導讀:在數字化與上雲的趨勢下,越來越多的企業選擇將業務與數據存儲在雲端。阿里雲致力於建設數字經濟的基礎設施,為新基建打造智能安全底座。那阿里雲是如何為新基建保駕護航的?以下為來自CSDN記者與阿里雲資深產品專家葛岱斌交流後的觀察,與大家分享。
一場“黑天鵝”事件的發生,穩定經濟增長成為全球的當務之急。作為經濟發展新動能,在國內,以前沿科技為核心的新基建正在引領一場全新的智能升級與數字化轉型浪潮。
然而在機遇與挑戰並存的時代下,要說數字化轉型為機遇,那麼新基建下的“新安全”則成為這個時代最為嚴峻的挑戰之一。畢竟這一涉及到各行各業且在全速推進的新基建,倘若受到網絡攻擊,其影響範圍不再侷限於傳統網絡、雲端等層面,而是將從數字空間延伸到現實世界的物理空間,相比此前的安全事件影響只會有過之而無不及,甚至帶來「牽一髮而動全身」的效應。
不久前,阿里雲率先宣佈,未來 3 年再投 2000 億,加碼新基建,用於雲操作系統、服務器、芯片、網絡等重大核心技術研發攻堅和麵向未來的數據中心建設。在此基礎上,走在雲服務前線的阿里雲面對新基建“防護線”這道難題,究竟是如何解的?企業數字化轉型下又該遵循哪些安全準則?值此之際,CSDN 有幸獨家專訪了在網絡安全行業摸爬滾打 10 餘年的一線安全工程師、阿里雲資深產品專家葛岱斌,為我們分享阿里雲數字新基建的安全底座築造之路與核心技術。
一線安全工程師眼中的新基建“新”安全
新基建之下的安全即為數據安全。
在數字化與上雲的趨勢下,越來越多的企業選擇將業務與數據存儲在雲端,進而使用更為高效、低成本、安全穩定的雲端服務。不過,近幾年間,隨著 DDoS 攻擊、勒索攻擊、數據洩露等安全事件頻發,我們清晰地認知到,無論是 5G、雲計算、人工智能、物聯網等細分的技術,還是雲平臺、服務器及硬件等服務,無一不是安全的突破口與防護口。
新基建時代下,面對這道看不見摸不著且涉及範圍非常廣泛的安全防護門,傳統的“壁壘式建高牆”防護手段早已失效。
然剖開表象看本質,新基建的核心實際是數字化的基礎建設,無論運用哪一種前沿技術,最終都將體現到海量數據的採集、流轉、應用的流程之中。換而言之,新基建下的新安全與數據安全具有強相關性。
不過,在井噴式的海量數據之下,善守者,藏於九地之下,善攻者,動於九天之上,想要掌握新基建安全的主動權,即實現對內保證系統與產品的穩定,對外抵抗四面埋伏的攻擊,葛岱斌表示,可從兩大安全層面出發,逆向思考:
- 如何保證基礎設施安全?
- 在保證基礎設施安全之上,如何助力企業打造高等級安全能力?
如何初步保證基礎設施安全?
海量數據的流轉與應用最終的承載體必將是雲計算基礎設施。在雲計算時代,我們從單一的 IaaS 層面的應用,逐漸深入到 PaaS、SaaS 雲服務中,雲模式也囊括了公共雲、私有云、混合雲,乃至邊緣雲等多種。
不過以此為之支撐的基礎設施是否真的足夠安全,其實未必。
雖然當企業核心應用上雲後,雲基礎設施包含的許多新能力,能夠賦能業界更好地進行抗攻擊能力的研發,但在安全的世界裡,正如《我是誰:沒有絕對安全的系統》電影中一句經典臺詞所述,「人類才是系統中最大的漏洞。」
在真實的網絡及雲端安全環境下,葛岱斌也表示認同,整個安全態勢中,人永遠是最短的板。
那麼,如何讓人這塊板在安全領域相對地拔高以及讓基礎設施更有保障,以阿里云為例,在安全產品研發的第一步,葛岱斌表示,建設統一的默認安全防線。
所謂的默認安全防線,旨在雲平臺建設與雲產品開發與交付整個流程中,構建一套默認安全能力。在阿里雲內部,默認植入的安全基因主要遵循並實現了四大原則及能力:
最小權限原則
這一原則不僅適用於新基建下的安全雲產品,同樣適用於行走在安全道路上的開發者們。
在雲產品層面,葛岱斌表示,阿里雲的服務器、數據庫等雲產品默認最小必要權限,按照不同的業務需求,動態調整權限。
這樣帶來的主要好處是,無論從服務層面,還是管控層面,都可以做到最好的風險收斂,降低被惡意攻擊與利用時造成的損失,也可以幫助用戶在安全的起始點上位於一個較高的點。
DevSecOps安全開發流程
在日常的研發過程中,葛岱斌表示,在所有的應用及服務剛剛開始的同時,會對整個產品的架構進行安全評審,並對整個產品研發的流程進行持續性的安全的檢查與監控。
這樣保證了所有安全問題在第一時間及時發現並做到整改。
安全能力與雲產品深度集成
簡單來看,這一能力即為在低運營成本下,安全能力與產品實現深度集成與打通。
譬如開發了一套訪問控制、認證授權、安全加密、審計監控等功能之後,在安全能力與產品實現了深度集成後,無論在數據庫、存儲,還是計算層面,只要數據存在該雲產品中,均可以一鍵實現以上功能。
雲平臺默認安全能力
雲平臺默認安全的構建不僅可以確保產品在交付服務時處於一個很安全的狀態,在企業上雲過程以及雲產品部署使用過程中也能夠維持在一個比較高的安全水位。
基於以上的默認安全能力,不僅可以保證用戶在整個上雲過程中,到後續的應用部署均處於一個很安全的環境下,也可以大幅降低人為操作失誤帶來的重大安全風險。
如何助力企業打造高等級安全能力?
