云上安全全新理念:安全共同体
内容介绍
一、安全共同体云上安全理念升级
二、中小企业普惠权益
三、专家观察-云安全的“未变”与“变”
今天分享的话题是“安全共同体云上安全理念升级”。简单来说,安全共同体就是当客户遇到安全问题时,阿里云希望能与客户紧密相连,共同应对和解决这些安全问题,也就是在租户遇到安全问题时,阿里云能够多做一些,多帮用户解决安全相关问题。
要把安全共同体这个理念阐述清楚,主要分为四个部分。第一是安全责任共担模式面临的挑战;第二是介绍云上安全的新理念,即安全共同体到底是什么;第三是关键措施,其中面向租户和安全相关产品;最后是专家观察,由中国电子技术标准化研究院的何延哲副主任为大家讲解云安全的发展趋势。
一、安全责任共担模式面临的挑战
我们先来看安全责任承担模式面临的挑战。其实在云计算刚兴起时,整个行业就提出了责任共担模式,通过这个模式明确了云平台和用户在数据和业务层面各自的责任。在明确之后,这种责任共担模式成为了业界共识,指导着云平台和租户开展各自的安全工作。比如阿里云要负责数据中心和基础设施的安全、云平台和云产品安全,租户则要负责其在云上的数据应用或账户管理等相关事务。
1.严峻的网络安全态势和挑战
然而,随着各行各业数字化转型的深入,云平台承载的业务和数据越来越多。但隐患也在增加,据了解,国内近半数企业在网络安全支出方面占比前期投入的比例较低,甚至有些公司没有专职的安全运维人员。当企业不断发展、数据量不断增加且越来越多地使用云计算时,如果没有专职安全运维人员进行日常的云产品配置检查或线上安全配置维护,很多原本可以避免的安全问题就会频繁发生。基于此,阿里云提出了安全共同体这一新理念,就是希望阿里云能多承担一些,帮助用户解决安全问题。
2.云上安全新理念-安全共同体
(1)安全共同体
接下来讲解安全共同体的新理念到底是什么。安全共同体是在责任共担模型的基础上发展而来的,并不是说责任共担模型有问题,它是管控云上安全风险的基础。在此基础上,首先阿里云不仅要提供安全的云环境,更要帮助用户安全地使用云服务。我们通过八根支柱来建设安全的云环境(在大家座位上有安全八支柱的宣传资料),这里就不详细展开八根支柱的内容了,后续在安全白皮书发布相关话题中,会有我们的安全官为大家讲解。右边部分是安全使用云服务,这是我接下来要重点讲解的内容。在安全共同体理念下,其核心是强调云上环境的安全是云平台和租户共同的目标。
要做好云上的安全,需要双方更多地共同努力和参与,这样才能有效抑制风险。如果脱离任何一方单独谈云上安全,都是不全面的。所以,阿里云为了帮助用户安全地使用云服务,会提升安全用云的体验,降低安全用云的成本。围绕阿里云安全相关的产品和服务,核心会开展四个方面的工作。
第一,提高云产品的安全水位。第二,面向租户提供充足的安全产品能力。第三,在服务方面,面向租户提供更主动的安全事件应急响应。第四,持续面向租户提供安全科普和培训,比如提供安全用云指南手册,包括今天在这个话题之前,也有主播帮助用户。
(2)云上安全“最后一公里”
为了便于理解,我们把安全用云环节比作云上安全的“最后一公里”。在电商领域有物流的“最后一公里,即如何快速且安全地把快递送到买家手中,这是备受关注且棘手的问题。云上安全的“最后一公里”同样棘手,因为面对的客户来自各行各业,每个客户有不同的用云习惯,在安全方面的投入也各不相同。所以,要做好每个用户云上安全的“最后一公里”难度很大,但阿里云愿意投入能力和时间成本去打磨各个环节。这不是一句口号,我们确实进行了优化,在安全效果方面有了一些改善。
