阿里雲肖力:下一家獨角獸公司將誕生於安全SaaS領域
阿里雲香港高防IP在今天正式上線,輻射東南亞地區,這標誌著阿里雲開始為客戶提供「全球安全服務」,為中國企業出海護航。阿里雲安全究竟有何過人之處,各位看官且聽我一一道來。
立秋後的北京,雲棲大會如期而至,筆者也見到了阿里雲安全團隊Leader,阿里雲資深總監肖力。
2005年,肖力以集團第一位安全工程師身份入職阿里巴巴,負責阿里巴巴集團內部安全。入職至今,他已經在阿里巴巴呆了12年,而這個時間還會繼續,因為這個曾經的阿里巴巴安全1號新秀還有偉大的夢想要去實現。
1.阿里安全人才濟濟的根本原因是什麼?
大牛的成長經歷也總是無比相似,隨著工作逐步深入,肖力的職責從內部安全慢慢延伸到阿里巴巴集團全線業務,而得益於阿里巴巴集團各項業務的快速發展,讓阿里雲安全團隊在各種被虐中迅速成長。
「別人說你牛逼是因為你是大牛,實際上都是公司用炮彈養出來的,別人沒這個環境。」
阿里巴巴為安全團隊提供了一個無比殘酷無比真實而且代價高昂的作戰平台,在經歷過無數的攻防戰之後,阿里巴巴安全團隊才把企業安全的坑一個一個趟過來。遠的不說,我們就以阿里雲平台近半年公布的數據來看:攔截505億次攻擊,修復了47萬個漏洞,防禦了64萬次DDoS攻擊,積累了117萬個惡意IP。
可以說正是阿里巴巴這個獨一無二的平台成就了這支安全團隊。
2.為什麼過去7年始終關注云安全?
2009年阿里雲成立,肖力再次成為一名開拓者,組建了阿里雲安全團隊。
阿里雲成立伊始,從2009年到2012年這四年,業界普遍不看好雲計算,內部也是頗有微詞,阿里雲養了這麼多人,每年得消耗多少成本,成績在哪裡,業績在哪裡,用戶又在哪裡?
即使道阻且艱,小夥伴們依舊堅定不移看好雲計算的未來。
(配圖:Gartner關於全球雲計算市場預測數據)
2009年那時候你跟人家講雲計算,人家以為你是大忽悠,所以在這四年時間裡,阿里雲安全團隊潛心研究技術,並且不斷將之前的安全積累進行產品化,雲盾正是在那段特別的歲月里慢慢熬出來的。
守得雲開見日來,據剛剛發布的阿里巴巴2017財年第一季度財報數據顯示,阿里雲進入爆發增長周期,增速連續5個季度領跑全球。第一季度營收達12.43億元,同比增長156%,付費用戶數量達到57.7萬。
(配圖為阿里雲連續5季度增長數據)
阿里巴巴十年安全積累成就了阿里雲安全,而肖力正是這個傳承的接力者,他從阿里集團到阿里雲,一路上帶著多年的安全積累薪火相傳。
3.阿里雲的安全願景是什麼?
筆者上周走訪了一家年凈利潤近6千萬的手游公司,CEO向筆者透露公司管理層決定將所有業務從IDC搬到雲上,一方面基礎運維不是公司強項,IT故障頻發影響業務;另外業務大了樹大招風,外部黑客攻擊不斷,而公司自身不具備這個攻防對抗能力。
這家手游公司的雲遷移決策應該是千千萬萬上雲企業的縮影,而安全穩定則是所有雲上企業的根本訴求,所有CSP都要面臨這個挑戰,阿里雲也不會例外。
「希望阿里雲能夠打造一個最安全的雲計算平台,企業在雲上能夠真正解決好各種安全問題,幫助用戶安全穩定發展是阿里雲安全最大的初衷。」
這是阿里雲的安全願景,目前阿里雲正從基礎設施安全、雲盾、雲安全生態三個方面發力。
基礎設施安全:保障阿里云云平台安全穩定運行是團隊最重要的職責,這同樣也是團隊的核心任務。
雲盾:雲盾最重要的是將在阿里沉澱的企業安全能力和經驗幫助企業解決好在發展過程中遇到的安全問題,讓安全不再成為企業發展瓶頸。
雲安全生態:僅僅依靠自身來解決雲上用戶安全問題還遠遠不夠,阿里雲正在不斷地豐富自己的雲安全生態市場,引進了全球頂尖的安全廠商入駐阿里云為用戶提供服務。
4.阿里雲安全的核心競爭力是什麼?
