云安全信任危机不容忽视 阿里云借“技术+生态”破解行业难题
发布时间：2018-11-01 18:16

　　随着云计算应用在不同行业的价值不断被挖掘，如今主动上云的企业用户在快速增长。但另一方面，数据泄露、非法入侵、恶意攻击等问题频发，使市场对云服务的安全性提出质疑，也成为阻碍产业向企业用户市场进一步渗透的主要瓶颈。而这也促使市场中“头部玩家”们，愈发主动地投入更多精力与资源到安全体系建设中。

　　“我们这么多年一直在强调安全，就是要打消用户的顾虑。”12月20日，北京北辰洲际酒店咖啡厅，作为阿里云安全事业部总经理，刚刚与中国电信云堤完成合作协议签署的肖力显得有些兴奋。而聊起阿里云近期在安全领域的成果时，他还会身体微微前倾，语速提快，给人以兴致颇高的感觉。

　　不过，联想到一周前阿里云成为全球唯一德国C5云安全基础附加标准审计云服务商，也就不难理解他的兴奋所在。不管是签约新盟友，抑或通过严苛的海外标准评审，这些成绩所代表的，是阿里云在安全领域构建的“技术+生态”的“安全城堡”正在成型。

　　当然，随着阿里云底层“安全堡垒”建设的快速推进，其业绩持续迎来近3位数的高速增长。根据阿里巴巴2018财年Q2财报显示，报告期内，云计算业务保持强劲增长，较去年同期增长近100%。同时在企业级市场取得较大突破，超过3成中国500强企业使用阿里云。而以该季度营收规模推算，预计阿里云年度营收将突破100亿元。

　　阿里云“抢”证出海

　　8年，拿下超过20块不同国家的合规资质/证明，通过安全合规认证数量亚洲第一，这是阿里云在安全领域所交出的最新成绩单。而回溯拼命拿牌的初衷，肖力给出的答案却只是，“希望证明自己值得被信任”。

　　近年来，国内云计算产业发展势头迅猛。根据工信部统计，“十二五”末期，我国云计算产业规模已达1500亿元，到2019年，产业规模则有望达到4300亿元。不过在保持高速增长的同时，一系列安全问题的存在让许多用户徘徊于云服务的大门外。

　　毫无疑问，阿里云清晰地认识到了这一点。

　　“当下，各行各业的用户都在不断加深对云服务价值的理解，也在考虑自身上云的可能性，但是为什么还有这么多人迟迟不肯迈出第一步？一个最重要的顾虑就是安全问题。”肖力说。

　　“我们拿了很多的证，并且定期找很多第三方进行审计，我们敢于接受客户、以及第三方的监督，尽的是我们对于社会的责任，我们重视安全，重视用户的隐私。”

　　公开资料显示，2012年以来，阿里云不断在中国、欧盟、美国、东南亚等国家和地区申请数据保护方面的最高等级评测，5年来通过的安全合规认证数量达到亚洲第一。

　　在国内市场，公司旗下公共云平台、电子政务云平台、大数据平台、云运营系统、云运维等五大系统均通过了等保三级备案与测评，金融云平台更是通过了等保四的备案测评，属于国内市场的第一家。

　　至于海外市场，截至目前，阿里云已先后在新加坡、英国、美国等国家，通过了高安全等级的合规评测。最新的成绩是，在12月14日，德国联邦信息安全局宣布阿里云完成了德国C5云安全标准评审。由此，阿里云成为全球首家，也是唯一一家审计报告覆盖所有C5标准基础要求和附加要求的云服务提供商。

　　肖力透露，对于安全合规资质或是专业评测，阿里云内部不成文的要求就是，要始终保持行业领先的地位，并且要全面布局全球云计算第一阵型的国家。

　　至于阿里云在安全领域寸步不让的根本逻辑，主要体现在两方面。其一，公司内部自上而下将云计算视为“信任的生意”，并且包括阿里巴巴集团技术委员会主席王坚博士以及阿里云总裁胡晓明等人，都曾在公司内外多次强调了这一点。

