2.云安全推進(jìn)者肖力

阿里云助力大、中、小企業(yè)更好地實(shí)現(xiàn)云端化；基礎(chǔ)設(shè)施變革帶來(lái)的云原生安全是大勢(shì)所趨；目前云安全在客戶(hù)體驗(yàn)、安全效果和一體化上還有很大提升空間；云端一體為客戶(hù)提供高安全性、高客制化的安全防護(hù)體系；多領(lǐng)域配合打造完整的數(shù)據(jù)安全保護(hù)框架；互聯(lián)時(shí)代下云安全事業(yè)充滿(mǎn)機(jī)遇與挑戰(zhàn)，面向未來(lái)方可把握發(fā)展脈絡(luò)。

——肖力

云安全的原生動(dòng)力

阿里云安全建設(shè)的驅(qū)動(dòng)力主要來(lái)源于兩個(gè)方面，一是云平臺(tái)的需求，全量上云的阿里巴巴作為電商平臺(tái)，涉及資產(chǎn)數(shù)據(jù)、客戶(hù)信息等敏感信息，因此保障云服務(wù)的安全，才能為客戶(hù)提供安全可靠、優(yōu)質(zhì)的服務(wù)。二是幫助其他大、中、小企業(yè)更好地實(shí)現(xiàn)云端化，提升他們?cè)谠粕系哪芰Γ鉀Q在業(yè)務(wù)轉(zhuǎn)型中遇到的問(wèn)題。

基礎(chǔ)設(shè)施變化帶來(lái)安全體系的變化

云安全在體系架構(gòu)上有別于傳統(tǒng)安全廠商。從安全業(yè)務(wù)的角度而言，傳統(tǒng)安全廠商早期的安全業(yè)務(wù)一般專(zhuān)注于解決某個(gè)方面的安全問(wèn)題，如專(zhuān)注上網(wǎng)行為管理，或者業(yè)務(wù)主要集中在防火墻。經(jīng)過(guò)業(yè)務(wù)的單點(diǎn)切入后，再進(jìn)行其他方面的扇形拓展。而對(duì)于云廠商，由于客戶(hù)都在云上，其安全防護(hù)需要涉及各個(gè)層面，因此云安全的業(yè)務(wù)不再是解決單一的安全問(wèn)題，而是幫助客戶(hù)解決各種安全風(fēng)險(xiǎn)和挑戰(zhàn)，保證云上企業(yè)業(yè)務(wù)的連續(xù)性和安全性。

隨著云技術(shù)的發(fā)展與應(yīng)用，傳統(tǒng)信息系統(tǒng)中的硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等都被云上的虛擬化產(chǎn)品所替代，且云上客戶(hù)的設(shè)備與系統(tǒng)等都是動(dòng)態(tài)變化的，因此傳統(tǒng)的系統(tǒng)安全、邊界安全等概念在云安全中不再適用。系統(tǒng)的基礎(chǔ)設(shè)施變化導(dǎo)致客戶(hù)在安全管理體系、安全組織架構(gòu)等客體上發(fā)生了改變，相應(yīng)的安全解決方案也隨之改進(jìn)，整個(gè)安全體系也就產(chǎn)生了變革，云原生安全應(yīng)運(yùn)而生。云原生安全要求云廠商構(gòu)建以客戶(hù)業(yè)務(wù)需求為導(dǎo)向的遞進(jìn)式安全體系，提供從底層的云平臺(tái)安全，到客戶(hù)側(cè)逐級(jí)向上的基礎(chǔ)安全、數(shù)據(jù)安全、應(yīng)用安全、業(yè)務(wù)安全等方面更為全面、更具針對(duì)性的安全解決方案。未來(lái)云安全的能力將全部融入云基礎(chǔ)設(shè)施中，云原生安全能夠?yàn)榭蛻?hù)提供統(tǒng)一的安全產(chǎn)品或服務(wù)模式，客戶(hù)不再需要安全設(shè)備，企業(yè)的安全管理和運(yùn)營(yíng)將不再是一種負(fù)擔(dān)，而是一種內(nèi)置在基礎(chǔ)設(shè)施里的默認(rèn)能力。

云安全的發(fā)展趨勢(shì)

