龔一斌 京東云安全運營總監

　　首先一提到京東，可能很多人都會講到京東是一個電子商務公司，京東有自己的電子商務，有些人可能會講京東還有物流，用金融體系，移動金融用的比較多的可能說京東有金融，京東云它誕生的時間并不長，到現在也就是兩年多的時間，不到三年。

　　但是京東公司有一個戰略是什么呢？雖然京東起源于商城，但是無論京東商城也好，還是物流，包括我的金融體系，包括我的金融保險，我的這些所有都是上層的業務。要把這些上層的業務做好，能夠給我帶來一個更大的競爭上的優勢，云的技術是必須要解決的一個問題。所以說這也是為什么京東花了很多的力我們來建自己的京東云，我們的目標就是用技術將第一個12年建立的所有商業模式進行改造，打造一個包括智能零售、智能金融、智能保險、智能物流業務在內的全球領先的智能商業體。這是我們的一個夙愿。

　　那么要做云，我本人是做安全出身的，做了大概十幾年的時間，做云其實說，我最早接觸應該是2009年的時候，那時候可能很多客戶還對云不太了解，但是我們從對國外的一些領先的廠家也好，包括一些領先理念來看的話，做云要解決的第一個問題就是安全問題。因為云相當于什么？相當于我們把自己的資產，把自己的身家性命交給別人去代管，這種情況下，如果說作為一個服務托管商，你自身不能解決安全問題的話，你是很難讓你的客戶相信你能夠愿意把他的系統遷到云上。所以從我們第一天做云開始，我們就給自己定了一個目標，我們要打造可信任、合規、安全可靠的云。

　　那么啊具體怎么做呢？在云安全建設過程中，我們其實會分成幾大塊。

　　首先第一，剛剛邵總也講了，做云首先分兩個大目標，首先作為云平臺來講的話，我要對外提供云的服務，首先我要保證自身的安全，這是我們作為云的建設廠商所承擔的一個義務。另外一部分，我既然要給我的客戶提供上云的服務，幾年前大多數廠商還是聚焦在IaaS上，計算、存儲、網絡，這是我們應用體系建立了三大要，我們叫三大要，但是你讓他上云的時候，同時呢必須要解決他的安全和合規的問題，這時候在云自身建設的時候，要給租戶提供他相應的安全相關的服務。這是從云的角度兩大維度來說。

　　其實做云技術做了這么多年，一個最深的體會是什么？相信大家可能都有體會，技術只是安全的一部分，一個技術發展的再好，它如果用不好，其實你是無法根本解決安全問題的。我們做了這么多年，我發現很多客戶可能買了一堆的安全設備，一個一個的串糖葫蘆串在一起。

　　舉個最簡單的例子，我以前一個金融客戶，買過我們的IPS設備，裝到他的系統里，運行了兩年，兩年以后，突然有一天，我們那個一線的服務工程師來報賬了，說這個客戶找過來了，說咱這個IPS設備上網已經兩年時間了，但是咱們一條日志都沒有，說我們這個業務就這么安全，沒有人來攻擊？最后我們趕緊安排人去排查，排查完了以后，最后發現什么問題呢？大家都知道現在基本上外圍業務都是https加密化的，那么這個客戶在部署的時候，他自己沒有這個意識，他把這個IPS以串行的方式布在這個https上，所有流進IPS后的流量都是加密后的流量，大家知道傳統的IPS是基于特征去檢測的，這時候加密后的流量基本上是密文化，什么都看不到了，相當于失去作用了。但是這個設備在網上運行了兩年時間，因為大家沒有足夠的安全意識，也沒有經常性的去進行觀察，所以說也不知道這兩年到底有沒有受到攻擊？

　　所以說我們在做云的時候，我們會發現云的安全、運維安全是非常重要的一點，這個運維安全，尤其是對于我們云自身的保障，這是來保障我們云自身能夠對外提供持續不斷的服務的一個最基本的基礎。

　　另外還有從業務角度的運營安全，大家知道京東是電商出身，電商必須面臨的一個問題是什么？曬羊毛的問題，我們中國人其實很聰明，有大量的黑產是專門做這個的，通過各種曬羊毛的活動去謀取巨大的利益。其實我們在做云的時候，也是跟大量的黑產做斗爭。

