从1956年“虚拟化”概念第一次被提出到现在，半个世纪里，云计算以雷霆万钧之势迈入了历史洪流中。现如今，产业数字化仍方兴未艾，智能化时代的大幕已徐徐拉开，云计算的浪潮再一次涌动起来。

而支撑云上一切创新、应用、业务的基石，就是安全。

近日消息，全球权威研究机构Forrester日前发布了2023第二季度《基础设施即服务平台原生安全Wave™》，阿里云凭借技术实力和策略前瞻性，首次进入强劲表现者象限，云平台在数据中心、容器安全和合作伙伴生态系统标准中均获得了最高分。

不同于传统安全的碎片化，云安全是一个从下至上的工程化体系建设，依赖于精细的设计和巧妙的逻辑嵌套，从底层的基础设施，到虚拟化层的资源调度，平台侧的身份、网络、合规，再到上层的数据、负载、配置安全，均需提供给企业可信的运行环境。

自2009年阿里云诞生的那天起，安全便已伴其左右，经过十余年的发展探索，为云上客户提供从基础设施层到业务层的全栈安全防护：

多租户模式设计的基础设施

作为企业数据中心的延伸，稳定，是一切云服务的基础，也是追求的终极目标之一。

一方面，稳定依赖于物理性安全。阿里云已面向全球开服运营了公共云地域、86个可用区，超过100+数据中心，通过大体量服务器集群为客户业务提供强力支持；同时，每个物理中心从分区设计、安全设备、安防人员，到内部管控、权限控制、维护保障，均处于多层安全防护中。

另一方面，云上资源磁化所需求的是一套完全不同的，适应多租户、分布式部署的底层架构。其核心包括两点，一是云上服务需被多方共用，二是租户之间的逻辑隔离，在保障客户业务空间独立性的同时，提升基础资源的利用效率。

1.为多租户模式设计的基础设施

单机隔离能力是企业上云的前提，解决的是资源瞬时的隔离能力和优先级能力，阿里云已实现：

计算隔离
阿里云平台使用的虚拟化环境，将用户实例作为独立虚拟机运行，并通过物理处理器权限级别强制执行此隔离。

网络多租户隔离
通过网络虚拟化（Overlay）技术方案，通过VxLAN技术对云网络进行编址实现路由层面的隔离。阿里云向云上客户提供VPC产品，基于隧道技术来实现，不同用户的流量都只在各自的隧道里面流动，默认不互通，即客户在云上有了一个自己私有隔离的网络环境，并拥有了自身的网络管理能力。
存储隔离
通过分库方案、分表方案、租户唯一标识等手段，实现租户数据的私密性、隔离性；
业务隔离
是用户可以直接感知到的隔离，核心点是做好权限管控。阿里云多租户系统的权限控制基于RBAC模式进行设计，即用户、角色、权限和资源的绑定，服务负责人可以使用访问控制管理功能，精确限制哪些服务可以访问和通信；

同时，阿里云会在应用层通过租户标识来区分不同租户的数据，每一个租户都拥有一个唯一标识符，从而实现数据调用的隔离。

2.资源调度

阿里云的资源调度系统可谓是云计算的大脑，负责在众多集群内的机器里，选择一台最合适的，以最佳的资源使用姿势，做到最少的相互干扰来运行用户提交的计算作业。

调度系统决定着基础设施的利用率和整体运作成本。

2021年，阿里云将发展了十多年的双调度系统重构为基于ACK的“统一调度系统”，新框架基于阿里云容器服务 Kubernetes 版（简称容器服务 ACK），通过一套调度协议、一套系统架构，统一管理底层的计算、存储、网络资源。ACK 本身提供了一个全托管的 Kubernetes 集群的调度能力，对于 IaaS 层不同类型的计算、存储、网络等能力都可以统一调度，运行业务规模达到数千万级别，是云服务稳定性的另一层保障。

（阿里云伏羲系统资源划分逻辑）

依云构建的原生化安全

云上独特的架构，也决定着安全的形态必然与基础设施紧密结合，与云产品深度绑定，以基因式的内生化逻辑，借助于多样化的安全数据与海量的安全算力，为客户提供智能化、原生化、集成化的云上安全。

云安全架构的构建，依赖于连接云上所有资源的身份体系。在零信任动态体系逐渐普及的当下，云上数据、流量的访问、管理都离不开以身份为基石的访问控制和权限验证。在CSA 2022年发布的《Top Threats to Cloud Computing》报告中，云上风险TOP 1为：
不完善的身份体系、凭证、

