阿里云解决方案架构师徐翔：云上安全建设实战

编者按：2021年9月17日，阿里云用户组（AUG）第二期线下活动在南京召开。阿里云解决方案架构师徐翔结合自身多年云端安全经验，和现场二十家南京企业分享了云安全全景图及安全建设的实践经验。本文根据徐翔的现场演讲整理而成。

本文会从云安全全景图、云上安全建设实践、基础安全落地、权威认可的安全能力四大方面展开，希望能给到大家一些有用的参考。

云安全全景图

云上安全的优势
Gartner数据表示：与传统的数据中心相比，公共云的安全能力将帮助企业至少减少60%的安全事件。传统安全或线下安全有几个非常令用户头痛的问题：

兼容性的问题。安全对接用户的业务系统，和用户的网络可能会不兼容。

接口不能统一，网卡适配问题。

最头疼的扩展性问题。目前数字化进程飞快，1Gbps的防火墙突然增加到5Gbps，只能通过换硬件的方式，没有别的办法。

云上安全是服务化的，和计算、存储、网络资源一样，按需使用，需要多少就用多少，并天然具备云端持续的检测对抗能力。阿里云安全团队会时刻关注云上安全的能力建设，对攻击主动修复、持续修复。这就是云上安全和云下安全的不同之处。

阿里云云安全的里程碑
正因为云上安全如此重要，阿里云从诞生第一天开始，云安全团队就随之同步成立，安全可信是阿里云的第一属性。阿里云十三年的历程中，云安全的发展非常快速。2013年，阿里云获得全球首个CSA安全认证的厂商；今年的东京奥运会，阿里云也是指定的云服务商，守护奥运会网络安全；阿里云安全连续两年蝉联国内HW攻击方第一，也是实力的展现。

云安全全景图架构
云安全全景可划分为五横两纵七个维度的安全架构保障：

两个纵向维度：账户安全（身份和访问控制）；安全监控和运营管理。注意这两个纵向维度包括了租户侧和云平台侧的不同实现。

五个横向维度：最底层的云平台层面安全；对外租户层面的用户基础安全；用户数据安全；用户应用安全和用户业务安全。

云平台安全中的架构层面包含了阿里云作为云平台默认提供的基础安全能力，尤其是两纵的云平台内部身份与访问控制以及云平台安全监控运营两个维度，是云平台内部自身的安全管理和运营，客户并不直接感知。

与之相似的在物理安全、硬件安全和虚拟化安全层面，客户也无需任何设置即可享受阿里云本身的高安全等级能力。而云产品安全能力这一层包含了云平台在各个产品中为客户提供的安全能力和安全保障，其中部分能力（如租户隔离）是产品本身默认的保障。因此平台侧这一块客户不需要过多关心，需要关心的是按照等保2.0和GB22239-2019标准里讲的租户侧安全。
上云第一个要考虑的是用户的基础安全。基础安全，包括主机和网络这两大块，其中容器也属于主机层，这两块是客户上云第一步要做的很重要的一个事情。

上云第二个要考虑的是数据安全。云上环境中，时时刻刻都会有海量数据的产生。而在对这些数据进行处理和保护之前，如何从海量数据中发现并分类出各种需要被保护的敏感数据是后续数据保护机制能够有效运作的前提条件。目前《数据安全法》9月1日已经正式发布，《个人信息保护法》马上11月1日也即将实施。数据安全首先需要先识别数据，再对数据进行分类分级，并对其进行相应的保护，如异常访问检查、数据加密、数据脱敏等等。

随着业务的发展，会涉及到应用安全，包括web、APP、小程序等安全。在应用安全层面，阿里云为用户提供了应用环境安全、应用配置安全和应用自身保护的三个维度的安全功能。包括漏洞扫描、代码托管、审计、安全加固，web攻击防护等等。