　　云這個東西應該是挺特殊的，但是舉一個例子，就在前不久我們觀測到一個行為，有人大量利用我們云主機申請，因為云主機有一個帳號，有一個生命周期管理，一般在欠費之前，我們首先要保障用戶業務的可用，絕大部分云廠商它不會說欠費馬上停機，它會給客戶一個緩沖期。有些人就在這個上面做文章了，他開通了一個很小的數額，欠費以后，他不會馬上停機，還可以繼續使用，他大量賬戶去注冊的時候，就可以產生大量云計算能力的資源，它用來干什么？用來挖礦。這種時候他不斷的去排量的注冊，排量的去使用，你查到以后他再去換帳號。對于這樣，如果我們不能很好的進行監測，其實它就會消耗我們大量云的資源，進一步就會影響我其他云的一些正常業務的開展。所以說在云的運營安全上也是需要重點關注的一部分。

　　上面這些其實更多都是偏向于業務和技術，作為云來講的話，我們還有一個最基本的要求是合規，所以我們所有技術的構建，我的運營和運營保障體系的建設和我的運維保障體系的建設，都是以合規安全為前提的。所以說，其實我們也做了大量合規的相關認證工作，包括可信云、等保啊、ISO，包括一些PDISS認證，這都是我們的一些實踐。

　　今天這個論壇其實更大的主題是數據安全，前面大家也分享了很多數據安全相關的工作，作為我們云來說，云其實是一個特殊的存在，做云的人既是甲方也是乙方，大家應該能理解。首先作為云的建設方我是要承擔甲方的責任，我要保證我這個云能夠盡可能利用現有的安全基礎把它建設的比較好，安全的運營。所有我的服務提供商我又是一個乙方，這個角度我們在做數據安全的時候，首先有一個核心的理念是什么？做云一個最基本的理念就是數據主權問題，剛才前面也介紹過了。我作為云服務商，那么上云的數據、用戶的數據，我是堅決不能碰的，這是一個最基本的要求。

　　第二個安全保障，這個是什么？相當于你上云以后，我的數據沒有保障，那在云上面要給你提供一系列的安全可靠的措施，能夠確保租戶數據的隔離，比如數據的隔離性，租戶之間不能互相去訪問。第二數據的隱私性，我可以給你提供加密的手段，你可以把上云的數據通過密鑰的方式進行加密，這樣的話，保證你的數據即使被別人拿走的情況下也看不到里面的內容。

　　第三是透明可信，這個不用多說了。

　　基于這個核心理念，我們怎么落地呢？其實我們要通過幾個方面：

　　1、在人員的組織上；

　　2、制度的流程上；

　　3、在技術保障上。

　　這三個大點來去落地。

　　今天由于時間關系講得特別細也不太現實，給大家分享一下我覺得還是比較有用的。

　　剛才也說了，技術只是一個基礎，其實在整個安全的建設中，運維、人員和制度保障其實是非常重要的一點，我們通過我們的摸索，其實我們建立了一套人員組織和制度流程相關的規范。比如說在人員組織上，我們有一個最高的安全委員會，這是最高的決策層，是一級部門的主管來承擔委員的。

　　在此之下，我們有一個安全工作組，大家知道很多企業在做安全的時候，一個最大的痛點是什么？最大的痛點是安全人員和應用開發人員，還有網絡運營人員是完全隔離的不同組織，大家知道不同的組織每個人有不同的訴求，我做安全的人肯定希望盡量的去多設一些坎兒，能夠讓我的系統能夠可控。做網絡的人覺得我第一要素是要保證網絡的可用性，因為網絡不能故障，你只要是盡量能通的地方都能通上，不該通的地方斷了就行了。做應用的人來講，你網絡也好，其他也好，別影響我應用的可能性，別影響我的性能。所以說他們這幾個組織之間，天然會有一個沖突，我們怎么解決這個問題呢？

　　我們現在打破了這個安全的邊界，雖然我們有一個專業的安全運營團隊，我們更多給自己立足于服務的角色，我們服務應用開發部門，服務網絡部門，我們更多是在每一個組織部門里面建立我的一個安全官制度，每個組織，換句話說，每一個開發組織，每一個希望運維組織都有安全的接口人，這個接口人相當于我安全團隊的一個延伸。這樣的話，因為他更清楚他業務自身的情況，同時他又能夠接觸到我們核心的安全理念和我安全的一些制度和測定，通過這些觸手，真正把我們安全的一些理念也好，技術也好，和我的一些要求真正的落實到每一個小的組織和小的開發的周期里去。這是一個，我覺得還是一個我們在實踐上很有用的一個地方。

