新基建从云而生

　　——专访阿里巴巴副总裁、阿里云安全总经理 肖力

　　导语：“新基建”已经成为当下一个现象级热词。新基建的核心在于数字化，5G、大数据、人工智能、工业互联网等新一代信息技术的应用。而随着新基建的高速发展，加大了网络安全威胁的暴露面。近段时间，企业被黑客勒索的事件频发，那么怎样在高速发展新基建的同时还能保证网络安全？通过专访阿里巴巴副总裁肖力先生，云原生安全对新基建的意义进行了深入探讨。

　　图片来源：阿里巴巴公司提供

　　记者：在新基建大力发展的背景下，国家加快推进工业、制造业企业上云，《工业互联网创新发展行动计划（2021-2023年）》指出到2023年，工业企业及设备上云数量比2020年翻一番，那么什么是云原生安全理念？

　　肖力：

　　现代商业复杂程度远远高于过去，简单是消解复杂的最佳路径，安全理念需要被化约。企业员工的位移和身份动态变化的速度，大概是过去的N倍速。数据可能产生于任意终端、任意人员、任意地理位置。数据可能存储在公共云、私有云、边缘计算节点……这其中发生的计算、处理和交换动作更是形成了复杂的交叉网状结构。，传统的边界防御失灵，安全防护已经看似无处下手。

　　云原生安全期望打造的不仅仅是一套防护体系更像是一个基于云的原生“免疫系统”。我们全方位审视安全，抽丝剥茧去看背后的逻辑。

　　云上数据的生命周期旅程可能发生于IT系统的大脑、心脏、甚至末梢，像血液一样在企业内流转，为各器官的运作服务，信息流代替工作流在推动着业务的发展。如何保证整个系统的安全？

　　1.云即信任

　　云原生安全的进化，在不断缩小信任成本，让基础设施本身成为更加高可用、高安全等级的可信计算环境。

　　芯片级硬件可信

　　芯片级安全，是当前技术领域内最高等级的安全。硬件的不可篡改性，决定了其成为最高等级安全的基础。阿里云在去年10月，业内首发基于SGX2.0和TPM的可信虚拟化实例，最早完成了芯片级硬件安全的落地。最新推出的第七代ECS实例，全量搭载安全芯片作为硬件可信根，实现服务器的可信启动，确保零篡改。这意味着真正意义上第一次实现了能够支持大数据运算的安全可信环境。

　　数据默认透明加密

　　加密是最原始的数据保护方式，这并不是一个安全新概念。而云上的数据加密是一个更天然的过程，原生数据自“出生”默认加密。云上产生的数据，实现自动加密，数据迁移上云默认落盘加密，关键业务敏感数据实现字节级加密。云基础设施还提供公钥密码应用系统，在数据加密的基础上再加一把锁。密码系统可以自动或自定义改变密码，这个听起来很普通，但实际需要基础设施层算法精巧设计的功能叫“密钥轮转”。公共云有一个主密钥，阿里云目前已实现默认每天轮转一次，用户自有密钥可从天到年为单位自定义设置轮转周期，让被破解成为不可能。

　　2.对动态因素持续怀疑的零信任

　　数据总是由人创造的。企业各环节线上化，每个人都可能是数据的生产者。无论是企业访问OA系统、审批系统、公司邮件、视频会议等传统需求，还是远程开发、测试、运维、客服等复杂场景，从身份认证、网络准入、动态权限管理等方式入手，到通过网络能力实现安全的内网准入，打造持续怀疑、动态监测和认证的安全云环境。

　　云上安全与传统安全最大的不同

　　2000年到2021年国内诞生了上千家安全公司，提供上百种品类的安全产品，介绍手册里对使用体验从未改变的一句描述是：即插即用。然而，实际情况因接口统一性、兼容性等问题，标注即插即用的设备，1个月都部署不进去的情况比比皆是。

　　云上的安全能力与云基础设施深度融合，通过API灵活调用，全局统一的协同全网威胁情报，这是线下各安全产品长期以来希望实现，而很难真正实现的地方。

　　应对攻击，相较于传统安全的短兵相接，云安全更像是一种“重型兵器”的降维打击。因此，我们所有的技术努力在让基础设施本身更加高可用、更高安全等级。

　　记者：5G与物联网、工业互联网结合将产生海量大数据，其应用正在从外围辅助环节向核心生产环节渗透，保障新基建的数据安全面临哪些挑战？

　　肖力：

　　2020年数据泄露呈现爆炸式增长，短短12个月内泄露记录比过去15年总和还多。

　　做好数据安全是一个复杂工程，可以说企业遇到的百分之八九十的安全风险最终指向的都是数据风险，而数据如同血液流动在IT基础设施的各个角落。基于阿里云实践，我们将数据安全挑战归结为三类：

