在互联网与人们生活关系如此密切的今天,网络像水、电一样走进千家万户,成为生活必不可少的一部分。网络安全引发的问题日益普遍,其危害性愈发严重,维护网络安全已经上升为国家安全战略。“我和我的网安之路”是对国内网络安全大咖的系列专访,他们中有国内顶级网络安全学者、著名白帽子、CTF挑战赛冠军、名校教授、权威测评机构专家、青年创业者等。通过倾听一线网安从业者真实的声音,向大家呈现当今网络安全世界的生动景象。
本期嘉宾:肖力,现任阿里巴巴副总裁、阿里云智能安全总经理,深耕企业安全体系架构建设,具备近20年的实践和管理经验。参与了阿里巴巴、淘宝安全防御体系的建设、安全技术团队的组建和管理,并负责阿里巴巴集团安全体系构建,专注于云计算安全领域战略方向的研究。
云安全推进者肖力:阿里云助力大中小企业更好地实现云端化;基础设施变革带来的云原生安全是大势所趋;目前云安全在用户体验、安全效果和一体化上还有很大提升空间;云端一体为用户提供高安全性、高客制化的安全防护体系;多领域配合打造完整的数据安全保护框架;互联时代下云安全事业充满机遇与挑战,面向未来方可把握发展脉络。
云安全的原生动力
基础设施变化带来安全体系的变化
云安全的发展趋势
零信任理念下的转变
云上数据安全
问题与挑战
云端一体的优势
互联时代下的新机遇
阿里云安全建设的驱动力主要来源于两个方面,一是云平台的需求,全量上云的阿里巴巴作为电商平台,涉及资产数据、客户信息等敏感信息,因此保障云服务的安全,才能为客户提供安全可靠、优质的服务。二是帮助其他大中小企业更好地实现云端化,提升他们在云上的能力,解决在业务转型中遇到的问题。
云安全在体系架构上有别于传统安全厂商。从安全业务的角度而言,传统安全厂商早期的安全业务一般专注于解决某个方面的安全问题,如专注上网行为管理,或者业务主要集中在防火墙。经过业务的单点切入后,再进行其他方面的扇形拓展。而对于云厂商,由于用户都在云上,其安全防护需要涉及各个层面,因此云安全的业务不再是解决单一的安全问题,而是帮助用户解决各种安全风险和挑战,保证云上企业业务的连续性和安全性。
随着云技术的发展与应用,传统信息系统中的硬件、网络、系统、应用等都被云上的虚拟化产品所替代,且云上用户的设备与系统等都是动态变化的,因此传统的系统安全、边界安全等概念在云安全中不再适用。系统的基础设施变化导致用户在安全管理体系、安全组织架构等客体上发生了改变,相应的安全解决方案也随之改进,整个安全体系也就产生了变革,云原生安全应运而生。云原生安全要求云厂商构建以用户业务需求为导向的递进式安全体系,提供从底层的云平台安全,到用户侧逐级向上的基础安全、数据安全、应用安全、业务安全等方面更为全面、更具针对性的安全解决方案。未来云安全的能力将全部融入到云基础设施中,云原生安全能够为用户提供统一的安全产品或服务模式,用户不再需要安全设备,企业的安全管理和运营将不再是一种负担,而是一种内置在基础设施里的默认能力。
目前大部分的安全防护软件是单机版且被嵌入在安全硬件设备中,对外提供软硬件一体的捆绑服务,该封闭化形式导致其防护能力有限,且存在一定应用局限性。三年前安全业界已清晰地认识到硬件安全防护设备在将来一定会被替代。
随着云计算的快速发展和网络基础设施的变化,以隔离作为主要安全手段的传统方法在目前多租户共享的云场景下已经失效,传统网络安全防护表现出的硬件盒子化特征在将来也会被慢慢取缔。云平台应用的普及使得物理计算资源共享情况逐渐深化,安全防护产品的去硬件化势在必行,所以具有共享化、开放化的云安全是大势所趋。云安全或更加具体的云原生安全是一系列基于云端的安全服务产品,是安全的一种服务化形式。云端的安全服务打破了安全设备的生态封闭性,能够将安全设备与应用软件进行有效的融合,使用户可灵活地将安全软件与自身业务需求结合,并形成安全设备间的有效联动防御以提升整体的安全性。未来大量用户会采用云端的安全服务或基于云原生安全的服务,让安全厂商更加关注云上安全产品的开发,逐步实现安全左移,将安全能力全部融入到云基础设施里,让用户无需考虑安全设施,整个企业的安全体系也变得更加精简、高效且低成本。
因此,基于云原生安全形式,在全生命周期中以业务为导向,解决安全问题,是未来云安全的一大发展趋势。
