數字化飛速發展的過程中，安全問題不容忽視。以勒索攻擊為例，2020年上半年攻擊量上升7倍有餘。面對愈加嚴峻的安全挑戰，阿里雲在以哪些原則及方式規劃整體安全佈局？

在 3 月 29 日阿里雲計算峰會上，阿里巴巴資深技術專家、阿里雲智能雲架構總監黃瑞瑞發表了《多維全面，構建雲上企業安全體系》主題演講，帶來這幾年原生安全的落地實踐經驗，並重點解讀如何以實戰攻防和原生安全能力來確保防護的有效性，構建安全雲上體系。

以下是內容整理。

---

大家好，今天非常高興來到深圳，針對雲上整體的多維企業安全體系，為大家帶來阿里雲安全的分享。在此之前，我們有必要先了解當前新常態下，我們到底在面對哪些新的威脅和挑戰，以及接下來將迎接哪些新趨勢。

雲環境趨勢下的安全驅動

首先看威脅

這一年時間裡非常明顯的看到勒索攻擊在以極其可怕的增速上漲，2020年上半年攻擊量同比增加7倍有餘。就在近日，硬件科技企業“宏碁”受到了勒索軟件的攻擊，攻擊者要求的贖金高達3.25億元。

在REvil勒索軟件網站上洩露的宏碁數據

第二是新趨勢

根據Gartner發佈的預測顯示，2024年IT開支用於上雲將達45%，由今天的33%到幾年後的45%，可以看到大家的IT支出傾向於上雲，這也代表了雲上雲下的支出是一半一半的，那麼我們需要思考，機遇與挑戰並存的環境中，需要如何從安全的角度應對這個新的趨勢？

第三是新挑戰

這個新的挑戰是從2020年開始，包括之前的2019年，我們能看到整體互聯網上的網安形勢越發嚴峻。前不久外交部也有提到，中國仍是網絡攻擊的主要受害者之一。

在越發嚴峻的網安情況下，我們如何建立雲上體系？在新威脅、新挑戰、新趨勢之下，我們該堅持哪些原則去構建雲上企業的安全體系呢？

構建雲上安全體系的原則標準

我希望在本次的分享中，用3個雙驅動和大家介紹。

· 業務與安全雙驅動

這意味著什麼？業務走到哪裡，安全跟到哪裡。你的業務無論部署在什麼樣的基礎設施，其安全能力必須到位。

· 防護與運營雙驅動

我們既有云上的環境，也有云下環境，各位企業用戶，大家要思考的是什麼？如何把雲上和雲下本身的安全防護和運營真正統一起來，達到高效、穩定、安全，這是緊迫又重要的問題。

· 合規與實戰雙驅動

我們之前說的合規是一個靜態的，去針對各個企業用戶上雲之後能夠達到，相對應的合規要求。但是老話說得好，光說不練假把式，在達到合規的要求之後，一定要有常態化的實戰攻防能力，只有和實戰攻防能力相結合，你所具備的合規能力才真正發揮作用。

下面我用3個客戶案例，闡述我們對於這3個維度的雙驅動整體的理解，以及阿里雲怎樣幫助客戶解決相對應的問題。

一、100%數據不丟失

對於雲上企業來說，數據或者是雲上數據本身就是業務生命線，如果雲上數據不存在，這個企業的業務就不復存在。阿里雲是全球首家對外推出原生防勒索方案的雲廠商，儘量保證雲上用戶數據100%不丟失。

我本人是安全技術人員，同時負責安全技術架構，我深知100%數據不丟失是非常嚴肅的問題。如何兼顧保障我們龐大的客戶群體做到數據不丟失？我用一個企業服務商的案例給大家說明。

這家客戶在使用阿里雲的解決方案之前，是雲上和IDC兩套防護體系，這會存在兩個消極影響：

· 運營成本更高；
· IDC缺乏對於勒索攻擊的防禦和相對應的手段，一旦勒索攻擊成功了以後，他真的被攻擊了，數據被惡意加密，沒有辦法恢復，這是在給業務埋下難以挽回的深雷。

阿里雲的雲上解決方案是用安全中心統一管理，我們會把雲上所有的勒索軟件、勒索攻擊相對應的情報分享給客戶，不但設置雲上的防勒索攻擊基線，同時雲下也可以設置相同的基線。

保障100%數據不丟失，一定要設置兜底方案，所以我們把重要的業務和核心文件自動化去雲上備份，這樣一來即便萬分之一的可能發生了，在攻擊面前，業務數據還是可以完整保留下來。

二、防護和運營的雙驅動

早在2016年，阿里云云盾 · 混合雲安全解決方案首次亮相，標誌著阿里雲上的安全能力與服務，可以輸出給專有云、本地機房的用戶，實現全場景覆蓋。

我們經過了大規模的業務挑戰和驗證，這裡可以用一個互聯網企業的案例展開分享。這個客戶本身用到了公共雲和專有云，但沒有集中的安全管控，因為業務合規的要求，需要跑在公網上，但由於沒有集中管控能力，業務運營是非常焦頭爛額的：

