信息來源：FreeBuf 

Gartner早前曾經(jīng)做出過一個(gè)預(yù)言，在云計(jì)算的大背景下，云服務(wù)商本身會轉(zhuǎn)變成安全廠商。這個(gè)說法這兩年實(shí)際上已經(jīng)不算新鮮了，在前不久的ISC 2016之上，我們也聽到過微軟類似的言論。

當(dāng)時(shí)微軟可信賴計(jì)算部網(wǎng)絡(luò)安全戰(zhàn)略總監(jiān)褚誠云發(fā)表過相關(guān)“產(chǎn)品安全”和“安全產(chǎn)品”的演講。他說產(chǎn)品安全是指我們平常所用的產(chǎn)品的安全性，比如說Windows這類通用型產(chǎn)品的安全；而安全產(chǎn)品則是安全廠商推出的產(chǎn)品。產(chǎn)品安全是否天然需要安全產(chǎn)品的保護(hù)才能達(dá)成？

實(shí)際情況是，Windows作為一個(gè)操作系統(tǒng)平臺，自Windows XP時(shí)代的沖擊波病毒之后，逐步在產(chǎn)品中加強(qiáng)安全屬性，比如說UEFI Secure Boot，比如UAC、BitLocker等，這讓產(chǎn)品本身作為提供安全屬性的存在，或者說產(chǎn)品安全和安全產(chǎn)品的發(fā)展是相互影響、平行發(fā)展的。

我們是否可以認(rèn)為，在這種情況下，微軟搶了安全產(chǎn)品的飯碗？如果在此將Windows這個(gè)操作系統(tǒng)平臺，換成云平臺，褚誠云認(rèn)為，微軟的Azure安全中心就是將“產(chǎn)品安全”和“安全產(chǎn)品”這兩個(gè)概念進(jìn)行融合。如Gartner所說，云服務(wù)商本身成為安全廠商，我們又是否可以認(rèn)為云服務(wù)商搶了傳統(tǒng)安全廠商的飯碗？或者說讓傳統(tǒng)安全廠商賺不到錢？這是我們在前不久的云棲大會上，與阿里云高級安全專家鄔怡探討的話題。

阿里云高級安全專家 鄔怡

云服務(wù)商究竟為安全做了哪些事？

鄔怡此次在阿里云安全分論壇上的演講題目為《云上的世界為什么更安全》?！霸粕细踩边@一觀點(diǎn)，之前不管是Gartner，IDC，還是阿里云，都有提及，但很少有人細(xì)究過“為什么”。鄔怡的觀點(diǎn)為：“云計(jì)算服務(wù)提供商每天所承壓的攻擊量、以及他們在基礎(chǔ)設(shè)施安全上的投入，是任何一家企業(yè)安全團(tuán)隊(duì)都無法與之相比的?！?/span>

實(shí)際上，RightScale前兩年的調(diào)查報(bào)告都將云安全性視作云端服務(wù)的首要挑戰(zhàn)，不過今年最新的《年度云計(jì)算調(diào)查報(bào)告》中提到，“安全性不再是云的首要挑戰(zhàn)”，“甚至對云安全性最敏感的受訪者——企業(yè)的核心IT團(tuán)隊(duì)以及云安全專業(yè)人員，也不再將安全性視為首要挑戰(zhàn)”，“資源/專業(yè)技術(shù)匱乏”成為上云的最大障礙。鄔怡甚至認(rèn)為，由于云服務(wù)商在安全基礎(chǔ)設(shè)施方面的投入優(yōu)勢，原本的這種安全性“弊端”反而成為企業(yè)上云的原因。

然而要令“云上的世界更安全”，不僅僅是將基礎(chǔ)設(shè)施遷移到云端。而是用戶和云服務(wù)商需要共建安全體系，分別承擔(dān)相應(yīng)的安全責(zé)任。在今年杭州·云棲大會中，就有多個(gè)安全主題演講都提到了“責(zé)任共擔(dān)”模型， 如果要想“云上的世界更安全”，不僅僅是將基礎(chǔ)設(shè)施遷移到云端。而是用戶和云服務(wù)商需要共建安全體系，分別承擔(dān)相應(yīng)的安全責(zé)任”——實(shí)際上，云安全責(zé)任共擔(dān)模式在業(yè)界已經(jīng)達(dá)成共識。在海外，亞馬遜AWS、微軟Azure均采用了與用戶共擔(dān)風(fēng)險(xiǎn)的安全策略。例如，AWS 負(fù)責(zé)管理云本身的安全，業(yè)務(wù)系統(tǒng)安全則由客戶負(fù)責(zé)?？蛻艨梢栽贏WS安全市場里挑選合適的產(chǎn)品來保護(hù)自己的內(nèi)容、平臺、應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)安全。

