作為一個熱愛看喪尸片的女編輯，我曾被多位雷鋒網(wǎng)同事吐槽口味很重。

天啦嚕，我只是喜歡看喪尸圍城這種精彩刺激的情節(jié)，哪像有些同事去排隊搶過優(yōu)衣庫與KAWS合作T恤，這才是現(xiàn)實版“僵尸大戰(zhàn)”好么？

賽博世界的“另類喪尸臨城”也很有意思。

一種是喜悅劃過嘴角，業(yè)務(wù)量上漲，尤其如果平臺搞了大促，用戶一擁而上，這種簡稱為“人肉版”DDoS。還有一種是正經(jīng) DDoS，別想了，就是有人要搞你，比如最常見的游戲業(yè)，如果一款游戲爆火，它的安全做得又那么隨意，眼紅的競爭對手可能要派攻擊者來搞一把 DDoS。

這類“僵尸大軍”會堵在“門口”，不讓真正的用戶使用業(yè)務(wù)，或者頻繁無效地搶占業(yè)務(wù)入口，搞癱系統(tǒng)?？膳碌氖?，發(fā)展到現(xiàn)在，黑產(chǎn)已經(jīng)可以用少量的帶寬打出巨量的 DDoS 攻擊，輕而易舉地把一個系統(tǒng)打趴下。

就像懵懂無知的年代，如果一個男生被欺負，可能會憤憤不平地對方說：放學你別走。然后，找一堆“兄弟”前去助陣。

一般企業(yè)平常沒有儲備對抗上T大流量攻擊的能力，但他們想到了一個辦法——上公有云，號召五湖四海的“兄弟”，一起抗衡超大流量的攻擊。

我們把這種動作稱為“云化”。

換了一個環(huán)境，安全迎來挑戰(zhàn)，很多安全公司提出了自己的解法和產(chǎn)品，甲方爸爸要做的就是捋清楚自己的需求，花錢購買安全產(chǎn)品和服務(wù)，像串羊肉一樣串好自己買的“武器”，這是一種解法。

另一種解法則是由公有云安全廠商提出，他們的理念是，既然我們提供了最好用的云，我們也要提供最好用的云安全產(chǎn)品和服務(wù)，后者的核心是“云原生安全能力”。

知己知彼

云的原生安全能力有什么不一樣？以占據(jù)國內(nèi)公有云市場大半江山的阿里云為例。

既然強調(diào)“原生”，與前一種解法的不同當然是“統(tǒng)一”：統(tǒng)一的身份接入、統(tǒng)一的網(wǎng)絡(luò)安全連接、統(tǒng)一的主機安全以及統(tǒng)一的整體全局管理。

無論是將軍帶兵打仗，還是企業(yè)安全守衛(wèi)者與攻擊者對陣，最重要的一條兵法就是“知己知彼”。云原生安全能力中的其中三項能力都是為此努力。

第一，了解自己有什么，邊界線在哪里，有哪些薄弱點，哪里正在遭受入侵。

云的天然優(yōu)勢是“網(wǎng)絡(luò)的虛擬化調(diào)度能力”，企業(yè)可以清晰的看到自己主機東西南北向的流量，統(tǒng)一管理好自身邊界安全問題，包括對外的安全邊界以及內(nèi)部資產(chǎn)之間的安全邊界，公網(wǎng)資產(chǎn)暴露情況、端口暴露情況，甚至是正遭受攻擊的情況一目了然。

第二，如果說第一條是從自身角度出發(fā)，我們還需要知道“大局”。

云具備實時的全網(wǎng)威脅情報監(jiān)測和分析能力，打破單點視線的局限，知道整體環(huán)境的“變化”。但這還不夠，如果一有風吹草動，士兵就得出動勘察及作出行動，對于現(xiàn)實戰(zhàn)爭而言，可能還可行，但是對于網(wǎng)絡(luò)威脅而言，完全行不通，天知道浩如煙海的威脅告警中哪些應(yīng)該真正值得注意？就算人力可以分析，問題是沒有這么多人力可以實時待命，所以從發(fā)現(xiàn)威脅到主動防御的自動化響應(yīng)是一項迫切的要求。

