▲阿里云资深安全总监肖力(右)接受采访
“安全是一个体系,未来阿里会基于自身核心运营产品提供相应的系统加密服务,这其中涵盖了关系型数据库和分布式存储,只要用户对与云服务中的数据有安全需求,阿里都会提供相应的加密选项。”阿里云资深安全总监肖力这样单刀直入的剖析了当前阿里关于数据安全和云安全的规划:“加密、数据安全都是一个选项,在不同的业务系统和不同的行业中,用户对于数据安全的需求是不同的,归根结底,安全是一个体系。”
数据安全何以成为阿里云的切入点?
数据安全的重要性已经不言而喻,公有云难以被中国政企用户接受的原因之一就是其安全性忧患实多。企业业务数据和核心数据能否得到有效保护?攘外还是安内?这是众多云服务供应商面对的共同问题,阿里云联合江南天安推出国内首款云数据加密服务,通过数据加密夯实云服务的基础可谓是未雨绸缪的第一步棋。
肖力指出,安全是一个体系,这一个多层防御体系是针对数据、网络、系统和边界的重重保护,各个层面的安保缺一不可。基于阿里的云平台架构搭建了业界首个云加密平台,旨在实现保证所有的用户流量和用接入安全。鉴于国家对硬件加密的强制要求和江南天安在此方面的独到优势促成了如今的现状。云计算平台目前所能覆盖到的范围是存在一定局限性的。通过数据加密机或者对核心数据的加密在不同的场景去实现数据防泄漏,这与当前安全市场的DLP产品形成互补。因此,阿里云所提供的数据安全和云安全解决方案是通过场景去部署。
阿里安全业务的“前世今生”
肖力透露,作为阿里首个安全工程师,在阿里云安全成立之初就得到了时任阿里CTO王坚的支持。时至今日,肖力所得出的结论是“安全是为业务服务的。”淘宝、支付宝、阿里以及如今的阿里云其业务形态纷繁复杂,对安全的需求却不尽相同。
溯本求源,安全是一个体系,安全在互联网巨头眼中已经不能用木桶理论去决定需求,而是用核心业务去决定安全需求。比如电商比较关注于交易的完整性和防欺诈链路,这即是用户所能理解的交易安全。在此方面阿里一直在持续投入进行大数据挖掘,通过建模和机器学习保证电商安全。显然在电商领域,安全的范畴已经从传统的攻防深入到商业欺诈行为和用户行为分析。支付宝的安全则注于金融安全和支付本身的安全,阿里云则要保证云平台底层的安全和虚拟化的安全。而就当前而言,阿里云所关注的数据安全和各类数据加密也成为重要需求点。我们很难量化的去分析安全的资源投入,但是肖力坦言:“阿里一定是当前互联网巨头中对安全持续投入资源最多的。”
从时间脉络上我们能看到阿里不同的业务系统不断开花结果,衍生出越来越多的商业价值,然而安全在快速迭代中如何发挥作用是当前从业者面临的最大问题。如何让业务快速有效,且提升安全体验,这是从业者的共同目标。肖力这样来形容自己的工作:“安全是一门艺术!”
写在后面:当前企业安全市场,传统的安全设备正在逐步通过云组件或者相应云服务供应商实现联动,而针对未知威胁的预测和高级持续性威胁(APT攻击)也都各显身手。阿里云在抗DDoS攻击上显然也有很多的创新,通过SDK方式嵌入到应用中,已经解决很多细分行业的安全问题并有效防御了各类攻击。DDoS防护本身是资源的比拼,需要运营商的把控和业界的联合。其实,窥一斑而见全豹,安全本身就是基于技术的资源比拼,归根结底甚至是人力资源的投入。在传统安全市场发生微妙变化的当下,阿里云安全所沉淀的技术和扮演的角色都将对行业产生深远影响。
作者:李蓬阁
来源:it168网站
原文标题:对话阿里首位安全工程师:巨头的切入点
