网络与数据时代不断催生着新的命题,对现代人来讲,如何在技术蓬勃发展的信息爆炸中寻求一席之地,是我们应该不断探索的命题。我们带着这些问题,和各个领域的杰出技术人对话,一期一会,抵掌而谈,走进他们的“技术人生”,和他们一起去寻找答案。在物理世界里,有一群人在关心着我们,保卫着我们的安全。其实今天在网络世界里,也同样有这样的一群人在保护着大家的信息安全、数据安全。本期《技术人生》我们邀请到了阿里云云安全业务的负责人欧阳欣,一起走进他的云上安全世界。以下为访谈实录:欧阳欣,阿里云云安全业务负责人。曾任Palo alto Networks资深总监,见证了Palo Alto从一个创业公司到市值最高的网络安全公司的历程,主要领导IPS、Antivirus、App-ID、数据防泄漏等核心业务线研发、安全技术和算法工作,支撑核心安全产品,并带领安全技术团队多次在顶级安全峰会如Blackhat发表议题,帮助微软、苹果、Adobe修复过数百个安全问题。孟晋宇:您在今天的职位上能承担这么大的责任,是非常了不起的,能不能分享一下您之前的经历?欧阳欣:我从大学开始就对网络安全这个领域非常有兴趣,觉得黑客听起来非常酷,深入了解后发现自己是非常着迷于这个领域的。那个时候,大学是没有网络安全专业的,都是靠自己去琢磨,但国内那个时候其实有很多像“安全焦点”,“幻影旅团”这样的黑客论坛,我们会在里面交流技术,去互相学习。我记得有一个叫《黑客防线》的杂志,给它投了很多稿,也是从那个时候起进入了这个领域,一直到今天的深耕,当然很重要的原因是我对它一直保留着非常强烈的热情。我在去年加入到阿里云,我上一份工作是在 Palo Alto Networks,当时加入公司的时候100人不到,加入后大概一年多,它就在纳斯达克上市了,现在已经发展成为全球市值第一的网络安全公司。孟晋宇:你在Palo Alto Networks 职责主要是什么?做什么样的产品或者技术?欧阳欣:我加入Palo Alto Networks 的时候,对自己定位还是一个纯技术人员,随着公司不断扩大,后来负责了最核心的 Threat Prevention 产品线的研发技术、算法工作。孟晋宇:既然已经做到了很重要的岗位,又是什么样的原因促使你回国?听说你家人也一起都回来了,这样的决定其实并不容易。
欧阳欣:因为我在Palo Alto Networks 10年,在美国也生活了比较长时间,但是有一种驱动力还是想让我回国,我也想做一点跟以前不一样的事情。在Palo Alto Networks 的10年基本上无论是技术线还是管理工作都已经比较顺了,我觉得自己是进入了舒适区,然后想挑战自己。2021年5月,我加入阿里云,到今天刚好差不多一年半。孟晋宇:与之前的工作相比,在阿里云工作有什么不同和挑战?
欧阳欣:挑战还是挺多的,无论是工作环境还是文化,都有很大的区别。很深刻的感受是,阿里非常强调公平,它不是一个“等级森严”的公司,我非常喜欢这一点。比如说,很多同学在遇到一些阻力的时候他都可以跨级解决问题,我觉得这是让这家公司跑得非常快的一点。孟晋宇:所谓安全的圈子,对于绝大部分人来讲都挺神秘的,它是一个什么样的圈子?你会怎么去看待这个圈子里的人和事儿?欧阳欣:这个圈子其实并不像大家想象中的那么神秘,安全人是非常崇尚技术的,非常有极客精神,只有你有真正的技术,拿出真正的结果,才能获得这个圈子的认可,所以有的时候,大家会觉得这个圈子好像有点难以进入。孟晋宇:安全圈的人,彼此互动交流的氛围浓厚吗?
