阿里云肖力：原生安全打造云上綠洲

2020年9月17日-18日，一年一度的云棲大會(huì)在云上如約而至。疫情加速數(shù)字化轉(zhuǎn)型大背景之下，云原生以一種高能見度為各行業(yè)帶來了一個(gè)更動(dòng)態(tài)多變、更具效率和生命力的架構(gòu)。 云原生安全具有什么優(yōu)勢(shì)，能否解決線下業(yè)務(wù)場(chǎng)景的安全困局？ 作為阿里巴巴第一位安全工程師，阿里巴巴集團(tuán)副總裁、阿里云安全總經(jīng)理肖力，發(fā)表了以“提速云原生，創(chuàng)新安全力”為主題的演講。

為企業(yè)提供網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)站優(yōu)化、全網(wǎng)整合營(yíng)銷推廣、競(jìng)價(jià)托管、品牌運(yùn)營(yíng)等營(yíng)銷獲客服務(wù)。創(chuàng)新互聯(lián)公司擁有網(wǎng)絡(luò)營(yíng)銷運(yùn)營(yíng)團(tuán)隊(duì)，以豐富的互聯(lián)網(wǎng)營(yíng)銷經(jīng)驗(yàn)助力企業(yè)精準(zhǔn)獲客，真正落地解決中小企業(yè)營(yíng)銷獲客難題，做到“讓獲客更簡(jiǎn)單”。自創(chuàng)立至今，成功用技術(shù)實(shí)力解決了企業(yè)“網(wǎng)站建設(shè)、網(wǎng)絡(luò)品牌塑造、網(wǎng)絡(luò)營(yíng)銷”三大難題，同時(shí)降低了營(yíng)銷成本，提高了有效客戶轉(zhuǎn)化率，獲得了眾多企業(yè)客戶的高度認(rèn)可！

肖力認(rèn)為，上云是提升安全水平的最佳選擇，創(chuàng)新的云原生安全，有能力為企業(yè)用戶打造“云上綠洲”。 數(shù)據(jù)被更有邏輯性的存儲(chǔ)，從物理數(shù)據(jù)中心安全、到核心云平臺(tái)安全、以及和云平臺(tái)無縫結(jié)合的云安全能力……企業(yè)原本需要獨(dú)立、完整承擔(dān)的安全責(zé)任，轉(zhuǎn)移到阿里云平臺(tái)，低耗損的同時(shí)擁抱的是更高等級(jí)的安全。

云原生安全的“上游思維”

云安全的經(jīng)驗(yàn)很稀缺，并且很昂貴，阿里巴巴為此付出了多年努力，總結(jié)了業(yè)界領(lǐng)先的最佳實(shí)踐。基于云的安全建設(shè)，最核心的思維轉(zhuǎn)變?cè)谟冢簠^(qū)別傳統(tǒng)安全只能被動(dòng)做出反應(yīng)，基于云的基礎(chǔ)架構(gòu)改變，讓安全開始有能力在上游解決問題。 如果還帶著傳統(tǒng)安全思維，來構(gòu)建新環(huán)境中的安全控制，無疑大大弱化了云的優(yōu)勢(shì)。

云原生安全，擁有從硬件層透穿的最高等級(jí)安全能力，打造全環(huán)境、全生命周期的可信環(huán)境。用戶視角看到的層級(jí)也將發(fā)生變化，安全產(chǎn)品隨之演進(jìn)變化。用戶基于云原生能力構(gòu)建企業(yè)安全架構(gòu)，只需要選擇服務(wù)去達(dá)成自己的安全目標(biāo)，安全產(chǎn)品不再外掛，安全能力被打通。

云上是一個(gè)更安全的“綠洲”環(huán)境，它可以自動(dòng)化幫助用戶解決掉同質(zhì)化、繁雜的安全問題，讓用戶把精力集中在解決更有價(jià)值的問題上。

以下為本次演講原文的整理

這次的疫情對(duì)各行各業(yè)影響都非常大，今年上半年各行業(yè)都在加速數(shù)字化進(jìn)程。一方面，更多的行業(yè)用戶在擁抱云計(jì)算、擁抱阿里云；另一方面，我們看到網(wǎng)絡(luò)安全已經(jīng)進(jìn)入企業(yè)最關(guān)注、最需要解決的問題前三名。很多政府客戶、金融客戶在阿里云平臺(tái)上，用云安全的核心能力去構(gòu)建下一代的安全架構(gòu)。接下來我們會(huì)著重給各位介紹，當(dāng)前阿里云安全在哪些技術(shù)領(lǐng)域上的深入、哪些云原生的安全能力，來幫助企業(yè)更好地解決過去無解的安全問題。

