隨著云計(jì)算產(chǎn)業(yè)的發(fā)展，云計(jì)算概念的普及和人們對(duì)云計(jì)算技術(shù)認(rèn)知的加深，企業(yè)客戶開(kāi)始對(duì)云計(jì)算服務(wù)有了更多的要求。面臨著越來(lái)越復(fù)雜的安全環(huán)境和威脅的逐漸擴(kuò)大，企業(yè)對(duì)于安全不再局限于邊界防御，而是逐漸打破邊界，形成以云為基礎(chǔ)的新一代安全模式。在這個(gè)趨勢(shì)下，云計(jì)算是如何改變企業(yè)的防護(hù)模式的？云安全產(chǎn)品又具備哪些特點(diǎn)？為此，安在特別采訪了阿里云首席安全官歐陽(yáng)欣。

在企業(yè)內(nèi)部，數(shù)字化轉(zhuǎn)型的本質(zhì)就是基于互聯(lián)網(wǎng)信息技術(shù)，將企業(yè)運(yùn)營(yíng)管理的思維方式進(jìn)行重構(gòu)，以促進(jìn)企業(yè)進(jìn)行信息化發(fā)展的方式。因此，企業(yè)的數(shù)字化轉(zhuǎn)型能夠打破傳統(tǒng)的生產(chǎn)模式，提升企業(yè)的核心競(jìng)爭(zhēng)力。

在這個(gè)過(guò)程中，云計(jì)算為企業(yè)數(shù)字化轉(zhuǎn)型帶來(lái)了非常大的助力。首先，云計(jì)算為企業(yè)的發(fā)展提供了豐富的網(wǎng)絡(luò)資源、低成本的管理構(gòu)建能力以及穩(wěn)定可靠的軟硬件設(shè)施等，其次，企業(yè)可以解決因數(shù)字化轉(zhuǎn)型帶來(lái)的網(wǎng)絡(luò)、機(jī)房等信息系統(tǒng)維護(hù)難、能耗成本大以及完善基礎(chǔ)設(shè)施等問(wèn)題；再次，企業(yè)可以將傳統(tǒng)的信息服務(wù)模式及結(jié)構(gòu)進(jìn)行充分的打破與更新，促進(jìn)可持續(xù)發(fā)展。

云計(jì)算還帶來(lái)了軟件開(kāi)發(fā)部署模式的創(chuàng)新，通過(guò)將異構(gòu)資源的標(biāo)準(zhǔn)化，云計(jì)算解放生產(chǎn)力的同時(shí)，還提升了業(yè)務(wù)應(yīng)用的迭代速度，并為業(yè)務(wù)創(chuàng)新提供了促進(jìn)作用。根據(jù)Check Point發(fā)布的《2022年云安全報(bào)告》可以看到，近三分之二(61%)的受訪者在其云部署中擁有DevOps工具鏈，這從根本上改變了企業(yè)軟件開(kāi)發(fā)的方式，并進(jìn)一步推動(dòng)了業(yè)務(wù)與安全的融合。

對(duì)此，阿里云智能總裁張建鋒在云棲大會(huì)上表示，云重構(gòu)了整個(gè)IT硬件體系，數(shù)據(jù)中心、芯片、服務(wù)器等產(chǎn)業(yè)鏈發(fā)生深刻變化；軟件研發(fā)范式發(fā)生深刻變革，Serverless、低代碼、AI大模型開(kāi)源等趨勢(shì)，大幅提升軟件生產(chǎn)效率；和端加速融合，算力從端轉(zhuǎn)移上云，未來(lái)萬(wàn)物皆是計(jì)算機(jī)。

對(duì)于企業(yè)而言，上云之后要做好安全最重要的有三件事情，第一，理解云安全責(zé)任共擔(dān)模型，第二，用原生云安全產(chǎn)品構(gòu)建符合業(yè)務(wù)形態(tài)的縱深防御體系，第三，持續(xù)動(dòng)態(tài)的安全運(yùn)營(yíng)，三者缺一不可。

歐陽(yáng)欣表示，企業(yè)上云后，安全模式會(huì)有以下變化。第一重變化是安全責(zé)任。阿里云為客戶承擔(dān)了更多的安全責(zé)任，而且這個(gè)責(zé)任根據(jù)客戶購(gòu)買的IaaS、PaaS、SaaS不同類型產(chǎn)品承擔(dān)不同的責(zé)任，無(wú)論如何客戶都不用在關(guān)心IDC機(jī)房安全等物理安全，這樣可以讓客戶更加聚焦到業(yè)務(wù)本身。

第二重變化是云產(chǎn)品的原生安全能力。阿里云將安全能力內(nèi)置到云產(chǎn)品中，讓云產(chǎn)品這輛車自己默認(rèn)有安全帶，有剎車，有兒童鎖。企業(yè)基于云搭建IT基礎(chǔ)設(shè)施自帶較強(qiáng)的免疫能力，從物理層到應(yīng)用層的整體安全基線提升。

