本文來源：網(wǎng)絡空間安全之路

肖力，現(xiàn)任阿里巴巴副總裁、阿里云智能安全總經(jīng)理，深耕企業(yè)安全體系架構建設，具備近20年的實踐和管理經(jīng)驗。參與了阿里巴巴、淘寶安全防御體系的建設、安全技術團隊的組建和管理，并負責阿里巴巴集團安全體系構建，專注于云計算安全領域戰(zhàn)略方向的研究。

“我和我的網(wǎng)安之路”是對國內(nèi)網(wǎng)絡安全大咖的系列專訪，他們中有國內(nèi)頂級網(wǎng)絡安全學者、著名白帽子、CTF挑戰(zhàn)賽冠軍、名校教授、權威測評機構專家、青年創(chuàng)業(yè)者等。通過傾聽一線網(wǎng)安從業(yè)者真實的聲音，向大家呈現(xiàn)當今網(wǎng)絡安全世界的生動景象。

本文是第23篇《云安全推進者之路》。

肖力，阿里巴巴副總裁、阿里云智能安全總經(jīng)理

· 索 引 ·

云安全推進者肖力：阿里云助力大中小企業(yè)更好地實現(xiàn)云端化；基礎設施變革帶來的云原生安全是大勢所趨；目前云安全在用戶體驗、安全效果和一體化上還有很大提升空間；云端一體為用戶提供高安全性、高客制化的安全防護體系；多領域配合打造完整的數(shù)據(jù)安全保護框架；互聯(lián)時代下云安全事業(yè)充滿機遇與挑戰(zhàn)，面向未來方可把握發(fā)展脈絡。

目 錄

云安全的原生動力

基礎設施變化帶來安全體系的變化

云安全的發(fā)展趨勢

零信任理念下的轉變

云上數(shù)據(jù)安全

問題與挑戰(zhàn)

云端一體的優(yōu)勢

互聯(lián)時代下的新機遇

一、云安全的原生動力

阿里云安全建設的驅(qū)動力主要來源于兩個方面，一是云平臺的需求，全量上云的阿里巴巴作為電商平臺，涉及資產(chǎn)數(shù)據(jù)、客戶信息等敏感信息，因此保障云服務的安全，才能為客戶提供安全可靠、優(yōu)質(zhì)的服務。二是幫助其他大中小企業(yè)更好地實現(xiàn)云端化，提升他們在云上的能力，解決在業(yè)務轉型中遇到的問題。

二、基礎設施變化帶來安全體系的變化

云安全在體系架構上有別于傳統(tǒng)安全廠商。從安全業(yè)務的角度而言，傳統(tǒng)安全廠商早期的安全業(yè)務一般專注于解決某個方面的安全問題，如專注上網(wǎng)行為管理，或者業(yè)務主要集中在防火墻。經(jīng)過業(yè)務的單點切入后，再進行其他方面的扇形拓展。

而對于云廠商，由于用戶都在云上，其安全防護需要涉及各個層面，因此云安全的業(yè)務不再是解決單一的安全問題，而是幫助用戶解決各種安全風險和挑戰(zhàn)，保證云上企業(yè)業(yè)務的連續(xù)性和安全性。

隨著云技術的發(fā)展與應用，傳統(tǒng)信息系統(tǒng)中的硬件、網(wǎng)絡、系統(tǒng)、應用等都被云上的虛擬化產(chǎn)品所替代，且云上用戶的設備與系統(tǒng)等都是動態(tài)變化的，因此傳統(tǒng)的系統(tǒng)安全、邊界安全等概念在云安全中不再適用。

系統(tǒng)的基礎設施變化導致用戶在安全管理體系、安全組織架構等客體上發(fā)生了改變，相應的安全解決方案也隨之改進，整個安全體系也就產(chǎn)生了變革，云原生安全應運而生。

云原生安全要求云廠商構建以用戶業(yè)務需求為導向的遞進式安全體系，提供從底層的云平臺安全，到用戶側逐級向上的基礎安全、數(shù)據(jù)安全、應用安全、業(yè)務安全等方面更為全面、更具針對性的安全解決方案。

未來云安全的能力將全部融入到云基礎設施中，云原生安全能夠為用戶提供統(tǒng)一的安全產(chǎn)品或服務模式，用戶不再需要安全設備，企業(yè)的安全管理和運營將不再是一種負擔，而是一種內(nèi)置在基礎設施里的默認能力。