用户上层的业务安全跟很多用户命脉息息相关。比如业务风控，业务里面有没有风险，如薅羊毛、恶意注册、刷短信等，这类阿里云提供了整套的业务安全部分的整体解决方案；又比如内容安全，目前国家对内容安全审查非常重视，如果业务所提供的内容里有涉暴涉黄这些非法内容的时候，轻则下架整改，重则吊销执照。

整体的云上安全架构设计中，用户的账户安全是贯穿始终的一个重要维度。云上用户的账户安全主要体现在五个方面：身份认证、访问授权（Authorization）、账号管理、操作审计和应用管理，即账户安全中的5A 要素，这些阿里云均可以提供相关能力。

以上内容阿里云都是以产品的形式去交付给客户，来实现用户整体业务和数据的安全。产品能力也是阿里云一整套安全运营，威胁检测和响应能力提供的，还有相关安全咨询和安全托管一整套的安全方案交付。

云安全产品体系
落地到具体产品，基础安全包括了很多客户比较熟悉的DDoS、WAF以及云防火墙等，还包括等保里面所用的堡垒机、审计产品等等，阿里云都有相应的安全产品和配置提供给客户。产品这么多，客户如何去建设系统安全问题是接下来分享的重点。

云上安全建设实战

云上安全建设类似“看病”
第一，建议做个全面的“体检”，评估一下业务系统的抗风险能力。您得知道系统的弱点在哪，哪些地方最容易出问题，哪些问题不能解决。不建议客户业务系统全部建完了再去考虑安全，因为很容易造成“头痛医头脚痛医脚”的问题。

第二，再做一次安全的摸底。看看现在手里面有多少“弹药”，可以去对付这些风险，哪些风险不需要立即处理，哪些风险需要采购新的“武器装备”去处理。

第三，安全建设。建议客户进行系统的三同步（同步建设、同步规划、同步运营），根据系统摸底的情况再进行安全的整体建设规划。客户可以按照国家的标准进行建设，比如以等保2.0的框架作为标准。

第四、第五步持续要做的工作是安全管理和安全运营。安全规划和建设完毕后还没结束，安全产品和设备买回来就像是武器弹药，得有人去“操作”才能真正发挥作用，而不是仅仅去配置，另外安全的管理也是重中之重。通过对日常的安全管理，形成相关制度，对人、系统、网络设备、物料环境等整体的管理、外包的管理、日常安全意识的灌输等等。同时，安全运营工作同步持续进行，包括资产管理、漏洞管理，应急响应等等。这样，才能发挥整个安全能力的最大作用。

云上安全建设三大阶段
云上的安全建设建议分三个阶段去做：

第一阶段，打好基础是云上最基础的安全建设。包括网络边界的安全建设和主机的安全建设等。

第二阶段，涉及合规建设。比如等保2.0、数据方面的安全、完善审计类措施、完善数据安全措施（恶意访问、防泄密等），对这些投入完毕后，基本上用户也能满足等保建设要求。

第三阶段建设针对安全要求更高的用户，包括加大数据安全的力度（如敏感数据保护、加密等）、建设身份认证中台来对整体的用户账户进行统一管理，以及业务安全建设（如内容安全、防止薅羊毛、恶意刷单等）。

云上安全建设的实践
阿里云的安全实践也落地到了各行各业，无论是政府、教育、医疗、金融、企业等等都大量采用了阿里云的安全方案来保护他们的云上资产。

基础安全的落地——云上三把锁

很多客户很关注基础安全到底要做什么。有客户提到DDoS高防，DDoS高防的确是边界安全的一个比较重要的部分，主要是针对网络链路的业务连续性，防止线路被DDoS打瘫痪。但有些客户对业务连续性要求没那么高的时候，更应该关注应用层边界（WAF防火墙）、网络层边界（云防火墙）、主机层边界（云安全中心）这三把“锁”。