第三，我要知道什么人是我的員工，員工是否正在干權(quán)限范圍內(nèi)的事情，但是如果企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)太多，怎么辦？當企業(yè)擁抱云并享用SaaS級服務(wù)帶來效能的同時，基于云的統(tǒng)一身份管理認證成為關(guān)鍵。

企業(yè)安全事件中有接近50%都是員工賬戶權(quán)限問題導(dǎo)致的?；谠频?API 化等原生能力，企業(yè)可以對身份權(quán)限進行統(tǒng)一的認證和授權(quán)，并可以在動態(tài)環(huán)境中授于不同人不同權(quán)限，讓任何人在任何時間、任何地點，以正確、安全、便捷的訪問正確的資源。

安全的本質(zhì)是為了保障業(yè)務(wù)的連續(xù)、順利進行，如果還能提升業(yè)務(wù)效率，簡直就是享受買一送二的增值喜悅。

云原生安全能力的后三項是為“知彼”準備的。

它堅守的第一條準則是，“我知道攻擊者一定都是時時存在，并且鍥而不舍，所以我要把自己打造得更安全”。將安全下沉到底層硬件與可信環(huán)境是一種選擇，但是困境依然是：沒人沒錢，成本高，但是云原生內(nèi)置的安全芯片就不一樣了，公有云廠商將安全芯片的底層硬件能力開放給使用者，并構(gòu)建可信環(huán)境，很簡單，不需要用戶自己辛苦布人布局，且“眾籌”給公有云的成本要低很多。

第二條準則是，“我知道攻擊者一定會盯上我最寶貴的數(shù)據(jù)，我知道它想要這個”。未來隨著數(shù)據(jù)安全、用戶隱私數(shù)據(jù)保護要求越來越高，全鏈路的數(shù)據(jù)加密一定是云上企業(yè)的最大需求?；谠圃僮飨到y(tǒng)的加密能力，秘鑰由企業(yè)自己保管，無論是云服務(wù)商、外部攻擊者、內(nèi)部員工沒有秘鑰都無法看到數(shù)據(jù)。

第三條準則是，“我知道無論自己怎么預(yù)防，攻擊者都會來，所以我要比預(yù)防還快一步”。在云和互聯(lián)網(wǎng)模式背景下，業(yè)務(wù)的頻繁調(diào)整和上線對業(yè)務(wù)流程安全提出了更高的要求，從源頭上做好安全才能消除隱患。基于云的原生能力，安全可以內(nèi)置到全流程的設(shè)計開發(fā)過程中，確保上線即安全。

混合云的需求

問題來了，企業(yè)上云不是一個一蹴而就的“動作”，而是一個時間跨度比較長的過程。越是大型的企業(yè)，歷史包袱越重，上云的時間越長。

還有一些企業(yè)自己的業(yè)務(wù)做得好好的，本來沒有上云的需要，突然要做一些創(chuàng)新的業(yè)務(wù)需要上云。

因此，可能出現(xiàn)一個在“公有云”“私有云”“專有云”中排列組合游戲：混合云，也就是說，企業(yè)中可能有好幾朵云，那么，這與公有云的云原生安全能力所說的“統(tǒng)一”又有什么用，難道能在本地與公有云，或者幾朵云中共用一套云安全方案嗎？

有這種解法。

阿里云智能安全總監(jiān)葛岱斌說，混合云安全方案的形成其實靠用戶發(fā)展需求或者遭遇的安全事件驅(qū)動。

【葛岱斌，每次想到這個辛苦打造的方案，他就露出蒙娜麗莎式微笑】

有一家企業(yè)用了四朵云，并用專線把四朵云打通，一天，企業(yè)發(fā)現(xiàn)自己遭遇了蠕蟲式病毒，剛開始，他只在阿里云上應(yīng)用了云安全中心，心想要不也在其他幾朵云上部署一下安全中心，看看其他云有沒有受到影響，結(jié)果發(fā)現(xiàn)其他云已經(jīng)中毒了。

這是第一個需求：能否給四朵云應(yīng)用同一套安全中心，就像一個有錢業(yè)主在四個小區(qū)都有房，業(yè)主心想：這四套房要是都由同一個物業(yè)公司管理，有一樣的安保系統(tǒng)就好了。

