安在：除了算力，云为企业安全带来了什么？

随着云计算产业的发展，云计算概念的普及和人们对云计算技术认知的加深，企业客户开始对云计算服务有了更多的要求。面临着越来越复杂的安全环境和威胁的逐渐扩大，企业对于安全不再局限于边界防御，而是逐渐打破边界，形成以云为基础的新一代安全模式。在这个趋势下，云计算是如何改变企业的防护模式的？云安全产品又具备哪些特点？为此，安在特别采访了阿里云首席安全官欧阳欣。

在企业内部，数字化转型的本质就是基于互联网信息技术，将企业运营管理的思维方式进行重构，以促进企业进行信息化发展的方式。因此，企业的数字化转型能够打破传统的生产模式，提升企业的核心竞争力。

在这个过程中，云计算为企业数字化转型带来了非常大的助力。首先，云计算为企业的发展提供了丰富的网络资源、低成本的管理构建能力以及稳定可靠的软硬件设施等，其次，企业可以解决因数字化转型带来的网络、机房等信息系统维护难、能耗成本大以及完善基础设施等问题；再次，企业可以将传统的信息服务模式及结构进行充分的打破与更新，促进可持续发展。

云计算还带来了软件开发部署模式的创新，通过将异构资源的标准化，云计算解放生产力的同时，还提升了业务应用的迭代速度，并为业务创新提供了促进作用。根据Check Point发布的《2022年云安全报告》可以看到，近三分之二(61%)的受访者在其云部署中拥有DevOps工具链，这从根本上改变了企业软件开发的方式，并进一步推动了业务与安全的融合。

对此，阿里云智能总裁张建锋在云栖大会上表示，云重构了整个IT硬件体系，数据中心、芯片、服务器等产业链发生深刻变化；软件研发范式发生深刻变革，Serverless、低代码、AI大模型开源等趋势，大幅提升软件生产效率；和端加速融合，算力从端转移上云，未来万物皆是计算机。

对于企业而言，上云之后要做好安全最重要的有三件事情，第一，理解云安全责任共担模型，第二，用原生云安全产品构建符合业务形态的纵深防御体系，第三，持续动态的安全运营，三者缺一不可。

欧阳欣表示，企业上云后，安全模式会有以下变化。第一重变化是安全责任。阿里云为客户承担了更多的安全责任，而且这个责任根据客户购买的IaaS、PaaS、SaaS不同类型产品承担不同的责任，无论如何客户都不用在关心IDC机房安全等物理安全，这样可以让客户更加聚焦到业务本身。

第二重变化是云产品的原生安全能力。阿里云将安全能力内置到云产品中，让云产品这辆车自己默认有安全带，有刹车，有儿童锁。企业基于云搭建IT基础设施自带较强的免疫能力，从物理层到应用层的整体安全基线提升。

第三重变化是弹性。企业上云后，安全不再是一种固定资产，而是一种可以随取随用的服务和资源。企业不再需要关注复杂的硬件接入等问题，只需根据自身需求选择合适的安全产品，即开即用，即关即走，弹性扩缩容，避免业务淡季安全资源浪费，业务波峰性能瓶颈等问题。

第四重变化是更加智能。云上高算力的特点、数据的标准化和一致化，为AI落地安全提升了有利条件。阿里云基于AI和大数据技术形成的新一代云安全能力中枢体系，每天处理数万亿条安全数据，形成千亿节点千亿边的全域安全威胁图谱，而非单点安全域的知识图谱。企业可以利用AI获得更高的精准度、更快的应急响应速度以及更高效的运营速度。

最后是更透明的环境。阿里云是亚太权威资质最全合规服务商之一，切实遵守并落实相应的国际国内法规，并将众多的合规标准融入云平台合规内控管理和产品设计中。此外，阿里云还受到第三方监管，确保了透明、可信，实现平台侧与用户相关操作日志对用户可见。

根据Gartner官网公布的2021年阿里云国际IaaS+PaaS解决方案记分卡可以看到，阿里云IaaS基础设施能力拿下全球第一，且在计算、存储、网络、安全的评估中获得最高分。作为迄今为止唯一入围这份报告的中国云厂商，阿里云是如何一步一步提高自身的安全能力？