下面从四个核心方面介绍在共同体模式和之前模式的对比,方便大家了解。第一是云平台的安全配置,第二是风险与威胁检测(这体现了我们的安全检测能力),第三是安全告警配置,第四是安全事件的响应。在之前的责任共担模型模式下,阿里云虽提供了这些能力,但需要用户自行配置开启,像一些检测能力也需要用户自主操作。比如安全告警,每天告警多少次、通过何种方式(邮件、短信等)告警,告警方式的选择都需要用户自己设置。最后像应急响应,基本需要用户独立完成。但在共同体模式下,很多默认的安全配置已经帮用户设置好了,如果用户配置存在不安全因素,我们在产品端会进行改进。当然,这是一个逐步完善的过程,部分产品已经有所改变,部分产品还在逐步改进中。第二点是普惠能力,这部分下面会详细讲解,这里先不展开。第三点是安全告警配置,特别是针对高危安全事件,我们会配备专门的安全响应团队,全力跟进事件,关注用户是否处理了这些事件,有没有遗漏风险。
最后,我们与客户的交互是双向的。除了我们主动向用户告警信息外,用户也会有安全诉求并寻求安全帮助。我们正在做的一件事是在阿里云工单系统里计划上线一个一键求助功能,这样用户在产生安全事件时,无需填写繁琐内容或详细描述安全问题,就能一键联系到我们的专业支持人员获取安全应急指导。讲到这里,大家应该能对安全共同体新老模式的差别有一些体会了。
3.践行安全共同体的关紧措施
下面围绕落地安全共同体的关键措施详细展开,核心主要有四点,前面也基本都提到了:一是提高初始安全水位;二是实现普惠;三是主动处理安全事件;四是发布安全用云计划和云上安全指导专题频道,这里面涵盖了所有与安全用云相关的基本操作视频。
这里要再次强调一点,我们构建安全共同体是实实在在地为客户、为租户做事。
(1)更高的初始安全水位
首先是建设更高的安全初始水位,核心有两点。
第一点是用户上云之前需要做好完善的安全上云规划,就像建设一个社区之前要有完备的顶层设计一样。建社区前要有道路规划、门禁安全管理方案、停车场设计、垃圾处理设计等。这样当社区租户增多时,安全配套完善了,居民的正常居住才能得到保障。上云也是如此,上云之前要对访问控制、网络架构、整体账号管理体系、权限管理体系等做好规划。这样在业务发展、越来越多地使用云资源的过程中,后续的安全防护才有保障。在哪里可以找到这些安全上云规划的解决方案呢?可以在阿里云开放平Landing Zone找到各种商业化的方案。
第二步是安全地构建云服务,也就是要提高云产品的安全水平。这里举几个例子,首先是防控这一块,按照之前的模式,账号默认不需要开启多因素认证,在七月份做了调整,创建账号时会要求绑定手机号等。这样当账号登录出现异常情况,比如异地登录或环境变化时,会要求进行多因素验证,从根本上大幅降低账号被盗的风险。
在账号级别,也会采取措施阻止暴力破解等风险,安全中心也会进行调整,后续可能还有更多产品相关配置陆续增加。这里需要提醒大家,阿里云基于保障安全过程中积累的成功经验,为客户设置了一些默认安全配置,用户不要轻易关闭。关闭时要考虑是否有更好的手段防范风险,如果没有,建议保持开启状态。
(2)安全事件主动响应
这部分更像是事前预防。当真正产生安全事件后,在安全共同体模式下会有哪些变化。这里以 API 泄漏这个安全事件为例,介绍阿里云在帮助客户处理过程中的变化。
第一是偏主动检测方面,我们调整了将近20多个模型,并叠加了大模型来识别 API 泄漏风险,同时也会识别 API 的异常调用情况。这样做是为了让推送给用户的信息尽可能准确,提升告警的效率和质量。
第二,当发现 API 已经泄露或者有异常行为(确定是恶意行为而非用户正常使用产生的)时,我们会在第一时间帮助客户采取第一道防护措施,主动限制高风险 API 的调用。比如,如果 API 泄露,会暂停相关服务或删除相关数据等。我们已经把九个比较敏感的产品相关内容加入到智能限制列表里了。这是在客户还没来得及反应时,我们为其做的第一道防护。
同时,我们会通过短信、软件、人工外呼等各种渠道将 API 泄漏的报警信息推送给客户。为了便于用户快速处理,接下来会上线一键处置功能,大家可以关注一下。通过这个功能可以删除AK,从根本上抑制 API 泄漏问题。最后是全流程的保障,不管前面做了多少工作,还是可能有遗漏情况,用户可以24小时联系我们的安全事件应急响应中心。这个响应中心是今年为了提升客户的处置能力专门设立的,背后有我们的安全专家支持。只要通过工单或者相关一键联系功能,就可以找到我们。
