六問阿里云計(jì)算安全

時值阿里云ECS第七代云服務(wù)器上線，這一代的云服務(wù)器是業(yè)內(nèi)首個搭載最新第三代英特爾?至強(qiáng)?可擴(kuò)展處理器（代號 IceLake）的計(jì)算實(shí)例，同時，可信計(jì)算與加密計(jì)算成為了標(biāo)配，全方位的計(jì)算安全成為其差異化優(yōu)勢之一。

　　就此,筆者采訪了阿里云彈性計(jì)算產(chǎn)品負(fù)責(zé)人王志坤博士，進(jìn)行了一次有關(guān)云安全技術(shù)的討論。

　　一問：是客戶“逼”云廠商加碼安全技術(shù)嗎？

　　答：客戶上云的時候非常關(guān)注的一個問題就是安全和隱私。

　　早期，阿里云提供的安全能力，以網(wǎng)絡(luò)傳輸加密、云盤數(shù)據(jù)加密等等為主。

　　如今，在與政企客戶的合作過程中，我們發(fā)現(xiàn)一個不可回避的問題，就是如何讓客戶在公共云上獲得安全感。

　　也就是說，自證清白是剛需?？蛻粜枰?，阿里云也需要。

　　實(shí)際情況是我們要不停地去跟行業(yè)溝通，在這過程中，我們意識到被證明、被度量非常關(guān)鍵。阿里云有很多安全能力，如果不能被量化、被證明，是不能被客戶接受的。以前是“亡羊補(bǔ)牢式”的事后安全，現(xiàn)在更需要的是“事先安全”。

　　需要有一個類似“定心丸”的技術(shù)，告訴用戶，你的整個運(yùn)營環(huán)境是安全的。

　　所以，我們一直試圖去打造一個可被量化、可被客戶感知、可被度量的一個安全體系。一旦整個安全防護(hù)體系構(gòu)建起來之后，客戶的信任感將會增強(qiáng)?？尚庞?jì)算技術(shù)在其中扮演著重要角色。

　　實(shí)際上，業(yè)界很早有這種可信的體系，包括我國也有構(gòu)建自己的可信體系，這塊大概在十幾年前，已經(jīng)有很多的研究了，工業(yè)界的產(chǎn)業(yè)落地是比較緩慢。

　　但是，爆發(fā)點(diǎn)是積累出來的。以前，TPM（可信平臺模塊）對個人消費(fèi)者來說是非常遙遠(yuǎn)的事情，但是，從2021年微軟Windows11開始，TPM成為一個必備“裝備”。

　　TPM這種可信的應(yīng)用環(huán)境，能夠防篡改。說白了，就是黑客篡改了，我們能夠知道并通知用戶。

　　現(xiàn)在，整個客戶場景的變化、需求的變化，對于云上安全能力來說，我覺得是一種驅(qū)動力。

　　二問：云安全的加密計(jì)算，與傳統(tǒng)的加密技術(shù)有什么不同？

　　答：傳輸和存儲加密是傳統(tǒng)手段。這些傳統(tǒng)手段哪怕今天你不上云，傳統(tǒng)的IT設(shè)施里面也有。在傳統(tǒng)的IT設(shè)備里面，這些技術(shù)都不新鮮。圍繞著數(shù)據(jù)生命周期，數(shù)據(jù)的傳輸、存儲很重要，但是，用戶要把數(shù)據(jù)“用”起來，也就是對數(shù)據(jù)進(jìn)行處理和加工，同樣也很重要。

　　即便數(shù)據(jù)落盤的時候是很安全的，當(dāng)數(shù)據(jù)被使用的時候，能不能繼續(xù)保障安全？這個在過去一直沒有很好地解決。業(yè)界也有很多手段，比如同態(tài)加密等等，眾所周知，這類計(jì)算開銷是非常大的，業(yè)務(wù)系統(tǒng)中企業(yè)負(fù)擔(dān)不起對效率的犧牲。

　　可能在極少數(shù)平臺，必須保證絕對安全的情況下，才會去用。而今天，第七代ECS的加密計(jì)算能力可以在合理性能開銷的范圍內(nèi)，實(shí)現(xiàn)數(shù)據(jù)的“可用不可見”。這不僅是數(shù)據(jù)存儲和傳輸階段實(shí)現(xiàn)了加密，在運(yùn)行時使用階段也加密了。

