪了阿里云首席安全官歐陽欣。

阿里云首席安全官歐陽欣

云改變了企業(yè)IT架構(gòu)

在企業(yè)內(nèi)部，數(shù)字化轉(zhuǎn)型的本質(zhì)就是基于互聯(lián)網(wǎng)信息技術(shù)，將企業(yè)運營管理的思維方式進行重構(gòu)，以促進企業(yè)進行信息化發(fā)展的方式。因此，企業(yè)的數(shù)字化轉(zhuǎn)型能夠打破傳統(tǒng)的生產(chǎn)模式，提升企業(yè)的核心競爭力。

在這個過程中，云計算為企業(yè)數(shù)字化轉(zhuǎn)型帶來了非常大的助力。首先，云計算為企業(yè)的發(fā)展提供了豐富的網(wǎng)絡資源、低成本的管理構(gòu)建能力以及穩(wěn)定可靠的軟硬件設施等，其次，企業(yè)可以解決因數(shù)字化轉(zhuǎn)型帶來的網(wǎng)絡、機房等信息系統(tǒng)維護難、能耗成本大以及完善基礎設施等問題；再次，企業(yè)可以將傳統(tǒng)的信息服務模式及結(jié)構(gòu)進行充分的打破與更新，促進可持續(xù)發(fā)展。

云計算還帶來了軟件開發(fā)部署模式的創(chuàng)新，通過將異構(gòu)資源的標準化，云計算解放生產(chǎn)力的同時，還提升了業(yè)務應用的迭代速度，并為業(yè)務創(chuàng)新提供了促進作用。根據(jù)Check Point發(fā)布的《2022年云安全報告》可以看到，近三分之二(61%)的受訪者在其云部署中擁有DevOps工具鏈，這從根本上改變了企業(yè)軟件開發(fā)的方式，并進一步推動了業(yè)務與安全的融合。

對此，阿里云智能總裁張建鋒在云棲大會上表示，云重構(gòu)了整個IT硬件體系，數(shù)據(jù)中心、芯片、服務器等產(chǎn)業(yè)鏈發(fā)生深刻變化；軟件研發(fā)范式發(fā)生深刻變革，Serverless、低代碼、AI大模型開源等趨勢，大幅提升軟件生產(chǎn)效率；和端加速融合，算力從端轉(zhuǎn)移上云，未來萬物皆是計算機。

云帶來了新的安全模式

對于企業(yè)而言，上云之后要做好安全最重要的有三件事情，第一，理解云安全責任共擔模型，第二，用原生云安全產(chǎn)品構(gòu)建符合業(yè)務形態(tài)的縱深防御體系，第三，持續(xù)動態(tài)的安全運營，三者缺一不可。

歐陽欣表示，企業(yè)上云后，安全模式會有以下變化。第一重變化是安全責任。阿里云為客戶承擔了更多的安全責任，而且這個責任根據(jù)客戶購買的IaaS、PaaS、SaaS不同類型產(chǎn)品承擔不同的責任，無論如何客戶都不用在關心IDC機房安全等物理安全，這樣可以讓客戶更加聚焦到業(yè)務本身。

第二重變化是云產(chǎn)品的原生安全能力。阿里云將安全能力內(nèi)置到云產(chǎn)品中，讓云產(chǎn)品這輛車自己默認有安全帶，有剎車，有兒童鎖。企業(yè)基于云搭建IT基礎設施自帶較強的免疫能力，從物理層到應用層的整體安全基線提升。

第三重變化是彈性。企業(yè)上云后，安全不再是一種固定資產(chǎn)，而是一種可以隨取隨用的服務和資源。企業(yè)不再需要關注復雜的硬件接入等問題，只需根據(jù)自身需求選擇合適的安全產(chǎn)品，即開即用，即關即走，彈性擴縮容，避免業(yè)務淡季安全資源浪費，業(yè)務波峰性能瓶頸等問題。