　　通過這個組織，我們就真正的打破了我們各個不同組織之間的邊界，真正的解決了這個安全問題。

　　數據生命周期其實從真正管理的技術上來講，剛才前面介紹過了，我不多說了，基本上從數據的產生、存儲、使用和銷毀這幾個階段來進行管理。但是這里面再稍微多提一點，說到數據，其實是個非常復雜的過程，剛才咱們的律師也說了，基本上很少有企業能夠把自己的家庭摸得特別清楚，在云里面更是這樣了。我們怎么來做這個數據治理呢？我們有一個核心的理念，就是我們“抓大放小”，什么叫抓大放小，就是我抓住最核心的東西，哪些是我絕對不能丟的？哪些是我絕對不能漏出去的？比如說我的帳號信息，用戶的隱私信息，包括各個體系之間的密鑰信息，這些類似于這些核心數據我們會系統性的把它梳理出來，把這些數據進行系統的監管和監控，整個數據在我的產生、流轉和使用的過程中都會進行相應的監控，那么來做這個重點的防護。

　　剛才前面給大家介紹的是我們一個體系比較寬泛的東西，真正落地的時候其實還是需要各種不同的手段來做的，比如說最基本的，我們都說了，技術保障永遠只是后端的一個東西，你要做到真正的安全，我們就要盡量的把安全的工作前移。所以說我們在整個京東云的開發過程中，我們會推行我們相應的SDR開發的體系。換句話說，在各個組件的開發過程中，從前期的設計階段、編碼階段到后面上線前漏洞的安全檢查階段，我們都會有對應的安全卡點進行強制性的檢查。換句話說，我們把安全做成了一個組成的極限，能力的極限，我們把整個安全能力賦能給各個團隊，作為工具給他使用。你在你的每個生命周期階段，你只需要使用我提供的工具，就能進行安全對應的風險的管控。盡量保證我在業務系統開發上線之前，絕大部分我們已知的安全問題已經被解決了，當然我們做安全的人大家都有一個口號，絕對沒有人敢跟他說我的系統是百分之百安全的，任何一個一定會有它隱藏的問題的。

　　這就是我們的開發流程。

　　當然這個開發流程我們會有自己的一套標準和體系，以這個體系為指導進行我整個京東云軟件生命周期的管理。

　　開發完了以后，另外一個重要的環節就是運營，運營我們有一個核心的一個要素，以前大家在做，尤其是互聯網公司，就是大家在做安全建設的時候，可能有一個最大的問題，更多的是看邊界，很多人都認為我把邊界堵住了，就很安全了，內網基本上是一鍋粥，換句話說所有的系統都放在一起，互相之間也沒有訪問的隔離，也沒有控制。

　　那我們現在有另外一個理念，這個理念也不是特別新，是零信任的理念，其實在國外，尤其是Google是最早進行實踐的。零信任是什么？我們認為這個堡壘是最容易從內部突破的，換句話說，外部也很容易突破。但是因為你對這些邊界很重視，那么你的監控、防護手段相應也比較多，相對來說它通過難度比較大，內網由于你是一片空白，從內部作案，容易度就更加簡單一些。其實有個數據，我在這里沒寫，往往在安全事件造成的損失中，往往是從內部被攻破的，造成的損失是遠遠高于被外部攻破的結果的。

　　所以說我們是以零信任為基礎，換句話說，我們要構建一套最基本的信用體系，也就是說以我所有在網絡中的元素作為主體，也就是說我的主機，我的應用，我的服務它都是里面一個個被我管控的元素。我除了在傳統的網絡邊界上進行邊界劃分和隔離控制以外，我們在互相訪問之間，我們都默認互相是不可信的。這樣的情況下，我每一次調用都要進行相應的健全，比如A和B之間有調用關系的時候，我B服務是不可能開放給所有人的，也必須進行健全。那么在披露這個健全通過以后，才能進行相關的方案。

　　這樣就帶來了一個最大的好處：

　　第一通過這個制度我們可以理清系統與組件之間的訪問關系，大家都知道這個其實在安全治理上是一個非常重要的一個環節。

　　第二通過健全我進一步加強了這個系統的抗攻擊性，換句話說，不是每一個人進到我的內網就可以訪問我的系統，你進來以后還得知道我各個組件之間的訪問關系，你還得知道這個組件之間我的健全和訪問的控制策略，你才能模擬對授信的主體去進行相關的操作。這是一個比較重要的體系。