 “責(zé)任共擔(dān)（shared responsibility）”教育的云服務(wù)商，即告訴用戶，并非上云之后所有的安全問題都由云服務(wù)商解決，用戶自己也需要采取必須的安全措施，保護(hù)其計(jì)算資源。

在傳統(tǒng)IDC架構(gòu)之下，從最底層的物理層面，到網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)、業(yè)務(wù)管理，自然都是企業(yè)自己全部負(fù)責(zé)的，企業(yè)需要一己之力解決每個(gè)層面的安全問題；而在IaaS模型中，從物理、網(wǎng)絡(luò)、存儲，到虛擬化都由云服務(wù)商負(fù)責(zé)安全防護(hù)，而操作系統(tǒng)以上部分的安全責(zé)任由用戶承擔(dān)；至于上圖的SaaS模型下，用戶所需關(guān)注的就只是業(yè)務(wù)管理方面的風(fēng)險(xiǎn)了。

責(zé)任共擔(dān)，意味著需要用戶關(guān)注的威脅更少，但不是上云之后不需要關(guān)心任何安全問題。阿里云及其他主流云服務(wù)商反復(fù)強(qiáng)調(diào)“責(zé)任共擔(dān)”，即通過“責(zé)任共擔(dān)“模型讓用戶更清晰地認(rèn)識到自己的安全邊界在哪里，自己需要為安全做哪些事情。這種責(zé)任劃分也能很好地表明，云服務(wù)商在安全方面究竟做到了什么樣的程度。

用戶的安全責(zé)任 云服務(wù)商也“管”

如果說承擔(dān)云平臺底層安全責(zé)任是種必然，那么“阿里云云盾”就是將安全觸及到用戶層面了——屬于用戶的安全責(zé)任，阿里云就是通過云盾在“管”的。這里的“云盾”實(shí)際上是指阿里云自家在推的安全系列產(chǎn)品，如態(tài)勢感知、先知、WAF、抗DDoS等，也包括了名為“安全管家”的產(chǎn)品。

“除了加密服務(wù)是我們和江南天安合作的，其它的阿里云云盾產(chǎn)品這些都是阿里云自己在做的。比如說我們提供的安全能力、安全防護(hù)產(chǎn)品，像是抗DDoS，阿里云甚至還默認(rèn)自帶一些抗DDoS流量。放眼全球的CSP，我們在安全上為用戶做了很多的事情”

鄔怡的另外一個(gè)身份就是阿里云云盾 · 安全管家產(chǎn)品的負(fù)責(zé)人。安全管家是將原本不在云服務(wù)商責(zé)任范圍內(nèi)的安全問題，也通過增值服務(wù)的方式去解決。

這項(xiàng)服務(wù)的本質(zhì)是為用戶提供整體安全運(yùn)營服務(wù)，包括安全運(yùn)營事前、事中、事后階段還必須要的人參與處理的各種問題，比如安全技術(shù)體系設(shè)計(jì)、安全策略的制定、安全策略變更、應(yīng)急響應(yīng)等等。

“通過這套服務(wù)體系，幫助客戶將安全運(yùn)營做起來?，F(xiàn)在安全人才非常緊缺，許多企業(yè)可能沒有安全專家提升自己的安全水平。通過安全管家高水平的安全專家服務(wù)，能大幅度提升客戶安全防御水平。這樣一來，‘產(chǎn)品+運(yùn)營’，用戶整個(gè)安全體系就完整了。”

所以總的來說，安全管家更像是阿里云為企業(yè)提供的安全外包服務(wù)，甚至將安全運(yùn)營囊括在內(nèi)。所以我們玩笑似的問鄔怡：如果大家都上云了，豈不是很多人就面臨失業(yè)嗎？甚至安全行業(yè)的規(guī)模是不是會變得越來越小？

傳統(tǒng)安全廠商就要沒錢賺了？

“我覺得在每次技術(shù)變革中，這樣的情況都會發(fā)生。安全行業(yè)不會消失，但跟不上技術(shù)變革的廠商會消失?！边@是鄔怡對我們所提“失業(yè)”這個(gè)問題的回應(yīng)。

如此說來，正如先前云棲大會安全峰會之上，阿里云傳達(dá)的理念，傳統(tǒng)安全廠商的角色會發(fā)生變化。一方面是安全產(chǎn)品本身會上云，另一方面是SaaS化的交互方式。而“這原本就是未來安全的一個(gè)發(fā)展趨勢，安全廠商會慢慢往上層走，上到應(yīng)用層、業(yè)務(wù)層這個(gè)層面，基礎(chǔ)設(shè)施提供商會把許多底層的安全做掉?！睋Q句話說，云計(jì)算的發(fā)展是否有掘了傳統(tǒng)安全廠商的墳?zāi)沟目赡苄裕?/span>