目前大部分的安全防護(hù)軟件是單機(jī)版且被嵌入在安全硬件設(shè)備中，對(duì)外提供軟硬件一體的捆綁服務(wù)，該封閉化形式導(dǎo)致其防護(hù)能力有限，且存在一定的應(yīng)用局限性。三年前安全業(yè)界已清晰地認(rèn)識(shí)到硬件安全防護(hù)設(shè)備在將來(lái)一定會(huì)被替代。隨著云計(jì)算的快速發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的變化，以隔離作為主要安全手段的傳統(tǒng)方法在目前多租戶(hù)共享的云場(chǎng)景下已經(jīng)失效，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)表現(xiàn)出的硬件盒子化特征在將來(lái)也會(huì)被慢慢取締。云平臺(tái)應(yīng)用的普及使得物理計(jì)算資源共享情況逐漸深化，安全防護(hù)產(chǎn)品的去硬件化勢(shì)在必行，所以具有共享化、開(kāi)放化的云安全是大勢(shì)所趨。云安全或更加具體的云原生安全是一系列基于云端的安全服務(wù)產(chǎn)品，是安全的一種服務(wù)化形式。云端的安全服務(wù)打破了安全設(shè)備的生態(tài)封閉性，能夠?qū)踩O(shè)備與應(yīng)用軟件進(jìn)行有效的融合，使客戶(hù)可靈活地將安全軟件與自身業(yè)務(wù)需求結(jié)合，形成安全設(shè)備間的有效聯(lián)動(dòng)防御以提升整體的安全性。未來(lái)大量客戶(hù)會(huì)采用云端的安全服務(wù)或基于云原生安全的服務(wù)，讓安全廠商更加關(guān)注云上安全產(chǎn)品的開(kāi)發(fā)，逐步實(shí)現(xiàn)安全左移，將安全能力全部融入到云基礎(chǔ)設(shè)施里，讓客戶(hù)無(wú)須考慮安全設(shè)施，整個(gè)企業(yè)的安全體系也變得更加精簡(jiǎn)、高效且低成本。因此，基于云原生安全形式，在全生命周期中以業(yè)務(wù)為導(dǎo)向，解決安全問(wèn)題，是未來(lái)云安全的一大發(fā)展趨勢(shì)。

零信任理念下的轉(zhuǎn)變

零信任是安全體系的一個(gè)重要設(shè)計(jì)理念，與云安全類(lèi)似。傳統(tǒng)網(wǎng)絡(luò)安全中，邊界隔離是企業(yè)安全防護(hù)的主要手段，而在零信任概念下，最核心的變化在于從邊界安全到身份安全的轉(zhuǎn)變。身份安全是零信任也是云安全解決方案的基礎(chǔ)之一，在云上進(jìn)行身份的安全管理，是一種高效的安全防護(hù)方案。邊界安全防護(hù)產(chǎn)品最典型的代表就是防火墻，而目前防火墻市場(chǎng)需求量在不斷下降，印證了零信任概念下云安全中的新舊邊界交替。

云上數(shù)據(jù)安全

系統(tǒng)安全、網(wǎng)絡(luò)安全、身份安全的核心目的之一是保證數(shù)據(jù)安全。狹義上的數(shù)據(jù)安全主要通過(guò)網(wǎng)絡(luò)防護(hù)、系統(tǒng)防護(hù)以及數(shù)據(jù)的加解密、脫敏、審計(jì)等多種防護(hù)體系來(lái)保證數(shù)據(jù)的安全。相比傳統(tǒng)信息系統(tǒng)中數(shù)據(jù)安全，云上數(shù)據(jù)安全提出了更高的要求，需要不同領(lǐng)域上的數(shù)據(jù)安全技術(shù)相互配合，并依靠網(wǎng)絡(luò)安全和系統(tǒng)安全的保障，才能確保對(duì)數(shù)據(jù)的有效防護(hù)，并保證云上業(yè)務(wù)系統(tǒng)的安全性。

可信計(jì)算可保證數(shù)據(jù)在計(jì)算過(guò)程中的完整性和保密性，故可配合其他安全技術(shù)保證云上數(shù)據(jù)安全。而這些技術(shù)在相互配合的同時(shí)也會(huì)對(duì)云平臺(tái)性能及業(yè)務(wù)的效率和穩(wěn)定產(chǎn)生一定的影響，因此需要結(jié)合多領(lǐng)域安全技術(shù)，并對(duì)產(chǎn)品的易用性、安全性、穩(wěn)定性進(jìn)行綜合考量，從中尋求最優(yōu)解來(lái)保障云上數(shù)據(jù)安全。

問(wèn)題與挑戰(zhàn)

云安全技術(shù)乃至整個(gè)安全技術(shù)，經(jīng)10～25年的發(fā)展，已到達(dá)了一定階段，但仍存在多項(xiàng)問(wèn)題：

第一，客戶(hù)體驗(yàn)有待提升。安全產(chǎn)品或安全服務(wù)的客戶(hù)體驗(yàn)是非常關(guān)鍵的，安全產(chǎn)品應(yīng)服務(wù)于企業(yè)，當(dāng)產(chǎn)品服務(wù)與企業(yè)需求緊密結(jié)合時(shí)，其應(yīng)用性才能得到保證。因此產(chǎn)品的易用性是非常重要的，安全產(chǎn)品不應(yīng)只有特定的企業(yè)或安全工程師才能使用，因?yàn)椴皇敲總€(gè)企業(yè)都有專(zhuān)業(yè)的業(yè)務(wù)人員。一個(gè)好的安全產(chǎn)品應(yīng)該讓每個(gè)人都可以非常便捷地使用檢測(cè)、對(duì)抗、漏洞修復(fù)、安全防御等安全防護(hù)功能。

