“凡人”生死阿里云

淺友們好~我是史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試用各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你想和我做朋友，不妨加微信（shizhongmax）。

“凡人”生死阿里云

文｜史中

（零）“平凡人”的世界

2024 年 4 月的一個晚上，鐵柱躺在床上刷手機，突然看到羅永浩在直播間帶貨“阿里云”。

他彈起來了，99 塊租一年云主機，這便宜不占白不占！

鐵柱是一個平凡的人，生在平凡的小城，上了一個平凡的破班。但他不甘平凡，業余時間學了點兒編程，最近正準備開發個小游戲試試。

鐵柱摸著石頭上云，沒幾天，就把游戲鼓搗上線了。他像上帝造完人間一樣，心滿意足地睡覺，夢見了獅子。

可是，世界卻對這個平凡人張開了獠牙。

第二天一早，他打開電腦，看到了一條提醒——他剛在阿里云預存的幾千塊錢都被扣光了！

仔細看，自己的賬戶名下開出了好多虛擬機，里面跑著亂七八糟的程序，就像一堆蟲子蠶食著自己的云資源。

鐵柱的世界瞬間靜音了。

他被黑客攻擊了！！

鐵柱趕緊清理云主機的系統。上網一查，才知道很多小白開發者都有和他一樣的遭遇：

原來，調用云主機需要用到密鑰，叫做 AccessKey，簡稱 AK——它好比進入云上房間的鑰匙。

鐵柱是個自學的小白開發者，沒啥安全意識，為了方便就把 AK 直接給寫在代碼里了。

更要命的是，他還把代碼傳上了 GitHub。這就像是把鑰匙直接插在門鎖上睡覺，妥妥的夜不閉戶呀。。。

鐵柱坐在原地，慢慢消化著眼前的事實：未來幾個月的豬腳飯長出翅膀越飛越遠。

云像一座天空之城。

鐵柱剛剛滿懷憧憬搬到這座城池，有了自己的一間房半頃田，卻因為一個低級失誤，被劫匪趁夜洗劫一空。

他委屈。可城池浩渺，遠到深宅大院，近至鄉鄰小宅，重重暮靄之后，誰愿駐足聽他的呼喊呢？

歡迎來到平凡人的世界。

（一）平凡人助平凡人

鐵柱的故事，是鄭雅敏講給我的。

作為阿里云業務安全團隊的隊長，他每天目睹這些疾苦，反而長嘆“天涼好個秋”。

故事還得從 2023 年說起。

那年，為了讓中小開發者體驗云上開發的便利，阿里云豪橫地補貼了很多優惠劵。

幾十萬開發者像超市大媽搶雞蛋一樣慕名而來，因為配置高，甚至有人租下服務器在上面玩《幻獸帕魯》。

玩游戲當然不是云計算的標準打開方式，但它難掩一個洶涌的事實：云計算作為人類繼水電之后的新一項基礎設施已經瓜熟蒂落，正離別廟堂，飛入尋常百姓家。

小開發者通常就像鐵柱一樣，日常跑一兩臺主機，在上面維護些代碼或存儲企業數據；他們也像鐵柱一樣，沒什么保護自己云上家園的安全意識。

雖然，他們人均家徒四壁——這些代碼和數據的價值不大，就像咱們出去旅游拍的照片，小偷偷走也賣不掉嘛。。。

但是，別小瞧壞人的智商，他們有一萬種方法犯壞。

剛才說過，用戶管理自己的云計算賬戶的密鑰，叫做AK（AccessKey），這串字符在黑客眼里可是“財富密碼”。

他把 AK 偷去，就能偽裝成用戶來對云上資源進行利用。