　　基于整個風險管理、智能分析，這些都是一些手段，這些我相信在座的應該在日常的工作中用的比較多，在這兒就不強調了。

　　那么以此為基礎，其實我們剛才說了，因為我們既是甲方又是乙方，所以我們在做安全建設的時候，稍微有點區別，首先我們自己就是一個客戶，換句話說，我所有開發的安全的系統也好，安全的產品也好，首先要先服務于我京東云自身的安全，那么在這里面提到傳統的時候，有很多各種各樣的設備，比如說云wep是解決wep問題的，高防解決Devdaps攻擊服務問題的，主機安全更不用說了。因為你在網絡上你能看到的信息是有限的，所以你在做安全管理和控制的時候，終端安全基本上是不可獲缺的一環，再包括我的漏掃，我的入侵檢測，流量審計等等一堆的東西，做安全沒有說哪一個設備可以包打天下的，一定是一個解決方案，是一套怎么說呢？換句話說，更多我們是在筑城墻，就是不斷的抬高你攻擊的門檻，盡量在我的成本可控的情況下，盡量的來提升攻擊的難度，使我的系統相對安全。

　　這么一堆東西，你接到系統里以后，如果按照傳統的方式一樣一樣管理，互相之間沒有打通，其實它帶來一個最大的問題，第一運維非常困難；第二系統沒有打通，很多的高級威脅發現你是很難做的。所以說我們在建設的時候，我們會有一套基于云態勢感知的體系。這就是我個人這兩年來，我覺得做云來說，做安全做的最舒服的一個地方，因為做傳統安全廠家的時候，當你做態勢感知，你想把各個不同的系統挖通的時候，你所帶來最大的一個困難，就是你會面對千變萬化各種各樣不同廠家的設備，但是做云的時候，因為很多東西都是原生的，那么這種情況下，首先在建立的時候就定義了自己一套標準的體系，那么我有自研的產品，有合作的產品，合作產品你接入的時候，因為我的環境相對可控，就按照我的標準方式來接入。這樣的話，我就能夠天然的做到數據的集成和兼容性。

　　以態勢感知為核心，我可以把這些所有的觸手相關的數據統一起來進行統一的分析，當然了全靠人也不行，全靠人的話，大家知道每天產生的數據量是非常大的。所以在整個態勢平臺上，我們會有相關自動化分析的算法和相關數據分析的引擎，來把我大量的安全的原事件進行關聯分析以后，來進行我的加權，來真正的發現對我來說威脅最大的一些實踐和把它提取出來來進行告警和后面的閉環處置，這是一個自動化的部分。

　　當然機器相對來說，目前就我個人的經驗來看的話，它的準確率相對來說孩子做不到100%準確，所以我有剛才我說的，我們運維團隊來使用這個態勢感知平臺來進行最后的確認環節，通過這兩個技術的相連，我們能夠把這一整套安全體系運營起來。

　　這是人和技術兩個維度，那么我們怎么來閉環呢？首先我們會有一個專門的用戶的運營團隊，這個團隊它主要的責任是面向客戶來提供安全相關的服務，同時我們還有一個自己的產品開發運維團隊，這個團隊更多的職責是我基于云的這種原生的安全產品的開發和維護。那么這兩個團隊，其實在我們的組織里面是把它打通了的，換句話說，這兩個團隊之間已經沒有隔閡，在很多組織里面，其實這兩個團隊是各自獨立行事的，相對來說就會有些困難。

　　因為我產品開發團隊我更多的是利用機器、利用數據，利用自動化的方式來做事情，那么我這個運營團隊它會有更多一些人的經驗和外部信息的來源，通過這兩者的結合，我通過我的攻擊人員平臺，就能夠最終給我基于云上客戶提供一個相對來說比較穩定可靠的安全服務。

　　那么在整個服務的建設上，剛才前面是羅列了一堆的產品，我們一個原則還是圍繞著數據安全為核心來建設，所有的安全的防護手段都是圍繞著包括我們的數據加密、數據庫的安全、通信的安全、接入的安全這幾個不同的維度來做，幾個大的原則：