第三重變化是彈性。企業(yè)上云后，安全不再是一種固定資產(chǎn)，而是一種可以隨取隨用的服務(wù)和資源。企業(yè)不再需要關(guān)注復(fù)雜的硬件接入等問(wèn)題，只需根據(jù)自身需求選擇合適的安全產(chǎn)品，即開(kāi)即用，即關(guān)即走，彈性擴(kuò)縮容，避免業(yè)務(wù)淡季安全資源浪費(fèi)，業(yè)務(wù)波峰性能瓶頸等問(wèn)題。

第四重變化是更加智能。云上高算力的特點(diǎn)、數(shù)據(jù)的標(biāo)準(zhǔn)化和一致化，為AI落地安全提升了有利條件。阿里云基于AI和大數(shù)據(jù)技術(shù)形成的新一代云安全能力中樞體系，每天處理數(shù)萬(wàn)億條安全數(shù)據(jù)，形成千億節(jié)點(diǎn)千億邊的全域安全威脅圖譜，而非單點(diǎn)安全域的知識(shí)圖譜。企業(yè)可以利用AI獲得更高的精準(zhǔn)度、更快的應(yīng)急響應(yīng)速度以及更高效的運(yùn)營(yíng)速度。

最后是更透明的環(huán)境。阿里云是亞太權(quán)威資質(zhì)最全合規(guī)服務(wù)商之一，切實(shí)遵守并落實(shí)相應(yīng)的國(guó)際國(guó)內(nèi)法規(guī)，并將眾多的合規(guī)標(biāo)準(zhǔn)融入云平臺(tái)合規(guī)內(nèi)控管理和產(chǎn)品設(shè)計(jì)中。此外，阿里云還受到第三方監(jiān)管，確保了透明、可信，實(shí)現(xiàn)平臺(tái)側(cè)與用戶相關(guān)操作日志對(duì)用戶可見(jiàn)。

根據(jù)Gartner官網(wǎng)公布的2021年阿里云國(guó)際IaaS+PaaS解決方案記分卡可以看到，阿里云IaaS基礎(chǔ)設(shè)施能力拿下全球第一，且在計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全的評(píng)估中獲得最高分。作為迄今為止唯一入圍這份報(bào)告的中國(guó)云廠商，阿里云是如何一步一步提高自身的安全能力？

對(duì)此，歐陽(yáng)欣表示，在2009年阿里云成立后，隨之就成立了安全團(tuán)隊(duì)。當(dāng)時(shí)安全團(tuán)隊(duì)的主要職責(zé)是維護(hù)好云平臺(tái)，開(kāi)發(fā)了云盾以應(yīng)對(duì)攻擊。2011年，阿里云安全團(tuán)隊(duì)與飛天一起設(shè)計(jì)了飛天安全架構(gòu)，到了2012年，阿里云已經(jīng)在內(nèi)部積累了很多安全攻防的經(jīng)驗(yàn)和能力，并將這些能力提供給客戶去保護(hù)他們自己的業(yè)務(wù)。

2012年，阿里云推出了云盾等一系列安全產(chǎn)品和服務(wù)，并通過(guò)了ISO等國(guó)際認(rèn)證。目前，阿里云已擁有完善的安全產(chǎn)品和解決方案，涵蓋云主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、業(yè)務(wù)安全、身份安全，數(shù)據(jù)安全等等，并通過(guò)云端SaaS化遠(yuǎn)程交付的形式為缺少安全團(tuán)隊(duì)的企業(yè)提供運(yùn)營(yíng)服務(wù)。

云上原生的安全產(chǎn)品還具備極簡(jiǎn)、易用等特點(diǎn)。阿里云通過(guò)將其云上原生的安全能力與云網(wǎng)絡(luò)的無(wú)縫集成，使安全產(chǎn)品具備了云網(wǎng)絡(luò)極致彈性、易于部署的特點(diǎn)，同時(shí)賦能云網(wǎng)絡(luò)，提供更安全的服務(wù)。例如，阿里云DDoS防護(hù)與彈性公網(wǎng)IP集成而生的高防EIP，不需要架構(gòu)改造就可以實(shí)現(xiàn)EIP上直接防護(hù)Tb級(jí)攻擊；阿里云WAF與CDN集成，將防爬、web安全能力前置到業(yè)務(wù)邊緣，讓用戶在使用內(nèi)容分發(fā)服務(wù)CDN獲得業(yè)務(wù)訪問(wèn)加速的同時(shí)獲得安全保障；阿里云原生辦公平臺(tái)SASE基于與云網(wǎng)絡(luò)的集成，針對(duì)混合、多云等異構(gòu)環(huán)境可以將來(lái)自于全球不同終端的辦公流量快速收口，統(tǒng)一經(jīng)過(guò)SASE安全檢測(cè)模塊，構(gòu)建零信任訪問(wèn)體系。