比如，他可以把你的數據加密，然后跟你要錢，畢竟這些數據對他沒用，對你來說可能是很珍貴的。

比如，他可以在你的機器里植入虛擬幣挖礦程序，用你的機器幫他走上財富自由之路。

比如，如果你的云主機太少，他嫌財務自由的速度太慢，還會“幫”你多開幾臺云主機。

沒錯，都是些 LowB 的利用方法。

但這種下流的招式造成的損失是很大的。黑客利用程序批量開設主機，一天花出去幾萬塊錢很正常。

那。。。沒辦法把黑客捆在樹上打么？

其實這么多年，阿里云練就了一套完善的云上安全體系，機槍火炮一應俱全，可以擊退魑魅魍魎。

但問題是，作為一個云上的“平凡人”，一生不識干戈，又怎么會用這些武器保護自己呢？

莫說用武器還擊了，很多人就像鐵柱那樣直接把主密鑰寫死在代碼里，上傳 GitHub。

直接送人頭，黑客不取吧。。。都對不起自己的職業操守。

鄭雅敏告訴我，現在的黑客組織已經不是我想的那種手持鐮刀割韭菜，而是開上了“聯合收割機”：

他們創造了自動化工具，每時每刻都在對 GitHub 進行掃描。只要有人不小心把 AK 傳到 Github 上，黑客分分鐘就能拿到。

轉眼間，黑客已經用自動化工具進入了你的云賬戶，幫你開好云主機，架設挖礦程序，賬戶里已經開始進賬了。。。

平凡人從“犯錯”到被“收割”，從歲月靜好到墮入谷底，只是眨眼間的事情。

這是怎樣一種兇險。

提問：在這些悲劇里，阿里云有什么責任呢？

最簡單的回答是：沒責任。云上責任有一個成熟的劃分標準，用戶買了云主機，阿里云把 AK 交付給用戶，這個時候保護 AK 的責任就 100% 轉移到了用戶身上。

其實打個比方就容易理解了。

你買了一張手機卡，被騙子詐騙了，電信運營商有責任嗎？

房東租給你房子，你把鑰匙插在鎖眼上，小偷把東西偷走了，房東有責任嗎？

問題是，人生活在世界上，不是為了分清責任，而是為了更好地活著！

你想想看，租戶和房東作為兩個守法的好人，在正常運轉的商業陣線中本是戰友。一旦壞人得逞，侵犯了租戶的權利，好人這一方的“共同體”就已經潰敗。此時是不是房東的責任，又能怎樣呢？

換句話說：如果租客出現被盜的事件，即便不是阿里云的責任，大家也會對云計算的模式產生動搖，阿里云的“讓云計算成為水電一樣的基礎設施”的夢想，難道不是最終、最大的受害者嗎？

鄭雅敏和團隊伙伴，哪個不是現實世界里的平凡人呢？人同此心，不能坐視不管！

平凡人助平凡人。

也正是從 2023 年開始，阿里云安全團隊的同學們絞盡腦汁，為無解的問題找姐：

在普通用戶連 AK 是啥都不知道的情況下，怎么才能保護他們的安全？

阿里云業務安全負責人鄭雅敏（左）和親密戰友阿里云高級安全專家黃昱愷（右）

（二）天空之城戍衛隊

黑客利用自動化工具，幾秒內就能從 Github 上掃描到泄露的 AK，難道老師傅有什么辦法比他們丫的更快嗎？

估計有人猜到了——直接找 GitHub 合作，行不行？

AK 上傳代碼庫，第一個看到的人是誰？肯定是 GitHub 啊，理論上他們可以瞬間掃描出敏感信息泄露。只要是阿里云的，就對接過來，阿里云這邊馬上對這個 AK 實行限制！