　　（記者說）市場上是有安全產(chǎn)品以降低計(jì)算消耗為賣點(diǎn)。

　　答：對，大家都會說不斷地降“計(jì)算開銷”。但實(shí)際上大規(guī)模的生產(chǎn)，或者說“以提效降本為目的”的生產(chǎn)過程，不可能為了安全犧牲太多的效率。

　　我們在內(nèi)部也討論過，云的生意是要普惠，在云上推動這種技術(shù)，如果使用門檻太高，使用場景就會大大受限。

　　以汽車廠商造車為例，消費(fèi)者買車的時候，不僅僅關(guān)注它的性能、排量等等，還有安全。而且，不光是被動安全，還追求主動安全，如防碰撞等等。聯(lián)系在一起思考，阿里云構(gòu)建整個安全體系的時候，也是從被動安全，走向主動安全。

　　三問：走過這個階段我們花了多少年？是一個什么樣的過程？

　　答：過去云產(chǎn)品的設(shè)計(jì)理念是什么？追求性能。為什么？因?yàn)槟莻€時代，大家一上來就拿虛擬化為代表的云產(chǎn)品的性能跟物理服務(wù)器作比較，考慮會有多大性能損耗。

　　今天，我們把性能這個難題攻克了，這也是阿里云推出了以神龍為代表的虛擬化技術(shù)的背景之一。

　　我認(rèn)為，我們的頭10年主要在解決性能問題，從2010年到2020年，大約花了10年。但阿里云解決安全問題，并不是說今天才開始，一開始安全就在視線范圍內(nèi)。比如，汽車廠商研發(fā)車，有安全帶、有氣囊，我認(rèn)為這只是非常基礎(chǔ)的被動安全，就好比現(xiàn)在說數(shù)據(jù)落盤的加密，網(wǎng)絡(luò)傳輸?shù)募用堋?/p>

　　但是，仍然有局限性，這樣會導(dǎo)致一些應(yīng)用場景受限。

　　2016年，開始做探索，2017年，我們做第一代神龍?jiān)品?wù)器的時候，就推出了基于Intel SGX加密計(jì)算的產(chǎn)品。探索階段，我們具備了整體的硬件形態(tài)，但當(dāng)時還只是一個單品。

　　2019年的杭州云棲大會上發(fā)布第三代神龍架構(gòu)，我記得非常清楚，小邪（阿里云基礎(chǔ)產(chǎn)品事業(yè)部蔣江偉）講的立體的安全防護(hù)體系，實(shí)際上就是指的我們做的安全相關(guān)的能力。

　　從那個時候開始我們不斷去探索，比如云盤的數(shù)據(jù)可加密、網(wǎng)絡(luò)傳加密、密鑰體系等?，F(xiàn)在，安全體系都已經(jīng)非常完備了，TPM、vTPM、 SGX的預(yù)研，內(nèi)部的產(chǎn)品化能力已經(jīng)具備實(shí)力。

　　目前，加密計(jì)算方面，我們不僅支持Intel的SGX，還有自研的神龍?zhí)摂M化enclave。我們已經(jīng)在這一塊圍繞計(jì)算側(cè)做了很多技術(shù)的研發(fā)，包括產(chǎn)品化。我覺得這跟造車是一樣的。那阿里云安全今天要追求什么？追求運(yùn)行時的主動安全。

　　四問：云安全技術(shù)，市場和產(chǎn)品的空間有多大？

　　答：安全能力一升級，會帶動整個基礎(chǔ)設(shè)施的升級，帶動業(yè)務(wù)創(chuàng)新。

　　對于加密計(jì)算，早在2017年的時候，只有少量應(yīng)用比如一些區(qū)塊鏈應(yīng)用開始使用我們第一代基于SGX加密計(jì)算的能力。如今，越來越多的應(yīng)用關(guān)注運(yùn)行態(tài)安全，比如數(shù)據(jù)庫，數(shù)據(jù)庫承載了企業(yè)最核心的數(shù)據(jù)資產(chǎn)，僅僅是數(shù)據(jù)傳輸和存儲的加密是不夠的，所以，包括我們阿里云自己和阿里云的客戶，都可以基于我們SGX/vSGX的加密計(jì)算能力，保證運(yùn)行態(tài)數(shù)據(jù)的安全。