　　盲人摸象：摸清数据资产情况

　　当企业意识到需要做数据保护的时候，往往已经有很多数据，这些数据散落在IT系统中的什么位置，是什么类型的数据，哪些数据需要重点保护，看不见也看不全。

　　而且传统情况下，数据库及存储类产品账号密码分散在各个开发人员手中，安全人员难以获得统一管理权限。

　　多如牛毛：敞口风险如何最小化

　　数据是流动的，可能会出现在企业业务各个环节、IT系统中各个角落，造成可能带来数据泄露的敞口风险变得动态和复杂，比如一个看似低危的漏洞、或者复杂系统中的老旧API都可能成为攻击者窃取数据的跳板，再比如数据访问权限管理不清晰很可能会被“内鬼”利用等等。

　　用保兼备：数据使用/分享/计算需要兼顾安全

　　数据只有被合理合法的有效使用才能成为企业的真正资产，但数据的使用、分享、计算不仅会面临各种合规要求，而且当数据在不同人、系统、网络中流动时会加大风险暴露面。数据作为新生产要素需要被高效利用，促进业务和经济的发展，联合研发、联合营销等多方计算场景需求出现，对数据被安全的使用也提出新要求……

　　传统环境下，数据本身以“孤岛”形式存在于企业各个服务器之上，访问日志数据也各自孤立，安全产品外挂模式又难与数据库类产品深度集成，从割裂、孤立的数据中能够分析得出的高价值信息非常有限，安全工作被局限于表面。云打通了数据的集约化发展，让深度的安全保护成为可能。比如阿里云的数据库产品，上线即安全保证产品自身攻击面最小化；其次，原生安全能力内置到基础设施，阿里云数据库产品具备存储加密、VPC隔离、BYOK、接口级权限控制等等十几项安全功能，用户购买的云产品本身就是安全又具备一定保护能力的。

　　记者：当前国内众多企业都在为新基建和数字化转型做准备，然而目前世界网络安全形势十分严峻，众多企业都遭受到黑客勒索，导致勒索事件频发的原因是什么？

　　肖力：

　　勒索软件的确是疫情发生后的主要攻击方法之一，2020年上半年增长了7倍，赎金要求是往年同期的4倍，最近的新数据显示全球有近一半的成功攻击都来自勒索软件。

　　造成勒索事件上涨的原因，我认为主要有以下三个方面：

　　一是越来越多的勒索病毒集成了丰富的攻击模块，不再只是传统地爆破弱口令，而是具备了自传播、跨平台和蠕虫的功能，如Lucky、Satan勒索病毒等。

　　二是云环境租户业务的多样性，不断出现的业务场景日趋复杂，使得用户展示给黑客的基础攻击面不断放大，持续面临漏洞的威胁。

　　三是企业安全意识不足，未做好口令管理和访问控制，因此给了黑客可乘之机。

　　不过云具备解决这个问题的天然优势，原生容器自备镜像快照功能，遇到数据被加密，用户通过这个功能快速恢复，完全不需要交付赎金。

　　记者：云时代，开源组件得到广泛应用，分布式异构计算也普遍存在，这就分别带来软、硬件层面的供应链安全风险。那么软、硬件的供应链安全应该从何做起？

　　肖力：

　　受益于开源软件与成熟的三方产品和服务的优势，国内互联网、金融行业快速发展。Synopsys公司最新报告显示，超过90%的现代应用融入了开源组件，平均每个应用包含超过124个开源组件，其中49%的开源组件存在高危漏洞。

　　在传统边界安全的防护理念下，安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。企业边界无限扩大后，面临的风险会随之增加，边界上任一节点的「安全性」被打破，攻击者就能通过这层信任链路，利用多种APT手段渗透到企业内部，窃取核心数据。

　　以往企业防护的策略，可以从梳理企业最有价值的资产开始，再看资产面临的最大潜在威胁是什么，基于威胁分级、资产分级的方式来循序渐进做治理。

　　在今天这种企业架构与软件开发形态下，越来越多的商业软件、硬件设备、开源项目被集成到企业的IT基础设施中，从而扩大了潜在的攻击面，让安全防御变得越来越复杂，以及充满着大量「不确定性」。攻击不再关注你是谁，只要你与被攻击目标的网络或业务存在关联，就会成为重点攻击对象。

　　风险主要来自于，首先，并不是所有的软硬件供应商都会自建完善的安全团队，对产品开展软件安全生命周期管理来确保其安全性。其次，三方软件供应商对安全的「漠视态度」，是导致攻击者频频入侵「轻易得手」的关键原因。

　　应对供应链攻击的三大建议：

　　一、梳理数字资产，建立物料清单：从最关键的供应商开始，将数字资产纳入安全评估体系。为每个硬件、应用程序持续构建详细的物料清单，全面洞察每个硬件、应用软件的组件情况。

