阿里云解決方案架構(gòu)師徐翔：云上安全建設(shè)實戰(zhàn)

來源：網(wǎng)易

作者：王強娛樂站

時間：2021-11-08

2021年9月17日，阿里云用戶組（AUG）第二期線下活動在南京召開。阿里云解決方案架構(gòu)師徐翔結(jié)合自身多年云端安全經(jīng)驗，和現(xiàn)場二十家南京企業(yè)分享了云安全全景圖及安全建設(shè)的實踐經(jīng)驗。本文根據(jù)徐翔的現(xiàn)場演講整理而成。

本文會從云安全全景圖、云上安全建設(shè)實踐、基礎(chǔ)安全落地、權(quán)威認(rèn)可的安全能力四大方面展開，希望能給到大家一些有用的參考。

云安全全景圖

云上安全的優(yōu)勢

Gartner數(shù)據(jù)表示：與傳統(tǒng)的數(shù)據(jù)中心相比，公共云的安全能力將幫助企業(yè)至少減少60%的安全事件。傳統(tǒng)安全或線下安全有幾個非常令用戶頭痛的問題：

兼容性的問題。安全對接用戶的業(yè)務(wù)系統(tǒng)，和用戶的網(wǎng)絡(luò)可能會不兼容。
接口不能統(tǒng)一，網(wǎng)卡適配問題。
最頭疼的擴展性問題。目前數(shù)字化進(jìn)程飛快，1Gbps的防火墻突然增加到5Gbps，只能通過換硬件的方式，沒有別的辦法。

云上安全是服務(wù)化的，和計算、存儲、網(wǎng)絡(luò)資源一樣，按需使用，需要多少就用多少，并天然具備云端持續(xù)的檢測對抗能力。阿里云安全團(tuán)隊會時刻關(guān)注云上安全的能力建設(shè)，對攻擊主動修復(fù)、持續(xù)修復(fù)。這就是云上安全和云下安全的不同之處。

阿里云云安全的里程碑

正因為云上安全如此重要，阿里云從誕生第一天開始，云安全團(tuán)隊就隨之同步成立，安全可信是阿里云的第一屬性。阿里云十三年的歷程中，云安全的發(fā)展非?？焖?。2013年，阿里云獲得全球首個CSA安全認(rèn)證的廠商；今年的東京奧運會，阿里云也是指定的云服務(wù)商，守護(hù)奧運會網(wǎng)絡(luò)安全；阿里云安全連續(xù)兩年蟬聯(lián)國內(nèi)HW攻擊方第一，也是實力的展現(xiàn)。

云安全全景圖架構(gòu)

云安全全景可劃分為五橫兩縱七個維度的安全架構(gòu)保障：

兩個縱向維度：賬戶安全（身份和訪問控制）；安全監(jiān)控和運營管理。注意這兩個縱向維度包括了租戶側(cè)和云平臺側(cè)的不同實現(xiàn)。
五個橫向維度：最底層的云平臺層面安全；對外租戶層面的用戶基礎(chǔ)安全；用戶數(shù)據(jù)安全；用戶應(yīng)用安全和用戶業(yè)務(wù)安全。

云平臺安全中的架構(gòu)層面包含了阿里云作為云平臺默認(rèn)提供的基礎(chǔ)安全能力，尤其是兩縱的云平臺內(nèi)部身份與訪問控制以及云平臺安全監(jiān)控運營兩個維度，是云平臺內(nèi)部自身的安全管理和運營，客戶并不直接感知。

與之相似的在物理安全、硬件安全和虛擬化安全層面，客戶也無需任何設(shè)置即可享受阿里云本身的高安全等級能力。而云產(chǎn)品安全能力這一層包含了云平臺在各個產(chǎn)品中為客戶提供的安全能力和安全保障，其中部分能力（如租戶隔離）是產(chǎn)品本身默認(rèn)的保障。因此平臺側(cè)這一塊客戶不需要過多關(guān)心，需要關(guān)心的是按照等保2.0和GB22239-2019標(biāo)準(zhǔn)里講的租戶側(cè)安全。

