1.Security is Job Zero
网红经济时代,各类直播APP横空出世,而网红脸也成了一个特有标签。IT圈的网红有很多,但是从网红发展成一线明星的故事绝不算多,不可否认云计算就是其中一类,而当红炸子鸡就是公共云。
公共云迅速串红的背后,性价比是一个重要因素,而关键因素则是安全,用户上云的理由有很多,但要获得用户的信任,让他们掏钱买单选择自己,安全问题一定要妥善地解决。根据阿里云最近的调查数据,近九成用户在评估云计算服务时,首要看重其对公司商誉及业务开展的影响,重点关键CSP的内部控制力和防黑能力,行业客户非常关心安全性,尤其是数据安全与合规。
不安全,毋宁上。可以说云安全是公共云这艘大船在危机四伏的汪洋大海里肆意前行的基本保障。
当公共云开疆辟土建立新王朝的时候,云安全就是王朝背后的男人。前几天2016年高考成绩放榜,几家欢喜几家愁,对公共云而言,云安全就是一次大考,而数据安全无疑是试卷里的压轴大题,是学霸还是学渣,数据安全就是很重要的试金石,不论哪家公共云,要想脱颖而出名题金榜,就必须得啃下数据安全这道难题。
下文笔者从个人角度来解读一下公共云领军人物阿里云关于数据安全的答卷《阿里云数据安全白皮书》。
2.厘清责任,告别“保姆”迎接“共担”
云计算安全不像传统安全,传统安全的责任独担明显不再适用于云安全,云安全需要分清职责划清边界,只有定义好了CSP和用户各自的安全责任,才能更好地实现保障目标。而阿里云发展至今,在“保姆模式”阶段也引起过争议,初心不错,但大包大揽总是会遇到麻烦,从“保姆模式”走向“责任共担”模式,也只有被麻烦虐过才能体会到“责任共担”的真谛。
在云安全模式方面,其实各家大厂殊途同归,通过“责任共担”来明确of Cloud和in Cloud的安全责任,在这一点上,阿里云、AWS、Azure都是如此。
阿里云更是将“安全即责任的精神”视为其“安全三维”的第一维,在2015年7月发布了《数据保护倡议书》,宣布数据所有权属于客户,云平台不得将数据移作他用,云平台有义务捍卫客户的数据,算是体现了大厂担当。
3.帮厨、头牌和菜系
没记错的话,阿里云总共有93款产品,其中安全产品有安骑士、态势感知、WAF、DDoS高防IP、基础防护、先知、安全管家、反欺诈、绿网、加密服务、证书服务、云盾SOS服务和移动安全等13款,基本覆盖了防护、检测和响应的PDR闭环,这些产品在各个领域为阿里云本身及云上客户保驾护航,当然云上安全仅靠自己是远远不够的,虽然Gartner写过CSP是否正在转变为安全厂商的文章,但那也仅指基础安全部分。毋庸置疑,未来的云安全一定是一个百家争鸣百花齐放的生态系统,这也正是阿里云安全通过产品和运营来管理云安全品牌的出发点。
从这次数据安全白皮书了解到,阿里云除了做好产品,积累品牌口碑之外,正大力参与云计算和大数据的国际国内、行业及联盟标准的编织,重点包括网安、公安、工信、金融和电子政务等领域,牵头国标2项、行业标准2项,参与国家标准20余项。
不难发现,除了做好产品和运营品牌之外,阿里云正向标准制定者迈进。大伙一定还记得一句行话:三流企业做产品,二流企业做品牌,一流企业做标准,虽然阿里云安全未曾袒露他们的愿景和抱负,但从白皮书和阿里云安全的运营我们可以管窥全豹。
从帮厨开始,做到大厨,再到头牌,最后成为一代宗师成就一代菜系,安全到底做到多好才算好,笔者也只能说燕雀哪知鸿鹄之志。
4.安全是DNA,数据安全非偶得
阿里云一直强调安全是DNA,所有的产品和系统与生俱来都具备安全基因,从系统生命周期角度而言,安全覆盖设计和运营阶段,在运营阶段提出了“1+3”概念,1是保护用户核心数据这个目标,3则是强调检测分析、攻防对抗和应急响应三个能力,笔者好奇为什么强调对抗而没有提防护。
