摘要:阿里云,中国云计算排头兵,也是云安全的新兵。通过IS0认证对阿里云意味着什么?阿里云为什么认为已经做到与谷歌、亚马逊一样在国际安全标准方面的平等话语权?其安全模型技术特点如何?未来发展方向怎么样?带着这些问题,我们专访了阿里集团安全部安全研究中心安全专家沈锡镛。
“一流企业做标准,二流企业做品牌,三流企业做产品”,响亮的口号驱动着一代代企业在追求标准的路上前赴后继 。这其中,也包含刚刚通过由BSI(英国标准协会)审核的ISO27001:2005(信息安全管理体系)认证,成为BSI在国内审核通过ISO27001的第一家云计算安全服务提供商的阿里云。对于这家拥有广泛知名度,却是云安全领域不折不扣的新兵,外界对其知之甚少。为此,CSDN特别专访了阿里集团安全部安全研究中心安全专家沈锡镛,请他详细剖析了阿里云安全对国内安全现状的认知,如何做到与谷歌、亚马逊一样在国际安全标准方面的平等话语权,并详细介绍了阿里云安全模型的技术特点以及未来发展方向。
沈锡镛 ,云计算安全的专家及先行者,在云计算安全管理方面有很多分享。2012年加入阿里巴巴集团,着力于帮助快速成长但缺乏标准化管理的云计算领域建立安全管理框架。 云端迁移是必然 CSDN:有人形容安全市场是“国内安全企业出不去,国外安全厂商进不来”的特殊市场,您怎么看?现在国内安全市场整体发展态势如何? 沈锡镛:这样的观点并不全面。国内安全企业做的好,就能走出去;国外安全厂商也能走进来。从安全上看,国内政策法规并没有明确约束。这是空间,更是机遇。事实上,现在传统安全企业都逐步向敏捷交付转型,从成本和业务扩展考虑也在尝试在云端提供安全即服务(Security as a Service)。从产品到方案再到安全规范和标准,安全企业或许会逐步过渡到云端,为更多用户提供灵活性和专业的安全服务。 CSDN:阿里云在其中的机遇在哪里? 沈锡镛:国内云安全市场中,阿里云比较另类。因为大多传统安全公司不提供云计算服务,而提供云计算服务的企业中又没有像阿里云如此专业化的安全服务能力。这就凸现了阿里云安全的机遇。首先,阿里云安全会与阿里集团的业务紧紧的绑定,将技术与服务策划做的更圆满;其次,跳出企业级安全老三样(防火墙,防病毒软件,入侵检测)的限制,从需求出发的重回安全控制本身,从云端协议、网络控制和隔离等安全方面做新设置;第三,帮助更多中小站长以及如浙江台风系统,CCTV5等企业将应用迁移到云端,实现安全新防护。 CSDN:阿里云的定位是平台,会将更多空间留给开发者。但安全本身作为一种应用模式,如何来为开发者预留空间? 沈锡镛:首先,阿里云作为一个平台,一个生态圈,保证这个生态圈的繁荣和安全是我们不能回避的责任,而安全可以说是云生态健康成长的核心要素。其次阿里的安全团队是以服务客户为第一目标,结合我们十年安全攻防经验,打造云生态圈中的安全生命链。在这个过程中我们定位在基础安全服务提供商,帮助云生态圈中的广大中小网站和各行业用户免除安全后顾之忧,让他们可以全心全意投入到网站运营建设中。 阿里云安全生态链的打造过程中我们愿意借助云计算这个产业创新契机,我们不但希望专业的安全服务商借助我们的生态链中向广大客户提供更加精细化、定制化的安全服务,同时希望联合众多的安全组织和机构一起开发具备云计算特点的云安全产业。 明年就会开始逐步开放我们的云服务市场,会邀请安全厂商进来和我们一起共建共创这个新兴的云计算安全产业,我们相信这个蛋糕远比我们现在看到的要大。 争夺国际话语权 CSDN:当初为什么想申请ISO27001认证? 沈锡镛:阿里云申请ISO27001认的源动力是用户需求。企业要使用平台,并将关键数据放入云中,就需要对阿里云有所信任。如果构建这样的信任关系?第三方权威认证是很必要的。尽管27001并不是最贴切的云安全认证,但却是现阶段最好的选择。因为目前其是唯一的,在云计算方面得到国际认可的标准。第二,阿里云要进入国际市场,需要国际通行证,27001代表了阿里云的安全管理水平完全与国际接轨。第三,27001以风险管控为核心,对企业而言很有意义。举个例子,国外如果想看西瓜是否成熟,或许是采用切西瓜的方式,一分为二,二分为四,四分为八来看每一片是否成熟,国内更多是听敲击西瓜的声音。而将安全暴露在显微镜下,对提升安全管控的整体水平很有意义。在淘宝创历史记录的“双十一”中,几乎所有关联部门都在加班加点,但是安全团队却非常空闲。因为对于这样的日常运营,安全方面已经实现了自动化流程。不需要人工投入,只需要关注自动化安全架构运行不出差错即可。