從雙十一看阿里雲安全的“創世紀”——採訪阿里雲安全掌門人肖力有感
“神說要有光於是就有了光。”在雙十一採訪了阿里雲安全掌門人肖力之後,忽然對這句話有了全新的認識。從肖力的介紹中我們不難體會到,與雲端計算相伴而生的阿里雲安全誕生的必然性,雲的先天基因賜予它“原生的神力”,從最初單純的攻擊威脅防禦,到全面智慧化的態勢感知,秒速級的應急響應和處理的能力,網路安全讓阿里雲安全成為眾望所歸。
黑暗之中淬鍊出堅強體魄
時光倒轉十年,當時的網際網路技術讓我們看見了一個更廣闊的世界,但是我們“看不見”的是隱藏在背後的威脅。據肖力回憶,早期的雙十一主要解決的是穩定性的問題。由於業務的快速發展,洪峰般的訪問流量夾雜著絡繹不絕的網路攻擊隨之而來。 “我們當時也想購買安全廠商的產品來保障雙十一的安全,但是發現根本沒有哪個安全廠商能支援雙十一高達T級別的大流量,於是我們只能自己做”,肖力講到,“目前我們的安全能力儲備主要在DDoS方面,其實也是由於早期的業務訴求導致的。”
過去十年,每一次的成功護航似乎都是一個死去活來的過程,涅槃中復活,復活中破繭成蝶。如今的阿里雲已經在全球建成了六大Anycast清洗中心,將護航業務擴充套件到了全球,不僅為阿里自身的海外業務Lazada及雲上客戶出海提供海外清洗服務,同時也讓全球企業可以享受到阿里雲的安全技術。可以說,如果沒有雙十一的磨練,也許就沒有阿里雲現在強大的體魄。
採訪中,肖力也不止一次的提到,“是雙十一這個戰場成就了阿里整個體系的能力”。如果說早期的雙十一帶給消費者的是新鮮與期待,那帶給整個阿里早期安全團隊的則是一場黑暗之中狂風暴雨的考驗,考驗過後是破繭重生之後更為強大的力量。
黑暗已過,黎明的微光初現。
黎明時期 安全的“知己知彼”
● 2016年雙十一期間,阿里雲識別並防禦了來自3萬多個惡意IP的攻擊,防禦2千多次DDoS攻擊,5億次Web攻擊,實現0誤報,0漏報。
● 2017年雙十一期間,自動識別並攔截來自8萬個IP的15億次攻擊,防禦4364次DDoS攻擊,實現0誤報,0漏報。
● 2018年雙十一期間,阿里雲平臺自動識別並攔截來自194個國家的28.6億次攻擊,防禦5000多次DDoS攻擊。這意味著阿里雲每秒要在千萬級IP訪問中精確識別每個IP是否異常,且不能有錯誤攔截,否則就會影響消費者的正常消費。
肖力對於過往的每一場戰役似乎都記憶猶新,他認為安全的本質就是達到“攻與防”的最高境界:而云計算的無限原生“能力”可以讓安全達到更智慧化、更強壯的境界。
黑客就是肖力口中那個始終站在網路另一端與其對抗的神祕人,從他的採訪中我們能感覺到他對於安全這個領域無往不勝的堅持和“攻與防”博弈之間的激情。
每年的11月11日凌晨零點,上億人同時開始購物狂歡,與此同時,黑客也在賽博世界裡尋求一個黑暗的角落開啟攻擊狂歡。
“電商環境下的業務環境多種多樣,比如雙十一有一種玩法是提前加購物車享優惠,這時就會有黑客利用蠕蟲病毒把自己的商品悄悄加入到所有人的購物車裡,趁消費者不注意一起下單購買,這是電商場景的業務邏輯漏洞可能導致的危害。”肖力講到。
然而再瘋狂的黑客也是人,是人就有弱點,有其擅長的手法和行為習慣,就像電視劇《別對我說謊》中主人公可以通過人物的面部表情和行為分析來判定對方是否在說謊從而直擊背後的真相一樣,阿里雲通過雲資料大計算構建的安全大腦,可以藉助雲上強大的情報能力、敏銳的威脅洞察力以及雲上全域性可見能力,智慧識別經過偽裝的安全威脅,做到不放過任何一個“壞人”,不錯殺任何一個“好人”。
“有幸的是,我們與黑客較量多年,已經建立了一套完整的體系來保障消費者的購物安全。2018年雙十一期間,我們實現0漏殺0誤殺,這是整個阿里安全體系的集體力量。”肖力不無自豪的講道。
從與肖力的交談中發現,安全的防守與進攻不在於硬拼而在於智鬥。如今的阿里雲經過與黑客的十年互搏,已經褪去了初出茅廬時的一臉懵懂,取而代之的是身經百戰後知己知彼的淡定。
黎明已然到來,光明就在眼前。
光明時代, “伴生性”安全感
所謂道高一尺魔高一丈,網際網路技術不斷進步的同時網路威脅也在不斷進步。肖力講到,網路威脅正在從原來的基礎設施向業務層和應用層發展,一些高安全等級行業對安全的訴求變得更大。尤其是隨著一些政務系統都變成線上服務,比如汽車車牌線上搖號、城市購房搖號、線上考試等等,都有可能成為黑灰產牟利的陣地。現今的安全威脅還僅侷限在財產安全層面,比如某個黑客又加密了你的資料,需要高昂的比特幣贖回,而未來的安全威脅可能上升到人身安全,無人駕駛汽車一旦被黑客入侵,損失的將不再是比特幣,而是人的生命。
然而作為個人使用者來講,我們現在越來越少的考慮安全問題,很少有人會再給自己的智慧手機、智慧汽車等終端裝置裝上防毒軟體,“這是因為安全已經成為產品從設計到出廠時預設考慮的問題”,肖力解釋到。
提到預設安全,肖力臉上的神情是嚴肅的。他講到,預設安全是安全建設的重中之重,傳統的外掛式系統安全在雲時代會變成內建安全,這樣才能保障不管是企業使用者還是個人使用者的資料甚至人身安全。用通俗的話來解釋就是,安全應該是“伴生性”的,伴隨著業務的“出生”安全就應該被考慮進去。到那個時候,網路安全的光明新時代也將到來。
當被問及阿里雲的安全投入時,肖力並沒有明確的給出具體答案,而是給出了一組對比數字:國外大部分企業在安全上的投入佔IT支出的10%-15%,而國內企業平均投入不到5%。這樣一組反差很大的數字不禁讓人唏噓。在不講數字化就覺得落伍的今天,即使安全不被拿出來大談特談,也應該受到更多的關注。
事在人為是肖力一直的原則,也是阿里人的一份執著。用機器替代人的冗餘工作從而將更多的精力用在新技術探索和能力建設上以保障所有云上使用者的安全是終極目標。肖力表示,雖然阿里雲平臺和雲產品都已經實現了預設的保護,但這遠遠不夠。“不同使用者的業務場景不同,安全問題也不同,我們希望在保障平臺安全的同時與使用者一起保障應用和業務安全,把我們護航雙十一沉澱的安全能力與客戶共享,實現普惠安全,讓企業都能夠輕鬆管理安全,專注於自身業務。”肖力最後講到。
原文連結
本文為雲棲社群原創內容,未經允許不得轉載。