浅友们好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试用各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你想和我做朋友，不妨加微信（shizhongmax）。

“凡人”生死阿里云

文｜史中

（零）“平凡人”的世界 

2024 年 4 月的一个晚上，铁柱躺在床上刷手机，突然看到罗永浩在直播间带货“阿里云”。

他弹起来了，99 块租一年云主机，这便宜不占白不占！

铁柱是一个平凡的人，生在平凡的小城，上了一个平凡的破班。但他不甘平凡，业余时间学了点儿编程，最近正准备开发个小游戏试试。

铁柱摸着石头上云，没几天，就把游戏鼓捣上线了。他像上帝造完人间一样，心满意足地睡觉，梦见了狮子。

可是，世界却对这个平凡人张开了獠牙。

第二天一早，他打开电脑，看到了一条提醒——他刚在阿里云预存的几千块钱都被扣光了！

仔细看，自己的账户名下开出了好多虚拟机，里面跑着乱七八糟的程序，就像一堆虫子蚕食着自己的云资源。

铁柱的世界瞬间静音了。

他被黑客攻击了！！

铁柱赶紧清理云主机的系统。上网一查，才知道很多小白开发者都有和他一样的遭遇：

原来，调用云主机需要用到密钥，叫做 AccessKey，简称 AK——它好比进入云上房间的钥匙。

铁柱是个自学的小白开发者，没啥安全意识，为了方便就把 AK 直接给写在代码里了。

更要命的是，他还把代码传上了 GitHub。这就像是把钥匙直接插在门锁上睡觉，妥妥的夜不闭户呀。。。

铁柱坐在原地，慢慢消化着眼前的事实：未来几个月的猪脚饭长出翅膀越飞越远。

云像一座天空之城。

铁柱刚刚满怀憧憬搬到这座城池，有了自己的一间房半顷田，却因为一个低级失误，被劫匪趁夜洗劫一空。

他委屈。可城池浩渺，远到深宅大院，近至乡邻小宅，重重暮霭之后，谁愿驻足听他的呼喊呢？

欢迎来到平凡人的世界。

（一）平凡人助平凡人

铁柱的故事，是郑雅敏讲给我的。

作为阿里云业务安全团队的队长，他每天目睹这些疾苦，反而长叹“天凉好个秋”。

故事还得从 2023 年说起。

那年，为了让中小开发者体验云上开发的便利，阿里云豪横地补贴了很多优惠劵。

几十万开发者像超市大妈抢鸡蛋一样慕名而来，因为配置高，甚至有人租下服务器在上面玩《幻兽帕鲁》。

玩游戏当然不是云计算的标准打开方式，但它难掩一个汹涌的事实：云计算作为人类继水电之后的新一项基础设施已经瓜熟蒂落，正离别庙堂，飞入寻常百姓家。

小开发者通常就像铁柱一样，日常跑一两台主机，在上面维护些代码或存储企业数据；他们也像铁柱一样，没什么保护自己云上家园的安全意识。

虽然，他们人均家徒四壁——这些代码和数据的价值不大，就像咱们出去旅游拍的照片，小偷偷走也卖不掉嘛。。。

但是，别小瞧坏人的智商，他们有一万种方法犯坏。

刚才说过，用户管理自己的云计算账户的密钥，叫做 AK（AccessKey），这串字符在黑客眼里可是“财富密码”。

他把 AK 偷去，就能伪装成用户来对云上资源进行利用。

没错，都是些 LowB 的利用方法。

但这种下流的招式造成的损失是很大的。黑客利用程序批量开设主机，一天花出去几万块钱很正常。

那。。。没办法把黑客捆在树上打么？

其实这么多年，阿里云练就了一套完善的云上安全体系，机枪火炮一应俱全，可以击退魑魅魍魉。

但问题是，作为一个云上的“平凡人”，一生不识干戈，又怎么会用这些武器保护自己呢？

莫说用武器还击了，很多人就像铁柱那样直接把主密钥写死在代码里，上传 GitHub。

直接送人头，黑客不取吧。。。都对不起自己的职业操守。

郑雅敏告诉我，现在的黑客组织已经不是我想的那种手持镰刀割韭菜，而是开上了“联合收割机”：

他们创造了自动化工具，每时每刻都在对 GitHub 进行扫描。只要有人不小心把 AK 传到 Github 上，黑客分分钟就能拿到。

转眼间，黑客已经用自动化工具进入了你的云账户，帮你开好云主机，架设挖矿程序，账户里已经开始进账了。。。