事實上,在數字化基礎建設下,將基礎設施安全地搭建起來後,最重要的是,需要將產生的海量數據更加安全地使用到商業化場景中,實現真正的業務化,讓其產生業務價值,能夠真正地為社會各行各業服務。
在此之下,阿里雲除了在默認安全能力之外,也大力投入研發了高等級安全能力。
相比默認安全,阿里雲的“高”等級安全能力,追根溯源,不僅因為其拿到了合規領域資質的“全滿貫”,從研發與應用角度來看,葛岱斌表示,更因為所有云原生的安全產品是基於雲基礎設施的能力研發而成的,也專門是為雲環境打造的。
這一點可從新舊安全產品的對比中可見一番,以防火牆為例,過去研發防火牆安全產品時,主要需要考量辦公網的出口流量從而進行設計,傳統防火牆架構設計一般不考慮彈性的伸縮與擴展,不過在企業雲化過程中,在將應用從本地遷移到雲環境時,無論是在互聯網業務還是電商場景中,乃至為政府提供市民服務,倘若流量不穩定,那麼在經歷大流量高峰時,沿用以前防火牆產品,必定無法滿足用戶的需求。這也是,時下諸多用戶在雲化過程中,發現原有辦公網中諸多安全產品使用面臨各種問題且難以確保效果的主要原因。
在構建的過程中,高等級安全能力藉助了很多雲原生能力開發而成。如大數據分析能力、網絡虛擬化能力、服務器快照、存儲備份等雲原生能力等。與此同時,葛岱斌表示,高等級安全能力也融入了諸多的前沿技術:
人工智能
以人工智能為例,阿里雲不僅在整個雲平臺的管控上,還有很多內外部的產品技術層面,均有 AI 深度的應用,可自主防禦絕大多數網絡攻擊。
「在雲安全中心、應用防火牆、雲防火牆、業務風控等產品中運用 AI,可極大地提升安全檢測的準確率和自動化能力。」對此,葛岱斌表示,比如人工智能的融入可讓安全打造自動化溯源能力。過往,安全工程師想要完成檢測,需要聯動響應,而這一過程需要非常高水平、經驗豐富的安全工程師、運營人員參與。時下,可以將工程師積累下的經驗培訓人工智能,借用雲上圖數據庫的計算能力,從而實現自動化的檢測與預判,由此在提升檢測準確率的同時降低了安全誤報率,並實現了安全響應閉環的自動化。為了保障新基建的業務高速變化發展,智能自動化是安全的必然之路。
可信計算和加密計算
憑藉雲原生安全體系的優勢,阿里雲從硬件層到應用層,完成了可信計算的縱向融合。不僅可以實現 TPM 虛擬化,支持雲平臺可信,也可以通過底層硬件能力幫助實現加密計算的能力,保證數據的可用不可見。
除此之外,阿里雲安全產品和整個基礎設施的完全融合也為高等級安全能力賦能。葛岱斌表示,整個基礎設施中不論是計算資源、還是網絡資源、亦或是存儲資源,均處於同一個雲平臺下。所有數據的貫通,IaaS 層、PaaS 層和 SaaS 層的能力融合,為安全的一體化提供更多的可能,這也允許安全工程師們更容易實現安全自動化、智能化的系列能力,並真正達到在雲上的高等級安全的能力。
安全工程師的成長路線
默認安全與高等級安全能力的強強結合與落地,阿里雲正在將雲能力無縫下沉,築造了更為安全的雲。不過,新基建領域涉及範圍之廣,也絕非一家企業亦或一夕之間可以完成 360 度全方位的防護,只有更多的企業與工程師參與進來,沒有絕對安全的網絡世界才能更為相對地安全。
最後,在安全工程師成長之路上,葛岱斌建議道,如果對雲安全感興趣的開發者,首先需明白「安全永遠建立在基礎設施之後,因此想要入門的第一件事是首先了解雲計算基礎設施,以及相關的整個基礎設施的技術演變。」
其次,對於安全工程師而言,要充分了解雲基礎設施的技術演進對安全的影響。無論是大數據的分析能力,還是人工智能的計算能力、加密計算等能力,均是雲基礎設施帶來的紅利,讓曾經做不到的安全能力在今天成為可能,並能夠真正的在實踐中應用以及產生價值。
在這個時代的開發者需要及時跟進雲基礎設施帶來的一些新技術,明白這些技術對安全層面的影響並去學習與探索。
因為安全一直在路上!
本文來源:CSDN
記者:屠敏
被訪人:阿里雲資深產品專家葛岱斌