访问和密钥管理、特权账号

Insufficient Identity、Credentical、

Access and Key Management、

Privileged Accounts

一套完整的云上账户体系应该能保障客户的设备、应用、工作负载、数据等资产被正确的访问，帮助客户在各类情况下，通过多源上下文信息对每一个访问行为进行信任评估，动态授予相应权限，并且通过多因素身份认证（MFA）、用户行为分析（UEBA）等高强度认证手段，最大程度避免凭据盗用、横向移动等安全威胁。

阿里云RAM控制系统，原生接入云上各类服务、资源体系，并且对于多账号、多用户等场景，也可实现权限分离和统一管理，实现云上身份体系的快速构建。

而身份所连接的资源，大多基于云上网络、计算、存储三大件而构建：负载、流量、数据。

01.敏捷开发下的工作负载保护

不同于线下“瀑布式”开发流程，云的高弹性、高算力使CI/CD、DevOps等快速开发方式成为可能，以容器为核心的虚拟负载的存活时间可能只有秒级，阿里云所提供的DADI引擎可实现秒级启动上万个容器，而与原生平台天然一体的底座优势，让对容器资产的感知和保护成为可能。

容器资产感知：与平台底座结合的检测，提供“集群-容器-应用”3层递进式网络拓扑可视图，了解容器间的网络拓扑、内部的应用详情，真正做到容器资产实时感知、全局呈现；

容器镜像安全：与容器镜像服务ACR原生集成，实现快速接入，覆盖镜像构建阶段、启动阶段、运行阶段，镜像仓库，实现漏洞扫描、恶意镜像检测、基线扫描等能力；

容器运行时防护：通过容器防火墙功能，支持多维度、灵活的网络隔离策略，可视化展示集群流量走向，极大降低横向攻击风险。

02.融入网络节点的流量防护

分布式部署、虚拟化互通的云上网络，早已打破了传统的“边界”概念，不同于线下常见的南北向流量，云上更多的是在VPC、虚拟机、容器之间流动的东西向流量，其安全需要更细粒度的流量可视化和过滤，这依赖于和网络架构深度融合的安全：

云Web应用防火墙已经完成了和ALB负载均衡、MSE等云产品的插件集成，一键接入即可实现防御；

云防火墙与云网络CEN TR深度集成，实现东西向流量一键自动引流，自定义分配防火墙网段并自动同步新增；
云DDoS接入了阿里云专属SCDN网络，每个节点均拥有百万级QPS的防护能力，并提供独享IP段，隔离风险；

依托云基础设施而构建的流量型产品也实现了安全能力的原子化，根据不同场景、用户群体或特殊要求，共享安全数据并且持续、动态编排安全原子能力，组合成匹配业务逻辑和管理流程的安全功能。

03.覆盖生命周期的数据安全

云上的数据防护是一个体系化工程，围绕着数据全生命周期，阿里云提供数据识别、分类分级、数据加密、数据脱敏、传输加密、KMS管控等多样化安全能力，保护客户云上数据生命线。

企业需关注数据在云上的全生命周期流程，在不同阶段匹配对应的安全产品：

对所有数据进行扫描、分类，并对识别出的敏感数据进行打标；
对核心的敏感数据进行保护，并对其传输过程进行加密；
建立完善的数据访问权限体系，依照最小权限原则并开启多因素认证；
对于更高密级的数据传输，采用机密计算、同态加密等技术保护其安全；

04.融入云产品的配置管理

和防守思路不同，攻击者会想方设法绕过“马其顿防线”，从某个意向不到的关联路径入侵。在云上，过度开放的端口、核心账户弱密码、过度授权等等错误配置正在成为攻击者的入口，这是一场需要和全线云产品共同联防的持久战。

依赖于云上统一的技术底座和Open API接口，云安全中心所提供的CSPM（云安全配置管理）能力，已全面接入数十款云上产品，提供16大类检查类别、100+检查项，覆盖20+款云产品，对云客户的基础设施、合规性配置进行持续性的评估和改进，并在去年新增身份配置管理CIEM，整体身份管理系统IDaaS、资源管理系统RAM，帮助企业管理云访问风险账户中的异常情况，是原生安全建设不可或缺的一环。