2小時(shí)擴(kuò)容1萬臺(tái)服務(wù)器

安全服務(wù)化默認(rèn)覆蓋

2月份的疫情，釘釘承擔(dān)了數(shù)百萬人在線教育和數(shù)億人在線辦公的責(zé)任 。 面對(duì)指數(shù)級(jí)爆發(fā)的流量，釘釘只花了2個(gè)小時(shí)時(shí)間，擴(kuò)容了1萬臺(tái)服務(wù)器。 這種速度在傳統(tǒng)架構(gòu)中，安全實(shí)現(xiàn)全覆蓋是一項(xiàng)不可能完成的任務(wù)。 攻擊能夠?qū)е箩斸數(shù)脑诰€會(huì)議、在線視頻中斷，用戶的隱私數(shù)據(jù)泄漏風(fēng)險(xiǎn)隨之提升。釘釘通過云原生的安全服務(wù)化能力，快速地介入了云抗D、云WAF等組合安全防護(hù)手段，保障了釘釘穩(wěn)定的運(yùn)行。

試想一下，如果在傳統(tǒng)安全線下場(chǎng)景，釘釘這樣的企業(yè)要部署這么大規(guī)模的安全設(shè)備，每個(gè)設(shè)備都需要上架、調(diào)試，包括串聯(lián)在鏈路上面起到防御效果，我相信至少需要1個(gè)月時(shí)間。那么云安全服務(wù)化，能夠讓整個(gè)業(yè)務(wù)在小時(shí)級(jí)別，安全能力快速地?cái)U(kuò)容，提供實(shí)時(shí)服務(wù)，為業(yè)務(wù)保駕護(hù)航。

安全能力與基礎(chǔ)設(shè)施融合

0贖金解決勒索軟件問題

傳統(tǒng)企業(yè)安全架構(gòu)在鏈路上面有大量的設(shè)備，是一個(gè)非常復(fù)雜的網(wǎng)絡(luò)。大型企業(yè)在線下甚至擁有上百臺(tái)安全設(shè)備串聯(lián)在網(wǎng)絡(luò)上，可想而知這里面會(huì)遇到多大的整個(gè)安全設(shè)備的鏈路聯(lián)通性問題。這會(huì)導(dǎo)致全面管理的問題，以及安全能力的數(shù)據(jù)孤島問題。 而云上的安全能力可以直接整合在云產(chǎn)品中。 例如云原生安全能力和CDN和負(fù)載均衡SLB進(jìn)行進(jìn)一步的融合，用戶使用的時(shí)候，無論是接入性，還是全面的管理，安全能力都能得到進(jìn)一步的提升。

阿里巴巴自身有一個(gè)系統(tǒng)叫統(tǒng)一接入層。在這一層當(dāng)中，我們將安全的能力融入到了這個(gè)系統(tǒng)當(dāng)中，所有經(jīng)濟(jì)體、業(yè)務(wù)系統(tǒng)在上線的時(shí)候只需要統(tǒng)一接入這個(gè)系統(tǒng)，安全的能力就隨之而來。這種新型的安全對(duì)業(yè)務(wù)方來說，也是非常的方便、便捷，減輕很大的工作量。我還想再分享另一個(gè)案例， 這半年勒索軟件其實(shí)攻擊是非常猖獗的，增幅高達(dá)72%， 攻擊者通過加密企業(yè)的數(shù)據(jù)進(jìn)行獲利，已經(jīng)成為企業(yè)最主要的威脅之一。

國(guó)際知名的GPS公司佳明（Garmin）最近發(fā)生了一起安全事故，某一天全球的用戶無法使用、服務(wù)中斷。勒索軟件將佳明的相關(guān)數(shù)據(jù)進(jìn)行了加密，并且開出上千萬美金的贖金金額。最終，佳明公司通過交付贖金解密了數(shù)據(jù)，從而恢復(fù)服務(wù)，但損失慘重。

阿里云的防勒索方案，是將安全能力和整個(gè)基礎(chǔ)設(shè)施云產(chǎn)品進(jìn)行整合，對(duì)勒索軟件進(jìn)行檢測(cè)和防護(hù)。 用戶可以利用容器鏡像快照能力來打造這個(gè)安全方案。 就算檢測(cè)和防御的能力遇到了挑戰(zhàn)，有一些未知的蠕蟲加密了用戶的數(shù)據(jù)，阿里云防勒索方案用戶可以通過鏡像快照的方式快速地恢復(fù)數(shù)據(jù)，而不用去交贖金。