三、云安全的發(fā)展趨勢

目前大部分的安全防護軟件是單機版且被嵌入在安全硬件設備中，對外提供軟硬件一體的捆綁服務，該封閉化形式導致其防護能力有限，且存在一定應用局限性。三年前安全業(yè)界已清晰地認識到硬件安全防護設備在將來一定會被替代。

隨著云計算的快速發(fā)展和網(wǎng)絡基礎設施的變化，以隔離作為主要安全手段的傳統(tǒng)方法在目前多租戶共享的云場景下已經(jīng)失效，傳統(tǒng)網(wǎng)絡安全防護表現(xiàn)出的硬件盒子化特征在將來也會被慢慢取締。

云平臺應用的普及使得物理計算資源共享情況逐漸深化，安全防護產(chǎn)品的去硬件化勢在必行，所以具有共享化、開放化的云安全是大勢所趨。云安全或更加具體的云原生安全是一系列基于云端的安全服務產(chǎn)品，是安全的一種服務化形式。

云端的安全服務打破了安全設備的生態(tài)封閉性，能夠?qū)踩O備與應用軟件進行有效的融合，使用戶可靈活地將安全軟件與自身業(yè)務需求結合，并形成安全設備間的有效聯(lián)動防御以提升整體的安全性。

未來大量用戶會采用云端的安全服務或基于云原生安全的服務，讓安全廠商更加關注云上安全產(chǎn)品的開發(fā)，逐步實現(xiàn)安全左移，將安全能力全部融入到云基礎設施里，讓用戶無需考慮安全設施，整個企業(yè)的安全體系也變得更加精簡、高效且低成本。

因此，基于云原生安全形式，在全生命周期中以業(yè)務為導向，解決安全問題，是未來云安全的一大發(fā)展趨勢。

四、零信任理念下的轉變

零信任是安全體系的一個重要設計理念，與云安全類似。傳統(tǒng)網(wǎng)絡安全中，邊界隔離是企業(yè)安全防護的主要手段，而在零信任概念下，最核心的變化在于從邊界安全到身份安全的轉變。

身份安全是零信任也是云安全解決方案的基礎之一，在云上進行身份的安全管理，是一種高效的安全防護方案。邊界安全防護產(chǎn)品最典型的代表就是防火墻，而目前防火墻市場需求量在不斷地下降，印證了零信任概念下、云安全中的新舊邊界交替。

五、云上數(shù)據(jù)安全

系統(tǒng)安全、網(wǎng)絡安全、身份安全的核心目的之一是保證數(shù)據(jù)安全。狹義上的數(shù)據(jù)安全主要通過網(wǎng)絡防護、系統(tǒng)防護以及數(shù)據(jù)的加解密、脫敏、審計等多種防護體系來保證數(shù)據(jù)的安全。相比傳統(tǒng)信息系統(tǒng)中數(shù)據(jù)安全，云上數(shù)據(jù)安全提出了更高的要求，需要不同領域上的數(shù)據(jù)安全技術相互配合，并依靠網(wǎng)絡安全和系統(tǒng)安全的保障，才能確保對數(shù)據(jù)的有效防護，并保證云上業(yè)務系統(tǒng)的安全性。

可信計算可保證數(shù)據(jù)在計算過程中的完整性和保密性，故可配合其他安全技術保證云上數(shù)據(jù)安全。而這些技術在配合同時會對云平臺性能及業(yè)務的效率和穩(wěn)定產(chǎn)生一定的影響，因此需結合多領域安全技術，并對產(chǎn)品的易用性、安全性、穩(wěn)定性進行綜合考量，從中尋求最優(yōu)解來保障云上數(shù)據(jù)安全。

六、問題與挑戰(zhàn)

云安全技術乃至整個安全技術，經(jīng)10到25年的發(fā)展，已到達了一定階段，但仍存在多項問題：

第一，用戶體驗有待提升。安全產(chǎn)品或安全服務的用戶體驗是非常關鍵的，安全產(chǎn)品應服務于企業(yè)，當產(chǎn)品服務與企業(yè)需求緊密結合時，其應用性才能得到保證。因此產(chǎn)品的易用性是非常重要的，安全產(chǎn)品不應只有特定的企業(yè)或安全工程師才能使用，因為不是每個企業(yè)都有專業(yè)的業(yè)務人員。一個好的安全產(chǎn)品應該讓每個人都可以非常便捷地使用檢測、對抗、漏洞修復、安全防御等安全防護功能。

