小李,阿里巴巴云智能安全事业部总经理
阿里十四年
小李于2005年加入阿里,在阿里经历了两个不同时期的安全“创业史”:
1.负责阿里巴巴集团“纯甲方”的安全技术
作为阿里的第一个安全工程师,小李一开始负责阿里巴巴集团的安全工作,这个阶段是带着“甲方”的思维和视角工作的。
当时随着IOE的兴起,业务呈现爆炸式增长,行业内的安全产品已经不能满足其需求。小李带领技术团队打造了大量安全产品。比如WAF和淘宝串联的时候,双11的巨大流量来临时,他们早就采用分布式架构和核心技术互联网架构来解决。
这是站在阿里巴巴集团“纯甲方”的立场,为集团的安全研发技术产品。但是在云时代,需要从云的核心——基础设施的安全性入手。小李带领团队推出相应的安全产品和服务,成为云安全提供商。
2.在云时代,它成为阿里巴巴云安全部门的负责人
从2009年开始
自从阿里巴巴云在年成立的第一天起,小李带领的阿里巴巴云安全团队就同时诞生了。在保证云平台安全的同时,小李带领团队在阿里巴巴安全产品历年技术经验的基础上,将阿里巴巴的能力转化为云安全产品和服务。
同时,团队的属性也发生了一些变化。在过去,数百人是安全技术工程师,但现在团队有安全架构师、解决方案、产品、安全服务和其他成员。这是因为随着云业务的快速发展,需要有更高要求的人来解决问题,人的能力也会提高,这是一个良性循环。
目前,阿里巴巴云在安全生态方面取得的显著成绩有:经过几年的发展,在保证阿里巴巴云平台自身安全的同时,为20余万家企业提供了高水平的企业级安全服务;阿里巴巴云的云市场有200多种安全产品,供不同需求的用户选择。
有人可能会问,为什么阿里巴巴云作为云服务提供商,不遗余力地部署安全服务。
“安全性必须是云服务提供商的核心竞争力之一”
在“云”世界里,有这样一句话:“云服务提供商也是‘安全厂商’。”
对此,小李表示,云服务提供商一定会为用户提供优秀的安全产品、服务和整体解决方案,但并不意味着所有的安全产品和解决方案都完全是云服务提供商自己白手起家打造的。然而,目前的情况是,全球顶级云服务提供商正在作为安全服务提供商向用户提供产品和解决方案。
为什么云服务提供商的现状如此?
想象一下,当云服务提供商以基础设施或操作系统的形式向用户提供相关服务时,如果用户在你的操作系统上遇到大量安全事件,用户会觉得这个云服务提供商的操作系统不安全。
虽然从责任的角度来说,并不完全是说云服务提供商需要对用户的每一个安全事件负责。此时,如果其他云服务提供商能够更有效地提供相应的产品和解决方案,帮助用户更有效地减少安全事件和消除安全事件,用户肯定会选择这样的云服务提供商。
所以小李说,“安全一定是云服务提供商的核心竞争力之一。”
特别是在当今数字化转型浪潮中,大量用户业务系统上线,拥抱互联网,如何让用户在云中更好地解决互联网安全问题,“这是云服务提供商努力的方向”,小李说。
那么,厂商在努力前进的同时,应该提高哪些能力呢?
为什么安全厂商需要「整合」?
在2018年云起会议上,阿里巴巴云发布云安全生态战略2.0,正式对外开放安全合作平台。为什么发布2.0策略?对此,小李表示,“国内的安全厂商,包括云服务提供商,都必须具备被整合的能力。”
阿里巴巴云是如何“整合”的,可以分为两种
例如,在阿里巴巴云的云安全中心,阿里巴巴云会在发生安全事件时给出预警和响应。
在检测安全事件时,我们不仅要依靠阿里巴巴云自身的R&D能力,还要整合行业内最好的威胁情报供应商的引擎能力,通过多个引擎检测安全事件,以更好地应对。
2.阿里巴巴云安全的核心能力被整合到安全供应商的产品中。
许多安全公司都有很好的漏洞检测能力,但内容安全检测能力可能存在不足。因为阿里巴巴云有很强的内容安全检测能力,所以他们可以整合阿里巴巴云这部分解决问题的能力。
小李表示,在安全生态方面,阿里巴巴云未来将与安全厂商建立整合关系:阿里巴巴云可以整合安全厂商的产品和核心竞争力,安全厂商也可以整合阿里巴巴云的安全产品和技术的核心竞争力。
因此,小李提醒说,“未来的安全供应商必须提高他们的整合能力。”
也许正是因为阿里巴巴云不断加强“整合”能力,阿里巴巴云在CSDN 《2018-2019中国开发者调查报告》以67%的利用率领先其他厂商,但同时报告显示,40%的企业在云技术发展中面临的最重要问题是云模式下的数据安全问题。
企业云化时如何保证数据安全?