整個過程也是幾秒搞定！

你看，高手過招根本不給你看清楚的機會，都是電光火石分勝負。老師傅只需要比黑客快一點點，阿里云城池中的黎民百姓就被金鐘罩給保住了呀！

就像醬↓↓↓

是的，老師傅先從 GitHub 得到消息，先出招兩秒，就相當于“開掛”。但你黑客還別說我是掛逼，你跟 GitHub 合作一個試試？

好人壞人都可以是聰明人。但善良的人，永遠有機會比惡人獲得更多的幫助。

這難道不是善惡天平最重要的那顆砝碼么？！

鄭雅敏告訴我，這種情況下的限制，不是封禁所有權限，主要是限制它做“大動作”，例如開好多云主機，或者刪改代碼。

畢竟不能百分百確定它已經被壞人利用，直接封禁就“極限一換一”了，影響太大。

但即使是這樣，這位客戶正常的操作也會受到影響，不能就這么不管了——老師傅還得“善后”：

限制之后，第一時間要通知用戶，讓他趕緊換鎖芯（換 AK）！

通知是個常規操作，主要是以站內信和短信的形式發出的。

但在 2024 年以前，這個通知默認用戶是有專業背景的管理員，大概就是：你的 AK 泄露了，請盡快處理！

就像這樣↓↓↓

（點擊可以看大圖）

但對于本來就不知道 AK 是啥的非專業客戶，這個提醒等于——沒提醒。

那咋辦？

老師傅索性放下技術人的架子，把通知改成小白也能看懂的白話文。大概是：兄弟你危了！黑客可能要坑你錢刪你數據，我們暫時幫你頂住，你快去看看吧！

就像這樣↓↓↓

（點擊可以看大圖）

如果用戶收到信息還是沒采取行動，并且這個 AK 已經在做一些敏感動作，那就真危險了，可能是黑客動手了。

遇到這種情況，老師傅的操作是：直接干電話過去，強行喊醒客戶！

只是這里有個小小小問題，黑客一般會選在后半夜動手，這時用戶都睡得著著的，真是被“喊醒”的，難免會有起床氣。

迷迷糊糊沒聽明白的用戶，甚至會投訴客服。。。

阿里云云安全的老師傅們在 2024 年 8 月上線了電話提醒，結果安全事件少了，可投訴量上去了。。。

投訴可是 KPI 毒藥啊，老師傅那可憐的績效岌岌可危，也是壓力山大。

有同學建議，要不咱們先暫停了電話提醒，別跟獎金過不去啊。鄭雅敏腦海里出現了各種英雄人物，還是讓大家剛住：“要是現在退縮，就他娘的前功盡棄了！”

當然，只這么硬剛也不是長久之計。

老師傅們知道，客戶感覺不好，肯定還有自己的責任：

一來，事發之前他們沒有受過系統的安全教育，不知道 AK 泄露意味著什么，事發時也就不理解老師傅的苦心嘛。 二來，整套云產品的設計不夠傻瓜，沒有一個好工具來幫他們保護自己的 AK。泄露了再補救，哪個能開心？

老師傅決定再往前走兩步。

他們先上線了一個“安全用云”專區，給大家科普 AK 是啥，還給大家講怎么設置子賬號，給子賬號分配“最小權限”，這樣哪怕泄露了，風險也是收斂的。

做好學習專區，馬上給大家發站內信，招呼大家都過來看。

為了讓大伙兒有動力學習，他們還把這些核心信息設計成了海報，用抽獎的方法鼓勵公司的 IT 管理員打印出來，貼在辦公室墻上。

這樣一個人知道了，大家就都知道了。

也是相當苦口婆心了。。。

這是大家貼在自己辦公室里的亞子。。。

至于工具，那是老師傅的專長了。他們使用了一個叫做 KMS 的密碼輪盤。

你見過大學男生宿舍，四年都不換床單的狀態么？這個“密碼輪盤”就相當于自動幫男生換床單的意思。

簡單來說就是，輪盤里存了一堆 AK，你懶你的，它自動幫你輪換。

這樣的話，萬一哪個 AK “天機泄露”了，沒關系，黑客利用的時候，天機已經不是天機了。

你看到了沒，作為云計算的底座，要想保護小白租戶的安全，其實有很多事情可以做。說白了就是：

把小白用戶當做自己的小老弟認真對待。

鄭雅敏告訴我，他們給這種關系起了個高級名字，叫“安全共同體”。

大庇天下寒士，小白不會永遠是小白。時光流逝，鐵柱也許會成為大佬，把云上的一畝地變成唐頓莊園。

如果那一天真的到來，他也需要自己拿起武器，守衛家園。

有人要為他鑄劍。

（三）鑄劍師

我見到歐陽欣的時候，他剛剛從巴黎奧運會回來。

他是中國隊的一員悍將，但獎牌榜上沒他。因為他不在“中國運動員隊”，而在“中國老師傅隊”。

說起來，他所在的阿里云也是奧運會的“老選手”了，從 2018 年起，已經給兩屆冬奧會和兩屆夏奧會輸出了數字基礎設施，全世界觀眾看到的畫面，很多都是由中國云計算底座轉播出去的。