阿里云安全已经到了厂商级,这也是我们的底气所在。通过ISO认证,阿里云安全无论是在技术框架,还是在内部管理矩阵及管理工具和平台上,都与业务和技术做了密切的结合,敏捷开发,规范管理,可以与国际云计算巨头如谷歌和亚马逊一样拥有平等的话语权。 CSDN:阿里云对安全有着很重的紧迫感,为什么? 沈锡镛:重量级云计算企业已经加快了进入中国的步伐,挑战迫在眉睫。国内企业往往习惯先做事,再定规则。但是国际惯例正好相反。国内企业在这方面,有着很多痛苦的案例。所以,我们认为,只有先拥有话语权,才能有更好的空间来发展。通过ISO,对于2009年正式成立的,刚刚三岁的阿里云而言,确实非常困难。但是这样也帮助我们从开发到产品交互,再到内部管理都更加规范,成为样板才能更具竞争力。 CSDN:通过认证后,阿里云安全下一阶段的目标是什么? 沈锡镛:作为已经走在前面的企业,阿里云安全会更主动地参加到一些标准和规范的制订过程中。尽管国际上已经有了一些规范与最佳实践,但是国内并不完整。阿里云安全希望构建起规范,帮助企业在迈入云端时,有着透明并易于执行的诸如配置、级别审查等规则可以遵守,云服务提供商能够更快与国际接轨。以技术规范为例,包含两方面:其一云安全联盟(CSA)的开放认证框架(OCF),其二是与CSDN合作的OCS安全中心,通过技术方+标准方来落地规范。最终达到运营上的透明和规范上的可执行等目标。此外,阿里云作为工信部云计算安全试点企业,正积极的参与到国家云计算相关标准和规范的制定中去,规范现有国内的云计算市场。 CSDN:做标准历来周折而漫长,阿里云准备怎么来做云安全规范? 沈锡镛:云安全已经看到了曙光。因为从技术上看,一种是延续Hadoop等开源方案,另一种是自主研发相关技术。但归根结底,在技术思想是一致的。安全领域也是如此。尽管国内企业与谷歌、亚马逊等还有差距,但是阿里云在安全规则制定上参与度很深,可以与之处在比较平等的量级上。此外,安全环境已经相对成熟。无论是政府,运营商还是云服务提供商以及企业用户,都希望在此方面做出更多探索。所以云计算安全规范会有不一样的局面出现。阿里云已经和百度、腾讯、360、绿盟等进行了深入交流, CSDN:通过ISO27001认证的是阿里云的弹性计算、ODPS、RDS及云盾产品。OSS及其他服务呢? 沈锡镛:问得非常好,现在就可以直接回答,第一步通过认证的是以上4条产品线,明年的4月底和5月初我们即将接受外审的是OSS的OTS,以及云监控。 CSDN:近期国外云服务频频宕机,阿里云如何来看? 沈锡镛:在ISO对申报材料进行审核的时候,阿里云也遇到了一次机房故障。我们当时做法非常透明。故障发生1小时内,BSI打来电话询问具体的细节时,我们就开诚布公地和他们进行了沟通,BSI对我们故障的响应速度和处理的透明度表示满意。事实上,历经多年积累,对外,阿里云在和各大电信运营商的合作中已经进入共同制定运营规范的阶段,并对其具体的执行环节采取全程监控的保障措施;对内,通过自动化运营和有效的测量机制来实现量化等级评比。安全不仅是技术,同时也是责任。 
创新技术挑战频繁
CSDN:移动互联与云计算的迅猛发展将企业安全推向BYOD(分散)和数据中心(集中)。但技术层面,很多企业准备并不充分。阿里云安全如何看待新技术带来的两级化发展?
沈锡镛:与其说双级,不如说是载体的变化。移动与云计算带来的是多元化变化,这不仅是指应用场景,还有应用形态和用户心态。但与之相悖的是,安全威胁还停留在物理安全、能耗控制、安全漏洞、网络防护等传统层面,显然,安全没有随着多元化而变化。举个例子,虚拟化应用让传统信息安全的安全隔离手段面临巨大挑战,比如企业在购买云服务商虚拟服务器的同时就拥有了公网地址和云服务商的内网地址,这也就意味着用户同时拥有了云服务商的非信任域地址和信任域地址,这种网络边界的模糊化就是虚拟化技术带来的安全挑战。其次,有些安全挑战伴随着云平台的服务而随之诞生,以阿里云(开放数据处理服务)ODPS举例,该服务的设计之初是基于数据驱动的多级流水性并行计算框架,支持直接使用ODPS SQL 语句对海量数据进行离线分析。通过数据分裂将海量数据散布在整个集群内部,这样,用户的数据容量的瓶颈问题得以解决。同时计算压力也被平均分布在集群内部,很好地解决了计算性能问题。但因其允许用户通过编写程序在ODPS的集群上执行任务,这种业务模式就存在通过用户程序包含的恶意代码在ODPS的集群上植入后门,实现非法外联、提权等一系列非法操作的风险。
CSDN:从技术层面解读阿里云模型?