打个形象的比方，这三把“锁”就类似我们居住的小区。小区出口大门类似应用层，所有的人（流量）都会进出这个小区大门，因此小区的门口得安装门禁、要求物业派保安值守。所以应用层第一把“锁”也需要用WAF来对网站、Web、App、小程序等对外发布的业务安装“门禁”、派人值守。因此WAF这个门禁会识别这些流量哪些是正常的，哪些可以进小区，哪些流量是“小偷”、“刷子”不让进小区。

第二把锁是云防火墙。这个墙类似家里的入户防盗门，虽然小区入口大门有看守（WAF），但是同一小区，同一栋楼（VPC）之间其实也会担心有恶意访问。互联网方向的流量，主机和主机之间的流量，VPC和VPC之间的流量，就需要自己家的防盗门进行监控和隔离。云防火墙就是实现南北向（互联网方向）和东西向（VPC和VPC之间等）的安全流量隔离。

那万一来个“高手”，绕过了小区出口的“门禁”，把自己家的防盗门也突破了，那还需要最后一把“锁”来阻挡，这就是主机层的一把锁，最后的防线，类似自家的房间“锁”。房间里面住的是人（核心资产），阿里云的云安全中心就是主机层的安全防护手段，来保护ECS资产、容器资产等等。

因此上云做安全，先做基础安全，做WAF、云防火墙和云安全中心。下面我们来看一下这三把“锁”到底是解决哪些问题。

WEB防火墙（应用层）
WAF其实就是web应用防火墙的简称，从字面意思就可以看到它其实就是防护web层，也就是HTTP协议的防护。它实现最基础应用层的防护，比如CC攻击、跨站攻击，SQL注入等等，保护网站、web站点、APP、小程序等的安全。如果用户要过等保，WAF也是合规要求里面必须要的一个安全能力落地措施。

云防火墙（网络层）
云防火墙重点关注的三大能力：

第一个，边界的管控。包括互联网边界、主机边界，VPC边界等等访问控制，哪些流量能过，哪些流量不能过。

第二个，安全防护，包括入侵检测和防护。不管是网络层的攻击、漏洞攻击、入侵攻击防护、非法外联、检测资产沦陷等等都是由防火墙的防护模块来实现的，还有个很重要的点，之前有用户提到不敢在主机上打补丁，怕重启、怕打挂掉，云防护墙有虚拟补丁模块，通过网络层解决打补丁问题，

第三个，审查。所有的流量进入业务资产访问，有什么流量，哪些是正常的、哪些是非正常的，通通都会被云防火墙记录下来，并且以图形化的方式展示。针对网络日志存储180天，安全组是没有网络流量日志功能的。如果用户要通过等保，防火墙更是个必须项。

云安全中心（主机层）
再看看“最后一道防线”——主机层的安全。阿里云安全中心主要关注主机层的安全，包括ECS和容器的安全：

事前协助用户做安全运营，包括漏洞扫描修复、安全基线检查看有没有问题。

事中提供防护，包括恶意病毒查杀、勒索病毒、挖矿病毒等、攻击渗透防御（如上传脚本攻击等）。

事后提供相应追溯调查，相关攻击日志提供、攻击链展示等等。

同时云安全中心也可以联动其他的阿里云安全产品，比如和云防火墙做联动处置，当发现告警后通知防火墙阻断链接。

权威认可的阿里云安全能力

在国内乃至整个亚太地区，阿里云是合规资质最多的一朵云，无论在国内还是在欧美、东南亚等等，基本上该有的认证阿里云都有，能满足用户国内以及出海场景的合规要求。

阿里云安全在国内外通过了很多认证也获得了很多奖项，比如WAF国内唯一的大满贯，DDOS能力大中华区第一，原生安全能力国内排名第一等等，由于时间关系，在这里不再赘述。

通过本篇分享，希望大家能了解阿里云的安全架构、产品能力，以及了解如何做安全建设、上云最基础的安全工作等等，希望本次分享能给大家带来一些新的收获。（完）

阿里云解决方案架构师徐翔：云上安全建设实战