但今年事情有些變化。。。

第一、姿勢變穩了：云計算轉播量達到三分之二，一舉超越衛星轉播，成為全世界觀眾觀看奧運會的主流方式，真真賽博基建。 第二、壞人變狠了：全世界的黑客、黑產、黑惡勢力們，也不知道從哪兒齊齊地冒出來，用最新的手法瘋狂攻擊奧組委的云計算設施。

魍魎作祟，大圣西征。

阿里云的“戍衛隊”在埃菲爾鐵塔下面擺開陣勢跟全世界黑客殺了個痛快。

這恐怕是最喧囂的戰爭地圖：

在賽博世界，阿里云產品線的每一個組件都能成為攻擊目標； 在物理世界，阿里云全世界的每一個機房也都能成為攻擊目標。

不過接下來的故事可能會讓愛看熱鬧的你失望：

阿里云的諸多技術大牛都去巴黎坐鎮，但后來發現，他們真就是“坐”鎮。

告警雖如彈雨一樣襲來，但云上戍衛隊用機槍火炮一頓反擊，最后沒什么黑客攻進來，也就沒什么真正的損失產生。

奧運會轉播接著奏樂接著舞。正所謂：安全團隊最大的存在感就是——沒有存在感。

但這件事極不平凡：

短短的疫情幾年，咱們眼睛一閉一睜沒啥變化，阿里云可是比以前（2018）大了四五倍。云上客戶系統的復雜度也翻了好幾倍。

復雜度變了，帶來一個關鍵問題：

保衛幾幢大樓和捍衛一座城池，區別不是多雇 100 個保安，多安 100 個監控的事兒。

它們用到的武器、戰法完全不同，甚至用來驅動這套保衛體系的哲學都不能相同。

正式介紹下，歐陽欣和他所在的云安全產品團隊，就是為之前提到的天空之城戍衛隊鍛造重劍的，屬于是“賽博干將莫邪”。

但這兩年他們挺犯愁的：

過去老師傅做的都是那種“獨立的劍”，也就是把“安全產品”和“云計算服務”分開，各管一攤兒。

這是很合理的傳統。就像銀行里的保安大叔和柜員姐姐，本來就是兩個工種嘛！

你不能指望柜員全是春麗，坐下辦業務，起身揍歹徒啊。。。

但隨著云計算底盤越來越大，越來越復雜，師傅們發現這種“傳統設計”。。。過于傳統了。。。

一來，安全產品要和云計算主體之間把數據傳來傳去，數據一多，浪費成本； 二來，云上用戶得在業務控制臺和安全控制臺兩頭切換，次數一多，精神分裂； 三來，不同產品各自為政，“柜員姐姐”發現疑點也不通知“保安大叔”，壞蛋鉆空子！

