除了算力，云為企業安全帶來了什麼？

11月3日，以

“計算·進化·未來”為主題的2022雲棲大會

在杭州舉辦。作為我國科技領域的一大峰會，雲棲大會以引領計算技術創新為宗旨，承載著計算技術的新思想、新實踐、新突破。從雲計算到資料智慧，從飛天作業系統到城市大腦，雲棲大會在雲棲小鎮傳遞創新火種，描繪計算未來。

隨著雲計算產業的發展，雲計算概念的普及和人們對雲計算技術認知的加深，企業客戶開始對雲計算服務有了更多的要求。面臨著越來越複雜的安全環境和威脅的逐漸擴大，企業對於安全不再侷限於邊界防禦，而是逐漸打破邊界，形成以云為基礎的新一代安全模式。在這個趨勢下，雲計算是如何改變企業的防護模式的？雲安全產品又具備哪些特點？為此，安在特別採訪了阿里雲首席安全官歐陽欣。

阿里雲首席安全官歐陽欣

雲改變了企業IT架構

在企業內部，數字化轉型的本質就是基於網際網路資訊科技，將企業運營管理的思維方式進行重構，以促進企業進行資訊化發展的方式。因此，企業的數字化轉型能夠打破傳統的生產模式，提升企業的核心競爭力。

在這個過程中，雲計算為企業數字化轉型帶來了非常大的助力。首先，雲計算為企業的發展提供了豐富的網路資源、低成本的管理構建能力以及穩定可靠的軟硬體設施等，其次，企業可以解決因數字化轉型帶來的網路、機房等資訊系統維護難、能耗成本大以及完善基礎設施等問題；再次，企業可以將傳統的資訊服務模式及結構進行充分的打破與更新，促進可持續發展。

雲計算還帶來了軟體開發部署模式的創新，透過將異構資源的標準化，雲計算解放生產力的同時，還提升了業務應用的迭代速度，併為業務創新提供了促進作用。根據Check Point釋出的《2022年雲安全報告》可以看到，近三分之二（61%）的受訪者在其雲部署中擁有DevOps工具鏈，這從根本上改變了企業軟體開發的方式，並進一步推動了業務與安全的融合。

對此，阿里雲智慧總裁張建鋒在雲棲大會上表示，雲重構了整個IT硬體體系，資料中心、晶片、伺服器等產業鏈發生深刻變化；軟體研發正規化發生深刻變革，Serverless、低程式碼、AI大模型開源等趨勢，大幅提升軟體生產效率；和端加速融合，算力從端轉移上雲，未來萬物皆是計算機。

雲帶來了新的安全模式

對於企業而言，上雲之後要做好安全最重要的有三件事情，第一，理解雲安全責任共擔模型，第二，用原生雲安全產品構建符合業務形態的縱深防禦體系，第三，持續動態的安全運營，三者缺一不可。

歐陽欣表示，企業上雲後，安全模式會有以下變化。

第一重變化是安全責任。

阿里云為客戶承擔了更多的安全責任，而且這個責任根據客戶購買的IaaS、PaaS、SaaS不同型別產品承擔不同的責任，無論如何客戶都不用在關心IDC機房安全等物理安全，這樣可以讓客戶更加聚焦到業務本身。

第二重變化是雲產品的原生安全能力。

阿里雲將安全能力內建到雲產品中，讓雲產品這輛車自己預設有安全帶，有剎車，有兒童鎖。企業基於雲搭建IT基礎設施自帶較強的免疫能力，從物理層到應用層的整體安全基線提升。

第三重變化是彈性。

企業上雲後，安全不再是一種固定資產，而是一種可以隨取隨用的服務和資源。企業不再需要關注複雜的硬體接入等問題，只需根據自身需求選擇合適的安全產品，即開即用，即關即走，彈性擴縮容，避免業務淡季安全資源浪費，業務波峰效能瓶頸等問題。

第四重變化是更加智慧。

雲上高算力的特點、資料的標準化和一致化，為AI落地安全提升了有利條件。阿里雲基於AI和大資料技術形成的新一代雲安全能力中樞體系，每天處理數萬億條安全資料，形成千億節點千億邊的全域安全威脅圖譜，而非單點安全域的知識圖譜。企業可以利用AI獲得更高的精準度、更快的應急響應速度以及更高效的運營速度。

最後是更透明的環境。

阿里雲是亞太權威資質最全合規服務商之一，切實遵守並落實相應的國際國內法規，並將眾多的合規標準融入雲平臺合規內控管理和產品設計中。此外，阿里雲還受到第三方監管，確保了透明、可信，實現平臺側與使用者相關操作日誌對使用者可見。

阿里雲的優勢與實踐

根據Gartner官網公佈的2021年阿里雲國際IaaS+PaaS解決方案記分卡可以看到，阿里雲IaaS基礎設施能力拿下全球第一，且在計算、儲存、網路、安全的評估中獲得最高分。作為迄今為止唯一入圍這份報告的中國雲廠商，阿里雲是如何一步一步提高自身的安全能力？