平凡人从“犯错”到被“收割”，从岁月静好到堕入谷底，只是眨眼间的事情。

这是怎样一种凶险。

提问：在这些悲剧里，阿里云有什么责任呢？

最简单的回答是：没责任。云上责任有一个成熟的划分标准，用户买了云主机，阿里云把 AK 交付给用户，这个时候保护 AK 的责任就 100% 转移到了用户身上。

其实打个比方就容易理解了。

你买了一张手机卡，被骗子诈骗了，电信运营商有责任吗？

房东租给你房子，你把钥匙插在锁眼上，小偷把东西偷走了，房东有责任吗？

问题是，人生活在世界上，不是为了分清责任，而是为了更好地活着！

你想想看，租户和房东作为两个守法的好人，在正常运转的商业阵线中本是战友。一旦坏人得逞，侵犯了租户的权利，好人这一方的“共同体”就已经溃败。此时是不是房东的责任，又能怎样呢？

换句话说：如果租客出现被盗的事件，即便不是阿里云的责任，大家也会对云计算的模式产生动摇，阿里云的“让云计算成为水电一样的基础设施”的梦想，难道不是最终、最大的受害者吗？

郑雅敏和团队伙伴，哪个不是现实世界里的平凡人呢？人同此心，不能坐视不管！

平凡人助平凡人。

也正是从 2023 年开始，阿里云安全团队的同学们绞尽脑汁，为无解的问题找姐：

在普通用户连 AK 是啥都不知道的情况下，怎么才能保护他们的安全？

阿里云业务安全负责人郑雅敏（左）和亲密战友阿里云高级安全专家黄昱恺（右）

（二）天空之城戍卫队 

黑客利用自动化工具，几秒内就能从 Github 上扫描到泄露的 AK，难道老师傅有什么办法比他们丫的更快吗？

估计有人猜到了——直接找 GitHub 合作，行不行？

AK 上传代码库，第一个看到的人是谁？肯定是 GitHub 啊，理论上他们可以瞬间扫描出敏感信息泄露。只要是阿里云的，就对接过来，阿里云这边马上对这个 AK 实行限制！

整个过程也是几秒搞定！

你看，高手过招根本不给你看清楚的机会，都是电光火石分胜负。老师傅只需要比黑客快一点点，阿里云城池中的黎民百姓就被金钟罩给保住了呀！

就像酱↓↓↓

是的，老师傅先从 GitHub 得到消息，先出招两秒，就相当于“开挂”。但你黑客还别说我是挂逼，你跟 GitHub 合作一个试试？

好人坏人都可以是聪明人。但善良的人，永远有机会比恶人获得更多的帮助。

这难道不是善恶天平最重要的那颗砝码么？！

郑雅敏告诉我，这种情况下的限制，不是封禁所有权限，主要是限制它做“大动作”，例如开好多云主机，或者删改代码。

毕竟不能百分百确定它已经被坏人利用，直接封禁就“极限一换一”了，影响太大。

但即使是这样，这位客户正常的操作也会受到影响，不能就这么不管了——老师傅还得“善后”：

限制之后，第一时间要通知用户，让他赶紧换锁芯（换 AK）！

通知是个常规操作，主要是以站内信和短信的形式发出的。

但在 2024 年以前，这个通知默认用户是有专业背景的管理员，大概就是：你的 AK 泄露了，请尽快处理！

就像这样↓↓↓

（点击可以看大图）

但对于本来就不知道 AK 是啥的非专业客户，这个提醒等于——没提醒。

那咋办？

老师傅索性放下技术人的架子，把通知改成小白也能看懂的白话文。大概是：兄弟你危了！黑客可能要坑你钱删你数据，我们暂时帮你顶住，你快去看看吧！

就像这样↓↓↓

（点击可以看大图）

如果用户收到信息还是没采取行动，并且这个 AK 已经在做一些敏感动作，那就真危险了，可能是黑客动手了。

遇到这种情况，老师傅的操作是：直接干电话过去，强行喊醒客户！

只是这里有个小小小问题，黑客一般会选在后半夜动手，这时用户都睡得着着的，真是被“喊醒”的，难免会有起床气。

迷迷糊糊没听明白的用户，甚至会投诉客服。。。

阿里云云安全的老师傅们在 2024 年 8 月上线了电话提醒，结果安全事件少了，可投诉量上去了。。。

投诉可是 KPI 毒药啊，老师傅那可怜的绩效岌岌可危，也是压力山大。

有同学建议，要不咱们先暂停了电话提醒，别跟奖金过不去啊。郑雅敏脑海里出现了各种英雄人物，还是让大家刚住：“要是现在退缩，就他娘的前功尽弃了！”

