阿里云葛岱斌：让天下没有难做的安全运维

作为一个热爱看丧尸片的女编辑，我曾被多位同事吐槽口味很重。

天啦噜，我只是喜欢看丧尸围城这种精彩刺激的情节，哪像有些同事去排队抢过优衣库与KAWS合作T恤，这才是现实版“僵尸大战”好么？

赛博世界的“另类丧尸临城”也很有意思。

一种是喜悦划过嘴角，业务量上涨，尤其如果平台搞了大促，用户一拥而上，这种简称为“人肉版”DDoS。还有一种是正经DDoS，别想了，就是有人要搞你，比如最常见的游戏业，如果一款游戏爆火，它的安全做得又那么随意，眼红的竞争对手可能要派攻击者来搞一把 DDoS。

这类“僵尸大军”会堵在“门口”，不让真正的用户使用业务，或者频繁无效地抢占业务入口，搞瘫系统。可怕的是，发展到现在，黑产已经可以用少量的带宽打出巨量的DDoS 攻击，轻而易举地把一个系统打趴下。

就像懵懂无知的年代，如果一个男生被欺负，可能会愤愤不平地对方说：放学你别走。然后，找一堆“兄弟”前去助阵。

一般企业平常没有储备对抗上T大流量攻击的能力，但他们想到了一个办法——上公有云，号召五湖四海的“兄弟”，一起抗衡超大流量的攻击。

我们把这种动作称为“云化”。

换了一个环境，安全迎来挑战，很多安全公司提出了自己的解法和产品，甲方爸爸要做的就是捋清楚自己的需求，花钱购买安全产品和服务，像串羊肉一样串好自己买的“武器”，这是一种解法。

另一种解法则是由公有云安全厂商提出，他们的理念是，既然我们提供了最好用的云，我们也要提供最好用的云安全产品和服务，后者的核心是“云原生安全能力”。

知己知彼

云的原生安全能力有什么不一样？以占据国内公有云市场大半江山的阿里云为例。

既然强调“原生”，与前一种解法的不同当然是“统一”：统一的身份接入、统一的网络安全连接、统一的主机安全以及统一的整体全局管理。

无论是将军带兵打仗，还是企业安全守卫者与攻击者对阵，最重要的一条兵法就是“知己知彼”。云原生安全能力中的其中三项能力都是为此努力。

第一，了解自己有什么，边界线在哪里，有哪些薄弱点，哪里正在遭受入侵。

云的天然优势是“网络的虚拟化调度能力”，企业可以清晰的看到自己主机东西南北向的流量，统一管理好自身边界安全问题，包括对外的安全边界以及内部资产之间的安全边界，公网资产暴露情况、端口暴露情况，甚至是正遭受攻击的情况一目了然。

第二，如果说第一条是从自身角度出发，我们还需要知道“大局”。

云具备实时的全网威胁情报监测和分析能力，打破单点视线的局限，知道整体环境的“变化”。但这还不够，如果一有风吹草动，士兵就得出动勘察及作出行动，对于现实战争而言，可能还可行，但是对于网络威胁而言，完全行不通，天知道浩如烟海的威胁告警中哪些应该真正值得注意？就算人力可以分析，问题是没有这么多人力可以实时待命，所以从发现威胁到主动防御的自动化响应是一项迫切的要求。

第三，我要知道什么人是我的员工，员工是否正在干权限范围内的事情，但是如果企业内部业务系统太多，怎么办？当企业拥抱云并享用SaaS级服务带来效能的同时，基于云的统一身份管理认证成为关键。

企业安全事件中有接近50%都是员工账户权限问题导致的。基于云的 API化等原生能力，企业可以对身份权限进行统一的认证和授权，并可以在动态环境中授于不同人不同权限，让任何人在任何时间、任何地点，以正确、安全、便捷的访问正确的资源。

安全的本质是为了保障业务的连续、顺利进行，如果还能提升业务效率，简直就是享受买一送二的增值喜悦。

云原生安全能力的后三项是为“知彼”准备的。

它坚守的第一条准则是，“我知道攻击者一定都是时时存在，并且锲而不舍，所以我要把自己打造得更安全”。将安全下沉到底层硬件与可信环境是一种选择，但是困境依然是：没人没钱，成本高，但是云原生内置的安全芯片就不一样了，公有云厂商将安全芯片的底层硬件能力开放给使用者，并构建可信环境，很简单，不需要用户自己辛苦布人布局，且“众筹”给公有云的成本要低很多。

第二条准则是，“我知道攻击者一定会盯上我最宝贵的数据，我知道它想要这个”。未来随着数据安全、用户隐私数据保护要求越来越高，全链路的数据加密一定是云上企业的最大需求。基于云原生操作系统的加密能力，秘钥由企业自己保管，无论是云服务商、外部攻击者、内部员工没有秘钥都无法看到数据。

