一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。
“传统IDC要求用户对所有安全问题负责,到了云上,安全迎来责任共担新时代,安全问题变成厂商与用户共同解决。”7月13日2016阿里安全峰会上,阿里云安全事业群资深总监肖力总结七年实践,重新定义云计算时代的安全本质。
阿里云资深总监 肖力
以下为演讲实录:
肖力:大家下午好,今天很高兴在这里和大家分享当前的云计算的发展趋势,以及我们在云安全方面的思考和实践。这是刚才发布的全球的云计算的整个行业的预测,那么,在今年年底的时候,全球的云计算的市场预期到2030亿美元,通过短短的几年,2019年预期整个全球云计算市场高达三千多亿美元,这个数字的背后意味着什么,意味着全球的企业,包括政府机构,包括的开发者,都在全面的拥抱云计算。通过云计算的技术来进行产业的升级,包括的业务的创新。
右边这些图,这都是美国的企业,这些都是美国各行各业的企业在拥抱云计算,其中包括了像CIA,美国的CDC,疾病的治疗中心,还有传统的制造业向西门子,包括联合利华已经把自身的核心系统放在云平台上。当然了,美国有很著名的创新公司,共享基金的代表等等,这些都是非常创新的企业,他们的业务完全基于整个云计算的平台。
看完全球再看看中国,中国的云计算市场,我们预测到2018年年底的时候,全国的云计算市场会高达620亿美元,而且最重要的是整个每一年的年复合增长率预期超过54%。而且我们现在会看到中国现在在推行互联网+的战略,包括移动互联网的兴起。中国的企业在拥抱云计算的速度方面,会比全球的企业,包括了政府机构都要来得快。上面的案例是我们现在在云平台上很多的大型企业,其中包括了很多的央企,我们也看到了很明显的趋势,中国很多央企在拥抱云计算方面比很多的民企来得快,他们希望借助与云计算的技术以及数据的力量来进行整个产业的升级,这是我们看到非常明显的云计算的趋势发展。
所以,阿里云相信,现在互联网已经成为整个社会的基础设施,云计算会成为整个社会的公共服务。什么叫做公共服务,大家知道水、电、煤、这种叫做公共服务。今天,我相信所有的企业,都需要电力,但是,没有一家企业会自己买发电机,只需要向电力局申请按需供给,按需付费就好了,我相信不久的将来,云计算,计算能力是每个企业都需要的。但是每个企业不需要资金买服务器,租用机架搭建自己的业务,只需要找云服务提供商来提供相应的计算能力,在整个云平台上搭建自己的业务,基于数据,基于计算进行进一步的创新。
接下来,也会有很多的,像个人设备的数据,包括了个人的一些很多商业的数据,会被企业沉淀下来,但是这些都是企业进一步的创新,基于计算能力,基于数据的更多创新的人群。
这是我们阿里云在2013年的时候,当时客户的分布图。大家看到当时主要的客户还在东部的沿海地区,经过短短两年发展,现在阿里云的客户已经遍布了全国各个地区。而且分布在各个行业,我们发现有很多的行业的领头企业都在全面的拥抱云计算,都在使用云计算的技术来进行更多的创新。那么接下来安全一定是云,一定是企业上的云,以及在云上的企业最关注的一个话题,那么我们最近来看到CSA对全球的一些企业进行数据调研,那么其中有64%的企业,现在对云上的安全越来越有信心,包括很大的比例认为现在云上的安全比线下的自建ABC的安全会更加强壮,更加的安全。
云安全,我自己总结了三个方面,跟原来线下的安全有非常大的不同。
- 第一,云的服务提供商拥有更强壮的基础设施的安全,以及更强大的安全的资源。阿里云作为一个云服务提供商,在整个基础设施安全,包括了物理安全,包括我们整个的内部的管理体系方面,其实做了大量的工作,包括了投入了大量的资源。我们经常会遇到各行各业需要做安全的审计,他们审计的公司会直接到我们机房来进行飞行的抽检,确保我们机房的安全问题,包括我们的磁带是否能够正常的销毁来确保基础设施的安全。另外一个方面,云服务提供商拥有更强壮的安全的资源,为什么这么说?任何一家企业,不可能会储备五百G,甚至是上T的带宽来抵御攻击,云服务提供商拥有着更强大的带宽的资源,所以我们也能够很好的帮助用户解决大流量的攻击问题。