(3)[云上安全指南]专题频道
我们还发布了云上安全指导专题频道,里面有很多安全用云的最佳实践和基本操作视频。这里面不仅有安全用云的知识,当遇到安全事件时,也有应急处置的向导。
当然,这个处置向导目前可能不是特别完善,只是针对几个高频或高危事件有相应的指导步骤,用户可以按步骤操作。还有就是安全运营中心,以前免费版本中,漏洞扫描、合规检查等功能可能分散在多个地方,现在我们把这些免费功能集合在一起了,只需一键触发。
(4)安全用云“上墙”
最后,我们想发布一个全网倡导,就像安全生产规则或制度经常张贴在机房门口或办公区显眼位置一样,我们希望安全用云的基本操作也能张贴在类似的地方。这些基本操作不仅能让用户自己学习,也能让周围同事知道使用云服务需要注意哪些基本操作和关键措施。为了方便大家张贴这些安全用云的海报,我们设计了电子版海报,扫描二维码就可以下载。
如果觉得下载打印麻烦,也可以在页面填写公司地址和联系方式,我们会把做好的成套海报寄给你。收到海报张贴在墙上后,可以拍一张照片,把办公区安全用云海报上墙的画面照片上传到我们的活动页面,就可以参与抽奖活动。这个活动两周前就已经上线了,已经有很多客户收到海报并张贴在他们的办公区了。我们的目的不仅要帮助客户,最终是要让大家都重视安全。
二、中小企业普惠权益
1.网络安全态势概览
接下来由阿里云智能集团安全产品专家李彦宏讲解中小企业普惠权益。
既然阿里云和用户之间是安全共同体,那这就是一个双向奔赴的过程。我作为安全产品代表,来讲讲我们的具体措施。
我今天的分享主要有四部分。第一部分大概讲讲当前的安全形势,以及我们发现的一些问题,最后是关于我们整体权益的介绍。
(1)安全态势
首先,给大家带来两组数字。第一个是预测类数字,在前两年就有预测,全球网络经济犯罪在今年预计可能达到9.5万亿美元,明年可能达到10.5万亿美元,增长速度非常快。其中原因有很多,包括近两年发生的一些情况,大家可能也知道,比如一些黑客组织突然开源,或者他们的代码泄露了。
还有这两天很多场次都在提的一个安全议题,就是在AI大模型加持下,代码开发成本有所降低、难度也有所下降,但科技是把双刃剑,对于攻击团伙而言,他们进行攻击开发的成本也降低了,这是犯罪增长的重要原因之一。
第二组数字是调研类数字,是由赛克斯特(SecZetta)和内幕(Insiders)调研得出的。在今年4月,他们访问了一些客户,其中61%的客户表示在近12个月内遭受过安全运营事件,而去年这个数字是24%,同比上涨了150%,增速非常快。结合这两组数字可以发现,随着数字化转型加速、云计算的普及,更多客户使用云服务,云上设施增多,面临的安全运营挑战也越来越大,现有的安全措施可能无法应对这些问题,云平台成了率先被攻击的目标。在这种情况下,云上安全面临全球网络科技犯罪快速增长和数字化转型加剧的双重压力。
(2)云上威胁及常用解决方案
此前,云安全联盟(CSA)发布过云上安全风险情况以及大家比较关注的问题,比如云产品的错误配置、身份权限的鉴定、API安全,还有安全产品(包括策略方面,可认为和云产品配置问题类似)的错误配置。其实对于这些大部分风险,早在前两年就有类似CNAPP的解决方案。
这个方案期望在同一个产品控制台或解决方案内,覆盖从云产品配置问题、开发时期的API安全问题扫描,到运行时的云原生应用保护平台(CNAPP)相关的安全问题。但这个解决方案比较庞大,对于很多中小企业客户来说,建设这样一套安全措施成本较高。 刚才上一位嘉宾提到,国内近半数客户在网络安全支出方面占比不足5%。接下来从商业化产品视角谈谈我们的发现和问题所在。
2.中小企业困境
(1)中小企业云安全建设困境
