一天抵擋 22 億次攻擊!揭秘阿里安全基建全版圖
雷鋒網編輯一直有個疑惑:黑客為什麼不攻擊淘寶?
後來,無知的雷鋒網編輯也和一位程序員小哥哥吐槽過這個問題,他給我的回答是:黑客當然不會放過任何一個搞錢的機會,而淘寶自然也是被黑客盯上的。
經查閲資料得知,2019 年雙十一,2684 億交易額背後,是全天 22 億次的黑產攻擊。
24 小時,22 億次是什麼概念?意味短期內會出現大量攻擊。但這些攻擊最終都逐一被抵擋攔截。
這背後,保障安全性與穩定性的,就是阿里安全新一代安全架構體系。
2020 年 4 月,新基建被提上議程,建立在新基建基礎之上的網絡安全也被更多業內人士重視起來,他們不止一次的提到:數字時代,安全是塊磚,哪裏需要哪裏搬。
數字化基建浪潮下,網絡構築人類與機器的邊界,但又不斷讓技術更吸引人,讓人與機器更加唇齒相依,走向“萬物皆可互聯”的數字新時代。而在人類社會由“信息化”轉向“數字化”的同時,也意味着威脅成為了“洞穿”虛擬現實雙重空間的隱患。從漏洞隱患到高級持續性威脅(APT),一系列的網絡安全威脅,都將可能成為癱瘓數字世界的存在。
而阿里也是一眾 BAT 公司裏最早在新基建領域投入的公司之一,足見其對新基建的重視。
新基建更需新安全——地基
那麼,新基建是什麼?
2020 年初,中央高層會議提出“加快 5G 網絡、數據中心等新型基礎設施建設進度”。一時之間,“新基建”成為與國計民生息息相關的一個熱門詞彙,新基建將為未來中國經濟社會繁榮發展提供重要支撐,成為業內普遍共識,也為企業發展帶來重大機遇。
在數字化與上雲的趨勢下,越來越多的企業選擇將業務與數據存儲在雲端,進而使用更為高效、低成本、安全穩定的雲端服務。不過,近幾年間,隨着 DDoS 攻擊、勒索攻擊、數據泄露等安全事件頻發,無論是 5G、雲計算、人工智能、物聯網等細分的技術,還是雲平台、服務器及硬件等服務,無一不是安全的突破口與防護口。
半佛仙人曾給新基建機遇下的網絡安全作了一個比喻:
數字經濟時代,如果我們將網絡比作道路,將計算和存儲系統比作土地,那麼基於這些建立的 App 和網站這些數字經濟實體,就可以類比為商業建築。
每一個 App 的搭建過程和建築工程其實很類似,會採購大量的原材料,也有很多階段和工序,每個環節都有可能出問題。
所有的互聯網安全從業人員,都會面臨三個無法迴避的事實:三方軟件必然存在漏洞,升級成本高;攻擊者關注的應用風險面增加、攻擊手法更加多樣;基於網絡邊界的防護必然會被突破。
而數字基建的最大意義就在於,為這些“建築”的搭建過程建立標準化流程,確保建設之初就運行在較高安全基線上。
自從有電商開始,黑客就一直存在,阿里也一直在做自己的安全攻防體系。經歷了無數次與黑灰產的暗中鬥爭後,阿里也在不斷打磨內部的安全架構,加之新基建概念的加持,阿里認為,是時候將這套數字基建安全架構分享出來,供更多企業實踐參考。
用阿里安全首席架構師錢磊的話來説就是:
“過去的網絡安全關注的是造城牆本身,但是買來的磚頭出現了問題和漏洞,城牆蓋的再好也沒用。另外,城門被攻破後是否就一馬平川,有沒有甕城做安全區隔也是設計者必須考慮的問題。
簡言之,阿里想做的不僅僅是城牆,更想做的是維護這座城牆的根基。
只有根基穩了,城牆才會更安全。
阿里新一代安全架構——城樓在阿里,這個數字安全架構,分為三層。
最下層是安全技術產品層,包括數據安全、密碼學、攻防、算法等等。
中間層是安全基建層,包括軟件供應鏈、研發生命週期、發佈卡口、應用可信等。
最上層是安全運營層,包括網絡安全、合規、風控等。
其中,安全基建是核心。
阿里安全高級安全專家林峻介紹:
安全基建層的核心能力,是為“數字建築”的生產建設標準和監理,是為了幫助阿里的系統建設免疫的能力,它建設的重點不只是要從應用本身做深度持續的打透,還要提升人才的安全意識以及安全能力。
具體從兩個維度來看:
首先是技術維度,分為五個部分。
其核心是建立應用可信體系,基於這個體系進行對外攻防,並形成了一套完整的應用安全標準。
林峻介紹,阿里的應用安全標準是先有實踐,再往上抽象為標準,形成一定規範後,再把這些規範和他們配套的產品重新做整合,進而自頂向下進行設計。
目前,阿里的應用安全標準分為四個部分:
第一部分是完整的應用安全流程,將原來分散提供安全服務的產品整合到一站式安全產品“安全服務中心”上,深度結合Devops,做到研發全流程管控。
第二部分是構建相應的管理體系,包括建立各層的安全組織,還有觸達到用户相關規則條例、安全培訓,建立用户的安全心智。
第三部分是建設度量體系,從 IAAS 層、軟件供應鏈、研發過程,運行時環境、流量網關、應急響應、人員,多個維度怎麼來評估現階段所面臨的風險、所處的安全水位,量化之後,來評估安全位置。
第四部分是規範執行細節,即規範在研發以及日常運營過程中,每一個安全項應該如何進行標準的執行,如何有效驗收。同時會在企標基礎上,制定安全紅線,並配套了相關的安全檢出產品,按照“凡有要求必有檢出”要求執行。
第二,供應鏈安全,阿里的軟件供應鏈安全主要涵蓋了這幾個場景:隱私、後門漏洞,以及法務相關的檢測軟件供應鏈建設,從源頭保證安全。
具體怎麼做?
