0
雷鋒網編輯一直有個疑惑:黑客為什么不攻擊淘寶?
后來,無知的雷鋒網編輯也和一位程序員小哥哥吐槽過這個問題,他給我的回答是:黑客當然不會放過任何一個搞錢的機會,而淘寶自然也是被黑客盯上的。
經查閱資料得知,2019 年雙十一,2684 億交易額背后,是全天 22 億次的黑產攻擊。
24 小時,22 億次是什么概念?意味短期內會出現大量攻擊。但這些攻擊最終都逐一被抵擋攔截。
這背后,保障安全性與穩定性的,就是阿里安全新一代安全架構體系。
2020 年 4 月,新基建被提上議程,建立在新基建基礎之上的網絡安全也被更多業內人士重視起來,他們不止一次的提到:數字時代,安全是塊磚,哪里需要哪里搬。
數字化基建浪潮下,網絡構筑人類與機器的邊界,但又不斷讓技術更吸引人,讓人與機器更加唇齒相依,走向“萬物皆可互聯”的數字新時代。而在人類社會由“信息化”轉向“數字化”的同時,也意味著威脅成為了“洞穿”虛擬現實雙重空間的隱患。從漏洞隱患到高級持續性威脅(APT),一系列的網絡安全威脅,都將可能成為癱瘓數字世界的存在。
而阿里也是一眾 BAT 公司里最早在新基建領域投入的公司之一,足見其對新基建的重視。
新基建更需新安全——地基
那么,新基建是什么?
2020 年初,中央高層會議提出“加快 5G 網絡、數據中心等新型基礎設施建設進度”。一時之間,“新基建”成為與國計民生息息相關的一個熱門詞匯,新基建將為未來中國經濟社會繁榮發展提供重要支撐,成為業內普遍共識,也為企業發展帶來重大機遇。
在數字化與上云的趨勢下,越來越多的企業選擇將業務與數據存儲在云端,進而使用更為高效、低成本、安全穩定的云端服務。不過,近幾年間,隨著 DDoS 攻擊、勒索攻擊、數據泄露等安全事件頻發,無論是 5G、云計算、人工智能、物聯網等細分的技術,還是云平臺、服務器及硬件等服務,無一不是安全的突破口與防護口。
半佛仙人曾給新基建機遇下的網絡安全作了一個比喻:
數字經濟時代,如果我們將網絡比作道路,將計算和存儲系統比作土地,那么基于這些建立的 App 和網站這些數字經濟實體,就可以類比為商業建筑。
每一個 App 的搭建過程和建筑工程其實很類似,會采購大量的原材料,也有很多階段和工序,每個環節都有可能出問題。
所有的互聯網安全從業人員,都會面臨三個無法回避的事實:三方軟件必然存在漏洞,升級成本高;攻擊者關注的應用風險面增加、攻擊手法更加多樣;基于網絡邊界的防護必然會被突破。
而數字基建的最大意義就在于,為這些“建筑”的搭建過程建立標準化流程,確保建設之初就運行在較高安全基線上。
自從有電商開始,黑客就一直存在,阿里也一直在做自己的安全攻防體系。經歷了無數次與黑灰產的暗中斗爭后,阿里也在不斷打磨內部的安全架構,加之新基建概念的加持,阿里認為,是時候將這套數字基建安全架構分享出來,供更多企業實踐參考。
用阿里安全首席架構師錢磊的話來說就是:
“過去的網絡安全關注的是造城墻本身,但是買來的磚頭出現了問題和漏洞,城墻蓋的再好也沒用。另外,城門被攻破后是否就一馬平川,有沒有甕城做安全區隔也是設計者必須考慮的問題。
簡言之,阿里想做的不僅僅是城墻,更想做的是維護這座城墻的根基。
只有根基穩了,城墻才會更安全。
在阿里,這個數字安全架構,分為三層。
最下層是安全技術產品層,包括數據安全、密碼學、攻防、算法等等。
中間層是安全基建層,包括軟件供應鏈、研發生命周期、發布卡口、應用可信等。
最上層是安全運營層,包括網絡安全、合規、風控等。
其中,安全基建是核心。
阿里安全高級安全專家林峻介紹:
安全基建層的核心能力,是為“數字建筑”的生產建設標準和監理,是為了幫助阿里的系統建設免疫的能力,它建設的重點不只是要從應用本身做深度持續的打透,還要提升人才的安全意識以及安全能力。
具體從兩個維度來看:
首先是技術維度,分為五個部分。
其核心是建立應用可信體系,基于這個體系進行對外攻防,并形成了一套完整的應用安全標準。
林峻介紹,阿里的應用安全標準是先有實踐,再往上抽象為標準,形成一定規范后,再把這些規范和他們配套的產品重新做整合,進而自頂向下進行設計。
目前,阿里的應用安全標準分為四個部分:
第一部分是完整的應用安全流程,將原來分散提供安全服務的產品整合到一站式安全產品“安全服務中心”上,深度結合Devops,做到研發全流程管控。
第二部分是構建相應的管理體系,包括建立各層的安全組織,還有觸達到用戶相關規則條例、安全培訓,建立用戶的安全心智。
第三部分是建設度量體系,從 IAAS 層、軟件供應鏈、研發過程,運行時環境、流量網關、應急響應、人員,多個維度怎么來評估現階段所面臨的風險、所處的安全水位,量化之后,來評估安全位置。
第四部分是規范執行細節,即規范在研發以及日常運營過程中,每一個安全項應該如何進行標準的執行,如何有效驗收。同時會在企標基礎上,制定安全紅線,并配套了相關的安全檢出產品,按照“凡有要求必有檢出”要求執行。
第二,供應鏈安全,阿里的軟件供應鏈安全主要涵蓋了這幾個場景:隱私、后門漏洞,以及法務相關的檢測軟件供應鏈建設,從源頭保證安全。
具體怎么做?
