0
雷锋网编辑一直有个疑惑:黑客为什么不攻击淘宝?
后来,无知的雷锋网编辑也和一位程序员小哥哥吐槽过这个问题,他给我的回答是:黑客当然不会放过任何一个搞钱的机会,而淘宝自然也是被黑客盯上的。
经查阅资料得知,2019 年双十一,2684 亿交易额背后,是全天 22 亿次的黑产攻击。
24 小时,22 亿次是什么概念?意味短期内会出现大量攻击。但这些攻击最终都逐一被抵挡拦截。
这背后,保障安全性与稳定性的,就是阿里安全新一代安全架构体系。
2020 年 4 月,新基建被提上议程,建立在新基建基础之上的网络安全也被更多业内人士重视起来,他们不止一次的提到:数字时代,安全是块砖,哪里需要哪里搬。
数字化基建浪潮下,网络构筑人类与机器的边界,但又不断让技术更吸引人,让人与机器更加唇齿相依,走向“万物皆可互联”的数字新时代。而在人类社会由“信息化”转向“数字化”的同时,也意味着威胁成为了“洞穿”虚拟现实双重空间的隐患。从漏洞隐患到高级持续性威胁(APT),一系列的网络安全威胁,都将可能成为瘫痪数字世界的存在。
而阿里也是一众 BAT 公司里最早在新基建领域投入的公司之一,足见其对新基建的重视。
新基建更需新安全——地基
那么,新基建是什么?
2020 年初,中央高层会议提出“加快 5G 网络、数据中心等新型基础设施建设进度”。一时之间,“新基建”成为与国计民生息息相关的一个热门词汇,新基建将为未来中国经济社会繁荣发展提供重要支撑,成为业内普遍共识,也为企业发展带来重大机遇。
在数字化与上云的趋势下,越来越多的企业选择将业务与数据存储在云端,进而使用更为高效、低成本、安全稳定的云端服务。不过,近几年间,随着 DDoS 攻击、勒索攻击、数据泄露等安全事件频发,无论是 5G、云计算、人工智能、物联网等细分的技术,还是云平台、服务器及硬件等服务,无一不是安全的突破口与防护口。
半佛仙人曾给新基建机遇下的网络安全作了一个比喻:
数字经济时代,如果我们将网络比作道路,将计算和存储系统比作土地,那么基于这些建立的 App 和网站这些数字经济实体,就可以类比为商业建筑。
每一个 App 的搭建过程和建筑工程其实很类似,会采购大量的原材料,也有很多阶段和工序,每个环节都有可能出问题。
所有的互联网安全从业人员,都会面临三个无法回避的事实:三方软件必然存在漏洞,升级成本高;攻击者关注的应用风险面增加、攻击手法更加多样;基于网络边界的防护必然会被突破。
而数字基建的最大意义就在于,为这些“建筑”的搭建过程建立标准化流程,确保建设之初就运行在较高安全基线上。
自从有电商开始,黑客就一直存在,阿里也一直在做自己的安全攻防体系。经历了无数次与黑灰产的暗中斗争后,阿里也在不断打磨内部的安全架构,加之新基建概念的加持,阿里认为,是时候将这套数字基建安全架构分享出来,供更多企业实践参考。
用阿里安全首席架构师钱磊的话来说就是:
“过去的网络安全关注的是造城墙本身,但是买来的砖头出现了问题和漏洞,城墙盖的再好也没用。另外,城门被攻破后是否就一马平川,有没有瓮城做安全区隔也是设计者必须考虑的问题。
简言之,阿里想做的不仅仅是城墙,更想做的是维护这座城墙的根基。
只有根基稳了,城墙才会更安全。
在阿里,这个数字安全架构,分为三层。
最下层是安全技术产品层,包括数据安全、密码学、攻防、算法等等。
中间层是安全基建层,包括软件供应链、研发生命周期、发布卡口、应用可信等。
最上层是安全运营层,包括网络安全、合规、风控等。
其中,安全基建是核心。
阿里安全高级安全专家林峻介绍:
安全基建层的核心能力,是为“数字建筑”的生产建设标准和监理,是为了帮助阿里的系统建设免疫的能力,它建设的重点不只是要从应用本身做深度持续的打透,还要提升人才的安全意识以及安全能力。
具体从两个维度来看:
首先是技术维度,分为五个部分。
其核心是建立应用可信体系,基于这个体系进行对外攻防,并形成了一套完整的应用安全标准。
林峻介绍,阿里的应用安全标准是先有实践,再往上抽象为标准,形成一定规范后,再把这些规范和他们配套的产品重新做整合,进而自顶向下进行设计。
目前,阿里的应用安全标准分为四个部分:
第一部分是完整的应用安全流程,将原来分散提供安全服务的产品整合到一站式安全产品“安全服务中心”上,深度结合Devops,做到研发全流程管控。
第二部分是构建相应的管理体系,包括建立各层的安全组织,还有触达到用户相关规则条例、安全培训,建立用户的安全心智。
第三部分是建设度量体系,从 IAAS 层、软件供应链、研发过程,运行时环境、流量网关、应急响应、人员,多个维度怎么来评估现阶段所面临的风险、所处的安全水位,量化之后,来评估安全位置。
第四部分是规范执行细节,即规范在研发以及日常运营过程中,每一个安全项应该如何进行标准的执行,如何有效验收。同时会在企标基础上,制定安全红线,并配套了相关的安全检出产品,按照“凡有要求必有检出”要求执行。
第二,供应链安全,阿里的软件供应链安全主要涵盖了这几个场景:隐私、后门漏洞,以及法务相关的检测软件供应链建设,从源头保证安全。
具体怎么做?
