肖力,現任阿里巴巴副總裁、阿里雲智慧安全總經理,深耕企業安全體系架構建設,具備近20年的實踐和管理經驗。參與了阿里巴巴、淘寶安全防禦體系的建設,以及安全技術團隊的組建和管理,並負責阿里巴巴集團安全體系構建,專注於雲計算安全領域戰略方向的研究。
阿里巴巴副總裁、阿里雲智慧安全總經理肖力
· 索 引 ·
雲安全推進者肖力:阿里雲助力大中小企業更好地實現雲端化;基礎設施變革帶來的雲原生安全是大勢所趨;目前雲安全在使用者體驗、安全效果和一體化上還有很大提升空間;雲端一體為使用者提供高安全性、高客製化的安全防護體系;多領域配合打造完整的資料安全保護框架;互聯時代下雲安全事業充滿機遇與挑戰,面向未來方可把握髮展脈絡。
· 目 錄 ·
雲安全的原生動力
基礎設施變化帶來安全體系的變化
雲安全的發展趨勢
零信任理念下的轉變
雲上資料安全
問題與挑戰
雲端一體的優勢
互聯時代下的新機遇
雲安全的原生動力
阿里雲安全建設的驅動力主要來源於兩個方面:一是雲平臺的需求,全量上雲的阿里巴巴作為電商平臺,涉及資產資料、客戶資訊等敏感資訊,因此,保障雲服務的安全,才能為客戶提供安全可靠、優質的服務;二是幫助其他大中小企業更好地實現雲端化,提升他們在雲上的能力,解決在業務轉型中遇到的問題。
基礎設施變化帶來安全體系的變化
雲安全在體系架構上有別於傳統安全廠商。從安全業務的角度而言,傳統安全廠商早期的安全業務一般專注於解決某個方面的安全問題,如專注上網行為管理,或者業務主要集中在防火牆,經過業務的單點切入後,再進行其他方面的扇形拓展。
而對於雲廠商,由於使用者都在雲上,其安全防護需要涉及各個層面,因此雲安全的業務不再是解決單一的安全問題,而是幫助使用者解決各種安全風險和挑戰,保證雲上企業業務的連續性和安全性。
隨著雲技術的發展與應用,傳統資訊系統中的硬體、網路、系統、應用等都被雲上的虛擬化產品所替代,且雲上使用者的裝置與系統等都是動態變化的,因此,傳統的系統安全、邊界安全等概念在雲安全中不再適用。
系統的基礎設施變化導致使用者在安全管理體系、安全組織架構等客體上發生了改變,相應的安全解決方案也隨之改進,整個安全體系也就產生了變革,雲原生安全應運而生。
雲原生安全要求雲廠商構建以使用者業務需求為導向的遞進式安全體系,提供從底層的雲平臺安全,到使用者側逐級向上的基礎安全、資料安全、應用安全、業務安全等方面更為全面、更具針對性的安全解決方案。
未來,雲安全的能力將全部融入到雲基礎設施中,雲原生安全能夠為使用者提供統一的安全產品或服務模式,使用者不再需要安全裝置,企業的安全管理和運營將不再是一種負擔,而是一種內建在基礎設施裡的預設能力。
雲安全的發展趨勢
目前,大部分的安全防護軟體是單機版且被嵌入在安全硬體裝置中,對外提供軟硬體一體的捆綁服務。該封閉化形式導致其防護能力有限,且存在一定應用侷限性。三年前,安全業界已清晰地認識到硬體安全防護裝置在將來一定會被替代。
隨著雲計算的快速發展和網路基礎設施的變化,以隔離作為主要安全手段的傳統方法在目前多租戶共享的雲場景下已經失效,傳統網路安全防護表現出的硬體盒子化特徵在將來也會被慢慢取締。雲平臺應用的普及使得物理計算資源共享情況逐漸深化,安全防護產品的去硬體化勢在必行,所以,
具有共享化、開放化的雲安全是大勢所趨。
雲安全或更加具體的雲原生安全是一系列基於雲端的安全服務產品,是安全的一種服務化形式。雲端的安全服務打破了安全裝置的生態封閉性,能夠將安全裝置與應用軟體進行有效的融合,使使用者可靈活地將安全軟體與自身業務需求結合,並形成安全裝置間的有效聯動防禦,以提升整體的安全性。
未來,大量使用者會採用雲端的安全服務或基於雲原生安全的服務,讓安全廠商更加關注雲上安全產品的開發,逐步實現安全左移,將安全能力全部融入到雲基礎設施裡,讓使用者無需考慮安全設施,整個企業的安全體系也變得更加精簡、高效且低成本。
因此,基於雲原生安全形式,在全生命週期中以業務為導向,解決安全問題,是未來雲安全的一大發展趨勢。
零信任理念下的轉變
零信任是安全體系的一個重要設計理念,與雲安全類似。傳統網路安全中,邊界隔離是企業安全防護的主要手段,而在
零信任概念下,最核心的變化在於從邊界安全到身份安全的轉變。
身份安全是零信任也是雲安全解決方案的基礎之一,在雲上進行身份的安全管理,是一種高效的安全防護方案。邊界安全防護產品最典型的代表就是防火牆,而目前防火牆市場需求量在不斷地下降,印證了零信任概念下、雲安全中的新舊邊界交替。
雲上資料安全
系統安全、網路安全、身份安全的核心目的之一是保證資料安全。狹義上的資料安全主要透過網路防護、系統防護以及資料的加解密、脫敏、審計等多種防護體系來保證資料的安全。
