云上中小企業(yè)數(shù)量已經(jīng)達(dá)到一個(gè)龐大的量級(jí)，他們是全球公共云最早的一批用戶。

云計(jì)算的普及為創(chuàng)新和業(yè)務(wù)發(fā)展提供了便捷的IT基礎(chǔ)設(shè)施。云上安全，面臨了和傳統(tǒng)數(shù)據(jù)中心并不一樣的考題。更高的開(kāi)放性、業(yè)務(wù)峰值的彈性、數(shù)據(jù)吞吐的量級(jí)，都和線下不可同日而語(yǔ)。享受云便利的同時(shí)，如何做好自身安全，來(lái)維護(hù)云上綠洲整體的安全性，是上云企業(yè)需要一起思考和面對(duì)的問(wèn)題。

這其中，尤其中小企業(yè)，在衡量業(yè)務(wù)投入和安全成本之間，總是義無(wú)反顧做出取舍，而留下更多隱患給自己，也給公共的云打打上了“風(fēng)險(xiǎn)補(bǔ)丁”。Gartner認(rèn)為，主流云服務(wù)商出現(xiàn)重大安全事件的概率將非常低，99%以上的云安全問(wèn)題往往由用戶錯(cuò)誤配置等原因引起。在云計(jì)算已經(jīng)普及，甚至已經(jīng)大邁步進(jìn)入AI基礎(chǔ)設(shè)施的時(shí)代，回歸討論能否安全正確地使用云，竟是2025年還會(huì)出現(xiàn)的安全命題。

回顧安全行業(yè)，也是首次提出這個(gè)命題。

拋開(kāi)老生常談的流量檢測(cè)、漏洞掃描……有多少中小企業(yè)上云后，還在慣性延續(xù)弱密碼習(xí)慣，保管不好云上的超級(jí)鑰匙-AK……自己采購(gòu)的云上三大件計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)產(chǎn)品中，自帶了免費(fèi)的安全能力，甚至不知道開(kāi)關(guān)在哪里。

作為國(guó)際領(lǐng)先的云服務(wù)商，阿里云意識(shí)到了這個(gè)問(wèn)題，并在全球一眾云廠商以責(zé)任共擔(dān)模型為責(zé)任邊界的情況下，主動(dòng)提出向前走一步，解決云安全最后一公里的問(wèn)題。

2024云棲大會(huì)期間，阿里云首次提出“安全共同體”理念，從保障云平臺(tái)安全的盡責(zé)，到與企業(yè)一起保護(hù)用戶云上安全的超盡責(zé)。2025年1月6日，春節(jié)前夕，新春伊始，行業(yè)內(nèi)首個(gè)云上用戶安全體檢活動(dòng)正式上線。

用人的體檢思路，做云上資產(chǎn)的安全體檢，將風(fēng)險(xiǎn)的發(fā)現(xiàn)前置，以日常小投入降低事故大投入的概率。

阿里云安全檢測(cè)工具能力豐富，結(jié)合云上百萬(wàn)級(jí)用戶最佳實(shí)踐總結(jié)出的安全方案，每年一度安全體檢，云上所有用戶可以免費(fèi)參加，一鍵授權(quán)，覆蓋云上資產(chǎn)從風(fēng)險(xiǎn)檢出到修復(fù)建議。

汽車出廠時(shí)配備了安全帶，而讓司機(jī)和副駕駛有意識(shí)上車第一個(gè)動(dòng)作是系安全帶，經(jīng)歷了漫長(zhǎng)的教育周期，這中間甚至配套了懲罰措施。

而云廠商，作為提供這個(gè)公共服務(wù)的主體，在企業(yè)上云時(shí)，配備了剎車、安全氣囊等等安全設(shè)置，它們就部分隱藏在各類云產(chǎn)品中。這個(gè)讓用戶建立安全感，到實(shí)現(xiàn)安全性的過(guò)程，也勢(shì)必是一個(gè)長(zhǎng)期的過(guò)程。這個(gè)過(guò)程被阿里云設(shè)計(jì)成一場(chǎng)接力賽。

// 第一棒，讓用戶看見(jiàn)自身在云上的風(fēng)險(xiǎn)

解決安全問(wèn)題的第一步，永遠(yuǎn)是看見(jiàn)風(fēng)險(xiǎn)的能力。

不斷強(qiáng)調(diào)云上安全的復(fù)雜性，不如體系化梳理解決云上安全的具體方法。據(jù)了解，此次體檢針對(duì)性解決公共云安全問(wèn)題，包括賬號(hào)安全、云資源安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、備份恢復(fù)、日志審計(jì)、安全運(yùn)營(yíng)等7個(gè)維度內(nèi)的68個(gè)檢測(cè)項(xiàng)。

用戶授權(quán)后的安全和隱私保護(hù)前提下，半小時(shí)檢測(cè)后即可收到安全體檢報(bào)告。通過(guò)體檢報(bào)告，用戶可以各維度了解目前企業(yè)自身在云上的資產(chǎn)存在哪些安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)維度主要包括待處理狀態(tài)下的各類攻擊告警、系統(tǒng)漏洞以及風(fēng)險(xiǎn)配置三類。

