阿里雲肖力：為什麼雲上比雲下更安全？——企業必須知道的4個雲安全核心優勢

網際網路服務深入大眾生活，全球範圍黑客攻擊事件屢見不鮮。銀行賬戶餘額被盜取、住宅供熱控制系統被停用影響社會穩定和安全，對企業和資料網路的非法攻擊可能導致數十億美元的經濟損失。今天黑客的攻擊方式比以往任何時候都要複雜，層出不窮的威脅讓企業安全面臨更大的挑戰。

隨著企業數字化轉型，越來越多的安全支出投入到雲安全。分析機構Gartner預計，到2020年，基於雲的安全服務和產品將會達到90億美金，年複合增長率19.1%，超過傳統IT安全增速。在最近一次對美國CIA政府官員的採訪中，其明確表示CIA包括五角大樓將重要的系統遷移到雲上，雲安全優勢是政府上雲的重要考慮，甚至比雲本身的架構和彈性優勢更重要。雲安全的核心優勢到底是什麼？阿里雲安全認為主要涉及4個方面：預設安全、應急響應、威脅情報和更高安全等級的能力。

1、“預設安全” 先天優勢
在雲的場景下，雲基礎設施和安全天生融合。安全成為產品生命週期的基本組成部分，產品設計，安全先行。阿里雲在產品立項之初，就要求做到符合隱私、合規的需求；在產品架構設計階段，將標準化威脅建模植入到流程中，對產品做預設安全設計；在產品開發階段，產品將根據安全要求自評和測試；產品交付時進行安全檢驗和測試，並把控上線。全程確保阿里雲產品預設具備安全屬性。對客戶而言，只要使用阿里雲的產品，就天生具備安全能力，例如雲伺服器ECS、雲端儲存OSS、資料庫RDS都具備了服務端資料加密功能。

2、更先進的應急響應能力
雲安全擁有更快的“看見”和“響應”能力，阿里雲目前可以做到85分鐘應急響應，2小時完成從發現風險，到防禦策略釋出全過程。通過“高危漏洞預警 – 應急響應和分析 –最佳安全方案制定 – 智慧化修復 – 持續分析跟蹤風險”五個環節，保證應急響應的高效運轉。對中小企業或自身安全成熟度稍弱的企業來說，雲的快速響應、止血、修復的能力將極大提升其安全水位。2017年我們幫助企業修復了648萬高危漏洞，如果是在傳統IT環境下，眾多的企業需要逐個修復其安全漏洞，是不可能做到小時級應急響應全量修復，更難以形成雲上整體的安全防禦協同網路。

3、威脅情報驅動防禦不斷進化
雲端計算的場景決定了其安全防禦能力會永不停止的進化。今天阿里雲保護中國40%的網站，每天幫助企業防禦超過16億次攻擊。在服務百萬客戶的環境下，阿里雲安全團隊有機會第一時間看到最多的攻擊變種和最大的攻擊規模，並第一時間提供安全防禦策略。
今年4月30日，阿里雲安全團隊發現一起黑客利用0day漏洞獲取使用者資料的高危風險，影響所有使用Hadoop的客戶。安全團隊於當天釋出了攻擊攔截策略，對整個雲平臺預設防護。四周後，安全團隊觀察到，網際網路上利用此漏洞發起的攻擊大範圍傳播，而云上客戶對此無感知，雲平臺已提供天然保護。

4、更高安全等級的能力 全域性協同
在極高的安全需求場景下，阿里雲打磨出了更高安全等級的能力。阿里雲安全技術的起源是需要防護阿里巴巴自身安全，安全能力已在阿里自身的場景下驗證過。基於我們的技術積累和經驗，阿里雲安全團隊在2017年9月釋出企業雲安全架構，從11個維度，45個安全模組，向企業和機構展示，如何像構建阿里巴巴自身安全一樣，構建企業的雲安全架構。
隨著業務升級，阿里雲需要幫助一個省的民生政務上雲、甚至幫助國家關鍵基礎設施上雲、防護國家級外事活動。這些場景需要阿里雲安全具備更高安全等級的能力。從平臺層面的硬體安全、基於SGX的加密計算，到使用者層面的強訪問控制管理，全域性的威脅感知能力建設，都在高安全需求的場景下得到打磨、應用、提升。

可以看到的趨勢是，未來每個企業都將管理雲上的資產和業務，如何利用雲的優勢做好安全，對企業安全負責人而言，更多是對其思考方式的挑戰：雲端計算場景下做好安全的核心是，將注意力放在最終安全效果，而不是放在選擇哪類裝置或盒子上。安全產品SaaS化已經是必然趨勢，雲天生的預設安全能力＋適合企業的安全軟體服務＋安全運維能力，最終將幫助企業形成完整的雲上最小安全防護閉環。

作者：肖力

［作者簡介］ 肖力，阿里雲安全事業部總經理，阿里巴巴第一位安全工程師，曾負責阿里巴巴國際站（Alibaba.com）與中國站（1688.com）的安全。2009年領導阿里雲安全團隊，負責阿里雲整體安全建設、阿里云云盾產品。在企業安全、電商安全和雲安全領域積累了10多年的實戰與管理經驗。