近年来,随着企业对云计算的深入应用以及人工智能技术在各行各业的快速落地,云安全领域迎来了新的挑战与变革。作为国内云计算及人工智能领域的领军企业,阿里云在2024年适时发布了《阿里云安全白皮书2024版》,并在其中提出了一个全新的安全理念——“云上安全共同体”。
这一理念由阿里云智能集团安全部总裁钱磊提出,他强调,阿里云不仅要为客户提供安全可靠的云服务,更要帮助客户在云上实现安全的使用。换言之,阿里云希望将自身在云平台上的安全能力转化为客户实实在在的安全效果。这一理念的提出,被业内人士视为阿里云在云安全领域的一次重大突破,它超越了传统“责任共担”模型的范畴,赋予了云平台更多的责任。
回顾历史,早在2011年,Amazon就首次提出了“责任共担”模型,该模型明确指出云上安全需要云厂商和云租户共同承担。云厂商负责云平台的安全性,而云租户则需要对自身托管的业务和数据负责。这一模型权责划分清晰,易于理解,迅速成为云计算领域的安全共识。
然而,随着云计算技术的不断演进,特别是容器化、微服务等技术的广泛应用,传统的“责任共担”模型已经难以满足当前的安全需求。Google在2022年提出将“责任共担”模型升级为“命运共同体”(shared fate),这一观点得到了业界的广泛响应。阿里云在此基础上进一步提出了“安全共同体”理念,旨在为客户提供更全面、更深入的安全保障。
在云平台的安全防护方面,阿里云从IaaS、PaaS到SaaS层,从物理设施层、操作系统层到网络应用层,都进行了全面的安全布局。其安全体系可以概括为安全情报与研究、检测响应和内生安全三个层面。在安全情报与研究方面,阿里云通过丰富的安全数据和实战经验,能够先于攻击者发现安全问题,不断抬高入侵门槛。同时,阿里云还建立了全方位的红蓝对抗反向校验机制,通过内部蓝军团队和外部白帽生态的共同努力,不断提升云平台的安全防御能力。
在检测响应方面,阿里云结合大模型技术,建立了识别和拦截各类显性和隐性攻击的纵深防御体系。通过部署反入侵、抗DDoS、WAF等安全工具,并配备专业安全运营团队,阿里云能够第一时间感知并处置攻击行为。在内生安全方面,阿里云将安全机制纳入产品研发阶段,将安全设计与业务流程和技术架构紧密结合,为客户提供一个既安全又高效的技术平台。
尽管阿里云在云平台安全方面已经做到了极致,但仍然面临着“最后一公里”的难题。由于客户掌握着云上资产的操作权限,能否真正用好厂商提供的安全能力成为关键。例如,很多云租户不知道如何妥善保管密钥,导致密钥泄露事件频发。为了解决这一问题,阿里云与GitHub等外部平台达成合作,通过监测和限制性保护措施,帮助客户及时发现并处理密钥泄露事件。
然而,云平台的安全保障并不能完全替代客户的安全责任。面对上百万个客户,阿里云无法了解每个客户的业务逻辑。因此,当可疑的攻击事件发生时,阿里云只能采取限制性保护措施,并通知客户自行处理。客户仍需承担其业务第一安全责任人的角色。
阿里云提出的“安全共同体”理念,是在当前安全态势下向云租户发起的一个“双向奔赴”的倡议。它旨在让每一份珍贵数据都得到守护,让云计算成为推动社会进步的强大动力。为了帮助客户更好地了解和提升云上业务的安全健康状况,阿里云在2025年初特别推出了“2025阿里云用户安全体检”活动,为每一位客户提供专业的安全检查服务。
从某种程度上来说,阿里云提出的“安全共同体”理念,是产业互联网时代阿里云的向前一步。它体现了阿里云对云安全领域的深刻洞察和高度责任感。然而,云租户的安全场景复杂多变,无论云平台愿意向前走多少步,最终的安全性还是要云平台和云租户共同努力才能实现。
