對話阿里首位安全工程師 巨頭的切入點

2021-09-23 02:03:47 字數 1784 閱讀 8123

本文講的是對話阿里首位安全工程師:巨頭的切入點,普通使用者所能感知的安全微乎其微,而網際網路巨頭本身所面對的複雜業務系統顯然是個無法量化的數字,不同的業務催生出了不同的安全需求。無論是巨頭還是專注於乙個領域的安全解決方案**商面對的大環境都是相同的,基於這同一背景,安全應是一種「分享」。

▲阿里雲資深安全總監肖力(右)接受採訪

「安全是乙個體系,未來阿里會基於自身核心運營產品提供相應的系統加密服務,這其中涵蓋了關係型資料庫和分布式儲存,只要使用者對與雲服務中的資料有安全需求,阿里都會提供相應的加密選項。」阿里雲資深安全總監肖力這樣單刀直入的剖析了當前阿里關於資料安全和雲安全的規劃:「加密、資料安全都是乙個選項,在不同的業務系統和不同的行業中,使用者對於資料安全的需求是不同的,歸根結底,安全是乙個體系。」

資料安全何以成為阿里雲的切入點?

資料安全的重要性已經不言而喻,公有雲難以被中國政企使用者接受的原因之一就是其安全性憂患實多。企業業務資料和核心資料能否得到有效保護?攘外還是安內?這是眾多雲服務**商面對的共同問題,阿里雲聯合江南天安推出國內首款雲資料加密服務,通過資料加密夯實雲服務的基礎可謂是未雨綢繆的第一步棋。

肖力指出,安全是乙個體系,這乙個多層防禦體系是針對資料、網路、系統和邊界的重重保護,各個層面的安保缺一不可。基於阿里的雲平台架構搭建了業界首個雲加密平台,旨在實現保證所有的使用者流量和用接入安全。鑑於國家對硬體加密的強制要求和江南天安在此方面的獨到優勢促成了如今的現狀。雲計算平台目前所能覆蓋到的範圍是存在一定侷限性的。通過資料加密機或者對核心資料的加密在不同的場景去實現資料防洩漏,這與當前安全市場的dlp產品形成互補。因此,阿里雲所提供的資料安全和雲安全解決方案是通過場景去部署。

阿里安全業務的「前世今生」

肖力透露,作為阿里首個安全工程師,在阿里雲安全成立之初就得到了時任阿里cto王堅的支援。時至今日,肖力所得出的結論是「安全是為業務服務的。」**、支付寶、阿里以及如今的阿里雲其業務形態紛繁複雜,對安全的需求卻不盡相同。

溯本求源,安全是乙個體系,安全在網際網路巨頭眼中已經不能用木桶理論去決定需求,而是用核心業務去決定安全需求。比如電商比較關注於交易的完整性和防欺詐鏈路,這即是使用者所能理解的交易安全。在此方面阿里一直在持續投入進行大資料探勘,通過建模和機器學習保證電商安全。顯然在電商領域,安全的範疇已經從傳統的攻防深入到商業欺詐行為和使用者行為分析。支付寶的安全則注於金融安全和支付本身的安全,阿里雲則要保證雲平台底層的安全和虛擬化的安全。而就當前而言,阿里雲所關注的資料安全和各類資料加密也成為重要需求點。我們很難量化的去分析安全的資源投入,但是肖力坦言:「阿里一定是當前網際網路巨頭中對安全持續投入資源最多的。」

從時間脈絡上我們能看到阿里不同的業務系統不斷開花結果,衍生出越來越多的商業價值,然而安全在快速迭代中如何發揮作用是當前從業者面臨的最大問題。如何讓業務快速有效,且提公升安全體驗,這是從業者的共同目標。肖力這樣來形容自己的工作:「安全是一門藝術!」

寫在後面:當前企業安全市場,傳統的安全裝置正在逐步通過雲元件或者相應雲服務**商實現聯動,而針對未知威脅的**和高階持續性威脅(apt攻擊)也都各顯身手。阿里雲在抗ddos攻擊上顯然也有很多的創新,通過sdk方式嵌入到應用中,已經解決很多細分行業的安全問題並有效防禦了各類攻擊。ddos防護本身是資源的比拼,需要運營商的把控和業界的聯合。其實,窺一斑而見全豹,安全本身就是基於技術的資源比拼,歸根結底甚至是人力資源的投入。在傳統安全市場發生微妙變化的當下,阿里雲安全所沉澱的技術和扮演的角色都將對行業產生深遠影響。

李蓬閣

對話阿里首位安全工程師 巨頭的切入點

本文講的是對話阿里首位安全工程師 巨頭的切入點,普通使用者所能感知的安全微乎其微,而網際網路巨頭本身所面對的複雜業務系統顯然是個無法量化的數字,不同的業務催生出了不同的安全需求。無論是巨頭還是專注於乙個領域的安全解決方案 商面對的大環境都是相同的,基於這同一背景,安全應是一種 分享 阿里雲資深安全總...

阿里安全工程師(實習)面試回顧

阿里安全工程師 實習 面試回顧 0x1 前言 鑑於網上對於 安全工程師面試經驗搜尋並未有一些可以直接借鑑的經驗,本就決定這次面試過後不論成功與否,都會記錄這一過程以及一些自己的一些體會,給需要的同學作為參考。這次面試僥倖取得offer,使本文有一定說服力,希望能對以後面試的同學有些許幫助。0x2 細...

對WEB安全工程師的理解

準備從事web安全這個行業,我 自己對web安全工程師的理解。按照web安全工程師的崗位職責分為了以下幾個部分 1.熟悉web常見的安全測試,如客戶端的xss,csrf等,伺服器端的sql注入 上傳檔案漏洞等 2.了解owasp top 10的常見風險,並且能夠進行修復 3.能夠對web伺服器做一些...