第一是安全意识不足,更准确地说是云上风险难以发现,因为大多数安全产品需要付费,在付费之前很难感知到潜在安全问题,从而可能低估风险。另外是安全人员储备情况,对于中小企业而言,专门雇佣一名安全人员成本较高,即使将安全托管出去,托管服务的人工成本也很高。而且在当前大环境下,企业都在追求降本增效,安全类预算往往是优先削减的对象。在这三重因素影响下,产生了两个明显的诉求:一是期待有更多免费工具、免费功能甚至免费安全产品来帮助客户发现潜在安全风险;二是在价格上更便宜,让更多人受益。
3.更多免费权益
基于此,安全运营中心采取了一些相应措施,下面为大家一一介绍。
(1)云安全中心能力框架
安全运营中心是一个综合性的安全管理平台,能覆盖安全事件事前、事中、事后等多个阶段的检测、响应与处置。在事前,它可以进行资产梳理,包括云上的主机、存储类产品、网络类产品等,能快速了解资产情况并盘点。同时能做相应产品的事前检测,比如漏洞、云产品错误配置这类风险,发现风险后还可进行加固修复。此外,还有实时的事中防护能力以及事后的溯源和响应处置能力。其能力框架覆盖了云安全联盟(CSA)提到的CNAPP中的大多数场景。下面谈谈在这个框架下哪些阶段免费、哪些阶段适用以及用户有哪些权益。
(2)云安全中心免费版能力介绍
先说免费部分。在账号层面,支持免费的API泄露、身份认证和权限管理等账号安全相关内容。在云产品层面,上线了70多个免费检查项,覆盖较常用和高频的产品,这些检查项针对的错误也是云上经常出现的高频率问题。去年免费检查项只有20多项,今年扩展到了70多项,未来可能还会增加。在主机安全层面,有常见的入侵检测事件实时检测,如勒索、挖矿等,同时支持周期性检测。对于云上流行攻击利用的漏洞,以应急漏洞形式开放在安全运营中心控制台,用户可免费检测。以上所有免费功能不限时长,都可以在语言安全运营中心控制台操作,入口在阿里云控制台首页的安全合规页面,点击“一键免费检测”即可。
(3)云安全中心免费试用方案
再说试用部分。前面提到的大多是检测类功能,主要是事前阶段。对于发现风险后的处置和响应,可能需要付费,所以我们增加了付费能力的试用,可帮助用户短期内处理安全问题或体验更高阶的安全能力。比如防病毒功能有长达三个月的试用,支持病毒扫描和一键处置。在周期性发现漏洞风险后修复漏洞方面,安全运营中心监控提供一键修复能力,上线了一个100次、有效期一年的资源包,用户可以直接领取并使用这个额度修复漏洞。
另外,针对云产品的错误配置,我们也上线了对应的资源包。需要强调的是,这个额度是用于除了那70个免费检查项之外的付费类检查项,无论是使用还是修复时都可以使用,这是在已有权益基础上额外叠加的权益,额度是100次,有效期为一年。前面提到的这三种试用权益都可以在阿里云后台的权益中心里的试用中心一键领取,还可以叠加领取。
最后是完整版本能力,企业版和旗舰版的试用,支持更多功能,比如应用漏洞、绕口令检测、合规检查、容器安全能力体验等,需要前往安全运营中心控制台页面领取。整个试用方案提供的权益价值超过500元,相当于针对全网客户开放了价值超过500元的各种目录价产品免费试用。
4.更便宜的产品
(1)云安全中心普惠价格
说到价格,安全运营中心在提供更便宜产品方面也采取了很多措施。
首先在购买方案上有变化。大多数安全产品购买时是按版本买,一个版本里有若干功能组合,但很多客户并非需要所有功能,却要为整个版本付费,也就是要为冗余功能付费。所以安全运营中心特意推出了增值功能付费模式,客户可以单独购买一个功能模块,其单价远远低于对应版本的单价,目前开放的都是比较常用的高频功能,比如漏洞修复。在购买模式上,原来多是按年、按月预付费,现在已经上线了很多其他模式,比如资源包、按量付费(后付费)模式,客户可以根据自身使用情况评估哪种方式更划算,我们提供了更多售卖可能性组合,帮助客户根据实际情况调整购买方案以达到省钱的目的。