当然，只这么硬刚也不是长久之计。

老师傅们知道，客户感觉不好，肯定还有自己的责任：

一来，事发之前他们没有受过系统的安全教育，不知道 AK 泄露意味着什么，事发时也就不理解老师傅的苦心嘛。

二来，整套云产品的设计不够傻瓜，没有一个好工具来帮他们保护自己的 AK。泄露了再补救，哪个能开心？

老师傅决定再往前走两步。

他们先上线了一个“安全用云”专区，给大家科普 AK 是啥，还给大家讲怎么设置子账号，给子账号分配“最小权限”，这样哪怕泄露了，风险也是收敛的。

做好学习专区，马上给大家发站内信，招呼大家都过来看。

为了让大伙儿有动力学习，他们还把这些核心信息设计成了海报，用抽奖的方法鼓励公司的 IT 管理员打印出来，贴在办公室墙上。

这样一个人知道了，大家就都知道了。

也是相当苦口婆心了。。。

这是大家贴在自己办公室里的亚子。。。

至于工具，那是老师傅的专长了。他们使用了一个叫做 KMS 的密码轮盘。

你见过大学男生宿舍，四年都不换床单的状态么？这个“密码轮盘”就相当于自动帮男生换床单的意思。

简单来说就是，轮盘里存了一堆 AK，你懒你的，它自动帮你轮换。

这样的话，万一哪个 AK “天机泄露”了，没关系，黑客利用的时候，天机已经不是天机了。

你看到了没，作为云计算的底座，要想保护小白租户的安全，其实有很多事情可以做。说白了就是：

把小白用户当做自己的小老弟认真对待。

郑雅敏告诉我，他们给这种关系起了个高级名字，叫“安全共同体”。

大庇天下寒士，小白不会永远是小白。时光流逝，铁柱也许会成为大佬，把云上的一亩地变成唐顿庄园。

如果那一天真的到来，他也需要自己拿起武器，守卫家园。

有人要为他铸剑。

（三）铸剑师 

我见到欧阳欣的时候，他刚刚从巴黎奥运会回来。

他是中国队的一员悍将，但奖牌榜上没他。因为他不在“中国运动员队”，而在“中国老师傅队”。

说起来，他所在的阿里云也是奥运会的“老选手”了，从 2018 年起，已经给两届冬奥会和两届夏奥会输出了数字基础设施，全世界观众看到的画面，很多都是由中国云计算底座转播出去的。