首先,要對集團內使用的二三方包的基礎信息、依賴關系做相應的風險分析,形成具備安全認同的供應鏈庫,研發人員才能從這個供應鏈庫中選擇組件,進行相應的研發。
第三,運行時防護,其核心是解決掉入侵相關的風險,主要關注的是命令執行、文件類、網絡類的漏洞防護。
這里值得關注的一個產品是 RASP 產品。
不同于市場上的其他 RASP 產品。阿里自研的 RASP 拋棄了之前開源和商業 RASP 產品大而全的方案,專注解決掉入侵相關的風險,同時也做得更底層,在 JAVA 運行時環境做了比較多的適配。
第四,安全檢測。阿里在傳統的檢測方法上作了升級。以白盒為例,市面上的白盒產品能實現跨應用的調用以及跨二三方包的調用分析,阿里不僅能分析阿里幾萬個應用的數據流和執行流如何工作,而且能請求落庫,整個鏈路是可以完整串聯起來。
除此之外,阿里還部署了 IAST 灰盒檢測。其在預發環境、測試環境等方面發揮作用,實現多層產品,層層檢測的效果。
第五,應用可信的落地。
在阿里,應用可信的落地包括四方面內容:即安全認證、運行時防護、API 安全以及人的因素。
其實,人的因素是最為重要的一個環節。
林峻提到:
“代碼應用網絡的風險是可以通過技術度量的,甚至在架構上面來解決一些問題,但人的介入,無論是編碼行為還是蓄意入侵,它的變數比純粹的代碼和基礎設施是要更復雜一些的。”
在所有的變數里,人才是最不穩定的一個因素,所以,阿里對人才的重視程度也可見一斑。
在安全基建中,阿里提到其人才的培養主要從兩個維度來培養:
首先是意識維度。
一方面是內容培養,包括歷史案例、業界的風險事件的分析,從理論上培養人才的風險意識。
另一方面是觸達。有了理論知識的鋪墊,接下來的任務就是實踐。為此,阿里的做法是:他們會將內容通過各種渠道觸發給研發小二,包括自己的工作環境、使用的系統等,通過他們在開發流程中所能觸達到的相關系統進而透出。
同時,阿里也會根據他們的習慣,做周期性的策略設計,包括平臺側的內容更新、機器人提醒、周月報等時刻提醒。當然,為了培養主動性,阿里也設立了一些活動,比如答題沖頂賽,安全主題挑戰賽、定期安全分享等,逐步培養人才主動學習、主動發現風險、解決風險、上報風險。
其次是能力維度。
能力維度的培養也分為兩方面。一方面通過分享行業最新最前沿的安全資訊和內容,讓研發人才知曉;
另一方面,基于阿里經濟體在研發流程中需要具備的安全能力培養。并且,阿里還對所有人才作了分層,包括前端開發、測試、客戶端開發,通過用戶分層給他們適配不通的課程,設置不同的題庫,為他們設置安全的成長體系,持續培養他們的安全能力。
除此以外,為了讓源源不斷的安全人才“活水”涌進阿里,也為新基建培養更多安全人才,阿里安全采用與清華大學等高校合作的方式,比如開啟“安全AI挑戰者計劃”、“青色計劃“面向高校遴選和培養安全人才,最大程度填補和緩解安全人才缺口。
這些有血有肉的人組成的安全架構,將成為“數字基建”的一部分,不僅保護阿里巴巴這座城,也能成為數字世界中的無數城池的榜樣。
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