对此，欧阳欣表示，在2009年阿里云成立后，随之就成立了安全团队。当时安全团队的主要职责是维护好云平台，开发了云盾以应对攻击。2011年，阿里云安全团队与飞天一起设计了飞天安全架构，到了2012年，阿里云已经在内部积累了很多安全攻防的经验和能力，并将这些能力提供给客户去保护他们自己的业务。

2012年，阿里云推出了云盾等一系列安全产品和服务，并通过了ISO等国际认证。目前，阿里云已拥有完善的安全产品和解决方案，涵盖云主机安全、网络安全、应用安全、业务安全、身份安全，数据安全等等，并通过云端SaaS化远程交付的形式为缺少安全团队的企业提供运营服务。

云上原生的安全产品还具备极简、易用等特点。阿里云通过将其云上原生的安全能力与云网络的无缝集成，使安全产品具备了云网络极致弹性、易于部署的特点，同时赋能云网络，提供更安全的服务。例如，阿里云DDoS防护与弹性公网IP集成而生的高防EIP，不需要架构改造就可以实现EIP上直接防护Tb级攻击；阿里云WAF与CDN集成，将防爬、web安全能力前置到业务边缘，让用户在使用内容分发服务CDN获得业务访问加速的同时获得安全保障；阿里云原生办公平台SASE基于与云网络的集成，针对混合、多云等异构环境可以将来自于全球不同终端的办公流量快速收口，统一经过SASE安全检测模块，构建零信任访问体系。

当前云的一个特别显著的安全问题是云产品配置不当，据阿里云安全内部调研显示，当前约90%的云安全问题是用户配置不当造成的，这不是技术问题，而是管理运维的问题。欧阳欣表示，面对这一问题，阿里云推出了云安全态势管理产品（CSPM），这款产品可以有效解决安全配置和合规等问题。首先，通过持续性的对云上产品的配置进行安全扫描，对用户发生的不符合安全基线的问题一一告警，避免用户因配置问题出现安全风险；其次，CSPM可以按照合规的要求定义每一条安全基线，满足云上用户安全合规需求。

此外，由于云的特性，安全管控大部分是可以远程运维的，所以身份和访问权限的管理对比线下更加重要，特别是当一个身份失陷的时候，能否控制爆炸半径、减少损失也是云上用户重点关注的问题。对此，欧阳欣表示，阿里云安全将身份管理系统（IAM/IDaas）、资源管理系统（RAM）整合起来，推出了CIEM产品，针对身份、资源、权限进行安全检查，提供实施最小化权限的能力，从而降低安全风险。同时基于阿里云安全积累的异常威胁分析规则，动态的发现账号盗用、权限误用和潜在恶意的用户活动，并提供缓解方案。

由于云上的资产是持续动态变化的，对应的安全也是动态的，有时间维度的。持续的安全运营是云安全的最佳实践，也是让安全事件不发生的必要条件。云的统一管控特性，让统一的威胁数据分析、检测、调查、响应，溯源，威胁狩猎成为可能。    

最后，阿里云安全还打造了云原生化的SIEM，用户无需安装部署，可以有选择性地对接多账号和各类安全数据、网络日志和云产品原始日志，并达到了从云上整体安全风险态势到微观风险的全面监控。目前，阿里云安全已经支持云上11大类产品的32种日志，客户可以在一个统一的控制台上进行跨账号、跨产品的告警处置、调查、溯源。

在威胁分析层面，SIEM支持多类检测引擎、场景化和关联规则能力，有效降低处置事件数量，整体告警压缩率达到75%，提升运营效率。同时发现攻击前置阶段收集信息行为或者沦陷后横向移动的行为特征，提供更深层次的威胁事件洞察。

为了降低用户的运营成本，SIEM还可以基于安全事件的分析结果对失陷主机、恶意IP、域名、URL等下发处置任务，联动主机安全、容器安全、云防火墙、WAF等多类安全产品进行全网响应，有效缩短威胁防御时间，提升用户整体云上安全运维效率。

今年的云栖大会已然落幕，阿里云在安全方面的步伐却从未止步。除了对安全产品的建设外，阿里云安全对于合作伙伴的建设也在始终进行中。11月4日，阿里云在云栖大会上成立了云安全伙伴联盟。对此，欧阳欣表示，阿里云在此之前就已经和很多安全厂商共享合作，未来，他希望能够有更多的安全厂商加入进来，为客户提供更丰富的服务和更全面的领域，阿里云希望携手安全合作伙伴、云上租户一起守护好云上安全。