首先,要对集团内使用的二三方包的基础信息、依赖关系做相应的风险分析,形成具备安全认同的供应链库,研发人员才能从这个供应链库中选择组件,进行相应的研发。
第三,运行时防护,其核心是解决掉入侵相关的风险,主要关注的是命令执行、文件类、网络类的漏洞防护。
这里值得关注的一个产品是 RASP 产品。
不同于市场上的其他 RASP 产品。阿里自研的 RASP 抛弃了之前开源和商业 RASP 产品大而全的方案,专注解决掉入侵相关的风险,同时也做得更底层,在 JAVA 运行时环境做了比较多的适配。
第四,安全检测。阿里在传统的检测方法上作了升级。以白盒为例,市面上的白盒产品能实现跨应用的调用以及跨二三方包的调用分析,阿里不仅能分析阿里几万个应用的数据流和执行流如何工作,而且能请求落库,整个链路是可以完整串联起来。
除此之外,阿里还部署了 IAST 灰盒检测。其在预发环境、测试环境等方面发挥作用,实现多层产品,层层检测的效果。
第五,应用可信的落地。
在阿里,应用可信的落地包括四方面内容:即安全认证、运行时防护、API 安全以及人的因素。
其实,人的因素是最为重要的一个环节。
林峻提到:
“代码应用网络的风险是可以通过技术度量的,甚至在架构上面来解决一些问题,但人的介入,无论是编码行为还是蓄意入侵,它的变数比纯粹的代码和基础设施是要更复杂一些的。”
在所有的变数里,人才是最不稳定的一个因素,所以,阿里对人才的重视程度也可见一斑。
在安全基建中,阿里提到其人才的培养主要从两个维度来培养:
首先是意识维度。
一方面是内容培养,包括历史案例、业界的风险事件的分析,从理论上培养人才的风险意识。
另一方面是触达。有了理论知识的铺垫,接下来的任务就是实践。为此,阿里的做法是:他们会将内容通过各种渠道触发给研发小二,包括自己的工作环境、使用的系统等,通过他们在开发流程中所能触达到的相关系统进而透出。
同时,阿里也会根据他们的习惯,做周期性的策略设计,包括平台侧的内容更新、机器人提醒、周月报等时刻提醒。当然,为了培养主动性,阿里也设立了一些活动,比如答题冲顶赛,安全主题挑战赛、定期安全分享等,逐步培养人才主动学习、主动发现风险、解决风险、上报风险。
其次是能力维度。
能力维度的培养也分为两方面。一方面通过分享行业最新最前沿的安全资讯和内容,让研发人才知晓;
另一方面,基于阿里经济体在研发流程中需要具备的安全能力培养。并且,阿里还对所有人才作了分层,包括前端开发、测试、客户端开发,通过用户分层给他们适配不通的课程,设置不同的题库,为他们设置安全的成长体系,持续培养他们的安全能力。
除此以外,为了让源源不断的安全人才“活水”涌进阿里,也为新基建培养更多安全人才,阿里安全采用与清华大学等高校合作的方式,比如开启“安全AI挑战者计划”、“青色计划“面向高校遴选和培养安全人才,最大程度填补和缓解安全人才缺口。
这些有血有肉的人组成的安全架构,将成为“数字基建”的一部分,不仅保护阿里巴巴这座城,也能成为数字世界中的无数城池的榜样。
雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。