●攻擊告警，屬于企業(yè)已經(jīng)遭受到的入侵和破壞，類似于人體檢后檢測(cè)到的已經(jīng)發(fā)生的疾病，最需要關(guān)注；

●漏洞，尤其是應(yīng)急漏洞，屬于高危的應(yīng)用漏洞，也是勒索等病毒高頻利用的入侵方式。在勒索攻擊猖獗的今天，需要重點(diǎn)關(guān)注并及時(shí)修復(fù)；

●配置風(fēng)險(xiǎn)，是導(dǎo)致云上企業(yè)99%安全事件發(fā)生的源頭原因，比如賬號(hào)權(quán)限配置不當(dāng)、數(shù)據(jù)庫(kù)開(kāi)放到公網(wǎng)、數(shù)據(jù)備份沒(méi)有開(kāi)啟等。提前發(fā)現(xiàn)并糾正配置錯(cuò)誤可以從事前避免攻擊的發(fā)生。

// 第二棒，幫助云上每個(gè)租戶安全地使用云

云平臺(tái)的安全和用戶在云上的安全并非獨(dú)立互不打擾，而是唇齒相依。安全共同體是一榮俱榮、一損俱損的戰(zhàn)友關(guān)系。

舉個(gè)栗子。如果云平臺(tái)是一棟大樓，云廠商就是大樓的物業(yè)管理者，云用戶就是租客。大樓有道大門(mén)，裝有一把密碼鎖，物業(yè)會(huì)給每個(gè)租戶提供一個(gè)密鑰，用以進(jìn)出大樓。

因?yàn)樽?0個(gè)房間的租客，放置在房?jī)?nèi)東西更多，對(duì)安全也投入更多，自然能將自身安全做好，故而會(huì)妥善保管密鑰。

而租一個(gè)房間的小租戶，更容易疏于安全管理。攻擊者通過(guò)進(jìn)入租戶的房間，尋找突破口獲得大樓其他權(quán)限，對(duì)大樓整體安全也會(huì)構(gòu)成威脅。

因此，阿里云希望做的，不僅是要把大樓守好，保障云平臺(tái)的安全，還希望幫助每個(gè)租戶安全的使用云。安全體檢就屬于后者，通過(guò)“免費(fèi)和易用的工具”呼吁用戶守護(hù)自家安全，從而提升阿里云用戶的整體安全水平。

俗話說(shuō)“沒(méi)有金鋼鉆，攬不了瓷器活”。

阿里云的“金剛鉆”主要有兩點(diǎn)：技術(shù)實(shí)力與實(shí)戰(zhàn)經(jīng)驗(yàn)。

15年的技術(shù)積累讓阿里云擁有了攻防的超強(qiáng)戰(zhàn)斗力。保護(hù)阿里云自身業(yè)務(wù)版圖練就的安全本領(lǐng)，持續(xù)沉淀到安全工具當(dāng)中，并將能力外溢給客戶。公開(kāi)信息顯示，在IDC發(fā)布的中國(guó)公有云云工作負(fù)載安全市場(chǎng)份額報(bào)告中，阿里云云安全中心連續(xù)三年穩(wěn)居市場(chǎng)份額第一。這次體檢主要能力即調(diào)用自這款云安全中心。

保護(hù)數(shù)百萬(wàn)用戶云上安全的實(shí)戰(zhàn)經(jīng)驗(yàn)，讓阿里云非常清楚，哪些風(fēng)險(xiǎn)最容易受到黑客“青睞”，把這些最易受到黑客“青睞”的風(fēng)險(xiǎn)項(xiàng)檢測(cè)給到用戶免費(fèi)使用，就有了這次的體檢活動(dòng)。

行百業(yè)的創(chuàng)新提速。阿里云上有著數(shù)百萬(wàn)企業(yè)用戶，并以普惠算力和豐富的技術(shù)產(chǎn)品，服務(wù)上千萬(wàn)開(kāi)發(fā)者。

但云的發(fā)展速度也帶來(lái)認(rèn)知、資源等各方面的錯(cuò)配，比如關(guān)于安全性的一種普遍誤解：認(rèn)為云環(huán)境天然的開(kāi)放性等特征，增加了安全管理的難度，而非簡(jiǎn)化了它。

阿里云推出免費(fèi)體檢，也是希望破除這個(gè)誤解的第一步。

相關(guān)負(fù)責(zé)人表示，對(duì)于中小企業(yè)用戶來(lái)說(shuō)，正確的使用和配置云產(chǎn)品，并利用好產(chǎn)品自帶的安全能力，便可預(yù)防大部分的安全風(fēng)險(xiǎn)。

云計(jì)算的發(fā)展已進(jìn)入深水區(qū)，用戶需要以更經(jīng)濟(jì)、安全的思路使用云，云廠商在其中主動(dòng)認(rèn)領(lǐng)了這一責(zé)任。此次阿里云面向所有用戶開(kāi)放的免費(fèi)安全體檢活動(dòng)，也是希望讓更多的企業(yè)關(guān)注到自身在云上數(shù)字空間的安全建設(shè)問(wèn)題，群策群力而非單兵作戰(zhàn)，讓云上安全建設(shè)和運(yùn)營(yíng)成為投入產(chǎn)出比最高的標(biāo)準(zhǔn)動(dòng)作。

阿里云表示，未來(lái)會(huì)持續(xù)增加免費(fèi)安全防護(hù)能力，幫助中小企業(yè)以極低的投入完成基礎(chǔ)的云上安全風(fēng)險(xiǎn)治理。