首先,要對集團內使用的二三方包的基礎信息、依賴關係做相應的風險分析,形成具備安全認同的供應鏈庫,研發人員才能從這個供應鏈庫中選擇組件,進行相應的研發。
第三,運行時防護,其核心是解決掉入侵相關的風險,主要關注的是命令執行、文件類、網絡類的漏洞防護。
這裏值得關注的一個產品是 RASP 產品。
不同於市場上的其他 RASP 產品。阿里自研的 RASP 拋棄了之前開源和商業 RASP 產品大而全的方案,專注解決掉入侵相關的風險,同時也做得更底層,在 JAVA 運行時環境做了比較多的適配。
第四,安全檢測。阿里在傳統的檢測方法上作了升級。以白盒為例,市面上的白盒產品能實現跨應用的調用以及跨二三方包的調用分析,阿里不僅能分析阿里幾萬個應用的數據流和執行流如何工作,而且能請求落庫,整個鏈路是可以完整串聯起來。
除此之外,阿里還部署了 IAST 灰盒檢測。其在預發環境、測試環境等方面發揮作用,實現多層產品,層層檢測的效果。
第五,應用可信的落地。
在阿里,應用可信的落地包括四方面內容:即安全認證、運行時防護、API 安全以及人的因素。
其實,人的因素是最為重要的一個環節。
林峻提到:
“代碼應用網絡的風險是可以通過技術度量的,甚至在架構上面來解決一些問題,但人的介入,無論是編碼行為還是蓄意入侵,它的變數比純粹的代碼和基礎設施是要更復雜一些的。”
在所有的變數里,人才是最不穩定的一個因素,所以,阿里對人才的重視程度也可見一斑。
在安全基建中,阿里提到其人才的培養主要從兩個維度來培養:
首先是意識維度。
一方面是內容培養,包括歷史案例、業界的風險事件的分析,從理論上培養人才的風險意識。
另一方面是觸達。有了理論知識的鋪墊,接下來的任務就是實踐。為此,阿里的做法是:他們會將內容通過各種渠道觸發給研發小二,包括自己的工作環境、使用的系統等,通過他們在開發流程中所能觸達到的相關係統進而透出。
同時,阿里也會根據他們的習慣,做週期性的策略設計,包括平台側的內容更新、機器人提醒、周月報等時刻提醒。當然,為了培養主動性,阿里也設立了一些活動,比如答題衝頂賽,安全主題挑戰賽、定期安全分享等,逐步培養人才主動學習、主動發現風險、解決風險、上報風險。
其次是能力維度。
能力維度的培養也分為兩方面。一方面通過分享行業最新最前沿的安全資訊和內容,讓研發人才知曉;
另一方面,基於阿里經濟體在研發流程中需要具備的安全能力培養。並且,阿里還對所有人才作了分層,包括前端開發、測試、客户端開發,通過用户分層給他們適配不通的課程,設置不同的題庫,為他們設置安全的成長體系,持續培養他們的安全能力。
除此以外,為了讓源源不斷的安全人才“活水”湧進阿里,也為新基建培養更多安全人才,阿里安全採用與清華大學等高校合作的方式,比如開啓“安全AI挑戰者計劃”、“青色計劃“面向高校遴選和培養安全人才,最大程度填補和緩解安全人才缺口。
這些有血有肉的人組成的安全架構,將成為“數字基建”的一部分,不僅保護阿里巴巴這座城,也能成為數字世界中的無數城池的榜樣。
雷鋒網雷鋒網雷鋒網