安全性是所有云計(jì)算平臺(tái)都繞不開戶的核心，一個(gè)基礎(chǔ)常識(shí)是，所有客戶考慮是否上云的第一點(diǎn)因素，就是云的安全性，也正是這一點(diǎn)，促使云服務(wù)商們大力關(guān)注自身安全性，不論是亞馬遜還是阿里。

9月28日，阿里云在云棲大會(huì)之前，發(fā)布首個(gè)企業(yè)云安全架構(gòu)，以及《2017阿里云安全白皮書》（簡(jiǎn)稱白皮書）。

阿里云安全事業(yè)部總經(jīng)理肖力于現(xiàn)場(chǎng)表示，大量企業(yè)將業(yè)務(wù)部署在云端，但是國(guó)內(nèi)90%的企業(yè)都沒有自身的安全團(tuán)隊(duì)，安全水平不及格。僅有2%的公司會(huì)在安全上有較大投入。

IDC中國(guó)企業(yè)研究部高級(jí)分析師趙明宇也強(qiáng)調(diào)了云上安全的重要性，他對(duì)雷鋒網(wǎng)表示，IDC研究結(jié)果顯示，2016年全年，全球范圍內(nèi)，因安全事故造成超過一千億美元的直接經(jīng)濟(jì)損失；國(guó)內(nèi)也有超過一百億美元的損失。“今天，因?yàn)镮T安全事故所帶來的資產(chǎn)流失與業(yè)務(wù)流失是非常嚴(yán)重的?！?/p>

那么未來云的趨勢(shì)會(huì)是什么樣子的？

據(jù)IDC報(bào)告顯示，從2013年至2021年，公有云份額增加了20倍，充分融合進(jìn)各行各業(yè)。未來，在公有云上提供安全服務(wù)，是確定的市場(chǎng)趨勢(shì)。同時(shí)，IDC數(shù)據(jù)報(bào)告顯示，有60%的漏洞來源于應(yīng)用程序——也就是說，如今絕大多數(shù)漏洞，存在于應(yīng)用程序及網(wǎng)頁(yè)端。

如此高速增長(zhǎng)的背后，是需要警惕的黑產(chǎn)組織。

趙明宇表示，從2015年到2016年間，勒索軟件的種類從29種增加到247種。龐大增長(zhǎng)量的背后，黑色產(chǎn)業(yè)一直在不斷擴(kuò)大，這個(gè)情況十分恐怖。

據(jù)雷鋒網(wǎng)了解，從阿里云創(chuàng)立之初便有很多政務(wù)客戶，包括各地政府、智慧大腦、企事業(yè)單位等，云安全所直接影響的公信力在這項(xiàng)客戶一直以來的痛點(diǎn)。阿里云承載四成以上的外部網(wǎng)站以及應(yīng)用，包括手機(jī)端應(yīng)用、IT應(yīng)用等，面對(duì)過非常多的攻擊情況。也正因此，阿里云安全自身技術(shù)專家劉少杰表示，阿里云將智能安全能力歸結(jié)為三點(diǎn)：

• 第一，感知能力。包括威脅情報(bào)、攻擊預(yù)測(cè)等，只要在阿里云監(jiān)測(cè)范圍內(nèi)監(jiān)測(cè)到一條惡意試探，就會(huì)把偵查范圍擴(kuò)大，第一時(shí)間嘗試阻斷。

• 第二，溯源定位。有矛還要有盾，在感知危險(xiǎn)后，阿里云會(huì)啟動(dòng)不同級(jí)別的響應(yīng)措施，包括實(shí)時(shí)攔截、觀察模式、及時(shí)上報(bào)等7*24h服務(wù)。同時(shí)反向定位，溯源在什么地方、隸屬哪個(gè)組織、攻擊是什么特性。

• 第三，態(tài)勢(shì)感知。同時(shí)提供網(wǎng)絡(luò)防護(hù)的DDos、安騎士、Web應(yīng)用防火墻等免費(fèi)服務(wù)。

 

那么阿里企業(yè)云安全架構(gòu)具體是什么樣子？為適應(yīng)不同于PC時(shí)代的云上安全挑戰(zhàn)，阿里云企業(yè)云安全架構(gòu)提供了一種搭建更簡(jiǎn)單、更智能的安全架構(gòu)指導(dǎo)方案。

