肖力解读：阿里云发布“企业云安全架构”的时候，究竟发布了什么？

距离云栖大会还有半个月。

阿里云安全专门在北京召开发布会，发布了“企业云安全架构”。这种节奏多少有些让人意外。

这传达出两点信息：

1、“企业云安全架构”在云栖大会之外发布，说明它承担了特殊的使命。

2、“企业云安全架构”选择提前半个月发布，说明它在和时间赛跑。

从这个角度可以看出阿里云安全的商业考量：

今年早些时候，谷歌和微软分别发布了自家数据中心的安全架构，行业普遍解读，这个架构主要是针对云计算的。显然，安全架构对于未来的所有云计算平台的发展都有指导意义，这其中是含有巨大红利的。而只有事实上的行业领导者提出的架构才能被广泛地采用。在中国打遍天下的阿里云显然想要在“标准制定”上先走一步。

在发布会上，我又见到了阿里云安全的掌门人肖力，他觉得“企业云安全架构”背后的逻辑很清晰。

肖力解读：阿里云发布“企业云安全架构”的时候，究竟发布了什么？

文 | 史中

1、所有企业上云之后，云安全架构就会成为基础架构。

未来所有的企业都会上云，无非是公共云或专有云。

肖力说。

作为云计算的信徒，阿里云一直在热情赞颂这种技术，这不稀奇。但肖力觉得很多人对云计算的意义了解还不够深刻——“上云不是目的，而是结果”。

他举了一个例子：

我们现在提倡企业要用好自己的数据。比如淘宝天猫的“千人千面”，就是通过对淘宝自身的数据挖掘之后产生的效果，比如你浏览了什么商品，兴趣爱好是什么。

但这还远远不够。未来进一步的数据挖掘，只有在公共云中才可以实现。因为在云上，企业可以让数据流动起来，打通数据孤岛，产生价值。

根据现有的趋势看，大概率说数据真的会成为企业上云的终极推力。

既然所有企业的业务都跑在云上，那么云上的安全架构显然就会取代传统的安全架构。

肖力告诉我，有很多客户（包括企业和政府部门）会约他去聊，他们面临一个共同的困惑：

以前在传统 IDC 时代，他们有一套成熟的安全方法论；但是到了云计算时代，他们熟悉的方法论过时了，而云计算下的安全怎么做，没有成熟的思路。

应该说，阿里云发展到了这个阶段，比国内其他云计算厂商更早地遇到这个问题。遇到新问题，总是先发者的宿命。

2、云安全可以做到的“极致”

在了解云安全架构之前，“云安全责任共担”，是一个必要的背景知识。

“云安全责任共担”简单来说就是云上的安全是由用户和云计算平台共同承担的。而具体的责任划分，用肖力的说法就是：云平台负责云基础设施层面的安全，用户负责虚拟化层以上的安全。

IDC 中国高级分析师赵明宇在讲解云安全责任共担

举个简单的例子，物业出租一套公寓给租户。为了安全，物业要保证门上的锁完全可靠，保证小区的保安尽职尽责；租户要保证自己保管好钥匙，出入注意锁门。

“云安全责任共担模型”已经被行业公认，企业云安全架构，也是建立在这个基础之上的。

下面看图：

这是企业云安全架构完整示意图，点击可以看大图。

下方的云产品安全、虚拟化安全、硬件安全、物理安全，归为云计算厂商的职责范围；上方的业务安全、安全运营、数据安全、网络安全、应用安全、主机安全、身份管理，归为用户的职责范围。

表格虽然不复杂，但是却给想要拥抱云计算的政企一个阿里云背书的“权威依据”。

对于用户来说，这个架构中下面这部分云计算厂商的责任，选定云计算服务商之后就不用特别操心。他们理应更关心上面这部分自己的职责。

为了说明这个架构可用性很高，肖力在发布会上还特别请到了阿里云的一个典型用户：ofo 小黄车的 CTO 童长飚。

ofo CTO 童长飚

ofo 是一个爆炸式发展的明星公司，不过它的的安全运维人员却比大多数人想象中要少。因为他们靠的更多的是思考和工具。因为 ofo 的服务都架设在阿里云上，所以他们在进行安全运维（也就是云安全架构上面这部分）的时候，也更多地采用了阿里云提供的上层工具。