摩根斯丹利在2016年Cyber Security藍皮書中強調一個觀點,現有安全模式正發生改變,安全逐步從單一的安全產品屬性過渡到通用產品或服務的內置功能,而雲計算服務正是其中最典型的場景。
阿里雲正實踐著這新的安全模式,安全團隊會根據云上用戶存在的各種安全問題對症下藥,將阿里巴巴的安全能力通過阿里雲進行產品化輸出,幫助用戶解決安全問題。
當然阿里雲安全的核心競爭力不只是產品。
現在全國有35%的網站運行在阿里雲上,用戶遭受的攻擊都會被阿里雲感知到,每一天的攻擊分析為威脅情報提供了最豐富的素材,這是阿里雲獨一無二的優勢,在未來這個優勢會繼續擴大。
從這個角度來講,基於雲計算和大數據的高質量威脅情報才是阿里雲安全的核心競爭力。
(配圖為Verizon關於威脅情報作用統計)
阿里雲希望通過無限擴展的計算能力和國際領先的大數據分析演算法,提供高價值的威脅情報來普惠雲上所有用戶。
聊到威脅情報時,肖力就像打開了話匣子,這足以證明阿里雲安全的少帥對前者的看重和青睞有加,而關於威脅情報的輸出模式也有了思路。
「未來不排除阿里雲會將威脅情報做成晶元一樣,內置到其他阿里雲安全生態的產品和體系中,發揮出它最大的價值。」
5.為什麼阿里雲要做眾測?
「我們團隊做企業安全這麼多年,我們總結出來的一條經驗就是任何一家企業要做好安全都不離開眾測。」
當然這裡講的眾測是基於授權的官方SRC和有商務合同的測試項目,肖力信手拈來美國五角大樓和FaceBook最近都開展眾測的一些案例,這從側面也印證了他對眾測的關注。
未來的安全離不開協同和生態,完全依靠自身搞定所有的安全問題是不可能的,如果阿里雲上有上百萬的用戶,要做好安全肯定也離不開眾測,而眾測的目標是先於黑客發現漏洞並修補漏洞,為用戶提供更好的雲上環境。
6.安全廠商有沒有能力服務一萬家客戶?
現在的安全廠商有沒有能力服務一萬家客戶?筆者認為國內無論是傳統安全廠商還是互聯網安全廠商,應該沒有誰能做到如此大的規模和體量。
但阿里雲已經做到了,目前購買阿里雲安全服務的企業有上萬家,這還是剛剛開始,阿里雲希望幫助更多企業,服務好更多企業。
按照傳統的安全服務模式,服務好一萬家企業可能2000人都不夠,但是通過安全SaaS模式可以更容易實現這個規模。
「下一家市值超過百億美元的獨角獸安全企業,一定是安全SaaS企業。」
這是肖力關於安全SaaS 的觀點,同時他希望阿里雲平台上有眾多的獨角獸企業出現,阿里雲願意與它們共同成長發展。
(配圖為centaurpartners關於SaaS市場分析數據)
尾
可以設想在不久的將來,阿里雲安全生態百花齊放,雲盾作為安全基礎設施整合了全球頂尖的安全SaaS服務廠商,利用阿里雲大計算和雲數據的先天優勢,輸出高價值的安全情報,為數百萬用戶提供All in One的自動化安全SaaS服務,讓安全的雲計算幫助用戶成就更多更好的生意。
這就是阿里雲安全團隊Leader肖力關於安全的最大夢想,夢想有多遠,誰都不知道,而這個夢想,肖力說可能三年後就能夠實現。
作者個人公眾號(sunw3i)
推薦閱讀:
※一個Saas項目的經驗分享 I 精創社
※對話式用戶體驗
※免費CI/CD服務簡評: Codeship, Wercker與BitBucket Pipelines
※SaaS層的多租戶和PaaS的多租戶在實現技術上有什麼區別呢?