據(jù)雷鋒網(wǎng)了解，阿里云企業(yè)云安全架構(gòu)采用“平臺(tái)-用戶”雙層安全保障模式，系統(tǒng)闡述阿里云如何保護(hù)云平臺(tái)的安全和用戶的安全。涵蓋業(yè)務(wù)、運(yùn)營(yíng)、數(shù)據(jù)、網(wǎng)絡(luò)、應(yīng)用、主機(jī)、賬號(hào)、云產(chǎn)品、虛擬化、硬件、物理安全等11個(gè)維度共45個(gè)模塊，將安全武裝到了“牙齒”。企業(yè)可以根據(jù)這份指南搭建一個(gè)更簡(jiǎn)單、更智能的安全架構(gòu)，確保生產(chǎn)效率，創(chuàng)造更多的價(jià)值。

在平臺(tái)方面，阿里云打好了安全的地基；在用戶層面，用戶可選擇阿里云全棧安全模塊快速提升業(yè)務(wù)安全能力。

具體來講,可分為三部分:

• 第一是硬件安全方面。做安全的人都知道，越往底層越安全，如果芯片能夠提供安全功能，則可以說是最高頂級(jí)的安全保護(hù)。而這方面技術(shù)門檻非常高，且需要定制化。肖力對(duì)雷鋒網(wǎng)表示，阿里云接下來會(huì)推出像芯片級(jí)加密的服務(wù)，直接在CPU在芯片里面提供直接加密的服務(wù)，做到足夠的安全。

• 第二，云產(chǎn)品層面。對(duì)像ECS、OSS存儲(chǔ)、以及RDS類似的產(chǎn)品，在出廠之前會(huì)進(jìn)行整個(gè)安全的設(shè)計(jì)，包括安全框架以及代碼安全，確保用戶使用產(chǎn)品時(shí)是默認(rèn)安全的。

• 第三，數(shù)據(jù)安全。肖力表示，數(shù)據(jù)安全最核心的一個(gè)點(diǎn)，是要做好加密。提出完整全鏈路的數(shù)據(jù)加密方案。數(shù)據(jù)鏈路的安全上來后，目前ECS支持整個(gè)存儲(chǔ)盤的加密，對(duì)RDS支持整個(gè)透明加密，在存儲(chǔ)方面，云產(chǎn)品支持全鏈路的加密。另一方面芯片級(jí)的加密，包括引入第三方的硬件加密機(jī)給用戶提供更多更便捷不同安全等級(jí)的加密服務(wù)。

目前，阿里云實(shí)時(shí)保護(hù)著全國(guó)40%的網(wǎng)站，每天幫助客戶成功抵御16億次攻擊。過去一年里，阿里云已幫助用戶修復(fù)87萬個(gè)漏洞。

為了說明這個(gè)架構(gòu)可用性很高，肖力在發(fā)布會(huì)上還特別請(qǐng)到了阿里云的一個(gè)典型用戶：ofo 小黃車的 CTO 童長(zhǎng)飚。

據(jù)雷鋒網(wǎng)了解, ofo的安全運(yùn)維人員比大多數(shù)人想象中要少。他們靠的更多的是思考和工具。 ofo 的服務(wù)都架設(shè)在阿里云上，所以他們?cè)谶M(jìn)行安全運(yùn)維（也就是云安全架構(gòu)上面這部分）的時(shí)候，也更多地采用了阿里云提供的上層工具。

童長(zhǎng)飚表示,ofo的研發(fā)團(tuán)隊(duì)會(huì)依托阿里云的按照能力定義自己的安全指標(biāo)，其次,ofo會(huì)根據(jù)阿里云這種安全團(tuán)隊(duì)具備的運(yùn)營(yíng)能力來持續(xù)地對(duì)一些安全能力進(jìn)行交付。在這個(gè)前提下來構(gòu)建ofo完整的安全體系。

另外值得強(qiáng)調(diào)一點(diǎn)，ofo和阿里云合作第二點(diǎn)，是態(tài)勢(shì)感知上，阿里云安全團(tuán)隊(duì)提供完整的態(tài)勢(shì)感覺這種情報(bào)威脅API，對(duì)構(gòu)建自身的態(tài)勢(shì)感知產(chǎn)品是非常有幫助的。

此外,阿里云的日志收集系統(tǒng)能夠?yàn)閛fo提供全面的分析基礎(chǔ)數(shù)據(jù)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。