我們知道，許多傳統(tǒng)安全廠商是以出售實(shí)在的硬件設(shè)備為生的。而在鄔怡看來，未來70%-80%的企業(yè)都會上云（那些無法上云的只是因?yàn)闃I(yè)務(wù)系統(tǒng)老舊，無法遷移），于是未來的絕大部分安全產(chǎn)品都將以軟件的方式存在于云之上。從短期來看，這必然對傳統(tǒng)安全廠商的贏利造成影響，這種矛盾和轉(zhuǎn)變將承受的壓力大約不是一朝一夕可以消解。究竟是安全廠商順應(yīng)大勢做轉(zhuǎn)型，還是這個(gè)時(shí)代壓根不像云服務(wù)商所想，這是時(shí)間會去回應(yīng)的，但這個(gè)所謂的趨勢必然會遭遇一波阻力。

鄔怡的看法似乎樂觀很多：“每種技術(shù)變革的時(shí)候都會有一個(gè)效應(yīng)，可能這東西成本更低了，看上去賺的錢更少，但用戶使用量會大幅增加。比如說，如果電價(jià)降下來了，我相信電力公司的收入不會減少，只會增多。其實(shí)安全也是這樣，安全SaaS化過后，中小企業(yè)也都買得起了，而不是純粹大企業(yè)才能享受的了?！薄半S著萬物互聯(lián)時(shí)代的來臨，未來可能面臨的安全問題也只會越來越多。所以這個(gè)行業(yè)本身不會變小?！?/span>

“國外那些新初創(chuàng)的安全公司，基本都是貼著云的應(yīng)用去做的。國外的云上有很多安全產(chǎn)品可以選擇，國內(nèi)基本上還非常少。而國外的云計(jì)算服務(wù)提供商為用戶提供的第三方安全產(chǎn)品的選擇都是比較豐富的。同時(shí)，安全廠商的產(chǎn)品也能無縫接入云環(huán)境，交付、配置、服務(wù)的體驗(yàn)都很流暢，而國內(nèi)，用戶的選擇就少得多了?！边@即是鄔怡所說國內(nèi)外環(huán)境的差異，在他看來，這種安全產(chǎn)品云化的趨勢在國外已經(jīng)相當(dāng)顯著，國內(nèi)卻才剛剛開始。

云安全向自動(dòng)化、智能化方向進(jìn)發(fā)

“云平臺有豐富的API，為安全運(yùn)營自動(dòng)化打下了很好的基礎(chǔ)。我們正在對安全管家產(chǎn)品做自動(dòng)化，首先會發(fā)布一個(gè)云平臺安全配置自動(dòng)檢查的工具。這個(gè)工具就是做云平臺相關(guān)安全配置檢查，客戶只需要輕點(diǎn)鼠標(biāo)就能檢查云上架構(gòu)是否有問題，配置是否安全。按照我們之前服務(wù)經(jīng)驗(yàn)來看，云上很多安全問題都是很低級的配置問題，我們把這些問題的檢查做成自動(dòng)化，讓用戶能自助檢查，更好的夠適應(yīng)云環(huán)境。之后包括持續(xù)監(jiān)控、應(yīng)急響應(yīng)，慢慢都會做成自動(dòng)化的模式，提供給用戶?！?nbsp;

“就目前來看，自動(dòng)化還沒有真正到智能決策這一塊?，F(xiàn)在的自動(dòng)化主要還是在于一些流程的自動(dòng)化。未來我們從方案制定到部署、運(yùn)營，大部分都將由AI來決定，現(xiàn)在可能還做不到這一點(diǎn)，但這是我們未來努力的方向?！?/span>

“某些跟基礎(chǔ)設(shè)施綁定很緊的安全，它一定會被基礎(chǔ)廠商作為一種安全能力提供給客戶，這要求安全廠商自己去轉(zhuǎn)型”。這至少是阿里云對未來安全行業(yè)的預(yù)見，即便現(xiàn)在大約還不能讓所有安全廠商接受。IDC今年的數(shù)據(jù)顯示，2015年阿里云在國內(nèi)公有云IaaS市場份額達(dá)到了31%，將第二名甩出幾個(gè)身位。與此同時(shí)，中國公有云服務(wù)總市場規(guī)模14.42億美元（IaaS為8.37億，增70.7%），相比2014年增長53.8%，預(yù)計(jì)2020年會達(dá)到50億。

如果企業(yè)全面上云真是個(gè)趨勢，國內(nèi)的傳統(tǒng)安全廠商向何處去？是擁抱云計(jì)算，還是堅(jiān)持自己的市場，在今后幾年內(nèi)，這或?qū)⑹堑啦豢杀苊獾倪x擇題。而從產(chǎn)品+生態(tài)的布局上看，阿里云意在建造的這個(gè)“云端安全王國”，似乎已初見端倪。未來的安全王國規(guī)模幾何，你能想象嗎？

* FreeBuf出品，作者：歐陽洋蔥，轉(zhuǎn)載請注明來自FreeBuf.COM