我們也看到有很多這樣的場(chǎng)景，安全能力和技術(shù)支持云產(chǎn)品進(jìn)行進(jìn)一步融合的時(shí)候，產(chǎn)生了更大的化學(xué)反應(yīng)。

硬件安全降維打擊固件攻擊

最高等級(jí)安全保護(hù)

剛剛前幾周，英國(guó)的網(wǎng)絡(luò)安全中心公布了一份報(bào)告，有組織將新冠疫苗的研究機(jī)構(gòu)作為攻擊的目標(biāo)。他們利用的方式，是通過替換網(wǎng)絡(luò)上所有VPN服務(wù)器的固件，來長(zhǎng)久獲得邊界網(wǎng)絡(luò)的控制權(quán)。

而大家都知道，這種基于固件的攻擊，是系統(tǒng)層安全軟件非常難以發(fā)現(xiàn)的。安全對(duì)抗的時(shí)候， 高維打低維效果最好，越底層的檢測(cè)能力跟防御能力對(duì)越上層的攻擊越有效果。

阿里云的硬件安全能力，支持系統(tǒng)啟動(dòng)的時(shí)候進(jìn)行安全的檢測(cè)，能夠有效的發(fā)現(xiàn)這一類的高安全級(jí)別的后門和木馬。這樣的例子數(shù)不勝數(shù)，我們期待通過阿里云硬件這一層的高安全能力，給到所有的云上用戶高安全級(jí)別的保護(hù)。

啟用身份作為新的安全邊界

打造零信任網(wǎng)絡(luò)環(huán)境

傳統(tǒng)網(wǎng)絡(luò)邊界、訪問控制包括隔離，隨著業(yè)務(wù)越來越復(fù)雜會(huì)越來越弱化， 啟用身份成為企業(yè)新的安全邊界，將成為構(gòu)建新型安全的核心維度之一。 這次疫情，80%的企業(yè)選擇了遠(yuǎn)程辦公，而安全的挑戰(zhàn)包括員工在家的終端的安全、整個(gè)辦公網(wǎng)流量的安全、云端的應(yīng)用系統(tǒng)的數(shù)據(jù)泄漏風(fēng)險(xiǎn)……這對(duì)企業(yè)來說都是非常大的挑戰(zhàn)。

阿里云有個(gè)客戶叫猿輔導(dǎo)，作為在線教育龍頭企業(yè)，疫情期間很多員工在家里面辦公，全球范圍內(nèi)有超過3萬名員工，需要統(tǒng)一的遠(yuǎn)程管理。經(jīng)過多輪生產(chǎn)環(huán)境驗(yàn)證，猿輔導(dǎo)最終選擇了阿里云的整套零信任遠(yuǎn)程辦公方案來解決這個(gè)問題。

阿里云零信任方案對(duì)所有員工的終端進(jìn)行了可信認(rèn)證，對(duì)每個(gè)用戶的身份進(jìn)行雙因素的強(qiáng)認(rèn)證，在云端的決策引擎打通了后端所有的核心應(yīng)用系統(tǒng)，實(shí)現(xiàn)統(tǒng)一ID、統(tǒng)一授權(quán)。云端智能決策引擎還可以通過當(dāng)下的安全因子，來判斷給到每個(gè)用戶什么樣的對(duì)應(yīng)權(quán)限，實(shí)現(xiàn)了辦公效率、員工體驗(yàn)感和安全等級(jí)的全面提高。

數(shù)據(jù)默認(rèn)加密*密鑰輪轉(zhuǎn)

讓隱私泄露成為不可能

云上的數(shù)據(jù)安全一定是所有企業(yè)非常關(guān)注的， 而數(shù)據(jù)默認(rèn)加密是數(shù)據(jù)安全的一個(gè)明確的趨勢(shì)。 我分享一個(gè)國(guó)內(nèi)手機(jī)廠商的案例。大家手機(jī)照片都會(huì)存在云端，這對(duì)個(gè)人來說一定是非常重要的隱私數(shù)據(jù)。這家手機(jī)廠商將云端的數(shù)據(jù)存儲(chǔ)在我們OSS的云產(chǎn)品上面，客戶通過OSS的默認(rèn)加密的功能。