相比傳統資訊系統中的資料安全,雲上資料安全提出了更高的要求,
需要不同領域上的資料安全技術相互配合,並依靠網路安全和系統安全的保障,才能確保對資料的有效防護,
並保證雲上業務系統的安全性。
可信計算可保證資料在計算過程中的完整性和保密性,故可配合其他安全技術保證雲上資料安全。而這些技術在配合同時會對雲平臺效能及業務的效率和穩定產生一定的影響,因此,需結合多領域安全技術,並對產品的易用性、安全性、穩定性進行綜合考量,從中尋求最優解來保障雲上資料安全。
問題與挑戰
雲安全技術乃至整個安全技術,經10到25年的發展,已到達了一定階段,但仍存在多項問題:
第一,
使用者體驗有待提升。
安全產品或安全服務的使用者體驗是非常關鍵的,安全產品應服務於企業,當產品服務與企業需求緊密結合時,其應用性才能得到保證。因此,產品的易用性是非常重要的,安全產品不應只有特定的企業或安全工程師才能使用,因為不是每個企業都有專業的業務人員。一個好的安全產品應該讓每個人都可以非常便捷地使用檢測、對抗、漏洞修復、安全防禦等安全防護功能。
第二,
安全效果需要增強。
隨著企業數字化、資訊化的推進,企業的核心業務與資料都部署在資訊系統或雲端上,其安全的重要性不言而喻。雲安全的防護效果直接決定了企業業務的穩定性和可連續性,但攻擊方式逐年不斷迭代,因此,雲安全防護的效能亟需提升;雲安全是個複雜的體系,涉及資訊系統的各個層面,故需要大量科研與人才的投入。
第三,
安全產品的碎片化問題仍需改善。
目前,安全產品在設計上仍存在突出的片面化與碎片化問題。以隔離為主的傳統安全體系催生出防火牆、入侵檢測防禦系統、WEB應用防火牆、統一威脅管理、上網行為管理探針、加密機等單一化的安全裝置,導致網路安全工作呈分散割據化,影響安全與業務應用間的結合。未來,安全產品將會統一且高度整合,同時得益於雲計算能力的提升以及安全廠商的深厚技術積累,預計雲安全產品將迎來重大突破,安全產品的碎片化問題會迎刃而解。
雲端一體的優勢
雲端一體化是種具備層次化、區域化的“雲、管、邊、端”結構體系,共包含四層架構:第一層,即最核心的一層,是各中心機房組成的雲計算平臺;第二層是各城市的基站節點構成的連線管道,為使用者提供最近距離的雲端服務連線;第三層是邊緣計算端,負責為使用者提供就近的邊緣計算服務;第四層是涵蓋了各種計算終端裝置。
目前,銀行、證券、保險和央企等多個重要行業已逐步將業務轉移到雲上。未來,更多的業務場景將會在雲上實現,會形成混合雲等不同形態的雲。相比自建機房,雲安全的投入開銷更小且防護效能更強,
透過“雲、管、邊、端”的協同,實現資料傳輸速度更快、資料處理實時性更強、計算環境更安全和穩定、定製化程度更高的業務解決方案,具有較強的優勢。
互聯時代下的新機遇
在萬物互聯、雲端一體時代,安全的重要性不言而喻。雲計算呈高速發展的態勢,給雲安全帶來更多的需求,當多數企業都上雲後,雲安全的應用場景將更加多樣化。
未來10年將是雲安全發展的黃金階段,需要更多優秀的人才來維護和探索雲安全技術。
近幾年,大量各行業的優秀人才轉入到雲安全防線,這也是整個行業市場持續發展的一個印證。新晉從業人員的平臺切入點必須面向未來,需具有長遠的目光,關注未來3到5年會面對的挑戰、威脅,並做好相應的技術儲備。
未來,安全行業會隨著需求的變化而會不斷進化和改變,整個行業蓬勃發展,孵化出更多的安全公司、創業公司或孵化廠商。但年輕人創業時一定要保持初心,且銘記創新是創業的必要條件之一。
安全是一個高速發展的行業,安全人才是非常稀缺的,其市場價值也是非常明確的。未來幾年是雲安全行業高速發展的時刻,相信大家只要在這個行業不斷地創新,解決不同的安全問題,都會得到較好的發展。
阿里雲安全
國際領先的雲安全解決方案提供方,保護全國40%的網站,每天抵禦60億次攻擊。
2020年,國內唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場份額的絕對優勢佔據領導者地位。
阿里雲最早提出並定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網路、計算的保護能力,以及基礎設施深度融合推動安全服務化,支援彈性、動態、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早佈局機密計算、最全合規資質認證和使用者隱私保護的先行者,阿里雲從硬體級安全可信根、硬體韌體安全、系統可信鏈、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。