第二，安全效果需要增強。隨著企業(yè)數(shù)字化、信息化的推進，企業(yè)的核心業(yè)務與數(shù)據(jù)都部署在信息系統(tǒng)或云端上，其安全的重要性不言而喻。云安全的防護效果直接決定了企業(yè)業(yè)務的穩(wěn)定性和可連續(xù)性，但攻擊方式逐年不斷迭代，因此云安全防護的性能亟需提升；云安全是個復雜的體系，涉及信息系統(tǒng)各個層面，故需要大量科研與人才的投入。

第三，安全產(chǎn)品的碎片化問題仍需改善。目前安全產(chǎn)品在設計上仍存在突出的片面化與碎片化問題。以隔離為主的傳統(tǒng)安全體系催生出防火墻、入侵檢測防御系統(tǒng)、WEB應用防火墻、統(tǒng)一威脅管理、上網(wǎng)行為管理探針、加密機等單一化的安全設備，導致網(wǎng)絡安全工作呈分散割據(jù)化，影響安全與業(yè)務應用間的結合。未來安全產(chǎn)品將會統(tǒng)一且高度集成，同時得益于云計算能力的提升以及安全廠商的深厚技術積累，預計云安全產(chǎn)品將迎來重大突破，安全產(chǎn)品的碎片化問題會迎刃而解。

七、云端一體的優(yōu)勢

云端一體化是種具備層次化、區(qū)域化的“云、管、邊、端”結構體系，共包含四層架構。第一層，即最核心的一層，是各中心機房組成的云計算平臺。第二層是各城市的基站節(jié)點構成的連接管道，為用戶提供最近距離的云端服務連接。第三層是邊緣計算端，負責為用戶提供就近的邊緣計算服務。第四層是涵蓋了各種計算終端設備。

目前銀行、證券、保險和央企等多個重要行業(yè)已逐步將業(yè)務轉移到云上，未來更多的業(yè)務場景將會在云上實現(xiàn)，會形成混合云等不同形態(tài)的云。相比自建機房，云安全的投入開銷更小且防護性能更強，通過“云、管、邊、端”的協(xié)同，實現(xiàn)數(shù)據(jù)傳輸速度更快、數(shù)據(jù)處理實時性更強、計算環(huán)境更安全和穩(wěn)定、定制化程度更高的業(yè)務解決方案，具有較強的優(yōu)勢。

八、互聯(lián)時代下的新機遇

在萬物互聯(lián)、云端一體時代，安全的重要性不言而喻。云計算呈高速發(fā)展的態(tài)勢，給云安全帶來更多的需求，當多數(shù)企業(yè)都上云后，云安全的應用場景將更加多樣化。

未來10年將是云安全發(fā)展的黃金階段，需要更多優(yōu)秀的人才來維護和探索云安全技術。近幾年大量各行業(yè)的優(yōu)秀人才轉入到云安全防線，這也是整個行業(yè)市場持續(xù)發(fā)展的一個印證。

新晉從業(yè)人員的平臺切入點必須面向未來，需具有長遠的目光，關注未來3到5年會面對的挑戰(zhàn)、威脅，并做好相應的技術儲備。未來安全行業(yè)會隨著需求的變化而會不斷進化和改變，整個行業(yè)蓬勃發(fā)展，孵化出更多的安全公司、創(chuàng)業(yè)公司或孵化廠商。但年輕人創(chuàng)業(yè)時一定要保持初心，且銘記創(chuàng)新是創(chuàng)業(yè)的必要條件之一。

安全是一個高速發(fā)展的行業(yè)，安全人才是非常稀缺的，其市場價值也是非常明確的。未來幾年是云安全行業(yè)高速發(fā)展的時刻，相信大家只要在這個行業(yè)不斷地創(chuàng)新，解決不同的安全問題，都會得到較好的發(fā)展。

文章來源于：網(wǎng)絡空間安全之路

作者：阮丹陽

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。