　　今年6月10日，胡晓明更是在上海云栖大会上接受采访时表示，“保护客户的数据安全，是我们最基本的承诺！”

　　同时据其透露，为了确保用户数据安全，阿里云内部目前存在三套体系：首先是面对客户层客户数据的安全方案和保护体系;其次是为确保云平台基础设施安全，所设置的云平台自身数据安全认证体系;以及邀请第三方审计机构对其进行审计。

　　具体而言，当公司工程师进行运维管理操作时，都会有内部审计和实时违规预警，并且还需要多因素认证完成工程师身份验证。此外，公司还会通过定期安全扫描和模拟渗透确保数据安全内部控制的有效性与完整性。

　　其二，布局安全快速拿牌，特别是在海外市场通过高等级的安全评测，这还意味着拿到进军新业务市场的门票，而出海则是阿里云近年来发展的重头戏。

　　比如，在去年，阿里云在新加坡通过了当地云服务商安全最高等级认证MTCS T3级别，换言之，阿里云就可以参与当地政府的相关项目。而此次完成了德国的C5云安全标准评审，同样是意在德国乃至欧盟市场。

　　阿里云2017财年全年财报还显示，在上个财年中，公司在海外市场的规模增速同比更是超过了400%，远超其当年整体增长速度。由此也不难看出，海外业务在阿里云体系内正在扮演着愈发重要的角色，而海外拿牌，无疑会为其出海提供巨大帮助。

　　搭建云端“城堡”

　　纵观阿里系各条业务线发展思路，生态总会在其中发挥极为重要的作用，即便是在专业性极强的云计算安全领域，亦是如此。

　　不过，阿里云要做的防御生态，并不是一个简单为服务商与用户提供交易撮合的渠道，而是更深层次的能力、资源乃至信息交互的综合开放平台，同时该平台还会为其场景化的服务创新提供经验来源。

　　肖力说，分析安全用户的需求，大致可分为三个层次：一是事件驱动，经历过安全事件的用户会产生需求；第二，是合规驱动，主要为满足其业务的准入门槛，比如银行等；第三则是自身有风险意识，出于防患于未然的目的。

　　“在这三种需求中，阿里云的防御体系主要是针对的是第三种。”肖力认为，防患于未然能力的前提，是要深入到用户的业务场景中进行深度学习，从而才能提出具有针对性的解决方案。

　　事实上，对于很多用户而言，云计算等技术就像是一种能帮助其发展的跨时代武器，但是该如何用以及使用后能产生怎样的价值，用户普遍缺少直观的认知。而阿里云做生态的目的，更是希望从中找到技术的实际场景价值，解决具体的问题，而不是简单的技术输出。

　　对于合作的价值，肖力还以20日阿里云与中国电信云堤合作为例解释称，拥有运营商背景的云堤，在基础资源的带宽以及DDos攻击清洗等能力上有很大优势，与其联手，将会对阿里云的DDos攻击防御能力等带来很大程度的提升，可以更好地服务云端过百万的企业用户，同时也希望由此降低用户的成本，创造更多价值，真正将普惠安全做实、落地。

　　此外，肖力认为，安全产业的发展趋势正在从产品化向服务化转变，而这对于他和他的团队而言，是一项很大的考验，而搭建生态将有助于阿里云的下一步发展。

　　据介绍，阿里云的安全团队成员多为技术背景。与之相对，目前阿里云所服务的付费企业用户已超过100万家，就服务能力与服务需求而言，两者相差甚远。

　　“在规模的限制下，团队服务能力是有限的，我总不能招聘一百万人去服务一百万家企业吧？”同时肖力表示，面对如此多企业随时发生的应急响应需求，仅靠其一家肯定无法完成，所以“一定要做分担”。

　　一位熟悉安全市场的专业人士同样认为，完整的安全体系建设，很难只靠一家安全公司的能力包打天下，做生态其实就是将各方优势资源互补，将专业的事交给专业的人来做，从某种意义上来说，这正是一种“以空间换时间”的策略。

