雲上安全，阿里雲能為你做什麼？

重視對安全投入的雲服務商無疑將會贏得客戶的青睞，在中國，雖然企業對於安全的採購比例佔整體IT採購比例的份額非常低。但隨著企業安全意識的轉變和等保合規等政策的要求愈加嚴格、《網路安全法》的即將落地等，可以預期，中國企業安全環境將快速改善。

在企業安全意識和能力提升的進程中，伴隨著企業上雲的數量和規模越來越多，他們對於在雲上如何保護業務系統和提升安全防護水平更加關注。在剛剛結束的2017雲棲大會深圳峰會的安全專場中，參會者擠滿了會場，這些阿里雲的客戶來聽的正是如何在雲上做好企業安全。

實際上，阿里雲是對安全進行重力投入為數不多的幾個雲服務商之一，目前阿里雲安全團隊超過200人。基於此，這也成為其吸引越來越多的國外大型客戶入駐阿里雲的重要原因。

阿里云為客戶提供了一整套安全產品和服務，阿里雲安全專家蘊藉在2017雲棲大會深圳峰會安全專場中對其進行了詳細解讀。

阿里雲安全體系

由於雲區別於傳統的IT形態，阿里雲提出安全責任共擔模型，阿里雲負責雲平台基礎安全防護，用戶負責虛擬化層以上的組件安全、業務安全等，這也符合國家等保政策的要求。雲平台基礎安全防護方面不是本文的重點，實際上對於如此規模和技術實力的服務商來說，攻擊者想要突破其底層平台防線並不容易，過去還沒有這樣的事件發生。並且，去年阿里雲也成為全國首家通過國家級權威測評的雲計算服務商。

阿里雲安全體系

那麼，對於企業用戶可控和可操作的安全來說，阿里雲又為其賦予了哪些能力？

蘊藉表示，阿里云為用戶提供了安全管理、系統安全、業務及內容安全三大安全能力，這三大能力來源於阿里雲安全的三大策略，一是雲盾SaaS安全服務、二是雲產品安全功能、三是雲安全生態彌補租戶更豐富的安全需求。

阿里雲安全產品及服務

安全管理包括雲賬號安全管理及訪問控制、安全審計和遠程運維，它們大多源於雲產品本身的安全功能，值得一說的是這些常常被中小客戶所忽略，例如為特權用戶開啟雙因素認證、使用授權條件限制來增強安全性、不可信設備必須使用臨時訪問令牌等，所以要避免安全管理不當而成為攻擊者的突破口。

阿里雲提供的系統安全包括了網路安全、主機安全、應用安全、數據安全、安全態勢感知等多方面安全服務，這其中許多安全服務均提供免費版本，租戶如果要獲取更高級的防護能力和服務，可以按需付費使用。

阿里雲盾提供了在系統安全方面強大的保護能力，例如雲盾DDoS高防IP針對互聯網伺服器在遭受大流量的DDoS攻擊後導致服務不可用的情況下，用戶可以通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩定可靠。雲盾WAF通過防禦SQL注入、XSS跨站腳本、常見Web伺服器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，過濾海量惡意訪問，避免網站資產數據泄露。

安騎士能夠解決主機層面安全問題，蘊藉指出，它具備頂級Webshell查殺能力，一鍵體檢，支持0day漏洞修復，從而保護服務安全。事實上，很多企業由於開發測試安全意識薄弱，導致系統存在各種漏洞，安騎士在入侵防護上能極大解決用戶安全問題。

在數據安全方面，雲盾證書服務幫助租戶輕鬆實現全站HTTPS，防劫持、防竊聽，雲盾加密服務/密鑰管理服務讓企業的敏感數據加密存儲，未經授權員工及黑客拿不到、解不開數據。

此外，阿里雲還升級了態勢感知平台，作為一個大數據安全分析平台，它能對租戶雲上所有資產進行安全告警，並用機器學習和威脅情報發現潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預測即將發生的安全事件。

在業務及內容安全方面，阿里雲進行了細粒度的數據風控，同時雲盾綠網提供了多樣化的內容識別服務，能有效幫助用戶降低違規風險。蘊藉介紹，目前已開放網站內容檢測、圖片鑒黃服務、垃圾廣告過濾、圖片識別等服務。

所以，阿里雲安全從網路層到數據層，從內部視角到外部視角，均部署了防護和監測體系，租戶亦能得到縱深端到端的安全防護服務。

開啟雲端安全

對於如何在阿里雲上開啟雲安全，蘊藉給出了兩個簡單步驟：

首先，六步開啟雲安全基礎防護：使用RAM管理雲賬號及其許可權、啟用ActionTrail進行操作審計、網路訪問控制減小網路攻擊面（安全組、源IP白名單）、任何用到密碼的地方啟用強密碼、合理使用雲產品的安全特性（如訪問控制）、啟用雲盾基礎防護。

其次，根據業務風險選擇解決方案，例如常被DDoS攻擊影響業務運轉時，則選擇DDoS高防方案；因為垃圾註冊、拖庫撞庫、營銷作弊導致業務損失的風險場景，可以選擇數據風控的業務風控方案；網站內容需要加密傳輸、防釣魚、方流量劫持，敏感數據需要加密存儲時，則選擇證書服務、加密服務方案；被頻繁爆漏洞引發公共危機，被黑客入侵導致數據泄露、資金損失時，則可以選擇WAF、安騎士、先知計劃、態勢感知、安全專家服務等等。阿里雲安全服務針對諸多風險場景，提供了針對性的和靈活的安全解決方案，同時阿里雲還在大力建設安全生態，通過引入第三方安全產品進入雲市場，從而滿足租戶個性化和複雜的安全需求。

混合雲安全解決方案

此外，阿里雲提供的安全能力並不只針對其雲上的客戶，系統不在阿里雲的上的企業同樣可以獲得其安全服務，即混合雲安全解決方案。企業將流量導向阿里雲即可以統一管理混合雲安全策略，減少運維成本和對線下安全硬體的投入。並且，阿里雲也可以將其安全服務完成客戶本地部署，包括網路流量監控、應用防火牆、主機入侵防護等可以部署到企業用戶的機房，結合雲端情報中心等實現企業安全的本地防護。

蘊藉強調，阿里雲所提供的下一代方案架構和傳統安全安全架構的盒子化、單點防禦等特性相比，新的安全架構SaaS化，更敏捷和彈性，大數據檢測未知威脅更加智能化，規則實時更新，可以產生威脅防禦的聯動效果，並能抵禦業務層的攻擊。

所以，無論是保護雲上安全還是「雲下安全」，阿里雲正在呈現越來越強的安全能力。說到這，有必要給阿里雲打上一個新的標籤，阿里雲不僅是一個雲端的計算服務商，還是一個雲安全服務商。