阿里雲葛岱斌：讓天下沒有難做的安全運維

作為一個熱愛看喪屍片的女編輯，我曾被多位宅客頻道同事吐槽口味很重。

天啦嚕，我只是喜歡看喪屍圍城這種精彩刺激的情節，哪像有些同事去排隊搶過優衣庫與KAWS合作T恤，這才是現實版“殭屍大戰”好麼？

賽博世界的“另類喪屍臨城”也很有意思。

一種是喜悅劃過嘴角，業務量上漲，尤其如果平臺搞了大促，使用者一擁而上，這種簡稱為“人肉版”DDoS。還有一種是正經 DDoS，別想了，就是有人要搞你，比如最常見的遊戲業，如果一款遊戲爆火，它的安全做得又那麼隨意，眼紅的競爭對手可能要派攻擊者來搞一把DDoS。

這類“殭屍大軍”會堵在“門口”，不讓真正的使用者使用業務，或者頻繁無效地搶佔業務入口，搞癱系統。可怕的是，發展到現在，黑產已經可以用少量的頻寬打出巨量的 DDoS 攻擊，輕而易舉地把一個系統打趴下。

就像懵懂無知的年代，如果一個男生被欺負，可能會憤憤不平地對方說：放學你別走。然後，找一堆“兄弟”前去助陣。

一般企業平常沒有儲備對抗上T大流量攻擊的能力，但他們想到了一個辦法——上公有云，號召五湖四海的“兄弟”，一起抗衡超大流量的攻擊。

我們把這種動作稱為“雲化”。

換了一個環境，安全迎來挑戰，很多安全公司提出了自己的解法和產品，甲方爸爸要做的就是捋清楚自己的需求，花錢購買安全產品和服務，像串羊肉一樣串好自己買的“武器”，這是一種解法。

另一種解法則是由公有云安全廠商提出，他們的理念是，既然我們提供了最好用的雲，我們也要提供最好用的雲安全產品和服務，後者的核心是“雲原生安全能力”。

知己知彼

雲的原生安全能力有什麼不一樣？以佔據國內公有云市場大半江山的阿里云為例。

既然強調“原生”，與前一種解法的不同當然是“統一”： 統一的身份接入、統一的網路安全連線、統一的主機安全以及統一的整體全域性管理。

無論是將軍帶兵打仗，還是企業安全守衛者與攻擊者對陣，最重要的一條兵法就是“知己知彼”。雲原生安全能力中的其中三項能力都是為此努力。

第一，瞭解自己有什麼，邊界線在哪裡，有哪些薄弱點，哪裡正在遭受入侵。

雲的天然優勢是“網路的虛擬化排程能力”，企業可以清晰的看到自己主機東西南北向的流量，統一管理好自身邊界安全問題，包括對外的安全邊界以及內部資產之間的安全邊界，公網資產暴露情況、埠暴露情況，甚至是正遭受攻擊的情況一目瞭然。

第二，如果說第一條是從自身角度出發，我們還需要知道“大局”。

雲具備實時的全網威脅情報監測和分析能力，打破單點視線的侷限，知道整體環境的“變化”。但這還不夠，如果一有風吹草動，士兵就得出動勘察及作出行動，對於現實戰爭而言，可能還可行，但是對於網路威脅而言，完全行不通，天知道浩如煙海的威脅告警中哪些應該真正值得注意？就算人力可以分析，問題是沒有這麼多人力可以實時待命，所以從發現威脅到主動防禦的自動化響應是一項迫切的要求。

第三，我要知道什麼人是我的員工，員工是否正在幹許可權範圍內的事情，但是如果企業內部業務系統太多，怎麼辦？當企業擁抱雲並享用SaaS級服務帶來效能的同時，基於雲的統一身份管理認證成為關鍵。

企業安全事件中有接近50%都是員工賬戶許可權問題導致的。基於雲的 API 化等原生能力，企業可以對身份許可權進行統一的認證和授權，並可以在動態環境中授於不同人不同許可權，讓任何人在任何時間、任何地點，以正確、安全、便捷的訪問正確的資源。

安全的本質是為了保障業務的連續、順利進行，如果還能提升業務效率，簡直就是享受買一送二的增值喜悅。

雲原生安全能力的後三項是為“知彼”準備的。

它堅守的 第一條準則是，“我知道攻擊者一定都是時時存在，並且鍥而不捨，所以我要把自己打造得更安全”。將安全下沉到底層硬體與可信環境是一種選擇，但是困境依然是：沒人沒錢，成本高，但是雲原生內建的安全晶片就不一樣了，公有云廠商將安全晶片的底層硬體能力開放給使用者，並構建可信環境，很簡單，不需要使用者自己辛苦布人佈局，且“眾籌”給公有云的成本要低很多。

第二條準則是，“我知道攻擊者一定會盯上我最寶貴的資料，我知道它想要這個”。未來隨著資料安全、使用者隱私資料保護要求越來越高，全鏈路的資料加密一定是雲上企業的最大需求。基於雲原生作業系統的加密能力，秘鑰由企業自己保管，無論是雲服務商、外部攻擊者、內部員工沒有秘鑰都無法看到資料。