　　1、進不來，大家都知道盡量抬高你的門檻，這主要是我們邊界上進行相應的防護手段的建設。

　　2、看不見，也很簡單，這個原則就是什么，我核心數據都會進行加密存儲，即使你真的進來了，你把這些核心數據拿出去了以后，你只要拿不到核心的密鑰，也依然看不到數據的。

　　3、拿不走，更不用說了，在我們所有的網絡體系里面，其實我們會有一套除了威脅發現的體系，我們還會有一套整個流量監控體系，換句話說，我們會對云里面各個應用的流量進行日常應用的建模，一旦我們發現在某些特定的主機有異常的流量產生的時候，那么我們會進行及時的報警，我們相應的運維團隊就會集成的處置。

　　這是幾個大的原則。

　　除了自身用，其實京東云還可以對云以外的用戶來提供，換句話說，我們如果說自己的業務系統，我可能跑在阿里云上。

　　這一塊具體的因為時間關系，我就不多說了。

　　剛才前面講了安全涉及的東西特別多，我相信沒有任何一個廠家能夠獨立去覆蓋所有的安全領域，但是作為云，尤其是公有云的廠家來說，我認為它的一個主要職責就是替客戶解決問題，換句話說客戶可能不專業，但是我們不能不專業。所以我們要聯合一個安全的生態，給云上的客戶提供完整的一體化的解決方案。所以說我們在除了有自研的產品之外，我們還會建立一個開放合作一個共生的體系，我們會從不同的安全維度，比如網絡系統數據的應用，還有安全管理，移動安全相關的，我們會有一些合作的上跟我們合作，把這些產品納入到我京東云整個產業體系，大家登錄京東云的時候就會很容易的看到我們會有一個安全的市場，可以選用云原生的服務，也可以選用云市場里的第三方的安全產品來進行集中的管理。

　　剛才說了這么多，最終想要達到一個什么目的？大家知道其實現在企業都在進行數字化的轉型，數字化轉型對企業的管理者來說，其實提供了新的要求，以前可能一個企業的管理者更多的是技術的管理者，它只要說我保證我的技術路線能夠符合我這個企業IT的建設和業務的需求就可以。但實際上，你光是被動的跟隨，其實你已經很難滿足這個企業業務的競爭性要求了。所以很多時候我們現在更多的是通過技術來促使企業的業務產生新的變革，能給企業的業務提供新的競爭力。這就要求企業的技術管理者，由技術管理者的角色轉變為業務領導者的角色。

　　對于IT架構的改變來說，聚焦在安全上，以前傳統的基本上是安全的信息孤島，資源都是集中化建設，上線無論是采購周期、上線周期，包括后期的運維都會很困難。到第二個融合架構階段，做到的完全資源池化，其實現在目前來看，絕大部分，尤其是設備商，安全廠商在做的是這個事情，相當于我把我的安全設備能夠虛擬化了以后，以不同虛擬化的形式來提供出來。真正到云原生，我們一個理念就是安全即服務，換句話說其實云要給客戶提供的真正的是一個安全服務，而不是一堆服務。用戶的需求就是我上云以后我的業務能安全，很多，尤其是在中小型客戶，我要養一支專門的安全團隊來做相應的安全管理的時候，無論從成本上，還是人員的招聘上，各方面都是有問題的。所以說云服務商要解決的問題，就是怎么把我一系列的產品轉換成服務，真正的以最簡單的方式提供給客戶，這是我們要解決的問題。

　　那么在整個數字化轉型里面，從京東云的建設來說，我們有公有云、私有云、專有云還有混合云相關的產品。這個是傳統云的劃分。其實京東云的建設更多的是關注于上面的SaaS層面，比如說我們有對應的供應鏈云、電商云、營銷云、零售云、金融云還有園區云，大家可以非常清晰的看到，這些都是圍繞著京東自身的核心能力來建設的，這也是為什么我們會在云這一塊發力的原因，更多是通過我們自身的實踐，自身的應用，而我們這些我們認為比較成熟的，對大家能夠有建設性的東西，真正的賦能到云上，提供給用戶來使用。

　　最后，受一下京東云的愿景是什么？我們京東云的愿景是成為可托付的中國云服務首選品牌，同時放眼國際，這是我們的一個愿景，愿景很大，當然要走的路還很長，也需要廣大客戶和合作伙伴們的支持。但是我相信以京東的拼搏精神，在大家的努力之下，我認為這個目標還是可以達成的。