沈锡镛:面对虚拟化安全和云平台安全的挑战,在云时代已无法通过简单的安全设备堆砌去解决所有安全问题,同样,传统信息安全时代下的安全标准和规范也已不能从容应对上述管理挑战。为此,阿里云开发了包含3大信息安全基础控制域、7大信息安全和云计算安全支柱控制域及2大云计算安全特色控制域的阿里云安全模型(如图1所示),我们将传统信息安全管理体系中的信息安全风险管理、人力资源、物理、网络和主机安全、业务连续性和灾难恢复、数据中心运维作为云服务商的安全基线,重点评估、持续提升云服务商在虚拟化安全和云平台安全方面的安全管理和技术水平。
图1 阿里云安全模型
技术上看,云时代下的虚拟化安全主要包括虚拟服务器的隔离、虚拟服务器及镜像的加固、虚拟服务器的销毁,虽然因虚拟化服务器的服务类型的原因,以上需求已无法通过购买安全设备实现隔离,但针对用户和云服务商自身的安全需求仍可通过一系列的软件手段实现安全隔离和访问控制。
针对虚拟服务器的安全加固,可考虑通过建立安全加固流程,默认提供主机入侵检测和补丁自动更新服务等手段来保证虚拟服务器的安全;针对虚拟服务器镜像的安全加固,可在其生产流程上考虑加入安全审核环节,以保证虚拟服务器镜像能满足最新的安全要求或直接由安全部门制作安全镜像交付给运营部门,并针对用户需求有针对性的对虚拟机镜像提供加密服务;针对虚拟服务器的销毁应在其迁移后,及时消除原有物理服务器上磁盘和内存数据,使得虚拟服务器无法恢复。同时采用虚拟化在线管理系统对虚拟服务器进行管理,对物理服务器及Hypervisor的运维操作,必须遵循运维相关流程并采用实时审计技术予以监控。
虚拟服务器的隔离主要包括不同用户购买的虚拟服务器之间的隔离、虚拟服务器和其物理机之间隔离、虚拟服务器对外部入侵攻击的隔离。
针对不同用户购买的虚拟服务器之间的隔离需求,在虚拟服务器生产环节给每个虚拟服务器打上标签,在运营环节应制定不同用户之间的虚拟服务器访问规则,在技术环节应考虑采用IP 信息包过滤系统(iptables),实现虚拟服务器之间、虚拟服务器和其物理机之间隔离。
针对虚拟服务器对外部入侵攻击的隔离,应考虑采用以太网防火墙(ebtables),使虚拟服务器隔离外部公共网络的异常协议访问。
最后,针对传统信息安全不会出现的虚拟服务器二层攻击---ARP攻击,应考虑采用上述虚拟服务器标签结合arptables,防御虚拟服务器可能发起的ARP攻击。
云时代下云平台是一切云服务的最终载体,其自身的安全态势直接决定各项云服务的正常开展, 从以上虚拟化安全的控制手段已然可以发现通过软件实现安全控制将是云安全的主要技术实现途径。而云平台自身也是软件开发的产物,由此,构建云平台安全就应从云平台的初始开发以及云服务带给云平台的安全冲击等角度予以考虑。
云平台的开发推荐参照软件安全开发周期(Security Development Lifecycle)建立安全开发流程。(如图2所示)。
图2 云平台安全开发流程
安全需求分析环节:应根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》。
安全设计环节:应根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》。
安全编码环节:应参考例如OWASP指南、CERT安全编码等材料编写各类《安全开发规范》,避免开发人员写出不安全的代码。
代码审计环节:应尽可能使用代码扫描工具并结合人工代码审核,对产品代码进行白盒、黑盒扫描。
应用渗透测试:应在上线前参照诸如OWASP之类的标准进行额外的渗透测试 。
系统发布:依据上述环节评价结果决定代码是否发布。
针对云服务对云平台的安全冲击,例如前面提到的ODPS存在通过用户程序包含的恶意代码在云服务商物理机上植入后门,实现非法外联、提权等一系列非法操作的风险,针对这类风险阿里云采用了研发虚拟化的沙箱或者解释器级别的沙箱来予以包装,并通过鉴权、授权等一整套安全措施来保证用户程序中可能包含的恶意程序无法在ODPS集群上直接执行。
采访的最后,沈锡镛对CSDN表示:“阿里云安全的定位始终不是一家纯粹的安全公司,而是更多从云安全生态链的角度来思考。给每个云计算的用户提供安心、放心、贴心的安全服务,促进云计算业务的蓬勃开展”。