還有一種需求是，降低運營成本，保證業(yè)務(wù)的連續(xù)性，就像開頭提到的“僵尸大軍”的故事一樣，把本地接口交給公有云，扛住攻擊。

但是混合云還有“天然的基因缺陷”：不一樣的資源管理、不同的底層架構(gòu)、不一致的安全工具。

從原生能力落地的化繁為簡

葛岱斌思考，混合云安全主打的云原生安全能力應(yīng)該落在四個方面。

采用混合云時，安全的邊界變得模糊不清，怎么縮小邊界？

身份成了最小的邏輯邊界。

“這時需要一個統(tǒng)一的身份認證，到底有哪些人可以訪問應(yīng)用，如何訪問，有哪些應(yīng)用的權(quán)限。以前做法是內(nèi)外網(wǎng)分屬不同系統(tǒng)，我們希望給他一個統(tǒng)一的身份認證體系，不管是外網(wǎng)用戶還是內(nèi)網(wǎng)用戶，無論認證源是設(shè)在公共云還是在私有云上都可以，只要認證一次就行?！备疳繁髮卒h網(wǎng)說。

就像現(xiàn)在的有些大學校園沒有圍墻，但師生進入各類實驗室要靠刷卡或刷臉，虛擬環(huán)境給了用戶一把更強大的“鑰匙”：只要認證一次，就被系統(tǒng)記住，更加便利。

除了將身份變成邊界，還可以把邊界擴大到“無垠”：專有云和私有云不需要有互聯(lián)網(wǎng)的暴露面，將所有流量入口放在阿里云上，無論是內(nèi)部員工還是外部用戶，訪問的都是阿里云的接口，雖然用戶和攻擊者都不知道流量已經(jīng)悄悄回到了企業(yè)內(nèi)部的IDC中，暴露面降低，則安全風險降低。

“以前設(shè)置一個DMZ區(qū)（邊界區(qū)），所有的流量經(jīng)過這個DMZ區(qū)，但是現(xiàn)在流量全部從阿里云過來，相當于把邊界交給了阿里云，阿里云是你的邊界，我只要把阿里云的邊界做好?！泵鎸撛诘墓粽撸疳繁蠹莱觥疤摶我徽小?，企業(yè)則從原來“雇了幾個保安”轉(zhuǎn)變到將安保工作交給了“安保公司”。

這一招也叫作“統(tǒng)一接口”。

有些用戶有自己的機房，后來因為業(yè)務(wù)需求把一部分業(yè)務(wù)放到公有云上，還有的用戶有幾萬臺分布式的服務(wù)器，如果云上有一套安全系統(tǒng)來管理安全，線下服務(wù)器的安全怎么管理？幾個地方的服務(wù)器怎么管理？

就像前面提到被蠕蟲病毒侵蝕的四朵云的用戶，服務(wù)器的安全其實可以被統(tǒng)一起來，無論線上線下，通通交給云安全中心。還可以把探針部署到其他云平臺上做統(tǒng)一的檢測，做統(tǒng)一的響應(yīng)，因為只要所有云的 API 接口也開放了，云安全中心就可以調(diào)用 API 做響應(yīng)。

和想要由同一個物業(yè)來管理自己四套房子的房主一樣，安全管理也可以統(tǒng)一，不過，有些政企用戶的考慮是，大部分資產(chǎn)在線下，只有少部分資產(chǎn)在云上，如果使用統(tǒng)一管理平臺，干脆直接將控制臺從云上搬到云下也是可選的選項。

“我們想要做的就和整個阿里巴巴的理念一樣，讓天下沒有難做的生意，讓天下沒有難做的安全運維?！备疳繁髮卒h網(wǎng)說。

說白了，這一套混合云安全方案的直接目的并不是像安全服務(wù)提供商一樣做可以掙錢的安全方案，而是讓阿里云飄得更遠，被云覆蓋的用戶以更低的成本、更少的專業(yè)安全人員、更輕盈的方式獲得更大的安全。

天下武功路數(shù)紛繁，阿里云安全想做的，是化繁為簡，更少地向?qū)κ直┞丁氨∪趺妗钡耐瑫r，打破威脅情報、數(shù)據(jù)、運維的藩籬，登泰山頂，眾山動向一覽無遺。

賽博世界如同戰(zhàn)場，隨時面臨威脅，沒有人可以做到永遠安全，但安全可以更簡單。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。