最后在价格层面上也做了很多调整。屏幕右边展示的是中国站的价格(单位是元),这些是单品售卖的功能模块价格,都比较便宜,是普惠价格。其中要重点提到的是云产品检查,针对刚才说的云产品ic错误配置类问题,近期做了大幅降价,希望能让更多客户受益,整体降幅约93%,原来可能花1元,现在只需花不到0.1元就能完成这样的一次检测,现在单价是0.0065元。另外,我们还会不定期推出特惠活动,比如正常修复一个漏洞单价是2元一次,修复20次需要40元成本,现在推出9.9元的特惠活动,可以在官网上直接购买,后续还会陆续推出更多特惠活动,欢迎大家长期持续关注云安全运营中心和优惠活动。
以上就是云安全运营中心在今年所采取的措施,目的是让客户更受益,让安全服务更普惠。最后回归到我们的主题,云上安全不是单向的,我们希望和客户双向奔赴,共同建设云上安全。期待大家多多使用安全运营中心,并欢迎给我们反馈使用情况。
三、专家观察-云安全的“未变”与“变”
接下来由中国电子技术标准化研究院副主任何延哲讲解云安全的“未变”与“变”。
2014年,我们在园区开展了一项工作,大概花了三四个月时间进行云安全评估。可能大家对安全评估、云安全审查这类从监管角度重视云安全的工作理解程度不一。在政务云等领域对云安全高度重视的背景下,我们开展了这项工作,从那时起我们就意识到云计算平台安全的重要性。
为什么说云安全这么重要。因为云上的应用很吸引人,能展现出很多新颖、创新的内容。但云安全工作相对枯燥,却至关重要,它是云的底座、生命线。如果出现安全问题,哪怕是小问题,那些应用创新带来的好感也会消失。我们也看到过,就连一个巡逻机这样的设备因为安全问题都会引发很大影响。如果一个租户出问题,受批评的是整个云平台,安全问题的影响会被放大。所以阿里云提出安全共同体是有道理的,本来云安全就是大家共同的责任,没人能完全撇清。我一直关注阿里云多年来在安全方面的发展,包括我们正在开展的云安全相关国家标准制定工作。我们院在云安全国家标准、安全评估等相关工作中承担核心支撑作用。下面我从我的视角分享一下云安全中不变和变化的内容,这些内容能指导我们把云安全工作做得更好。
1.不变之处
首先看不变和变的逻辑。一是有一点始终没变,云从诞生起就将大量资源集中起来,一旦这种模式形成,安全风险必然是集中的。我对当年做云评估(当时叫云审查)印象很深,当时做评估和审查的更大背景是促进企业上云。
2014年很多党政机关等对安全工作比较关注,他们对上云有顾虑,觉得以前自己管虽然水平有限,但在自己手里感觉安全,就像把钱存银行一开始不敢存一样。其实本地存储也并不绝对安全,上云需要建立安全感才会有更多企业愿意将信息部署到云上,当年做安全工作就是为了促进上云安全发展。但安全风险集中一直是最大的困惑,客户可能更担心上云后一旦出事全都受影响。
专家们有一个很大的担忧,就是风险太集中了怎么办。以前挖断一根光缆,可能只影响一个单位,现在挖断一根光缆,可能影响一大片。大家都在关注中国的云计算利用会不会出现这种问题。到现在为止,这个问题依然存在,我们的数据中心越建越大,虽然有很多节点、备份镜像和备份机制,但并没有改变风险集中这个概念。所以对于云平台来说,一直面临的挑战就是,如何通过更好的网络安全弹性机制,让集中的安全风险不再那么可怕,这是不变的情况给我们的启发。
还有一个问题是安全能力不均衡。大家都知道,安全工作中有很多情况很难用一个标准去衡量。因为安全受内因和外因影响,有时候你觉得安全,但外部威胁增加或者新的攻击手段出现时,就立马不安全了。最近黎巴嫩的事情就很明显,原本觉得设备安全,现在因为产地等问题就开始怀疑了。
所以安全很难达到让所有人都认可的水平,比如很难明确说安全能力达到80分就没问题了。即使有国家安全标准来衡量,在云上也很难做到让所有租户的安全水平一致。因为租户要面对不同对象,云平台运营商自己能做好一部分,但云安全不是一方努力就能实现的,如果其他环节出问题,安全能力还是会下降,这个情况到现在也没有改变。
2.变化之处