于是這兩年阿里云安全的老師傅們決定燥起來，主打一個：把安全產品巧妙地嵌入云計算本身的結構里。

了解這些背景，你就會明白今年包括奧運會在內的眾多客戶的云上安全戰役，其實都是檢驗老師傅“鑄劍”成果的重要考試來的。

而且我盲猜他們考得不錯，面前的歐陽欣臉上掛著一種“雖然回家要種田，但能偷浮生半日閑”的笑容。

我趕緊揪住他問：老師傅究竟搞了啥黑科技嘞？

他沉吟片刻，說起了“滾滾紅塵”。。。

阿里云安全商業化總經理歐陽欣

（四）隱入塵煙

云計算的天空之城，其中滿是“凡塵百態”。

你可能聽說過 CDN。

簡單說，如果一家網站是“購物中心”，那么 CDN 就是它的“社區分店”。顧客想買東西，每次都去購物中心就太遠了，從社區店拿貨比較近便。

“人間百態”怎么少得了反派？

這時小偷們登場了，準備從購物中心里偷東西。

商場需要安裝一套門禁裝置，里面內置了黑名單（各類小偷的模樣和特征）。普通顧客刷臉就能進，記錄在案的壞人一刷臉，門就不會開。

這套門禁裝置就叫 WAF（Web 應用防火墻）。

問題來了：

過去，門禁系統是獨立于商場部署的。每次有人去買東西的時候，商場都得把這個客戶的信息傳到門禁系統那里那過一下，傳回來這個人沒問題，再開門放行。

對于購物中心（主站）來說，這種查詢還比較近便。可對于“偏遠”的社區店（CDN）來說，數據就得來個折返跑。

顧客少的時候也湊合，顧客越多，查詢的流量就越大，越不劃算。

這張圖就是數據來回跑的尷尬。

怎么辦？

你可能會支招：讓門禁系統也在各個便利店里開上個“分店”——把 WAF 裝進每一個 CDN 里不就行了？

但是細節里有魔鬼。

比如新發現了一個犯罪團伙，他們的信息加入了黑名單。但不止要 WAF 的中心節點更新，CDN 里的 WAF “分身”也要同步才行。

CDN 本身的信息刷新是有周期的，相當于每隔半天才有一輛運貨車。

WAF 信息更新得搭著 CDN 節點內容刷新的便車一起完成。

你發現了沒，這里核心問題不是技術有多難，而是單獨 CDN 和 WAF 誰都搞不定。

兩個團隊得“聯名”設計才行。

原本云產品和云安全產品就像柜員姐姐和保安大叔那樣各忙各的，但事到如今，為了云上客戶安全的整體性，必須得合體。

兩支團隊在一起做了一些測試，嚇了一跳：合體之后竟然能節省這么大的計算力，給客戶提供那么多便利，這個事兒干晚了呀！

把黑名單直接放進“社區店”，檢查的速度就快多了。

同樣的“聯名款”，安全產品和數據庫團隊也搞了起來。

那是 2023 年的一天，歐陽欣看到了一個老哥寫的公眾號文章，心驚肉跳。

寫了啥呢？

話說，很多行業都要求對數據庫進行“安全審計”，比如敏感數據都有哪些？存在哪里？過去一段時間有誰動數據了？

但審計本來是安全團隊開發的獨立產品。數據存到數據庫的時候它管不著，客戶需要審計結果的時候，審計產品才能去數據庫里掃描一遍數據。

像醬↓↓↓

這哥們吐槽的就是這個問題：

你的審計本來可以在數據存儲的時候就做好，為啥要最后單刷一遍？

歐陽欣本來想給作者留言解釋一下這兩個產品分屬兩個團隊，但寫到一半，直接全刪了。。。

反手他就把這篇文章轉給了數據庫團隊的負責人李飛飛，問他敢不敢干票大的——把安全產品直接塞進數據庫。

之所以要壯著膽子，是因為數據庫是云計算上最精密的組件，它像人的大腦，非常柔軟脆弱，最好是放在腦殼里好好保護。（這個我在里有詳細的介紹）

可是安全團隊現在卻要在腦中植入一個“芯片”，相當于開顱手術啊！這玩意兒，數據庫團隊不僅要相信安全團隊的手術技術，還得對自己的“體質”有點信心才行吧？

壓力給到李飛飛。

多說一句，李飛飛當年回國加入阿里，是從學界跳進工業界的，鑒于很多背景類似的人水土不服，大家也多少為他捏把汗。

不過回顧李飛飛接手阿里云數據庫的操作，我覺得他的信條就是：“一切技巧在絕對實力面前都不堪一擊”。

阿里云的數據庫對新技術的采用都不拖泥帶水，在全球的友商中成了一騎絕塵的六邊形戰士。

歐陽欣以為李飛飛多少會覺得“開顱手術”冒險，沒想到李飛飛早就想好了：“做數據庫我們專業，做安全你們專業，歡迎把代碼放進數據庫！”