另外一个亮点是追踪控制能力完全覆盖所有SDL程序,国际大厂SDL比较普及,但国内企业相对而言覆盖较少,不知道阿里云SDL基于哪家的模型,比如BSIMM。
数据安全也不是一蹴而就凭空而起,它仍然建立在朴素的方法论之上。物理安全、网络安全、平台安全、人员和过程安全,如果脱离了这些来谈数据安全基本就是信口开河胡说八道,当然阿里云数据安全也是基于这个朴素的方法论,这也是阿里云为什么精心打磨13个安全产品的原因,在这个大基础之上,再来强调数据安全。
而阿里云数据安全保障体系还是从生命周期角度出发,围绕云上数据的传输、使用、存储及加密、销毁等四个环节进行保障机制的设计。而数据安全的核心还是加密,传输通道有加密,在数据使用也基于证书提供加密,当然最直接有效的方式就是提供加密服务对用户生产数据直接加密,这个加密服务有阿里云自己提供的,也有生态体系中ISV提供的。
而整个加密服务的聚焦点其实还是密钥在哪儿,围绕密钥管理每家CSP都会提供自己的KMS(密钥管理服务)服务,正所谓密钥在手,数据我有,阿里云也不例外。可以这么说,密钥管理的成败是数据安全保障机制的关键之一。经典密钥管理模型是双重密钥管理机制,一方面是利用唯一的数据密钥来加密用户数据,另一方面是利用KMS 主密钥来加密数据密钥。
如果你想评估某家CSP的KMS服务,可以尝试询问以下问题:
? 密钥在哪存储,是在用户的硬件还是CSP的硬件上?
? 密钥在哪使用,是用户控制的客户端软件还是CSP控制的服务端软件?
? 密钥被谁使用,是具备权限的Users和Applications还是用户赋予权限的CSP自身的Applications?
把上述关键问题分析清楚,我们对KMS好坏的评价基本就有定论了,从这个角度来考量,阿里云KMS算是佼佼者之一,阿里巴巴整体架构运行在阿里云上,各大金融机构运行在阿里云上,其实从侧面也佐证了这一点。
5.安全的交付
所有的CSP都把安全视为一种能力,但安全该怎么来交付,才能让其易于接受,才能获取客户的持续信任,笔者认为CSP应从可见性、可审计性、可控性和敏捷度四个方面入手。
安全是可见的,在云上有哪些资产和业务?遭受哪些攻击?who?when?what?where?why?看得见是安全的基础,阿里云安全的态势感知产品就是为了解决看得见的问题。
安全需要审计,各类日志记录、配置变更管理、合规要求审计等等,这些都需要CSP来提供,结合可见性和可审计性,CSP可以告诉客户是否安全,并为其提供有效的证据说明。阿里云不能自说自话自吹自擂,一方面它需要审计云平台的安全性,另一方面,它需要第三方机构来审计它的安全性,这也是阿里云在合规和内控领域取得诸多成绩的理由。
安全提供控制,阿里云数据安全保障体系基于透明考量机制让用户可以清楚了解云上数据的使用、共享、交换和转移机制,这也正是其“安全三维”中的第三维。简洁的控制措施,可以更容易解决问题、更容易被审计、更容易被执行,控制措施“轻量化”是未来发展的趋势。
安全应该敏捷,CSP应该让安全更敏捷,让云上业务发展更快但仍能保持安全,如何让胖子在穿上盔甲后还能灵活地闪躲,这不是一个伪命题,这也不应该成为一个问题。不知道阿里云安全团队在敏捷方面会有什么发力,还是拭目以待吧。
尾
阿里云这次发布的《阿里云数据安全白皮书》首提数据安全保护架构和“安全三维”,从安全责任、大厂担当和技术保障三个层面阐述自己的立场和努力,并全面地介绍了阿里云数据安全实践,通过该白皮书基本能厘清阿里云数据安全保障的思路和方法论,基本算是一份满意的答卷。
安全很朴素,安全也很复杂。安全不可见,安全也要看得见。既要见微知著,也要举重若轻。可以想象未来的公共云市场一定是巨头之间的游戏,安全一件事就能把许多草莽英雄拉下马,而最终留在场内的,只有那些起舞的大象。