小李说,数据安全只是云中企业需要的。
因为原企业将其应用系统和数据放在自己的IDC(互联网数据中心)中,认为在这样的环境下其系统、硬件和数据的安全性是可控的。
现在的企业都去云了,底层基础设施都是共享的。因此,企业非常迫切地需要数据安全。小李说,归根结底,环境的变化导致了需求的不同优先级。
那么如何解决这个问题呢?
数据加密。
阿里云的大数据计算平台、云原生数据库、云服务器(,简称ECS)、虚拟机等,都是支持云原生的数据加密能力。且给用户提供了密钥管理服务,通过密钥管理和云产品的数据加密功能,保证用户在云上使用这些产品时,数据默认是加密的。
肖力举例道,很多手机用户在使用手机拍照后,会上传到云端备份。有一个较知名的手机厂商背后使用阿里云的OSS云存储来存用户照片。当每一张照片保存在OSS上时,它会通过OSS提供的数据加密功能,对每张照片进行加密。所以即使任何人拿到OSS上的密文数据也没用,解不出来。因为加密的密钥是在手机厂商里,这就像钥匙是放在手机厂商手上的。
这仅是云产品的一个云存储例子,除此之外,无论在数据库、ECS、大数据计算平台里,阿里云都支持这样的数据加密以及KMS密钥管理系统。
在刚结束不久的云栖大会上,阿里云还开创性的推出了内部操作透明化服务,实现平台侧与用户相关操作日志对用户可见。与可靠的全链路数据加密体系,用户完全可控的密钥管理服务一起,帮助用户构建云上全栈数据保护体系。
AI助力安全,打造智能化安防
随着AI技术的发展,阿里云安全技术也不断往数据化、智能化的方向发展。
在这个发展过程中,阿里云有一大优势是在保障服务上百万家企业的云平台安全的同时,还为超过20万家企业提供企业级安全服务,毕竟放眼全球,服务超过1万家企业的安全厂商数量都是不多的,所以对于黑灰产的攻击和漏洞检测,阿里云能第一时间感知。
同时,阿里云接入AI技术和大数据的能力,来对保障云上用户安全。当云上某一个用户遭受攻击时,阿里云能第一时间启动防护流程:自动化检测攻击,制作疫苗,制定防御策略,最后让其他所有的用户能对这种新型的攻击免疫。例如之前阿里云发现有人利用微软的高危漏洞来攻击用户,阿里云做到第一时间上线默认防御策略,并上报微软,使微软开发补丁、发布漏洞公告。
在上述过程中,目前有一部分是自动化完成,但有一部分还需人工分析,阿里云正往全流程智能化技术努力着。那么在未来,除了人工智能,阿里云安全还将部署和发展哪些技术呢?
为何下一代安全架构由云原生安全来定义?
谈及下一代安全架构,肖力曾表示“云原生安全定义下一代安全架构”。为何他如此说?
肖力解释道,企业上云,其实不完全是因为云计算的弹性或者是性价比、虚拟化技术。而是因为企业在数字化转型过程当中,它的架构会互联网化,也就是我们说的分布式架构。
原来企业的架构是非常单点的系统,而如今数据中台、业务中台都是对企业技术架构的本质改变。
肖力认为在下一代的技术或者说下一代企业架构上,是基于云的底层新技术来构建新的企业架构。
众所周知,安全是企业架构之上的,所以企业底层架构技术变成了云原生的技术时,上层的安全技术架构随之会有很大的变化。
肖力举例道,未来可能所有的企业都会用容器代替如今的ECS,容器的安全跟现在的主机安全,从架构上看是存在很大不同的,其技术产品也不一致。
云原生下的是非常强调API和服务化。现在用户的需求是在系统的安全上,未来用户可能连系统也不关心的,只关心API的安全就行。系统的安全则是由云服务提供商来提供的,这对企业架构又有很大的变化。
谈及未来,肖力表示阿里云将更聚焦在基础设施的安全,并在云原生安全、威胁感知、容器安全、安全、基于API安全、身份认证即服务等技术领域上,均有一定的布局。
建议安全工程师:
兴趣导向,多技术领域学习
最后,肖力认为,要成为一个优秀的高潜能安全工程师,一定是兴趣导向的。“好奇心很重要。”他强调。
因为他曾看过很多安全工程师只专注一个领域的安全技术,如果想要更加优秀,就需要能了解多领域的安全技术,才能全局看待问题,拥有良好的解决问题能力,天花板也会高很多。
比如说有些工程师将自己固定在Wi-Fi安全领域上,但Wi-Fi安全只是安全技术领域的一部分,工程师可从二进制安全、协议安全、网络安全技术等方向多探索。
这个过程是需要开发者的兴趣导向和好奇心。
毕竟安全工作是一个经典的木桶原理,需要系统化的知识结构。因为作为安全工程师,是要做用户的最终防护,确保用户的数据安全。
如果一位安全工程师专注Web安全,在Web安全技术很优秀,但可能是一个系统漏洞就导致了要防护的系统出问题。
最后,肖力建议安全工程师在学习安全知识时,需不断扩大自己的技术知识面,深入了解各技术领域,这才能保证自己有完整的技术能力提供给用户,帮助用户解决安全问题。
相关阅读
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除
标签: #阿里云安全最新动态