第四重變化是更加智能。云上高算力的特點、數(shù)據(jù)的標準化和一致化，為AI落地安全提升了有利條件。阿里云基于AI和大數(shù)據(jù)技術(shù)形成的新一代云安全能力中樞體系，每天處理數(shù)萬億條安全數(shù)據(jù)，形成千億節(jié)點千億邊的全域安全威脅圖譜，而非單點安全域的知識圖譜。企業(yè)可以利用AI獲得更高的精準度、更快的應急響應速度以及更高效的運營速度。

最后是更透明的環(huán)境。阿里云是亞太權(quán)威資質(zhì)最全合規(guī)服務商之一，切實遵守并落實相應的國際國內(nèi)法規(guī)，并將眾多的合規(guī)標準融入云平臺合規(guī)內(nèi)控管理和產(chǎn)品設計中。此外，阿里云還受到第三方監(jiān)管，確保了透明、可信，實現(xiàn)平臺側(cè)與用戶相關操作日志對用戶可見。

阿里云的優(yōu)勢與實踐

根據(jù)Gartner官網(wǎng)公布的2021年阿里云國際IaaS+PaaS解決方案記分卡可以看到，阿里云IaaS基礎設施能力拿下全球第一，且在計算、存儲、網(wǎng)絡、安全的評估中獲得最高分。作為迄今為止唯一入圍這份報告的中國云廠商，阿里云是如何一步一步提高自身的安全能力？

對此，歐陽欣表示，在2009年阿里云成立后，隨之就成立了安全團隊。當時安全團隊的主要職責是維護好云平臺，開發(fā)了云盾以應對攻擊。2011年，阿里云安全團隊與飛天一起設計了飛天安全架構(gòu)，到了2012年，阿里云已經(jīng)在內(nèi)部積累了很多安全攻防的經(jīng)驗和能力，并將這些能力提供給客戶去保護他們自己的業(yè)務。

2012年，阿里云推出了云盾等一系列安全產(chǎn)品和服務，并通過了ISO等國際認證。目前，阿里云已擁有完善的安全產(chǎn)品和解決方案，涵蓋云主機安全、網(wǎng)絡安全、應用安全、業(yè)務安全、身份安全，數(shù)據(jù)安全等等，并通過云端SaaS化遠程交付的形式為缺少安全團隊的企業(yè)提供運營服務。

和傳統(tǒng)IDC相比，云安全產(chǎn)品最大的優(yōu)勢在于具備云的能力。歐陽欣表示，阿里云的云安全產(chǎn)品可以根據(jù)用戶意愿按需使用，彈性計費。例如，阿里云防火墻、WAF、DDoS服務等原生安全產(chǎn)品支持按量付費、彈性后付費等多種服務模式，其中，阿里云云防火墻可以實現(xiàn)在業(yè)務波峰時同時接入數(shù)萬個IP，其快速擴容能力可見一斑。

云上原生的安全產(chǎn)品還具備極簡、易用等特點。阿里云通過將其云上原生的安全能力與云網(wǎng)絡的無縫集成，使安全產(chǎn)品具備了云網(wǎng)絡極致彈性、易于部署的特點，同時賦能云網(wǎng)絡，提供更安全的服務。例如，阿里云DDoS防護與彈性公網(wǎng)IP集成而生的高防EIP，不需要架構(gòu)改造就可以實現(xiàn)EIP上直接防護Tb級攻擊；阿里云WAF與CDN集成，將防爬、web安全能力前置到業(yè)務邊緣，讓用戶在使用內(nèi)容分發(fā)服務CDN獲得業(yè)務訪問加速的同時獲得安全保障；阿里云原生辦公平臺SASE基于與云網(wǎng)絡的集成，針對混合、多云等異構(gòu)環(huán)境可以將來自于全球不同終端的辦公流量快速收口，統(tǒng)一經(jīng)過SASE安全檢測模塊，構(gòu)建零信任訪問體系。