所有的云端的用戶隱私照片存放在阿里云OSS上面的時(shí)候，都是默認(rèn)加密的，所有的密鑰都是由客戶自己來保管。這樣子有效防止了云端的數(shù)據(jù)泄漏后會(huì)造成的所有的安全隱患。 我們當(dāng)前在17款云產(chǎn)品當(dāng)中都支持了默認(rèn)加密的功能，同時(shí)提供密鑰輪轉(zhuǎn)的功能， 用戶可以通過密鑰管理系統(tǒng)來自主管理密鑰，而且一旦云端密鑰泄漏，可以進(jìn)一步通過一鍵密鑰輪轉(zhuǎn)來提升云端數(shù)據(jù)安全性。

數(shù)據(jù)智能驅(qū)動(dòng)安全技術(shù)

原來，企業(yè)遇到的安全挑戰(zhàn)在于數(shù)據(jù)量太大，在海量的流量中需要有效地發(fā)現(xiàn)威脅，精準(zhǔn)的檢測(cè)出威脅在哪里，第一時(shí)間進(jìn)行攔截。 而阿里云把數(shù)據(jù)技術(shù)應(yīng)用在了多個(gè)安全方面的領(lǐng)域，帶了很好的效果。

我們?cè)贒DoS防御、Web安全防御當(dāng)中，通過算法模型能夠非常精準(zhǔn)地識(shí)別攻擊流量、進(jìn)行阻斷。 在威脅情報(bào)方面，阿里云可以識(shí)別全網(wǎng)的惡意IP，自動(dòng)化地分析威脅，自動(dòng)化地產(chǎn)生“安全疫苗”。 內(nèi)容安全以及風(fēng)控的場(chǎng)景，通過對(duì)圖像、視頻的分析和理解，幫助用戶在業(yè)務(wù)上面識(shí)別涉黃、涉恐、涉暴的違禁內(nèi)容，以及對(duì)用戶進(jìn)行視頻的實(shí)人認(rèn)證等等。這些是過去一年實(shí)踐中總結(jié)出的云原生安全“六點(diǎn)核心優(yōu)勢(shì)”，基于很多已經(jīng)落地的安全產(chǎn)品能力和框架，今天我也重點(diǎn)發(fā)布阿里云原生安全架構(gòu)。

每個(gè)企業(yè)可以基于這個(gè)架構(gòu)，根據(jù)自己的業(yè)務(wù)需求、業(yè)務(wù)場(chǎng)景特點(diǎn)來構(gòu)建基于云的下一代創(chuàng)新安全架構(gòu)。整個(gè)架構(gòu)會(huì)分為三大層面：

第一個(gè)層面：云平臺(tái)安全

阿里云使用硬件安全能力和全局云平臺(tái)的威脅檢測(cè)和響應(yīng)能力，來打造更安全的云平臺(tái)底層。

第二個(gè)層面： 云產(chǎn)品安全

安全能力和安全威脅建模能力在產(chǎn)品設(shè)計(jì)階段，就已經(jīng)被融入到產(chǎn)品的開發(fā)流程當(dāng)中。所有代碼上線前確保是安全的，給到用戶一個(gè)安全的云產(chǎn)品。

第三個(gè)層面：內(nèi)置原生安全

在主機(jī)層、網(wǎng)絡(luò)層、應(yīng)用層甚至在數(shù)據(jù)層、業(yè)務(wù)層，各個(gè)層面上將安全能力融合成場(chǎng)景化的解決方案，提供給各行業(yè)用戶。

今天毋庸置疑，無論是IDC 、Gartner、 Forrester等國(guó)際第三方咨詢機(jī)構(gòu)全線領(lǐng)導(dǎo)者象限的認(rèn)可，還是國(guó)內(nèi)外行業(yè)頭部用戶的選擇，阿里云安全已經(jīng)是云安全的領(lǐng)導(dǎo)者。

阿里巴巴全棧上云，我們一方面基于云平臺(tái)、云原生的安全能力幫助各業(yè)務(wù)主體去解決好安全問題；另一方面，也希望通過云平臺(tái)，讓云上的數(shù)百萬級(jí)用戶能夠享受到跟阿里巴巴同等安全能力的保護(hù)。

云演進(jìn)到今天， 底層基礎(chǔ)設(shè)施變化給安全帶來了天翻覆地的變化，我相信未來所有的企業(yè)都會(huì)在云上享受最高等級(jí)的安全。