當(dāng)前云的一個(gè)特別顯著的安全問(wèn)題是云產(chǎn)品配置不當(dāng)，據(jù)阿里云安全內(nèi)部調(diào)研顯示，當(dāng)前約90%的云安全問(wèn)題是用戶配置不當(dāng)造成的，這不是技術(shù)問(wèn)題，而是管理運(yùn)維的問(wèn)題。歐陽(yáng)欣表示，面對(duì)這一問(wèn)題，阿里云推出了云安全態(tài)勢(shì)管理產(chǎn)品（CSPM），這款產(chǎn)品可以有效解決安全配置和合規(guī)等問(wèn)題。首先，通過(guò)持續(xù)性的對(duì)云上產(chǎn)品的配置進(jìn)行安全掃描，對(duì)用戶發(fā)生的不符合安全基線的問(wèn)題一一告警，避免用戶因配置問(wèn)題出現(xiàn)安全風(fēng)險(xiǎn)；其次，CSPM可以按照合規(guī)的要求定義每一條安全基線，滿足云上用戶安全合規(guī)需求。

此外，由于云的特性，安全管控大部分是可以遠(yuǎn)程運(yùn)維的，所以身份和訪問(wèn)權(quán)限的管理對(duì)比線下更加重要，特別是當(dāng)一個(gè)身份失陷的時(shí)候，能否控制爆炸半徑、減少損失也是云上用戶重點(diǎn)關(guān)注的問(wèn)題。對(duì)此，歐陽(yáng)欣表示，阿里云安全將身份管理系統(tǒng)（IAM/IDaas）、資源管理系統(tǒng)（RAM）整合起來(lái)，推出了CIEM產(chǎn)品，針對(duì)身份、資源、權(quán)限進(jìn)行安全檢查，提供實(shí)施最小化權(quán)限的能力，從而降低安全風(fēng)險(xiǎn)。同時(shí)基于阿里云安全積累的異常威脅分析規(guī)則，動(dòng)態(tài)的發(fā)現(xiàn)賬號(hào)盜用、權(quán)限誤用和潛在惡意的用戶活動(dòng)，并提供緩解方案。

由于云上的資產(chǎn)是持續(xù)動(dòng)態(tài)變化的，對(duì)應(yīng)的安全也是動(dòng)態(tài)的，有時(shí)間維度的。持續(xù)的安全運(yùn)營(yíng)是云安全的最佳實(shí)踐，也是讓安全事件不發(fā)生的必要條件。云的統(tǒng)一管控特性，讓統(tǒng)一的威脅數(shù)據(jù)分析、檢測(cè)、調(diào)查、響應(yīng)，溯源，威脅狩獵成為可能。    

最后，阿里云安全還打造了云原生化的SIEM，用戶無(wú)需安裝部署，可以有選擇性地對(duì)接多賬號(hào)和各類安全數(shù)據(jù)、網(wǎng)絡(luò)日志和云產(chǎn)品原始日志，并達(dá)到了從云上整體安全風(fēng)險(xiǎn)態(tài)勢(shì)到微觀風(fēng)險(xiǎn)的全面監(jiān)控。目前，阿里云安全已經(jīng)支持云上11大類產(chǎn)品的32種日志，客戶可以在一個(gè)統(tǒng)一的控制臺(tái)上進(jìn)行跨賬號(hào)、跨產(chǎn)品的告警處置、調(diào)查、溯源。

在威脅分析層面，SIEM支持多類檢測(cè)引擎、場(chǎng)景化和關(guān)聯(lián)規(guī)則能力，有效降低處置事件數(shù)量，整體告警壓縮率達(dá)到75%，提升運(yùn)營(yíng)效率。同時(shí)發(fā)現(xiàn)攻擊前置階段收集信息行為或者淪陷后橫向移動(dòng)的行為特征，提供更深層次的威脅事件洞察。

為了降低用戶的運(yùn)營(yíng)成本，SIEM還可以基于安全事件的分析結(jié)果對(duì)失陷主機(jī)、惡意IP、域名、URL等下發(fā)處置任務(wù)，聯(lián)動(dòng)主機(jī)安全、容器安全、云防火墻、WAF等多類安全產(chǎn)品進(jìn)行全網(wǎng)響應(yīng)，有效縮短威脅防御時(shí)間，提升用戶整體云上安全運(yùn)維效率。

今年的云棲大會(huì)已然落幕，阿里云在安全方面的步伐卻從未止步。除了對(duì)安全產(chǎn)品的建設(shè)外，阿里云安全對(duì)于合作伙伴的建設(shè)也在始終進(jìn)行中。11月4日，阿里云在云棲大會(huì)上成立了云安全伙伴聯(lián)盟。對(duì)此，歐陽(yáng)欣表示，阿里云在此之前就已經(jīng)和很多安全廠商共享合作，未來(lái)，他希望能夠有更多的安全廠商加入進(jìn)來(lái)，為客戶提供更豐富的服務(wù)和更全面的領(lǐng)域，阿里云希望攜手安全合作伙伴、云上租戶一起守護(hù)好云上安全。