- 第二,云服务在云安全这一块基于云的环境下,用户拥有着更快的应急响应的能力。我相信今天在座的有非常多的安全的同仁,大家做安全,最关键的一点是都知道应急响应的时间,对企业的安全来讲非常重要,所以在云的环境下,我们最近刚刚一个案例,最近我们有一个CMS的漏洞爆发。我们团队通过两个小时的时候对漏洞进行了分析,上线了防御规则,第一时间对平台上的用户进行防御。另外两个小时之内,我们对所有的云平台的相应用户进行了检测。这个漏洞确认数千个企业,包括了数千个服务器受到了漏洞的影响。我们四个小时之内就通知了这些相应的用户,告诉他们这个漏洞,以及这个漏洞的危害。在他们授权的情况下,我们通过了补丁帮助数千家企业快速修复这个漏洞,整个应急响应时间没有超过六个小时。所以大家都知道现在如果有一家安全的厂商要服务数千家企业,应急响应的时间,包括投入的资源,这个不可能在几个小时内就可以做到。这也是云计算给企业,给厂商带来的更大的优势。
- 第三,当然是全面的威胁情报能力,我们基于整个云平台会分析自动化的分析,更多的攻击的手法,包括了自动化的分析全球的攻击源,包括入侵和僵尸网络的情况。这个时候当有一个攻击者在用户进行发起攻击的时候,我们的云平台的免疫系统就能够第一时间的感知到,把这个威胁情况,把这个防御策略,攻击手法分析出来,告知其他的用户,让更多的用户第一时间的防御,更好的解决黑客攻击而导致的风险。
2009年阿里云成立的第一天起,阿里云的安全团队就成立了。我相信很多的企业一定是业务到了一定的规模的时候才会成立安全团队。但是阿里云在第一天起,就知道安全是云计算最重要的一个组成。所以我们阿里云团队和阿里云这些年都一直在成长,我们在2012年的时候,我们看到了云上有越来越多的用户。但是这些企业用户没有能力解决好安全问题,所以我们就想把自己在阿里层面的十几年的安全产品和安全的能力来赋能于企业,帮助企业更好的解决安全的问题,所以我们在2012年的时候推出了云盾安全品牌,我们希望能够帮助用户更好的解决安全,遇到的安全问题。
2014年的时候,当时我们基于整个云的环境帮助用户修复了超过十万条个漏洞,线下的厂商修复这么多漏洞几乎不可能,所以我觉得这是云计算给用户带来的更大的价值。数据安全一直是云计算这个平台上最重要的,用户最关心的一个点。所以我们在去年的时候,发布了整个数据安全的公约。我们告诉所有的用户,数据是用户的资产,云平台不能擅自的挪做他用。另外一个方面我们基于用户的需求和云上的风险,推出了数据的安全性。我们希望能通过各种方案,各种产品和服务帮助用户更好的解决云上数据安全的问题。
当前,阿里云上面,已经拥有的全国超过35%的网站。那么我们帮助这些企业,帮助这些网站每天访问量超过两2亿次的密码暴力破解和攻击,去年上半年帮助用户修复了47万高危漏洞,现在每天帮助用户防御2000次的DDOS的攻击,而且都是5G以上的,而且我们平台上对5G以下做了清洗,我们预测,我们帮助用户做预防DDOS的攻击超过全网的40%,甚至是50%,我们会遇到各行各业包括了各个国家对我们最高强度的要求,所以我们整个的内部安全体系,包括了基础设施安全方面,我们是非常的重视的。我们是2013年的时候就获得了全球的CACA的金牌认证,我们是全球首家的云服务提供商,通过的这个安全的认证。刚才最近我们刚刚获得了新加坡政府MTCS也是关于云的安全的标准,T3等级,最高安全等级的认证,这些认证的背后也是各行各业,包括了各个国家对我们阿里云安全能力的认可,以及内部安全管理体系的强壮性。