上云第一個要考慮的是用戶的基礎(chǔ)安全?；A(chǔ)安全，包括主機和網(wǎng)絡(luò)這兩大塊，其中容器也屬于主機層，這兩塊是客戶上云第一步要做的很重要的一個事情。
上云第二個要考慮的是數(shù)據(jù)安全。云上環(huán)境中，時時刻刻都會有海量數(shù)據(jù)的產(chǎn)生。而在對這些數(shù)據(jù)進(jìn)行處理和保護(hù)之前，如何從海量數(shù)據(jù)中發(fā)現(xiàn)并分類出各種需要被保護(hù)的敏感數(shù)據(jù)是后續(xù)數(shù)據(jù)保護(hù)機制能夠有效運作的前提條件。目前《數(shù)據(jù)安全法》9月1日已經(jīng)正式發(fā)布《個人信息保護(hù)法》馬上11月1日也即將實施。數(shù)據(jù)安全首先需要先識別數(shù)據(jù)，再對數(shù)據(jù)進(jìn)行分類分級，并對其進(jìn)行相應(yīng)的保護(hù)，如異常訪問檢查、數(shù)據(jù)加密、數(shù)據(jù)脫敏等等。
隨著業(yè)務(wù)的發(fā)展，會涉及到應(yīng)用安全，包括web、APP、小程序等安全。在應(yīng)用安全層面，阿里云為用戶提供了應(yīng)用環(huán)境安全、應(yīng)用配置安全和應(yīng)用自身保護(hù)的三個維度的安全功能。包括漏洞掃描、代碼托管、審計、安全加固，web攻擊防護(hù)等等。
用戶上層的業(yè)務(wù)安全跟很多用戶命脈息息相關(guān)。比如業(yè)務(wù)風(fēng)控，業(yè)務(wù)里面有沒有風(fēng)險，如薅羊毛、惡意注冊、刷短信等，這類阿里云提供了整套的業(yè)務(wù)安全部分的整體解決方案；又比如內(nèi)容安全，目前國家對內(nèi)容安全審查非常重視，如果業(yè)務(wù)所提供的內(nèi)容里有涉暴涉黃這些非法內(nèi)容的時候，輕則下架整改，重則吊銷執(zhí)照。
整體的云上安全架構(gòu)設(shè)計中，用戶的賬戶安全是貫穿始終的一個重要維度。云上用戶的賬戶安全主要體現(xiàn)在五個方面：身份認(rèn)證、訪問授權(quán)（Authorization）、賬號管理、操作審計和應(yīng)用管理，即賬戶安全中的5A 要素，這些阿里云均可以提供相關(guān)能力。

以上內(nèi)容阿里云都是以產(chǎn)品的形式去交付給客戶，來實現(xiàn)用戶整體業(yè)務(wù)和數(shù)據(jù)的安全。產(chǎn)品能力也是阿里云一整套安全運營，威脅檢測和響應(yīng)能力提供的，還有相關(guān)安全咨詢和安全托管一整套的安全方案交付。

云安全產(chǎn)品體系

落地到具體產(chǎn)品，基礎(chǔ)安全包括了很多客戶比較熟悉的DDoS、WAF以及云防火墻等，還包括等保里面所用的堡壘機、審計產(chǎn)品等等，阿里云都有相應(yīng)的安全產(chǎn)品和配置提供給客戶。產(chǎn)品這么多，客戶如何去建設(shè)系統(tǒng)安全問題是接下來分享的重點。

云上安全建設(shè)實戰(zhàn)

云上安全建設(shè)類似“看病”

第一，建議做個全面的“體檢”，評估一下業(yè)務(wù)系統(tǒng)的抗風(fēng)險能力。您得知道系統(tǒng)的弱點在哪，哪些地方最容易出問題，哪些問題不能解決。不建議客戶業(yè)務(wù)系統(tǒng)全部建完了再去考慮安全，因為很容易造成“頭痛醫(yī)頭腳痛醫(yī)腳”的問題。
第二，再做一次安全的摸底。看看現(xiàn)在手里面有多少“彈藥”，可以去對付這些風(fēng)險，哪些風(fēng)險不需要立即處理，哪些風(fēng)險需要采購新的“武器裝備”去處理。
第三，安全建設(shè)。建議客戶進(jìn)行系統(tǒng)的三同步（同步建設(shè)、同步規(guī)劃、同步運營），根據(jù)系統(tǒng)摸底的情況再進(jìn)行安全的整體建設(shè)規(guī)劃?？蛻艨梢园凑諊业臉?biāo)準(zhǔn)進(jìn)行建設(shè)，比如以等保2.0的框架作為標(biāo)準(zhǔn)。
第四、第五步持續(xù)要做的工作是安全管理和安全運營。安全規(guī)劃和建設(shè)完畢后還沒結(jié)束，安全產(chǎn)品和設(shè)備買回來就像是武器彈藥，得有人去“操作”才能真正發(fā)揮作用，而不是僅僅去配置，另外安全的管理也是重中之重。通過對日常的安全管理，形成相關(guān)制度，對人、系統(tǒng)、網(wǎng)絡(luò)設(shè)備、物料環(huán)境等整體的管理、外包的管理、日常安全意識的灌輸?shù)鹊?。同時，安全運營工作同步持續(xù)進(jìn)行，包括資產(chǎn)管理、漏洞管理，應(yīng)急響應(yīng)等等。這樣，才能發(fā)揮整個安全能力的最大作用。

云上安全建設(shè)三大階段

云上的安全建設(shè)建議分三個階段去做：

第一階段，打好基礎(chǔ)是云上最基礎(chǔ)的安全建設(shè)。包括網(wǎng)絡(luò)邊界的安全建設(shè)和主機的安全建設(shè)等。
第二階段，涉及合規(guī)建設(shè)。比如等保2.0、數(shù)據(jù)方面的安全、完善審計類措施、完善數(shù)據(jù)安全措施（惡意訪問、防泄密等），對這些投入完畢后，基本上用戶也能滿足等保建設(shè)要求。
第三階段建設(shè)針對安全要求更高的用戶，包括加大數(shù)據(jù)安全的力度（如敏感數(shù)據(jù)保護(hù)、加密等）、建設(shè)身份認(rèn)證中臺來對整體的用戶賬戶進(jìn)行統(tǒng)一管理，以及業(yè)務(wù)安全建設(shè)（如內(nèi)容安全、防止薅羊毛、惡意刷單等）。