· 要在不同的系統中做兩套基本上一樣的工作；
· 沒有大規模的彈性計算資源去進行相對應的風險安全威脅的大數據分析；
· 這家業務的互聯網出口，在時刻面臨巨大的外部攻擊風險。

我們如何解決？首先做到了統一安全管理，其次利用了公共雲上本身的彈性資源，包括公共雲本身的安全防護能力提供相對應的保護。

最後，雲安全中心本身會利用公共雲海量的彈性計算能力，集中分析相對應的安全情報、安全威脅，可以做到快速分析並隨時提供相對應的安全防控能力，這樣就可以將公共雲和專有云上的安全風險兼顧處理。

三、檢驗並確保防護的有效性

在合規之上，我們還需要具有實戰化的能力，這裡帶來一個阿里雲實戰攻防案例分享。在2019年到2020年國家級安全攻防演練中，我們作為攻擊方連續兩年得分第一名。只有攻，才知道怎麼守，沒有失分，整體的溯源加分在1.6萬分之上。

針對企業的防守挑戰，作為演練攻擊方，我們認為有如下三點：

· 缺乏成體系的安全防護能力，自身也沒有完整佈局安全產品；
· 自身的安全技術團隊實戰經驗相對匱乏，會遺漏諸多數據資產和相對應的需要安全加固的檢查，抑或是發現了存在風險，內部安全團隊也無法加固防護；
· 準備時間較短，收到通知到真正做演練，只有數週可以發現和改善問題的時間。

我們是如何解決的？基於雲可以實現分鐘級別的快速資產盤點；在不同資產部署相對應的安全產品，完成多輪安全攻擊測試，針對業務中上百個業務系統進行了完整的安全加固。

最終幫助阿里雲客戶實現了防護零失分，大大超過了客戶的預期，這是阿里雲安全具有的真正的實戰攻擊和實戰攻防的能力。

阿里雲首個提出並實現，一體化雲原生安全架構

結合以上3個維度，我們來看阿里雲原生安全的本質特點。

• 必須業務和安全相結合，你的業務在我們的基礎設施上，自然而然就可以享受到我們本身的安全優勢；
• 我們雲上雲下安全防護方案是統一的；
• 攻防兼備的實戰能力。

我們逐一展開來看：

一、安全能力和基礎設施融合

我們基於硬件的高等級安全，從硬件到軟件，兩者相融合的相對應安全能力，同時我們是安全默認的融合內置安全。

阿里雲擁有超過30個雲安全產品，支持全面的數據加密能力，實現國際一流產品水平，在國內同樣遙遙領先。2020年我們發佈了108個雲產品的安全功能，這些不是單獨的安全產品，這108個雲產品的安全功能需要體現雙融合特質，我們希望任何業務使用任何的雲產品，都會有相對應雲產品自帶的安全功能提供，你的業務在哪裡，我們的雲安全能力就跟在哪裡。

二、雲上雲下安全統一的混合雲方案

我們說的是3個方面，一是公共雲，二是專有云，三是客戶的自建IDC。這3者合為一的架構體系下，如何實現安全統一，讓真正的防護安全運營和運維真正做到統一高效？

我們有統一的主機安全能力、統一的容器安全能力、統一的雲原生中心，統一的管理，包括全網，都提供安全統一的混合雲安全解決方案。

三、攻防兼備的實戰化能力

這個說起來很簡單，但是它並不是短期可以建設起來的。阿里雲安全的攻防兼備的實戰化能力，是長達11年持續化、常態化、實時化的進行攻防演練，服務阿里巴巴集團以及數百萬個企業客戶，不斷積累的實戰化攻防能力。

對應的威脅決策是全網聯動的，當任何一個用戶受到了單點攻擊，用戶所享受的安全策略、加固策略是整個阿里雲全網聯動的，我們可以在雲端用全局的視角布控，雲下智能算法會根據雲端整體企業優化的情報，在雲上、雲下都做到精準防禦。

---

最後總結一下，剛剛我提到的3個融合，3個雙驅動到底是什麼？

• 業務與安全的雙驅動，業務在哪裡，安全就跟隨在哪裡；
• 雲上雲下本身防護和運營的雙驅動；
• 合規與實戰的雙驅動。

過去我們服務了超過300萬個企業級客戶，我們也取得了一些成績。阿里雲是國內唯一整體安全能力，獲得國際權威研究機構認可大滿貫的雲廠商。

現今阿里云為300萬企業提供安全服務，幾乎每天成功抵擋60億次攻擊，2020全年做了66次高危漏洞應急響應，作為全球範圍內領先的有全面合規資質的一家公司，阿里雲有超過190項全球合規資質的認證。

我們希望能夠把我們的安全能力真正做到默認安全、普惠安全！謝謝大家。