對此，歐陽欣表示，在2009年阿里雲成立後，隨之就成立了安全團隊。當時安全團隊的主要職責是維護好雲平臺，開發了雲盾以應對攻擊。2011年，阿里雲安全團隊與飛天一起設計了飛天安全架構，到了2012年，阿里雲已經在內部積累了很多安全攻防的經驗和能力，並將這些能力提供給客戶去保護他們自己的業務。

2012年，阿里雲推出了雲盾等一系列安全產品和服務，並通過了ISO等國際認證。目前，阿里雲已擁有完善的安全產品和解決方案，涵蓋雲主機安全、網路安全、應用安全、業務安全、身份安全，資料安全等等，並透過雲端SaaS化遠端交付的形式為缺少安全團隊的企業提供運營服務。

和傳統IDC相比，雲安全產品最大的優勢在於具備

雲的能力

。歐陽欣表示，阿里雲的雲安全產品可以根據使用者意願按需使用，彈性計費。例如，阿里雲防火牆、WAF、DDoS服務等原生安全產品支援按量付費、彈性後付費等多種服務模式，其中，阿里云云防火牆可以實現在業務波峰時同時接入數萬個IP，其快速擴容能力可見一斑。

雲上原生的安全產品還具備

極簡、易用

等特點。阿里雲透過將其雲上原生的安全能力與雲網絡的無縫整合，使安全產品具備了雲網絡極致彈性、易於部署的特點，同時賦能雲網絡，提供更安全的服務。例如，阿里雲DDoS防護與彈性公網IP整合而生的高防EIP，不需要架構改造就可以實現EIP上直接防護Tb級攻擊；阿里雲WAF與CDN整合，將防爬、web安全能力前置到業務邊緣，讓使用者在使用內容分發服務CDN獲得業務訪問加速的同時獲得安全保障；阿里雲原生辦公平臺SASE基於與雲網絡的整合，針對混合、多雲等異構環境可以將來自於全球不同終端的辦公流量快速收口，統一經過SASE安全檢測模組，構建零信任訪問體系。

當前雲的一個特別顯著的安全問題是雲產品配置不當，據阿里雲安全內部調研顯示，當前約90%的雲安全問題是使用者配置不當造成的，這不是技術問題，而是管理運維的問題。歐陽欣表示，面對這一問題，阿里雲推出了雲安全態勢管理產品（CSPM），這款產品可以有效解決安全配置和合規等問題。首先，透過持續性的對雲上產品的配置進行安全掃描，對使用者發生的不符合安全基線的問題一一告警，避免使用者因配置問題出現安全風險；其次，CSPM可以按照合規的要求定義每一條安全基線，滿足雲上使用者安全合規需求。

此外，由於雲的特性，安全管控大部分是可以遠端運維的，所以身份和訪問許可權的管理對比線下更加重要，特別是當一個身份失陷的時候，能否控制爆炸半徑、減少損失也是雲上使用者重點關注的問題。對此，歐陽欣表示，阿里雲安全將身份管理系統（IAM/IDaas）、資源管理系統（RAM）整合起來，推出了CIEM產品，針對身份、資源、許可權進行安全檢查，提供實施最小化許可權的能力，從而降低安全風險。同時基於阿里雲安全積累的異常威脅分析規則，動態的發現賬號盜用、許可權誤用和潛在惡意的使用者活動，並提供緩解方案。

由於雲上的資產是持續動態變化的，對應的安全也是動態的，有時間維度的。持續的安全運營是雲安全的最佳實踐，也是讓安全事件不發生的必要條件。

雲的統一管控特性，讓統一的威脅資料分析、檢測、調查、響應，溯源，威脅狩獵成為可能

。

最後，阿里雲安全還打造了雲原生化的SIEM，使用者無需安裝部署，可以有選擇性地對接多賬號和各類安全資料、網路日誌和雲產品原始日誌，並達到了從雲上整體安全風險態勢到微觀風險的全面監控。目前，阿里雲安全已經支援雲上11大類產品的32種日誌，客戶可以在一個統一的控制檯上進行跨賬號、跨產品的告警處置、調查、溯源。

在威脅分析層面，SIEM支援多類檢測引擎、場景化和關聯規則能力，有效降低處置事件數量，整體告警壓縮率達到75%，提升運營效率。同時發現攻擊前置階段收集資訊行為或者淪陷後橫向移動的行為特徵，提供更深層次的威脅事件洞察。

為了降低使用者的運營成本，SIEM還可以基於安全事件的分析結果對失陷主機、惡意IP、域名、URL等下發處置任務，聯動主機安全、容器安全、雲防火牆、WAF等多類安全產品進行全網響應，有效縮短威脅防禦時間，提升使用者整體雲上安全運維效率。

尾聲

今年的雲棲大會已然落幕，阿里雲在安全方面的步伐卻從未止步。除了對安全產品的建設外，阿里雲安全對於合作伙伴的建設也在始終進行中。11月4日，阿里雲在雲棲大會上成立了雲安全夥伴聯盟。對此，歐陽欣表示，阿里雲在此之前就已經和很多安全廠商共享合作，未來，他希望能夠有更多的安全廠商加入進來，為客戶提供更豐富的服務和更全面的領域，阿里雲希望攜手安全合作伙伴、雲上租戶一起守護好雲上安全。

詳情請關注安在新媒體—人物、熱點、互動、傳播，有內涵的資訊保安新媒體。