云上安全建設(shè)的實踐

阿里云的安全實踐也落地到了各行各業(yè)，無論是政府、教育、醫(yī)療、金融、企業(yè)等等都大量采用了阿里云的安全方案來保護(hù)他們的云上資產(chǎn)。

基礎(chǔ)安全的落地——云上三把鎖

很多客戶很關(guān)注基礎(chǔ)安全到底要做什么。有客戶提到DDoS高防，DDoS高防的確是邊界安全的一個比較重要的部分，主要是針對網(wǎng)絡(luò)鏈路的業(yè)務(wù)連續(xù)性，防止線路被DDoS打癱瘓。但有些客戶對業(yè)務(wù)連續(xù)性要求沒那么高的時候，更應(yīng)該關(guān)注應(yīng)用層邊界（WAF防火墻）、網(wǎng)絡(luò)層邊界（云防火墻）、主機層邊界（云安全中心）這三把“鎖”。

打個形象的比方，這三把“鎖”就類似我們居住的小區(qū)。小區(qū)出口大門類似應(yīng)用層，所有的人（流量）都會進(jìn)出這個小區(qū)大門，因此小區(qū)的門口得安裝門禁、要求物業(yè)派保安值守。所以應(yīng)用層第一把“鎖”也需要用WAF來對網(wǎng)站、Web、App、小程序等對外發(fā)布的業(yè)務(wù)安裝“門禁”、派人值守。因此WAF這個門禁會識別這些流量哪些是正常的，哪些可以進(jìn)小區(qū)，哪些流量是“小偷”、“刷子”不讓進(jìn)小區(qū)。
第二把鎖是云防火墻。這個墻類似家里的入戶防盜門，雖然小區(qū)入口大門有看守（WAF），但是同一小區(qū)，同一棟樓（VPC）之間其實也會擔(dān)心有惡意訪問。互聯(lián)網(wǎng)方向的流量，主機和主機之間的流量，VPC和VPC之間的流量，就需要自己家的防盜門進(jìn)行監(jiān)控和隔離。云防火墻就是實現(xiàn)南北向（互聯(lián)網(wǎng)方向）和東西向（VPC和VPC之間等）的安全流量隔離。
那萬一來個“高手”，繞過了小區(qū)出口的“門禁”，把自己家的防盜門也突破了，那還需要最后一把“鎖”來阻擋，這就是主機層的一把鎖，最后的防線，類似自家的房間“鎖”。房間里面住的是人（核心資產(chǎn)），阿里云的云安全中心就是主機層的安全防護(hù)手段，來保護(hù)ECS資產(chǎn)、容器資產(chǎn)等等。

因此上云做安全，先做基礎(chǔ)安全，做WAF、云防火墻和云安全中心。下面我們來看一下這三把“鎖”到底是解決哪些問題。

WEB防火墻（應(yīng)用層）

WAF其實就是web應(yīng)用防火墻的簡稱，從字面意思就可以看到它其實就是防護(hù)web層，也就是HTTP協(xié)議的防護(hù)。它實現(xiàn)最基礎(chǔ)應(yīng)用層的防護(hù)，比如CC攻擊、跨站攻擊，SQL注入等等，保護(hù)網(wǎng)站、web站點、APP、小程序等的安全。如果用戶要過等保，WAF也是合規(guī)要求里面必須要的一個安全能力落地措施。

云防火墻（網(wǎng)絡(luò)層）

云防火墻重點關(guān)注的三大能力：

第一個，邊界的管控。包括互聯(lián)網(wǎng)邊界、主機邊界，VPC邊界等等訪問控制，哪些流量能過，哪些流量不能過。
第二個，安全防護(hù)，包括入侵檢測和防護(hù)。不管是網(wǎng)絡(luò)層的攻擊、漏洞攻擊、入侵攻擊防護(hù)、非法外聯(lián)、檢測資產(chǎn)淪陷等等都是由防火墻的防護(hù)模塊來實現(xiàn)的，還有個很重要的點，之前有用戶提到不敢在主機上打補丁，怕重啟、怕打掛掉，云防護(hù)墻有虛擬補丁模塊，通過網(wǎng)絡(luò)層解決打補丁問題，
第三個，審查。所有的流量進(jìn)入業(yè)務(wù)資產(chǎn)訪問，有什么流量，哪些是正常的、哪些是非正常的，通通都會被云防火墻記錄下來，并且以圖形化的方式展示。針對網(wǎng)絡(luò)日志存儲180天，安全組是沒有網(wǎng)絡(luò)流量日志功能的。如果用戶要通過等保，防火墻更是個必須項。