不过,有些情况还是在逐渐变化的。首先是有了更多安全解决方案和产品在云上。我现在回想起来,2014年看到云平台上的安全功能,说实话,在计算层能保证云上有个软件防火墙基本能隔离,其他安全功能不多,毕竟当时云计算也才刚发展。所以当时很多企业上云时,要带上自己的安全能力,不然像等保测评这些安全相关的标准就很难满足。现在安全功能在云上越来越集中,企业完全可以借助云上的安全功能和软件搭建一套完备的安全机制。
第二个变化是,我们看到安全事件一直在发生。以前是我们督促企业上云,现在是很多企业已经上云了,甚至还有人在讨论下云。
当然,只有有实力的企业才会讨论下云的问题。对于一般客户而言,还是希望在一个良好的保障机制下保护自身安全,包括数据安全等。这个时候大家的安全意识是有道理的,尤其是现在法律法规越来越完善了。从2014年到现在这十年间,变化很大,不光有网络安全、数据安全相关法规,还有个人信息方面的法规。一个组织将业务上云后,通常要考虑安全和合规问题,即云上能提供多少提升合规能力的能力,这也是安全意识提升的结果,这就是我们看到的变与不变。
3.云服务商
另外,从一个更实在、更直接的视角来看,之前在评估过程中发现租户存在一些思路上的矛盾点。以前很多租户上云后容易有这样一种想法:觉得把服务和业务托管了,自己就成了甩手掌柜,出了安全问题就没责任了,他们有意地去追求这种免责。我不知道安全保护的吸引力有多大,但免责的吸引力对他们来说非常大。我们可以看到很多法务团队在合同条款上反复斟酌,这些条款在争议打官司时确实有作用,但实际上这种免责追求能代表真正免责吗。
回顾一下现在发生的安全事件,和传统情况对比可以发现,在真正的监管环节,那些免责条款在行政监管部门眼中基本没什么用。所以我们要反过来思考,一开始就应该放弃这种幻想,不应该追求免责这种思路,这只是自欺欺人。
实际上我们应该务实做好安全工作,不是追求免责的名声,而是要尽责。把自己该做的事情做好,虽然这样也不能保证安全万无一失,但起码可以避免很多恶性事件和不可挽回的损失,将风险降低到相对可接受的范围。这其实是云服务商在做安全工作过程中一直希望引导租户改变的逻辑。我们看到刚才提到的安全共同体,就是不分彼此,大家都在一条船上,你尽责我也尽责,双方都尽责了,结果肯定是好的。过程很重要,对于最终结果我们要有信心。
当然,这里面还有一个问题,我们在尽责这个逻辑上,知道有合规或尽责可以免去一定责任这种情况。真正要做到的是,在出现问题时能够通过合规等工作免去一定责任,这方面目前正在形成一个共识,不然安全工作可能陷入死循环或陷阱。就是说好像做了很多,但出一个小问题就被全盘否定,这种情况对安全工作本身是不利的。
所以我们开展一些合规工作、云评估工作,比如现在做的一些特定的研究评估工作,目的就是促使大家尽责,真的出了问题,可以研判原因、及时应急响应,至于能不能免责不好说,但要尽量减少对责任的影响,这是我们追求的方向。企业才会讨论下云的问题。对于一般客户而言,还是希望在一个良好的保障机制下保护自身安全,包括数据安全等。
这个时候大家的安全意识是有道理的,尤其是现在法律法规越来越完善了。从2014年到现在这十年间,变化很大,不光有网络安全、数据安全相关法规,还有个人信息方面的法规。一个组织将业务上云后,通常要考虑安全和合规问题,即云上能提供多少提升合规能力的能力,这也是安全意识提升的结果,这就是我们看到的变与不变。
4.求“变”一云安全价值增值
另外,从一个更实在、更直接的视角来看,之前在评估过程中发现租户存在一些思路上的矛盾点。以前很多租户上云后容易有这样一种想法:觉得把服务和业务托管了,自己就成了甩手掌柜,出了安全问题就没责任了,他们有意地去追求这种免责。我不知道安全保护的吸引力有多大,但免责的吸引力对他们来说非常大。我们可以看到很多法务团队在合同条款上反复斟酌,这些条款在扯皮打官司时确实有作用,但实际上这种免责追求能代表真正免责吗?