第三條準則是，“我知道無論自己怎麼預防，攻擊者都會來，所以我要比預防還快一步”。在雲和網際網路模式背景下，業務的頻繁調整和上線對業務流程安全提出了更高的要求，從源頭上做好安全才能消除隱患。基於雲的原生能力，安全可以內建到全流程的設計開發過程中，確保上線即安全。

混合雲的需求

問題來了，企業上雲不是一個一蹴而就的“動作”，而是一個時間跨度比較長的過程。越是大型的企業，歷史包袱越重，上雲的時間越長。

還有一些企業自己的業務做得好好的，本來沒有上雲的需要，突然要做一些創新的業務需要上雲。

因此，可能出現一個在“公有云”“私有云”“專有云”中排列組合遊戲：混合雲，也就是說，企業中可能有好幾朵雲，那麼，這與公有云的雲原生安全能力所說的“統一”又有什麼用，難道能在本地與公有云，或者幾朵雲用一套雲安全方案嗎？

有這種解法。

阿里雲智慧安全總監葛岱斌說， 混合雲安全方案的形成其實靠使用者發展需求或者遭遇的安全事件驅動。

【葛岱斌，每次想到這個辛苦打造的方案，他就露出蒙娜麗莎式微笑】

有一家企業用了四朵雲，並用專線把四朵雲打通，一天，企業發現自己遭遇了蠕蟲式病毒，剛開始，他只在阿里雲上應用了雲安全中心，心想要不也在其他幾朵雲上部署一下安全中心，看看其他雲有沒有受到影響，結果發現其他雲已經中毒了。

這是第一個需求：能否給四朵雲應用同一套安全中心，就像一個有錢業主在四個小區都有房，業主心想：這四套房要是都由同一個物業公司管理，有一樣的安保系統就好了。

還有一種需求是，降低運營成本，保證業務的連續性，就像開頭提到的“殭屍大軍”的故事一樣，把本地接給公有云，扛住攻擊。

但是混合雲還有“天然的基因缺陷”：不一樣的資源管理、不同的底層架構、不一致的安全工具。

從原生能力落地的化繁為簡

葛岱斌思考，混合雲安全主打的雲原生安全能力應該落在四個方面。

採用混合雲時，安全的邊界變得模糊不清，怎麼縮小邊界？

身份成了最小的邏輯邊界。

“這時需要一個統一的身份認證，到底有哪些人可以訪問應用，如何訪問，有哪些應用的許可權。以前做法是內外網分屬不同系統，我們希望給他一個統一的身份認證體系，不管是外網使用者還是內網使用者，無論認證源是設在公共雲還是在私有云上都可以，只要認證一次就行。”葛岱斌對宅客頻道說。

就像現在的有些大學校園沒有圍牆，但師生進入各類實驗室要靠刷卡或刷臉，虛擬環境給了使用者一把更強大的“鑰匙”：只要認證一次，就被系統記住，更加便利。

除了將身份變成邊界，還可以把邊界擴大到“無垠”：專有云和私有云不需要有網際網路的暴露面，將所有流量入口放在阿里雲上，無論是內部員工還是外部使用者，訪問的都是阿里雲的介面，雖然使用者和攻擊者都不知道流量已經悄悄回到了企業內部的IDC中，暴露面降低，則安全風險降低。

“以前設定一個DMZ區（邊界區），所有的流量經過這個DMZ區，但是現在流量全部從阿里雲過來，相當於把邊界交給了阿里雲，阿里雲是你的邊界，我只要把阿里雲的邊界做好。”面對潛在的攻擊者，葛岱斌祭出“虛晃一招”，企業則從原來“僱了幾個保安”轉變到將安保工作交給了“安保公司”。

這一招也叫作“統一介面”。

有些使用者有自己的機房，後來因為業務需求把一部分業務放到公有云上，還有的使用者有幾萬臺分散式的伺服器，如果雲上有一套安全系統來管理安全，線下伺服器的安全怎麼管理？幾個地方的伺服器怎麼管理？

就像前面提到被蠕蟲病毒侵蝕的四朵雲的使用者，伺服器的安全其實可以被統一起來，無論線上線下，通通交給雲安全中心。還可以把探針部署到其他雲平臺上做統一的檢測，做統一的響應，因為只要所有云的 API 介面也開放了，雲安全中心就可以呼叫 API 做響應。

和想要由同一個物業來管理自己四套房子的房主一樣，安全管理也可以統一，不過，有些政企使用者的考慮是，大部分資產線上下，只有少部分資產在雲上，如果使用統一管理平臺，乾脆直接將控制檯從雲上搬到雲下也是可選的選項。

“ 我們想要做的就和整個阿里巴巴的理念一樣，讓天下沒有難做的生意，讓天下沒有難做的安全運維。”葛岱斌對宅客頻道說。

說白了，這一套混合雲安全方案的直接目的並不是像安全服務提供商一樣做可以掙錢的安全方案，而是讓阿里雲飄得更遠，被雲覆蓋的使用者以更低的成本、更少的專業安全人員、更輕盈的方式獲得更大的安全。

天下武功路數紛繁，阿里雲安全想做的，是化繁為簡，更少地向對手暴露“薄弱面”的同時，打破威脅情報、資料、運維的藩籬，登泰山頂，眾山動向一覽無遺。

賽博世界如同戰場，隨時面臨威脅，沒有人可以做到永遠安全，但安全可以更簡單。

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。