就這樣，兩支團隊開始兵合一處。

高手過招，只需君子協定。他們商量好：誰的孩子誰管。誰的代碼誰看，誰的代碼寫得垃圾，萬一造成事故，要出來扛責任！拉鉤上吊，不許耍賴！

技術挑戰是最好的興奮劑，兩撥師傅越戰越勇，甚至覺得僅僅把審計功能放進來都不過癮了。

反正已經把肚子劃開了，不如把能做的手術都做了。

舉個栗子，加密。

數據庫里的敏感數據幾乎都是以“列”的方式存在的，比如這一列都是身份證號或電話號。客戶為了保護他們的用戶隱私，經常需要對數據庫某些列進行加密操作。

原本這個功能也是外掛實現的：加密模塊掃描數據庫，然后統一加密。

就像這樣↓↓↓

現在，數據庫把底層架構開放給了安全團隊，加密模塊融合進來，數據落盤的時候就能直接加密。

這樣不僅去掉了重復計算，而且數據完全沒有明文存儲的那一瞬間，理論上來說安全性大大提高。

看到這你也許會吐槽：說得這么熱鬧，不就是團隊搞搞合作嘛！

如果你站在安全團隊的角度思考，這個決定相當不容易。

人都希望自己的孩子自己養，現在把安全模塊打散塞進其他產品里，就像是把孩子送到別人家，心里的難受可想而知。

不過歐陽欣告訴我：“這些事兒他們糾結過，但想通了。如果總不想麻煩，不想吃虧，最后產品原地踏步，吃虧的只有阿里云上的普通用戶。”

說到底，云上的凡人要的是“安全”，而不僅僅是安全產品。

安全產品和 CDN、數據庫的協作，只是這場轟轟烈烈變革中的幾個鏡頭。

俯瞰大地，安全就這樣被打散揉碎，隱入塵煙，隱入云計算這座入恢弘的天空之城。

上帝關上一扇門，總會打開一扇窗。

很快團隊發現：隱入云計算的“塵煙”雖要付代價，但驚喜也像盲盒一樣被接連開出來。

有些以前干不了的事情，突然能干了！

（五）把數據敲骨吸髓

格局與責任有關：

如果你是一個大廈的保安，那么只要看好房間和走廊的監控； 如果你要守衛一座城池，就得操心縱橫街道上的人流車流。

作為云計算提供商，阿里云無權也無法查看客戶傳輸的加密數據。

但作為云安全團隊必須提供這種“城市路網監控”的能力，讓客戶自己可以對網絡流量進行安全審查。

這樣一套系統，學名叫 NDR（網絡檢測響應系統）。

在網絡上布置一些“攝像頭”，聽起來好像也沒什么，就跟我們道路上的攝像頭一樣嘛。

不過在云上城池，這件事情異常復雜。因為過去幾年，阿里云做了一件大事——全面上云。其中重要的一步就是把所有的物理網絡替換成了虛擬網絡。

虛擬網絡主打一個“虛”，用戶只能看到數據的邏輯走向，實際走的哪根電纜是不一定的。這樣做的好處是，網絡永遠可以自主選擇最好最快的路徑來調度，不會因為單點故障而降速、斷網。