云安全領(lǐng)域會(huì)有更多的創(chuàng)新的涌入，那我也期待通過云原生的安全能力，來協(xié)助用戶構(gòu)建下一代的安全架構(gòu)，使用云更要駕馭云，在“云上綠洲”充分釋放企業(yè)的商業(yè)競(jìng)爭(zhēng)力！

阿里巴巴ecs是什么服務(wù)器？

云服務(wù)器ecs在云計(jì)算saas三層體系中屬于最底層的服務(wù)。

云服務(wù)器（Elastic Compute Service，簡(jiǎn)稱ECS）是阿里云提供的性能卓越、穩(wěn)定可靠、彈性擴(kuò)展的IaaS級(jí)別云計(jì)算服務(wù)。云服務(wù)器ECS免去了您采購IT硬件的前期準(zhǔn)備，讓您像使用水、電、天然氣等公共資源一樣便捷、高效地使用服務(wù)器，實(shí)現(xiàn)計(jì)算資源的即開即用。

阿里云ECS持續(xù)提供創(chuàng)新型服務(wù)器，解決多種業(yè)務(wù)需求，助力您的業(yè)務(wù)發(fā)展。ecs（云服務(wù)器）在云計(jì)算三層體系中屬于最底層。通常用作應(yīng)用程序的運(yùn)行環(huán)境，其最重要的特點(diǎn)是彈性。

為什么選擇云服務(wù)器ECS：

選擇云服務(wù)器ECS，您可以輕松構(gòu)建具有以下特點(diǎn)的計(jì)算資源：

1.無需自建機(jī)房，無需采購以及配置硬件設(shè)施。

2.分鐘級(jí)交付，快速部署應(yīng)用，縮短準(zhǔn)備周期。

3.在全球范圍內(nèi)持續(xù)擴(kuò)張的數(shù)據(jù)中心和BGP機(jī)房。

4.成本透明，按需使用，支持根據(jù)業(yè)務(wù)發(fā)展隨時(shí)擴(kuò)展資源，以及隨時(shí)釋放多余資源。

5.提供GPU和FPGA等異構(gòu)計(jì)算服務(wù)器、彈性裸金屬服務(wù)器以及通用的x86架構(gòu)服務(wù)器。

6.支持通過內(nèi)網(wǎng)訪問其他阿里云服務(wù)，形成多種行業(yè)解決方案，降低公網(wǎng)流量成本。

7.提供虛擬防火墻、角色權(quán)限控制、內(nèi)網(wǎng)隔離、防病毒攻擊及流量監(jiān)控等多重安全方案。

8.提供性能監(jiān)控框架和主動(dòng)運(yùn)維體系。

9.提供行業(yè)通用標(biāo)準(zhǔn)API，提高易用性和適用性。

電腦老是彈出“阿里巴巴反釣魚安全服務(wù)已經(jīng)停止工作”該怎么解決？

可以用任務(wù)管理器關(guān)掉他。

下邊是具體的方法/步驟：

1，點(diǎn)擊”查看問題詳細(xì)信息“，可看這個(gè)應(yīng)用程序的名，看看是由那個(gè)程序引起的，可以看是 TaobaoProtect.exe.

2，鼠標(biāo)在任務(wù)欄右鍵，點(diǎn)擊打開”任務(wù)欄管理器“，選擇進(jìn)程，按名稱排列找到TaobaoProtect.exe這個(gè)進(jìn)程。

3,找到TaobaoProtect.exe進(jìn)程后，右鍵--打開文件位置，就能打開這個(gè)進(jìn)程所在的安裝目錄了

.

4，要此目錄下找到TaobaoProtect.exe和TaobaoProtectSE.dll兩個(gè)文件，點(diǎn)擊選中把這兩個(gè)文件刪除。

5，如果刪除不了可以使用360的強(qiáng)力刪除，在此目錄下，點(diǎn)擊右鍵新建--文本文檔。

6，把剛新建的文本文檔更改名為TaobaoProtect.exe，擴(kuò)展名也要一起，注意操作要快，因?yàn)閯h除后又會(huì)自動(dòng)生剛刪除的TaobaoProtect.exe和TaobaoProtectSE.dll。

7，選中剛由文本文檔改名而成的TaobaoProtect.exe，右鍵屬性，在常規(guī)中屬性勾選為只讀，點(diǎn)擊確定即可！

參考資料

霏凡論壇.霏凡論壇[引用時(shí)間2018-1-2]