第三条准则是，“我知道无论自己怎么预防，攻击者都会来，所以我要比预防还快一步”。在云和互联网模式背景下，业务的频繁调整和上线对业务流程安全提出了更高的要求，从源头上做好安全才能消除隐患。基于云的原生能力，安全可以内置到全流程的设计开发过程中，确保上线即安全。

混合云的需求

问题来了，企业上云不是一个一蹴而就的“动作”，而是一个时间跨度比较长的过程。越是大型的企业，历史包袱越重，上云的时间越长。

还有一些企业自己的业务做得好好的，本来没有上云的需要，突然要做一些创新的业务需要上云。

因此，可能出现一个在“公有云”“私有云”“专有云”中排列组合游戏：混合云，也就是说，企业中可能有好几朵云，那么，这与公有云的云原生安全能力所说的“统一”又有什么用，难道能在本地与公有云，或者几朵云中共用一套云安全方案吗？

有这种解法。

阿里云智能安全总监葛岱斌说，混合云安全方案的形成其实靠用户发展需求或者遭遇的安全事件驱动。

【葛岱斌，每次想到这个辛苦打造的方案，他就露出蒙娜丽莎式微笑】

有一家企业用了四朵云，并用专线把四朵云打通，一天，企业发现自己遭遇了蠕虫式病毒，刚开始，他只在阿里云上应用了云安全中心，心想要不也在其他几朵云上部署一下安全中心，看看其他云有没有受到影响，结果发现其他云已经中毒了。

这是第一个需求：能否给四朵云应用同一套安全中心，就像一个有钱业主在四个小区都有房，业主心想：这四套房要是都由同一个物业公司管理，有一样的安保系统就好了。

还有一种需求是，降低运营成本，保证业务的连续性，就像开头提到的“僵尸大军”的故事一样，把本地接口交给公有云，扛住攻击。

但是混合云还有“天然的基因缺陷”：不一样的资源管理、不同的底层架构、不一致的安全工具。

从原生能力落地的化繁为简

葛岱斌思考，混合云安全主打的云原生安全能力应该落在四个方面。

采用混合云时，安全的边界变得模糊不清，怎么缩小边界？

身份成了最小的逻辑边界。

“这时需要一个统一的身份认证，到底有哪些人可以访问应用，如何访问，有哪些应用的权限。以前做法是内外网分属不同系统，我们希望给他一个统一的身份认证体系，不管是外网用户还是内网用户，无论认证源是设在公共云还是在私有云上都可以，只要认证一次就行。”葛岱斌对说。

就像现在的有些大学校园没有围墙，但师生进入各类实验室要靠刷卡或刷脸，虚拟环境给了用户一把更强大的“钥匙”：只要认证一次，就被系统记住，更加便利。

除了将身份变成边界，还可以把边界扩大到“无垠”：专有云和私有云不需要有互联网的暴露面，将所有流量入口放在阿里云上，无论是内部员工还是外部用户，访问的都是阿里云的接口，虽然用户和攻击者都不知道流量已经悄悄回到了企业内部的IDC中，暴露面降低，则安全风险降低。

“以前设置一个DMZ区（边界区），所有的流量经过这个DMZ区，但是现在流量全部从阿里云过来，相当于把边界交给了阿里云，阿里云是你的边界，我只要把阿里云的边界做好。”面对潜在的攻击者，葛岱斌祭出“虚晃一招”，企业则从原来“雇了几个保安”转变到将安保工作交给了“安保公司”。

这一招也叫作“统一接口”。

有些用户有自己的机房，后来因为业务需求把一部分业务放到公有云上，还有的用户有几万台分布式的服务器，如果云上有一套安全系统来管理安全，线下服务器的安全怎么管理？几个地方的服务器怎么管理？

就像前面提到被蠕虫病毒侵蚀的四朵云的用户，服务器的安全其实可以被统一起来，无论线上线下，通通交给云安全中心。还可以把探针部署到其他云平台上做统一的检测，做统一的响应，因为只要所有云的API 接口也开放了，云安全中心就可以调用 API 做响应。

和想要由同一个物业来管理自己四套房子的房主一样，安全管理也可以统一，不过，有些政企用户的考虑是，大部分资产在线下，只有少部分资产在云上，如果使用统一管理平台，干脆直接将控制台从云上搬到云下也是可选的选项。

“我们想要做的就和整个阿里巴巴的理念一样，让天下没有难做的生意，让天下没有难做的安全运维。”葛岱斌对说。

说白了，这一套混合云安全方案的直接目的并不是像安全服务提供商一样做可以挣钱的安全方案，而是让阿里云飘得更远，被云覆盖的用户以更低的成本、更少的专业安全人员、更轻盈的方式获得更大的安全。

天下武功路数纷繁，阿里云安全想做的，是化繁为简，更少地向对手暴露“薄弱面”的同时，打破威胁情报、数据、运维的藩篱，登泰山顶，众山动向一览无遗。

赛博世界如同战场，随时面临威胁，没有人可以做到永远安全，但安全可以更简单。