　　值得一提的是，对于安全生态，肖力还有着更为形象的比喻：其目前工作就如同在云上造了一座城堡，而生态中的伙伴则在城堡内建造个性化的房子，也就是API，丰富内部功能，以满足不同行业用户个性化的需求。

　　“从趋势来看，未来是API经济的时代。”肖力表示，阿里云正在通过自身云计算的能力，帮助安全厂商更好地服务用户。“生态的最终价值，应该是发挥1+1大于2的效果。其实生态就像苹果、微软所做的操作系统一样，而这一领域一定是我们未来发展的重要方向。”

　　战场突围

　　今年8月，咨询机构IDC曾针对国内公有云服务商的安全性问题，向业界发布了一份中国地区云服务提供商安全评估报告，分别从安全能力、安全战略和安全投入三方面对服务商安全能力进行评估，评估对象包括了包括阿里云、腾讯云、亚马逊、微软等。

　　从结果来看，在国内市场最早一批起家的阿里云，在现有综合能力区间最为靠前，处于绝对领跑地位，但其他云服务商的追赶同样不慢，甚至在某些维度上已逐渐追上了脚步。

　　面对竞争日益激烈的市场，阿里云在安全领域的核心竞争力会从何而来？肖力对此的回答是，技术、产品、服务、生态乃至市场规模，都将是阿里云的发力重点。

　　在他看来，对于现阶段的云服务，每个行业都会有着不同的安全诉求，这对服务商的能力提出了更为综合的要求。“如果哪一点做不好，用户最终一定会用‘脚’来投票，因为市场中的这些产品和服务都需要收费。”

　　此外，在阿里云的设计中，未来在安全领域的布局将更多聚焦在三个层面：完善自身平台与产品的安全问题、一些核心技术与能力的输出问题以及安全生态的搭建问题。

　　“我们深刻地认识到，三大问题的突破需要两重能力，一是技术和产品能力，还有就是生态服务能力。”肖力进一步表示，构建上述能力的基础，是底层核心技术的积累和突破，“这也是阿里近年来布局基础科学的目的所在。”

　　今年10月，在杭州云栖大会上，阿里巴巴CTO行癫宣布，阿里巴巴成立全球研究院—阿里巴巴达摩院，并计划3年投资1000亿人民币，研究量子计算、机器学习、基础算法、网络安全、视觉计算、自然语言处理等方向，而这些技术成果大多也会应用在安全领域中。

　　当然，除了能力的提升，战场的选择同样重要。

　　肖力认为，只有最好的战场才能锤炼出最好的队伍和武器。而背靠阿里系，体系内部的淘宝、天猫等平台以及如双十一等重要活动节点，都是阿里云锻炼防御体系的最好战场。“我们的能力一定是先立足自身需求，经过长期的实践与孵化后，再去输出给更多的用户。”

　　例如在解决电商用户最常遇到的“薅羊毛”问题时，阿里云就将淘宝抵御这类问题的解决方案提供给了用户。

　　不过肖力也强调，安全问题的核心是人与人的对抗。“而不同人的攻击方式会不断变化，就像我们会用机器学习、人工智能，这些技术黑客同样会用，所以构建防御体系还需要战场提供经验，挖掘对方的变化，并对对策进行不断调整。”

　　对于现在的阿里云安全生态，整体领先已是不争的事实，但业务拓展同样存在挑战。其中，最大的瓶颈在于，用户安全意识淡薄。

　　“现在很多用户对安全问题的重视程度，多是事件驱动，换言之，取决于他们是否真正痛过。当他们对于安全的理解不够时，我们就需要投入大量的精力和资源进行市场宣导和教育，这对我们来说是挺难的工作。”

　　肖力最后总结道，在市场教育的过程中，法律应该发挥出更大的作用：一方面，可以像车险一样，强制要求企业有所作为；另一方面，可加大处罚，提升企业出现问题后的成本，从而提高企业的安全意识。