如果云上城池的路網是固定的，攝像頭就好布置。

現在可好，代碼一笑，生死難料，“黑客帝國”里的道路可以瞬間重構，親媽都不認識，你說這個攝像頭該怎么布置？

這種情況下，安全系統反而*不得不*深入云的基礎設施。

安全團隊需要拿到那張實時更新的“云上地圖”：

不怕網絡變化多，只要你肯跟我說。

云安全和云網絡兩支團隊把 NDR 系統和網絡負載均衡系統（GWLB）在數據層面對接。

最終效果是：

無論何時，用戶只要點一下授權， 就像對著錯綜虛空發射了一顆照明彈，賽博空間瞬間被照亮，魑魅魍魎無所遁隱。

說到這，也許你已經發現：這座云上城池雖然變幻多端，但描繪、理解、保衛它并非不可能。

歸根結底要靠——數！據！

當你擁有的數據維度更多，數據更豐富，真相就會如泉水一樣涌現。

都說數據是石油。它一直在那，不增不減，但你技術不夠，還真就沒辦法“冶煉”它。

影響數據發揮作用的大敵，其實是數據格式的不統一。

歐陽欣告訴我，就在幾年前，安全產品之間的數據也是無法打通的。因為在設計之初，它們是不需要交互的，各自定義自己的數據格式就好。

這個歷史遺留特性成了后來的“技術債”。

2023 年，安全產品團隊下功夫還債，已經把安全產品內部的數據全部連通。

即便這樣，還嫌數據不夠多。

哪里的數據最多？其實不是安全系統，而是業務系統。

還拿銀行打比方吧：

安全系統的數據就是“誰來了、誰走了、誰的行為可疑”，業務系統的數據是“誰存了多少錢、取了多少錢”。

業務數據本不是為了做安全而設計的，但中間隱匿著大真相，能為安全所用。

目前安全和業務的主要數據已經打通，相當于兩重地圖疊交曝光，斷點可以連成真相。

這就是阿里云安全的獨門絕技——云上態勢感知。

怎么個感知法呢？

舉個例子吧：

在中，我詳細講過，淘寶、天貓、閑魚等等阿里的服務，是黑產眼里的“香香礦”，每時每刻都會有無數人想盡辦法薅羊毛、賣假貨、盜信息。

而阿里巴巴當然是阿里云的最大客戶，在和敵人交戰的過程中，阿里云安全每時每刻都在好幾張地圖上積累數據。

比如各種設備、各種身份、各種 IP，還有它們之間的行為關系等等。

關系復雜到了什么程度呢？靠人力已經完全無法看懂其中的關聯。那腫么辦？還得上獨門絕技。

這就是“圖計算”。

圖計算可謂是數據分析技術皇冠上的明珠。

簡單來說，它可以同時分析萬億個邊、點的關系，追溯出一條攻擊鏈條。

頂級黑客好似武林高手，最懂得“大隱隱于市”：

一個攻擊動作雖然無法避免被記錄下來，但通常會隱匿在幾十萬個類似的正常動作中。安全調查的時候，極難把那些隱匿的動作關聯起來。

而圖計算就是這種混沌塵煙里的照妖鏡。看似不經意的操作，只要實際上相互勾連，就都可以被搜索出來。

正所謂要想人不知除非己莫為。

追溯攻擊鏈條是重要的一步，但不是全部。

更重要的是，你要在鏈條上發現黑客使用的漏洞，以及黑客現在所處的位置，及時擋住他移進一步移動的“裂縫”。

這里就是 AI 的用武之地了。

當企業的安全運營人員看到告警時，如果不明白告警的意思，就可以讓安全中心的 AI 助手來解釋一下； 發現了某個腳本，不知道是干嘛的，也可以讓助手幫忙解讀。

原來需要半個小時的研判，在 AI 的幫助下能干到一分鐘以內。

這樣就能大大提高追趕和攔截黑客的速度。

你看，在圖計算和 AI 的加持下，數據被“敲骨吸髓”。

如果沒有安全產品和云計算本身的深度融合做基礎，這一切都無法發生。

歐陽欣回憶，最近幾年在重點網絡攻防演練中，阿里云作為防守方，因為“破腚”很少，導致攻擊隊根本不計劃攻擊阿里云了。

因為就這么短的時間，打別人更容易得分，為啥要啃硬骨頭？

正所謂：善戰者無赫赫之功。

嗯，多少帶點兒凡爾賽。

（六）重劍與溫柔

2024 年的云棲大會，阿里云安全團隊宣布了一個重磅消息：

諸多云上武器對中小客戶免費開放！

比如 AK 泄露的檢測、漏洞的掃描和檢測、挖礦病毒檢測、5G 以內的 DDoS 防護，這些云上最常發生的攻擊都是“免費低保”的一部分。

不過免費還是要力所能及，真正健康可持續的生態不是拒絕收費，而是要用各種方法不斷把成本降低。

“降低成本”是云計算的看家本領。安全和云的深度融合，恰似騎上這匹白馬。

加持之一就是——資源的規模效應。

阿里云安全產品負責人祝建躍告訴我。“云上戍衛隊”有一項服務，就是幫助客戶來做“防勒索病毒服務”。

簡單來說有這么幾步：

1、把云上的重要數據進行備份，一旦遇險能夠還原。 2、在云主機上布置反勒索軟件，一旦發現勒索病毒和非正常加密活動，就采取阻斷。 3、派安全人員定期巡檢，查看最新變動的資產是否被安全系統覆蓋。