當前云的一個特別顯著的安全問題是云產(chǎn)品配置不當，據(jù)阿里云安全內(nèi)部調(diào)研顯示，當前約90%的云安全問題是用戶配置不當造成的，這不是技術(shù)問題，而是管理運維的問題。歐陽欣表示，面對這一問題，阿里云推出了云安全態(tài)勢管理產(chǎn)品（CSPM），這款產(chǎn)品可以有效解決安全配置和合規(guī)等問題。首先，通過持續(xù)性的對云上產(chǎn)品的配置進行安全掃描，對用戶發(fā)生的不符合安全基線的問題一一告警，避免用戶因配置問題出現(xiàn)安全風險；其次，CSPM可以按照合規(guī)的要求定義每一條安全基線，滿足云上用戶安全合規(guī)需求。

此外，由于云的特性，安全管控大部分是可以遠程運維的，所以身份和訪問權(quán)限的管理對比線下更加重要，特別是當一個身份失陷的時候，能否控制爆炸半徑、減少損失也是云上用戶重點關注的問題。對此，歐陽欣表示，阿里云安全將身份管理系統(tǒng)（IAM/IDaas）、資源管理系統(tǒng)（RAM）整合起來，推出了CIEM產(chǎn)品，針對身份、資源、權(quán)限進行安全檢查，提供實施最小化權(quán)限的能力，從而降低安全風險。同時基于阿里云安全積累的異常威脅分析規(guī)則，動態(tài)的發(fā)現(xiàn)賬號盜用、權(quán)限誤用和潛在惡意的用戶活動，并提供緩解方案。

由于云上的資產(chǎn)是持續(xù)動態(tài)變化的，對應的安全也是動態(tài)的，有時間維度的。持續(xù)的安全運營是云安全的最佳實踐，也是讓安全事件不發(fā)生的必要條件。云的統(tǒng)一管控特性，讓統(tǒng)一的威脅數(shù)據(jù)分析、檢測、調(diào)查、響應，溯源，威脅狩獵成為可能。

最后，阿里云安全還打造了云原生化的SIEM，用戶無需安裝部署，可以有選擇性地對接多賬號和各類安全數(shù)據(jù)、網(wǎng)絡日志和云產(chǎn)品原始日志，并達到了從云上整體安全風險態(tài)勢到微觀風險的全面監(jiān)控。目前，阿里云安全已經(jīng)支持云上11大類產(chǎn)品的32種日志，客戶可以在一個統(tǒng)一的控制臺上進行跨賬號、跨產(chǎn)品的告警處置、調(diào)查、溯源。

在威脅分析層面，SIEM支持多類檢測引擎、場景化和關聯(lián)規(guī)則能力，有效降低處置事件數(shù)量，整體告警壓縮率達到75%，提升運營效率。同時發(fā)現(xiàn)攻擊前置階段收集信息行為或者淪陷后橫向移動的行為特征，提供更深層次的威脅事件洞察。

為了降低用戶的運營成本，SIEM還可以基于安全事件的分析結(jié)果對失陷主機、惡意IP、域名、URL等下發(fā)處置任務，聯(lián)動主機安全、容器安全、云防火墻、WAF等多類安全產(chǎn)品進行全網(wǎng)響應，有效縮短威脅防御時間，提升用戶整體云上安全運維效率。

尾聲

今年的云棲大會已然落幕，阿里云在安全方面的步伐卻從未止步。除了對安全產(chǎn)品的建設外，阿里云安全對于合作伙伴的建設也在始終進行中。11月4日，阿里云在云棲大會上成立了云安全伙伴聯(lián)盟。對此，歐陽欣表示，阿里云在此之前就已經(jīng)和很多安全廠商共享合作，未來，他希望能夠有更多的安全廠商加入進來，為客戶提供更豐富的服務和更全面的領域，阿里云希望攜手安全合作伙伴、云上租戶一起守護好云上安全。

詳情請關注安在新媒體—人物、熱點、互動、傳播，有內(nèi)涵的信息安全新媒體。