至今为止，ofo 出色地完成着安全运维的工作。

肖力说，ofo 把阿里云提供的工具用到了极致，甚至超越了阿里云安全当初设计这些工具时的预期。这让他这个安全老兵都备受鼓舞。

3、要做到极致安全并不容易

面对这个表格，加上 ofo CTO 童长飚的描述，可能很多人都有和我一样的疑问：云责任共担的模型下，阿里云安全不应该只负责底层的安全吗，为什么还会为上层企业应该自己解决的安全问题提供工具呢？

我把这个问题提给肖力，他说：

根据我们的理解，安全是要保证结果的。这个结果就是：用户是安全的。

从黑客的角度看，他才不会管你是云计算厂商的责任还是用户的责任，他们只知道，底层如果攻不进去，就从上层攻击。

如果 AWS 的用户数据遭到泄露，AWS 辩解说我的底层安全做得很好。这有什么意义呢？

所以，虽然责任在用户，我们还是提供了很多安全产品，比如传输层，存储层的加密、全栈加密、秘钥管理等等安全产品让用户可选。

不过肖力补充说，这个“云安全架构”是面向云计算行业的。不同的云计算厂商和用户都会有自己的选择。但是架构中的“安全要点”和“责任区分”是不会变化的。

虽说“云安全架构”里的要点很简明，但是要把其中的每一项都做好，确是非常难的。我让肖力举了几个例子：

1）加密计算

目前来看，最高级的加密是芯片级加密技术。这种技术和之前的加密技术是有代际差别的。

举个例子，就像原来的 Android 手机都需要安装一个360手机卫士，但是 iPhone 努力把安全能力做到了底层系统，所以在 iOS 上就不用安装第三方安全软件了。

但这种技术在未来会有很多应用场景，但同时对厂商的技术能力有很大的挑战。

比如阿里云，在西雅图的安全团队，专门做芯片安全研究，为云计算的场景定制化应用场景。这需要巨大的研发力量作支撑。

2）全栈数据加密。

全栈数据加密的意思就是，让用户对数据的产生、使用、传输、销毁这一整个生命周期都能进行加密保护。这就使得凡是没有秘钥的人，包括云服务商的运维人员也没有办法查看你的数据。

举个例子，你买了一台笔记本电脑，然后进行了全盘加密，这个硬盘放在除了你之外的人和人手里，都没办法读出里面的数据。

这里面涉及到秘钥的安全管理，多个产品加密之间的对接，传输链路加密等等一系列技术，同样对用户和云安全服务商有很大的技术挑战。

以阿里云为例，全栈数据加密使得用户放在阿里云上的隐私数据是绝对安全的，这个安全不是由阿里云承诺的，而是由数学原理保证的。这也是阿里云强调的“极致安全”。

3）云产品安全生命周期。

云安全生命周期，又叫做 SPLC，这是云安全中一个很重要的方向，它指的是：云安全产品自身的安全保证。

怎么保证安全产品自身的安全呢？要通过开发周期的层层把关。

举个例子，一个云安全产品，从架构设计，开发，到测试和应急响应中的各个环节，都需要有审核机制。包括代码审计，程序测试等等。

安全生命周期的难点在于，很多厂商并不掌握这种严苛审核自家产品的经验，在开发流程中，代码要怎样审计才能绝对安全，测试中需要怎样的环境才能找到微小的 Bug，等等。这涉及到云安全厂商的经验积累，并不是一朝一夕可以做到的。

类似这样的难点，还有很多，例如热补丁修复技术、自动宕机迁移等等。

阿里云就是这样一个坑一个坑趟过来的，安全这个领域没有捷径可走。这个架构是一个总结。我预测所有云安全实践，最终都会和这个架构重合。

至于阿里云安全，我们希望在这个架构上做到“极致安全”。

肖力说。

4、云计算安全架构意味什么

说到这，我们大概可以回答这个问题：阿里云发布安全架构，究竟发布了什么？

未来某一天，我们所有的经济、政治和文化都会构建在云计算之上。彼时的云安全，将会成为我们所有人生存的基石。而这样的基石究竟要如何搭建，每一块砖要如何组合，这样的思考如果留给后人，就为时已晚。从现在开始，就要有人来一砖一瓦地建设。

建设云安全的根基，在商业上的收益也许远不及要付出的成本，但是能力越大，责任就越大。

一个简单的推论是：

云安全的行业，需要安全架构的基石。而世界云安全架构的制定者中，需要有中国云计算厂商的身影。

从阿里云安全的身上，我看到了这种姿态。

-End- 

本文作者史中，科技媒体人，微信：Fungungun