欧阳欣:安全圈子有非常多的见面机会,我当年进入这个圈子的时候,最知名的一个峰会就是安焦峰会,它从安全焦点的论坛起步,大家特别喜欢在论坛讨论一些安全技术问题,随着论坛的逐渐地发展,就举办了安全焦点峰会,每年不管是“白帽子”、“黑帽子”,我们都会见面,分享彼此的研究成果。孟晋宇:今天有非常多的名词:信息安全、网络安全、数字安全……比较热门的安全的技术包括了哪些具体技术?欧阳欣:到今天为止,最热门的就是云安全。当所有的IT技术上云之后,带来了很多IT基础设施的变化,大家以前可能只是自己装一个阿帕奇服务器,数据库、前台、后台都装到物理机上去。但今天我们去构建这些系统的时候,我们用了一些新的技术,这些新的技术就会带来新的安全问题,比较热的几个点:第一是零信任。零信任它并不是一个产品,它只是一个理念。“你永远不要绝对相信一件事情,你永远要去校验它、去验证它”。我举两个具体场景:场景一是我们办公场景的零信任关系。比如说在工作中,你今天通过阿里郎登录我们的内网,当你换了一个IP,在外地办公的时候,它可能要你重新验证身份,这个时候就是一个零信任的领域,这是一套产品。这套产品跟我们的办公安全是息息相关的,它会始终怀疑你的身份,去校验你的身份,然后给你分配正确的权限。另一个场景是在生产环节里面的零信任,现在业界跟云结合比较紧密的一个场景叫微隔离。我们很多技术已经容器化了,容器跟容器的交互之间,在应用层面去校验你的身份,以前可能是基于这种大的隔离,基于VPC的隔离,现在我们是在应用层之间去做这种隔离,这是在生产网环境中的一种零信任。还有一个热点就是XDR。X就是把这种端上的、网络上的甚至任何你可能需要收集到的数据的地方都采集到一起,去做统一的管控,通过我刚讲到的这种AI数据分析去统一做整体的预判,判断你的威胁在哪。D就是Detection,R就是Response。我觉得XDR要做好,一定要把办公跟生产统一去看,如果我们的服务端或者办公或者生产之间产生断层的时候,你就没有办法从全局的视角去看攻击者的整个链路,所以我觉得,数据的打通对于XDR产品是非常重要的。另外一个最大的热点就是数据安全。大家每天都会听到跟数据安全相关的事情,我们国家也颁发了数据安全法。从本质上来讲我们在计算机打开的一瞬间,数据就开始产生了,当你在计算机上操作的时候,你的数据是流动的,所以我们要保护全流程的数据安全。孟晋宇:近年来,越来越多的人感受到数据安全、网络安全都是跟“我”息息相关的,有没有一些国内国外比较著名的安全事件对大家日常的工作生活有一些借鉴意义?
欧阳欣:我讲一件跟大家非常有关系的一件事情,前不久全球第一的运动手表有一个非常大的事件,它的整个系统被黑客入侵被装上了勒索软件,勒索团伙讲你不给我钱,我就不给你解锁。当时很长一段时间内,所有人的APP都不能显示最近的运动数据,严重影响它的业务,国内外都非常多这样的案例。孟晋宇:在云上是不是会更加的安全?或者云能不能提供帮助来避免一些事情的发生?欧阳欣:是不是云上更安全这个问题其实在业界有非常多的讨论,在我看来,只要你投入足够多的资源,其实云上云下是可以做到同样安全。当你把业务放到云上的时候,其实云已经帮你承担了很多安全的责任,在你没有感知的情况下已经把一部分的责任转移给了云厂商,每个业务有自己的特性,对于业务来说,每个客户需要去守护好自己的安全,这也是我们为什么会提供这么多安全工具给到客户,我们现在有一个业界的共识——安全责任共担。要做好安全工作,云厂商和租户都要共同努力,才能守护好安全防线。孟晋宇:安全责任共担但是一个很有意思的描述,能不能给我们展开介绍一下?