所以,我们初衷,也就是说帮助用户更好的在云上解决好各种遇到的安全问题,我们最近刚刚帮助神州租车很好的抵御了DDOS的攻击问题,保证了业务的稳定性和连续性,另外把阿里积累的很多年的图片的识别和视频的禁黄能力,包括新浪、优酷做图片和视频的禁黄,现在大家知道直播行业特别火,遇到涉黄问题会被监管,所以我们会帮助这些企业做好需求。在反欺诈方面,因为我们集团多年沉淀了各种的反欺诈的能力。所以我们也帮助像大麦网这种票务平台和互联网保险企业更好的做反欺诈的建设。
聊了很多在云计算思考的实践,但是我自己思考在云的环境下和原来的传统的IDC的环境下最大的不同,其实是安全责任的不同。在云的环境下,意味着云服务提供商和用户共同承担着相应的安全的责任。那么阿里云作为云的服务提供商最核心的职责保障整个云平台的安全,以及整个云平台的基础设施的安全。物理安全和虚拟化的安全,以及各个云产品的安全。客户也有相应的责任,需要对自身的业务安全,数据安全甚至是系统安全负责的。最近我们遇到很多客户,有一些客户有不理解,觉得好像业务系统搬上云以后,遇到的问题应该是云服务提供商来解决,我觉得这个方面应该需要跟整个,借助整个全球,全国所有的各个领域的安全厂商一起来帮助用户解决各种安全问题。所以我想去年的时候我们就在积极的发展整个的云的安全生态。当前我们在平台这一块已经有44家安全的厂商,包括一百多个产品在我们的云安全市场里面供户去选择,我们去年的时候和一家数据加密领域非常领先的厂商一起推出语言数据加密服务,不是传统的硬件加密包装成整个云加密服务,帮助用户解决好数据安全,以及数据加密的问题。
另外一个方面我们也和数据库安全领域非常成熟的公司合作,我们希望和他们在数据安全方面的积累来在云安全上共同解决好数据安全的问题。我们和全球最好的漏洞管理和漏洞检测厂商一起合作通过这种能力帮助用户更好的解决在漏洞,在应急响应,安全维度上遇到的问题。我们企业做的十多年,我们深刻的知道现在每家企业都需要安全的重视。像前一段时间美国五角大楼向全球悬赏,希望白帽子帮助五角大楼找到安全漏洞,及时防御黑客的攻击。
所以我们认为未来每一家企业都需要这种白帽子的服务来尽可能的挖掘漏洞,尽可能的比攻击者更好的找到漏洞。所以我们引进了更多的像安全公司里面的白帽子团队,我们希望通过白帽子的力量来使以后百万,千万家的企业来进行更好的漏洞挖掘和修复。另外一个方面云上和线下很大的不同,因为原来线下的厂商是以卖设备为主,但是云环境下,已经不可能再进入设备,这个时候安全SaaS合作非常关键,我也看到一个现象,全球最好的安全厂商服务的企业客户数应该都不会超过一万,超过一万非常少,为什么?因为线下的设备,包括了线下的运维,包括商家,包括实施都需要大量的人力,无法拓展用户,但是云的环境下,我们可以看到我们有机会,一个安全厂商可以服务十万家企业,甚至是百万家企业。这是云计算给安全行业所带来的不同。
现在在阿里云的平台上,已经有数万家企业自发的,有需求的去购买产品和服务。我们也看到有很多的厂商在接触越来越多的用户,我也相信未来整个全球下一个安全的独角兽公司,一定是基于安全SaaS服务,能够服务十万家企业,甚至是希望百万家企业公司。我也期待阿里云的平台上能够诞生更多的安全的独角兽公司,通过SaaS服务帮助我们云上这些企业用户更好的解决安全问题。
所以我们最近也发布了整个安全SaaS的合作伙伴计划,我们把现在的一些我们认为非常好的安全SaaS的合作伙伴引入到云市场里面来帮助用户解决好安全问题。
最后,我想说阿里云希望能够把自身的安全能力,包括云计算的能力,以及大数据的能力和中间件的能力,我们积累了这么多年的能力能够赋能给企业包括开发者,我们希望帮助企业更好的进行创新,降低创新的成本,让数据以及计算,帮助企业发挥更大的价值。
谢谢大家。