這里的第三步是成本最高的，因為要真人去巡查。

但是！如果在云上，大量客戶可以遠程共享同一個安全人員的工作，相當于一個宿管巡邏整個宿舍樓，人力成本就會大大攤薄。

“假設用戶需要花 10 塊錢來購買云上防勒索系統，現在只要再加十分之一的成本，也就是 1 塊錢，就可以購買安全運營人員幫你使用這些系統的服務。”

祝建躍說。

云還有另一大加持——超強的彈性。

當一個應用突然爆火，云上系統需要從一臺服務器到幾萬臺服務器。這就像你的飯店突然涌入很多食客，后廚從一口鍋直接增加到一萬口鍋。

云計算本身“彈”起來可能只需要幾秒鐘，但如果相應的安全保護系統沒有同步彈起來，就像綠巨人變身，衣服都撐破了，這些云上負載不就被迫處于“裸奔”狀態了嗎？

和云融合后的安全系統，二者可以同步擴容。

更重要的是，當搶購結束，安全產品也可以和云計算同時縮容量，成本瞬間消減。

凡此種種，都在讓更多云上的眾生可以一點點理解云安全的意義，接近云原生安全的方式，并有機會得到重劍的護佑。

云上城池，煙波浩渺，那些窗口密密麻麻，彼此難辨；但走到近處，一磚一瓦對于“鐵柱”來說都意義重大。

拼力守護最多數人的生活，是一群平凡人對另一群平凡人至深的溫柔。

說到這，歐陽欣想起了一件“小事”。

一個美國著名品牌經常發售限量版的運動鞋。前兩年他們剛對中國用戶開放搶購，但每次都引來大批黃牛，經常是正常消費者還沒點進去，網站已經被黃牛給擠垮了。

品牌的中國區團隊經過研判，建議試試用阿里云的 WAF 來攔截黃牛。

可他們卻受到了總部的質疑：我們美國的網絡安全產品世界第一，為啥不用？

為了打破尷尬的場面，中國區只好組織了一場“比武招親”，讓中外各家網絡安全產品都來測試，看看誰攔截得最好。

在一開始，阿里云 WAF 的表現并不驚艷，總會漏過，該攔不攔。但老師傅很快意識到，這是因為對這波專門買鞋的羊毛黨不夠熟悉導致的。

數據！此處要有數據！

老師傅和這個品牌的安全團隊深聊幾次，把針對運動鞋的羊毛黨特征數據注入 WAF，強大的數據挖掘機器開始運轉，攔截準確率起飛。

最后，無論是對羊毛黨的攔截，還是在云上伸縮的速度，還是在性價比方面，都拿了第一。美國總部看到數據，已經找不到不使用阿里云 WAF 的理由了。

這正是千萬中國產品的故事藍本，它們在國際上沒有口碑，甚至備受質疑，要想贏得勝利，只能靠絕對的實力和削尖腦袋拼殺。

祝建躍告訴我，這幾年團隊一直在努力補齊云安全產品的英文文檔。

阿里云安全的英文文檔

他們的愿望也樸素：

不僅讓國內的阿里云用戶可以熟練使用阿里云安全，也讓海外的用戶也能夠嘗嘗中國的好東西，甚至其他品牌云的使用者也有機會享受阿里云安全的護佑。

站在此地回望，云計算大概穿越了三個時代：

2009-2016，云計算的成功考驗的是對資源的管理調度。由此有了飛天和 5K。 2016-2022，云計算的成功在于對計算本質的理解，由此有了神龍和 CIPU。 2022 年至今，云計算的成功考驗的是對人深層需求的理解。由此云上才遷來了這么多平凡的用戶。

如此，我們可以更理解安全產品融入云的必然：

把安全的骨骼融化在云里，是為了把數據的價值再深榨取一滴，是為了把彈性的速度提高一級，是為了把安全產品的價格降低一點，為了云上的凡人們。

歷史時刻在提出“真問題”。但它從不明示，只是暗藏在萬千凡人的命運走向中，等待被參悟。

“為平凡人鑄重劍”，或許是云安全的一個回答。

在云上做自己

總有人會愛你

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微信：shizhongmax。

哦對了，如果喜歡文章，請別吝惜你的“在看”或“分享”。讓有趣的靈魂有機會相遇，會是一件很美好的事情。

Thx with in Beijing