　　對于可信計(jì)算，TPM是有成熟的協(xié)議和規(guī)范的，我們做產(chǎn)品的時候，為了讓客戶的使用門檻更低，我們直接做了很直觀化的呈現(xiàn)。每一個字段校驗(yàn)的信息和標(biāo)準(zhǔn)值，直觀表現(xiàn)，一見了然，而且有一些標(biāo)志性信息，有明顯的提醒。

　　如果有風(fēng)險，客戶可以直接看到這些細(xì)化的信息，這樣客戶才會踏實(shí)?？蛻粢澜Y(jié)果，也要知道原因。

　　現(xiàn)在階段，以被證明和被估量為代表的安全技術(shù)，到了必須和云計(jì)算結(jié)合的時候，而且要用起來。云把這個能力變得普惠，就像我們今天戴了各種手表、手環(huán)，把各種指標(biāo)給呈現(xiàn)了，一旦你異常，會及時預(yù)警。

　　安全越是靠近底層，被度量、被感知越是難做的。以前，業(yè)務(wù)出現(xiàn)了異常，沒法驗(yàn)證是不是可信根被篡改了?，F(xiàn)在，從啟動開始，可信根有個度量，從頭建立一整套可信鏈。產(chǎn)品化使得用戶非常方便構(gòu)建它上層業(yè)務(wù)的安全。

　　云是做一個普惠的生意，識別到需求，研發(fā)團(tuán)隊(duì)攻克技術(shù)難點(diǎn)，我們根據(jù)它的門檻、難度、成本綜合考量之后，作為整個產(chǎn)品的“標(biāo)配”和“底座”能力。

　　五問：很多企業(yè)認(rèn)為，將其 IT 預(yù)算的5%用于安全就足夠了。云安全技術(shù)能力的增長，會提高企業(yè)在安全方面投入的性價比嗎？

　　答：以前，一個企業(yè)花IT預(yù)算的時候，買多少服務(wù)器、存儲、網(wǎng)絡(luò)，這樣算。如今，買的是云服務(wù)，包含了安全服務(wù)。以前，如果要構(gòu)建這部分的安全防護(hù)能力，要額外做預(yù)算。如今，安全已經(jīng)內(nèi)置到云計(jì)算的基礎(chǔ)能力之中。

　　這個時代，已經(jīng)是一個大家更關(guān)注安全、更關(guān)注隱私的時代了。阿里云把這個時代對安全、對隱私的訴求，在云上更好地解決。我們肩負(fù)的一個責(zé)任是把業(yè)界一些比較先進(jìn)技術(shù)，逐步推廣。傳統(tǒng)企業(yè)可能沒有這能力。

　　從云安全對于企業(yè)IT預(yù)算性價比的角度，以可信計(jì)算這個特性為例，作為阿里云ECS實(shí)例原生的安全能力，為客戶提供免費(fèi)的IaaS層可信能力。

　　阿里云負(fù)責(zé)把安全基座做好，或者可以表達(dá)為，企業(yè)對安全上的投入越有限，公共云安全服務(wù)的普惠價值越大。

　　六問：以AI為代表的安全攻防黑科技這么多，虛擬化安全屬于落后技術(shù)嗎？

　　答：虛擬化技術(shù)興起大概在20年前，虛擬化是整個云的基石。沒有虛擬化，你沒有辦法實(shí)現(xiàn)分時資源復(fù)用，也沒有辦法實(shí)現(xiàn)錯峰資源復(fù)用。

　　直到今天，虛擬機(jī)這樣的產(chǎn)品形態(tài)，它仍然是很有生命力的。我們整個產(chǎn)品體系里面，尤其在技術(shù)體系里面，不管是TPM、可信、SGX以及加密計(jì)算的各類技術(shù)，都要和阿里云神龍?zhí)摂M化技術(shù)體系融合。阿里云的安全能力是基于神龍芯片構(gòu)建起來的，一方面我們要保證它的安全性是足夠的，另一方面是它又能夠?qū)崿F(xiàn)我們整個虛擬化的技術(shù)要求，所以這里面是非常有挑戰(zhàn)的。我們的安全團(tuán)隊(duì)、虛擬化團(tuán)隊(duì)、神龍軟硬一體化的團(tuán)隊(duì)，三個縱隊(duì)，攻堅(jiān)同一個技術(shù)高地。