回顾一下现在发生的安全事件,和传统情况对比可以发现,在真正的监管环节,那些免责条款在行政监管部门眼中基本没什么用。所以我们要反过来思考,一开始就应该放弃这种幻想,不应该追求免责这种思路,这只是自欺欺人。
实际上我们应该务实做好安全工作,不是追求免责的名声,而是要尽责。把自己该做的事情做好,虽然这样也不能保证安全万无一失,但起码可以避免很多恶性事件和不可挽回的损失,将风险降低到相对可接受的范围。
这其实是云服务商在做安全工作过程中一直希望引导租户改变的逻辑。我们看到刚才提到的安全共同体,就是不分彼此,大家都在一条船上,你尽责我也尽责,双方都尽责了,结果肯定是好的。过程很重要,对于最终结果我们要有信心。
当然,这里面还有一个问题,我们在尽责这个逻辑上,知道有合规或尽责可以免去一定责任这种情况。真正要做到的是,在出现问题时能够通过合规等工作免去一定责任,这方面目前正在形成一个共识,不然安全工作可能陷入死循环或陷阱。就是说好像做了很多,但出一个小问题就被全盘否定,这种情况对安全工作本身是不利的。
所以我们开展一些合规工作、云评估工作,比如现在做的一些特定的研究评估工作,目的就是促使大家尽责,真的出了问题,可以研判原因、及时应急响应,至于能不能免责不好说,但要尽量减少对责任的影响,这是我们追求的方向。
我们看到了一些不变的逻辑,但不能墨守成规,要在变化中解决以往担心的风险和当前的不足。在云安全评估时,不仅要评估云服务商,还要评估租户的安全。
目前存在的问题是,从心态上尚未形成共同协作的逻辑,若能从这个角度做事,安全工作能做得更好。有些租户和云服务商已能很好地融合,运维团队相互配合,信息共享,除事件处置外其他安全相关工作都能协同开展,而且这种模式实施起来并不复杂。在云安全功能方面,如阿里云同事介绍的那些功能,并非随意将线下版本改到线上,而是结合了云上业务场景和客户需求逐步打磨出来的。这些功能起初可能陌生,但用久了会更熟练、更好用,并不断迭代,如此安全短板会越来越少。
我们从检测评估和国家标准角度思考问题,牵头成立了一个技术规范联盟,制定相关规范,旨在为国标做规定。因为当前影响云安全的国家标准较少,近年相关标准寥寥无几。
最近,在阿里云牵头下,制定了云计算服务责任划分规则,虽叫责任划分,但主要是对工作任务进行规定。因为云上安全工作众多,部分适合云服务商做,部分受租户诉求限制,比如租户不应将账号交给云服务商,以免产生数据安全问题。这种合理划分一方面能让云服务商工作更清晰,另一方面让租户明白自身应做之事。
此标准即将发布,并将推动其向国标转化。通过明确分工,可最大程度消除短板。实际上,云上安全功能已较为全面,安全基础扎实,只是在运营和使用过程中因管理和技术使用不到位等人为因素产生了短板。 此标准有助于梳理各方工作重点,提升工作效能。如今,云上安全事件频发,新的安全威胁不断涌现,单靠个人或某个单位无法解决,这需要各方形成共同体。
若有良好配合和稳定的合作机制,能更好地磨合安全工作,提升效果和工作效率。我们很高兴看到阿里云在这方面的努力,也希望通过国家标准推广这种理念、机制和实践,为云上租户的安全保驾护航。