　　二、慎选供应商，全链路加密和验签：降低对第三方组件、开源软件的依赖，选择可信度较高，对安全重视的供应商，加强信任链路的自主安全能力。

　　三、提升软硬件产品的安全发现能力：通过产品架构，或在产品设计中内置安全性，部署和启用恶意软件防护和检测能力，提升企业在遭受供应链攻击时的响应与恢复能力。

　　记者：在新基建的不断发展下，云原生安全还有哪些不足？未来的技术发展趋势是什么样的？

　　肖力：

       云安全技术乃至整个安全技术，经10到25年的发展，已到达了一定阶段，但仍存在多项问题：

　　第一，用户体验有待提升。安全产品或安全服务的用户体验是非常关键的，安全产品应服务于企业，当产品服务与企业需求紧密结合时，其应用性才能得到保证。因此产品的易用性是非常重要的，安全产品不应只有特定的企业或安全工程师才能使用，因为不是每个企业都有专业的业务人员。一个好的安全产品应该让每个人都可以非常便捷地使用检测、对抗、漏洞修复、安全防御等安全防护功能。

　　第二，安全效果需要增强。随着企业数字化、信息化的推进，企业的核心业务与数据都部署在信息系统或云端上，其安全的重要性不言而喻。云安全的防护效果直接决定了企业业务的稳定性和可连续性，但攻击方式逐年不断迭代，因此云安全防护的性能亟需提升；云安全是个复杂的体系，涉及信息系统各个层面，需要大量科研与人才的投入。

　　第三，安全产品的碎片化问题仍需改善。目前安全产品在设计上仍存在突出的片面化与碎片化问题。以隔离为主的传统安全体系催生出防火墙、入侵检测防御系统、WEB应用防火墙、统一威胁管理、上网行为管理探针、加密机等单一化的安全设备，导致网络安全工作呈分散割据化，影响安全与业务应用间的结合。未来安全产品将会统一且高度集成，同时得益于云计算能力的提升以及安全厂商的深厚技术积累，预计云安全产品将迎来重大突破，安全产品的碎片化问题会迎刃而解。

　　目前银行、证券、保险和央企等多个重要行业已逐步将业务转移到云上，未来更多的业务场景将会在云上实现，会形成混合云等不同形态的云。相比自建机房，云安全的投入开销更小且防护性能更强，通过“云、管、边、端”的协同，实现数据传输速度更快、数据处理实时性更强、计算环境更安全和稳定、定制化程度更高的业务解决方案，具有较强的优势。

　　云原生安全发展方向，我从安全技术和理念里两方面，总结为内置、前置两大关键词。

　　第一、内置-单点的防护能力打碎重组，融入基础设施本身；

　　第二、前置-在更上游的阶段考虑安全，树立一个信任和一个怀疑；

　　阿里云自身的安全实践已久，无论基于广义云原生还是狭义云原生概念，面向未来的几个技术趋势已经越来越清晰。

　　1. 安全成公共资源实现按需调用

　　大部分企业安全资源是非常有限的，却存在峰值流量和日常流量资源支撑差距过大的矛盾。比如阿里巴巴自身业务，双11无疑是一个流量峰值，而全年业务由一个峰值+多个波峰+波谷构成，峰值和波谷的区别可能非常大，安全没必要储备了大量“粮草”处于“待命”状态。安全能力服务化（SaaS化），是一个行业内展望已久的趋势。在云环境中，安全可以实现按需调用，业务系统上线只需要完成接入动作，安全保护随之而来。

　　2.基础设施天然具备检测防护能力

　　安全能力直接内置在基础设施节点中。流量通过某些节点时，比如SLB负载均衡和CDN边缘计算，直接完成安全检测。同一份带宽资源，业务提速做到无感保护。

　　遍布基础设施的各安全能力节点，面对风险如同开启了 “上帝视角”， 单点威胁实现全网秒级协同，提升了全IT环境的风险反应和处理速度。

　　3.攻击主动修复实现无感防御

　　十几年前我们做安全，系统不行全靠手动排查。修复过程业务不能下线，还要做到用户无感，导致后台的操作缓慢又痛苦。这种被迫降速，又进一步拉长攻击窗口期，提升了业务风险。

　　云原生安全可以把产生问题的难点在IT建设的时候就思考和解决掉，安全人员看到的是相对简单的统一控制台，通过业务逻辑来进行安全策略的配置，把精力聚焦到高价值的事情上。

　　新基建对新一代信息技术的应用，无疑会扩大暴露面，带来网络安全理念上的颠覆，需要我们坚持不断创新，用新理念、新手段来解决发展中出现的新问题。

　　当云作为IT基础设施，算力成为像水、电、煤一样的公共资源，这其中安全意味着什么不言而喻。我们也希望打造全世界最安全的云，在越来越复杂中，提供越来越简单的选择。