第二，安全效果需要增強(qiáng)。隨著企業(yè)數(shù)字化、信息化的推進(jìn)，企業(yè)的核心業(yè)務(wù)與數(shù)據(jù)都部署在信息系統(tǒng)或云端上，其安全的重要性不言而喻。云安全的防護(hù)效果直接決定了企業(yè)業(yè)務(wù)的穩(wěn)定性和可連續(xù)性，但攻擊方式逐年不斷迭代，因此云安全防護(hù)的性能亟需提升。云安全是個(gè)復(fù)雜的體系，涉及信息系統(tǒng)各個(gè)層面，故需要大量科研與人才的投入。

第三，安全產(chǎn)品的碎片化問(wèn)題仍需改善。目前安全產(chǎn)品在設(shè)計(jì)上仍存在突出的片面化與碎片化問(wèn)題。以隔離為主的傳統(tǒng)安全體系催生出防火墻、入侵檢測(cè)防御系統(tǒng)、Web應(yīng)用防火墻、統(tǒng)一威脅管理、上網(wǎng)行為管理探針、加密機(jī)等單一化的安全設(shè)備，導(dǎo)致網(wǎng)絡(luò)安全工作呈分散割據(jù)化，影響安全與業(yè)務(wù)應(yīng)用間的結(jié)合。未來(lái)安全產(chǎn)品將會(huì)統(tǒng)一且高度集成，同時(shí)得益于云計(jì)算能力的提升以及安全廠商的深厚技術(shù)積累，預(yù)計(jì)云安全產(chǎn)品將迎來(lái)重大突破，安全產(chǎn)品的碎片化問(wèn)題會(huì)迎刃而解。

云端一體的優(yōu)勢(shì)

云端一體化是種具備層次化、區(qū)域化的“云、管、邊、端”結(jié)構(gòu)體系，共包含四層架構(gòu)。第一層，即最核心的一層，是各中心機(jī)房組成的云計(jì)算平臺(tái)；第二層是各城市的基站節(jié)點(diǎn)構(gòu)成的連接管道，為客戶(hù)提供最近距離的云端服務(wù)連接；第三層是邊緣計(jì)算端，負(fù)責(zé)為客戶(hù)提供就近的邊緣計(jì)算服務(wù)；第四層涵蓋了各種計(jì)算終端設(shè)備。

目前銀行、證券、保險(xiǎn)和央企等多個(gè)重要行業(yè)已逐步將業(yè)務(wù)轉(zhuǎn)移到云上，未來(lái)更多的業(yè)務(wù)場(chǎng)景將會(huì)在云上實(shí)現(xiàn)，會(huì)形成混合云等不同形態(tài)的云。相比自建機(jī)房，云安全的投入開(kāi)銷(xiāo)更小且防護(hù)性能更強(qiáng)，通過(guò)“云、管、邊、端”的協(xié)同，實(shí)現(xiàn)數(shù)據(jù)傳輸速度更快、數(shù)據(jù)處理實(shí)時(shí)性更強(qiáng)、計(jì)算環(huán)境更安全和穩(wěn)定、定制化程度更高的業(yè)務(wù)解決方案，具有較強(qiáng)的優(yōu)勢(shì)。

互聯(lián)時(shí)代下的新機(jī)遇

在萬(wàn)物互聯(lián)、云端一體時(shí)代，安全的重要性不言而喻。云計(jì)算呈高速發(fā)展的態(tài)勢(shì)，給云安全帶來(lái)更多的需求，當(dāng)多數(shù)企業(yè)都上云后，云安全的應(yīng)用場(chǎng)景將更加多樣化。未來(lái)10年將是云安全發(fā)展的黃金階段，需要更多優(yōu)秀的人才來(lái)維護(hù)和探索云安全技術(shù)。近幾年大量各行業(yè)的優(yōu)秀人才轉(zhuǎn)入云安全防線，這也是整個(gè)行業(yè)市場(chǎng)持續(xù)發(fā)展的一個(gè)印證。

新晉從業(yè)人員的平臺(tái)切入點(diǎn)必須面向未來(lái)，需具有長(zhǎng)遠(yuǎn)的目光，關(guān)注未來(lái)3～5年會(huì)面對(duì)的挑戰(zhàn)、威脅，并做好相應(yīng)的技術(shù)儲(chǔ)備。未來(lái)安全行業(yè)會(huì)隨著需求的變化而會(huì)不斷進(jìn)化和改變，整個(gè)行業(yè)蓬勃發(fā)展，孵化出更多的安全公司、創(chuàng)業(yè)公司或孵化廠商。但年輕人創(chuàng)業(yè)時(shí)一定要保持初心，且銘記創(chuàng)新是創(chuàng)業(yè)的必要條件之一。

安全是一個(gè)高速發(fā)展的行業(yè)，安全人才是非常稀缺的，其市場(chǎng)價(jià)值也是非常明確的。未來(lái)幾年是云安全行業(yè)高速發(fā)展的時(shí)刻，相信大家只要在這個(gè)行業(yè)不斷創(chuàng)新，解決不同的安全問(wèn)題，都會(huì)得到較好的發(fā)展。