零信任是安全体系的一个重要设计理念,与云安全类似。传统网络安全中,边界隔离是企业安全防护的主要手段,而在零信任概念下,最核心的变化在于从边界安全到身份安全的转变。身份安全是零信任也是云安全解决方案的基础之一,在云上进行身份的安全管理,是一种高效的安全防护方案。边界安全防护产品最典型的代表就是防火墙,而目前防火墙市场需求量在不断地下降,印证了零信任概念下、云安全中的新旧边界交替。
系统安全、网络安全、身份安全的核心目的之一是保证数据安全。狭义上的数据安全主要通过网络防护、系统防护以及数据的加解密、脱敏、审计等多种防护体系来保证数据的安全。相比传统信息系统中数据安全,云上数据安全提出了更高的要求,需要不同领域上的数据安全技术相互配合,并依靠网络安全和系统安全的保障,才能确保对数据的有效防护,并保证云上业务系统的安全性。
可信计算可保证数据在计算过程中的完整性和保密性,故可配合其他安全技术保证云上数据安全。而这些技术在配合同时会对云平台性能及业务的效率和稳定产生一定的影响,因此需结合多领域安全技术,并对产品的易用性、安全性、稳定性进行综合考量,从中寻求最优解来保障云上数据安全。
云安全技术乃至整个安全技术,经10到25年的发展,已到达了一定阶段,但仍存在多项问题:
第一,用户体验有待提升。安全产品或安全服务的用户体验是非常关键的,安全产品应服务于企业,当产品服务与企业需求紧密结合时,其应用性才能得到保证。因此产品的易用性是非常重要的,安全产品不应只有特定的企业或安全工程师才能使用,因为不是每个企业都有专业的业务人员。一个好的安全产品应该让每个人都可以非常便捷地使用检测、对抗、漏洞修复、安全防御等安全防护功能。
第二,安全效果需要增强。随着企业数字化、信息化的推进,企业的核心业务与数据都部署在信息系统或云端上,其安全的重要性不言而喻。云安全的防护效果直接决定了企业业务的稳定性和可连续性,但攻击方式逐年不断迭代,因此云安全防护的性能亟需提升;云安全是个复杂的体系,涉及信息系统各个层面,故需要大量科研与人才的投入。
第三,安全产品的碎片化问题仍需改善。目前安全产品在设计上仍存在突出的片面化与碎片化问题。以隔离为主的传统安全体系催生出防火墙、入侵检测防御系统、WEB应用防火墙、统一威胁管理、上网行为管理探针、加密机等单一化的安全设备,导致网络安全工作呈分散割据化,影响安全与业务应用间的结合。未来安全产品将会统一且高度集成,同时得益于云计算能力的提升以及安全厂商的深厚技术积累,预计云安全产品将迎来重大突破,安全产品的碎片化问题会迎刃而解。
云端一体化是种具备层次化、区域化的“云、管、边、端”结构体系,共包含四层架构。第一层,即最核心的一层,是各中心机房组成的云计算平台。第二层是各城市的基站节点构成的连接管道,为用户提供最近距离的云端服务连接。第三层是边缘计算端,负责为用户提供就近的边缘计算服务。第四层是涵盖了各种计算终端设备。
目前银行、证券、保险和央企等多个重要行业已逐步将业务转移到云上,未来更多的业务场景将会在云上实现,会形成混合云等不同形态的云。相比自建机房,云安全的投入开销更小且防护性能更强,通过“云、管、边、端”的协同,实现数据传输速度更快、数据处理实时性更强、计算环境更安全和稳定、定制化程度更高的业务解决方案,具有较强的优势。
在万物互联、云端一体时代,安全的重要性不言而喻。云计算呈高速发展的态势,给云安全带来更多的需求,当多数企业都上云后,云安全的应用场景将更加多样化。未来10年将是云安全发展的黄金阶段,需要更多优秀的人才来维护和探索云安全技术。近几年大量各行业的优秀人才转入到云安全防线,这也是整个行业市场持续发展的一个印证。
新晋从业人员的平台切入点必须面向未来,需具有长远的目光,关注未来3到5年会面对的挑战、威胁,并做好相应的技术储备。未来安全行业会随着需求的变化而会不断进化和改变,整个行业蓬勃发展,孵化出更多的安全公司、创业公司或孵化厂商。但年轻人创业时一定要保持初心,且铭记创新是创业的必要条件之一。
安全是一个高速发展的行业,安全人才是非常稀缺的,其市场价值也是非常明确的。未来几年是云安全行业高速发展的时刻,相信大家只要在这个行业不断地创新,解决不同的安全问题,都会得到较好的发展。
文章来源于:网络空间安全之路
作者:阮丹阳
策划:Calvin
采集:杨安