首先,如果说我们提供的只是一个IaaS产品,是计算、网络、存储,他自己会在上面去搭建内容。比如WebServer,这层的安全就需要他自己去做好,因为我们给客户提供的是ECS服务器资源,底层的物理安全,硬件安全到ECS整个系统的安全,这个是应该我们负责的。其次,如果我们提供的是一个数据库,这个时候阿里云就要守护好给客户这一批的ECS和数据库服务的安全,客户只用关心他的身份权限的分配问题。在租户上云之后,我们确实应该负责任地告诉租户我们的职责边界在哪里,根据我们的产品的形态,共同把安全做好,因为从责任边界的角度来讲只要中间出现Gap,这个Gap可能就是一个安全问题,就是一个安全漏洞。孟晋宇:从整个安全的态势和发展来看,国内的安全技术发展处在一个什么样的水平? 欧阳欣:首先从安全技术方面看,我觉得国内是不弱于国外的,但是我们在产品化的能力、工程化的能力上还是有相当一部分的差距的,可能是由于国内每个厂商相对还比较封闭,导致我们在系统的集成化和整体化上还有所欠缺,但是作为阿里云安全的负责人,阿里云未来的方向一定是更加开放,我们不仅有像Landing Zone这样的项目引进伙伴的力量,也同时从自身横向拉通OpenAPI的改造,我们OpenAPI这样的工具开放之后,确实也做了很多以前做不到的事情。我们未来期望,有很多安全公司和生态合作伙伴会把他们的安全产品放到云上做深度的集成,投入资源去改进他们的产品,去帮助我们的云上的这些租户去更好地做好它的安全。孟晋宇:“开放”是我们一直以来的关键词,还有其他关键词吗?
欧阳欣:有两个关键词——“平台化”和“智能化”。我们今后会做更多的平台化的产品,让客户统一地去做管理跟安全运维。第二个智能方面,阿里云在人工智能这些机器学习,其实都投入了大量的资源,比如说我们在做一些攻击分析的时候,就需要用机器学习,人工智能去预判黑客下一步会做什么,去阻止它的攻击,我们今后会更多的用到AI的能力。孟晋宇:作为开发者,如果希望从事安全领域的工作,应该怎么做? 欧阳欣:首先是打好基础,厚积薄发。不要觉得我们只要简单的了解几个攻击的手段,就可以做好安全了。其实不是这样,像操作系统、底层的网络协议,这样非常基础的知识要学好。一定要把基础打牢,这样你才能厚积薄发,你会省很多力气。另外我建议大家也去搭建各种环境,自己把自己想象成一个黑客尝试去攻破这些系统,其实现在业界有很多这种安全靶场也是非常好的,不仅是一个获取知识的渠道,而且会非常让你有这种控制系统的成就感。安全是一个非常实际的结果,你有没有拿掉那台机器的控制权就是一个结果,你说得天花乱坠你可能讲了很多理论,但是在安全圈,大家很认可成果,你有没有搞定这件事情这个非常重要。孟晋宇:很多工程师可能并不从事安全这一领域。对于这些开发者们,您有什么建议给到他们吗?
欧阳欣:这个是我特别想表达的一个问题。很多人并不是安全从业人员,还有很多未来职业方向都还没确定。但我认为如果你是一个开发者,你就一定要懂安全,有安全意识。安全圈里有个开玩笑的话,是说“业务浪起来,安全兜不住”,所以说守护好安全真的是人人有责,人人都要有安全这跟弦,才能一起跟安全团队把安全做好。孟晋宇:后续我们也可以更深入的一起去探讨去合作,我也希望未来在阿里云的社区上面,会有更多的实践经验,能够开放给更多的开发者,让他们去用起来,去学起来,这也是我们开发者社区的责任,后续也希望我们一起合作把这块做好。
安全是一个生态。这意味着安全不单单是公司和客户这么简单的事情。希望所有的开发者,所有的工程师朋友们在未来都能有安全的这根弦,都为安全做出自己的贡献和努力,相信在未来,我们有机会在我们的网络世界里,在我们所期待的天下无贼的这个美好的蓝图里,看到的每一行代码,都有我们的共同印记。