但今年事情有些变化。。。

第一、姿势变稳了：云计算转播量达到三分之二，一举超越卫星转播，成为全世界观众观看奥运会的主流方式，真真赛博基建。

第二、坏人变狠了：全世界的黑客、黑产、黑恶势力们，也不知道从哪儿齐齐地冒出来，用最新的手法疯狂攻击奥组委的云计算设施。

魍魉作祟，大圣西征。

阿里云的“戍卫队”在埃菲尔铁塔下面摆开阵势跟全世界黑客杀了个痛快。

这恐怕是最喧嚣的战争地图：

在赛博世界，阿里云产品线的每一个组件都能成为攻击目标；

在物理世界，阿里云全世界的每一个机房也都能成为攻击目标。

不过接下来的故事可能会让爱看热闹的你失望：

阿里云的诸多技术大牛都去巴黎坐镇，但后来发现，他们真就是“坐”镇。

告警虽如弹雨一样袭来，但云上戍卫队用机枪火炮一顿反击，最后没什么黑客攻进来，也就没什么真正的损失产生。

奥运会转播接着奏乐接着舞。正所谓：安全团队最大的存在感就是——没有存在感。

但这件事极不平凡：

短短的疫情几年，咱们眼睛一闭一睁没啥变化，阿里云可是比以前（2018）大了四五倍。云上客户系统的复杂度也翻了好几倍。

复杂度变了，带来一个关键问题：

保卫几幢大楼和捍卫一座城池，区别不是多雇 100 个保安，多安 100 个监控的事儿。

它们用到的武器、战法完全不同，甚至用来驱动这套保卫体系的哲学都不能相同。

正式介绍下，欧阳欣和他所在的云安全产品团队，就是为之前提到的天空之城戍卫队锻造重剑的，属于是“赛博干将莫邪”。

但这两年他们挺犯愁的：

过去老师傅做的都是那种“独立的剑”，也就是把“安全产品”和“云计算服务”分开，各管一摊儿。

这是很合理的传统。就像银行里的保安大叔和柜员姐姐，本来就是两个工种嘛！

你不能指望柜员全是春丽，坐下办业务，起身揍歹徒啊。。。

但随着云计算底盘越来越大，越来越复杂，师傅们发现这种“传统设计”。。。过于传统了。。。

一来，安全产品要和云计算主体之间把数据传来传去，数据一多，浪费成本；

二来，云上用户得在业务控制台和安全控制台两头切换，次数一多，精神分裂；

三来，不同产品各自为政，“柜员姐姐”发现疑点也不通知“保安大叔”，坏蛋钻空子！

于是这两年阿里云安全的老师傅们决定燥起来，主打一个：把安全产品巧妙地嵌入云计算本身的结构里。

了解这些背景，你就会明白今年包括奥运会在内的众多客户的云上安全战役，其实都是检验老师傅“铸剑”成果的重要考试来的。

而且我盲猜他们考得不错，面前的欧阳欣脸上挂着一种“虽然回家要种田，但能偷浮生半日闲”的笑容。

我赶紧揪住他问：老师傅究竟搞了啥黑科技嘞？

他沉吟片刻，说起了“滚滚红尘”。。。

阿里云安全商业化总经理欧阳欣

（四）隐入尘烟 

云计算的天空之城，其中满是“凡尘百态”。

你可能听说过 CDN。

简单说，如果一家网站是“购物中心”，那么 CDN 就是它的“社区分店”。顾客想买东西，每次都去购物中心就太远了，从社区店拿货比较近便。

“人间百态”怎么少得了反派？

这时小偷们登场了，准备从购物中心里偷东西。

商场需要安装一套门禁装置，里面内置了黑名单（各类小偷的模样和特征）。普通顾客刷脸就能进，记录在案的坏人一刷脸，门就不会开。

这套门禁装置就叫 WAF（Web 应用防火墙）。

问题来了：

过去，门禁系统是独立于商场部署的。每次有人去买东西的时候，商场都得把这个客户的信息传到门禁系统那里那过一下，传回来这个人没问题，再开门放行。

对于购物中心（主站）来说，这种查询还比较近便。可对于“偏远”的社区店（CDN）来说，数据就得来个折返跑。

顾客少的时候也凑合，顾客越多，查询的流量就越大，越不划算。

这张图就是数据来回跑的尴尬。

怎么办？

你可能会支招：让门禁系统也在各个便利店里开上个“分店”——把 WAF 装进每一个 CDN 里不就行了？

但是细节里有魔鬼。

比如新发现了一个犯罪团伙，他们的信息加入了黑名单。但不止要 WAF 的中心节点更新，CDN 里的 WAF “分身”也要同步才行。

CDN 本身的信息刷新是有周期的，相当于每隔半天才有一辆运货车。

WAF 信息更新得搭着 CDN 节点内容刷新的便车一起完成。

你发现了没，这里核心问题不是技术有多难，而是单独 CDN 和 WAF 谁都搞不定。

两个团队得“联名”设计才行。

原本云产品和云安全产品就像柜员姐姐和保安大叔那样各忙各的，但事到如今，为了云上客户安全的整体性，必须得合体。

两支团队在一起做了一些测试，吓了一跳：合体之后竟然能节省这么大的计算力，给客户提供那么多便利，这个事儿干晚了呀！

把黑名单直接放进“社区店”，检查的速度就快多了。

同样的“联名款”，安全产品和数据库团队也搞了起来。

那是 2023 年的一天，欧阳欣看到了一个老哥写的公众号文章，心惊肉跳。

写了啥呢？

话说，很多行业都要求对数据库进行“安全审计”，比如敏感数据都有哪些？存在哪里？过去一段时间有谁动数据了？

但审计本来是安全团队开发的独立产品。数据存到数据库的时候它管不着，客户需要审计结果的时候，审计产品才能去数据库里扫描一遍数据。

像酱↓↓↓

这哥们吐槽的就是这个问题：

你的审计本来可以在数据存储的时候就做好，为啥要最后单刷一遍？

欧阳欣本来想给作者留言解释一下这两个产品分属两个团队，但写到一半，直接全删了。。。

反手他就把这篇文章转给了数据库团队的负责人李飞飞，问他敢不敢干票大的——把安全产品直接塞进数据库。

之所以要壮着胆子，是因为数据库是云计算上最精密的组件，它像人的大脑，非常柔软脆弱，最好是放在脑壳里好好保护。（这个我在《阿里巴巴数据库侠客》里有详细的介绍）

可是安全团队现在却要在脑中植入一个“芯片”，相当于开颅手术啊！这玩意儿，数据库团队不仅要相信安全团队的手术技术，还得对自己的“体质”有点信心才行吧？

压力给到李飞飞。

多说一句，李飞飞当年回国加入阿里，是从学界跳进工业界的，鉴于很多背景类似的人水土不服，大家也多少为他捏把汗。

不过回顾李飞飞接手阿里云数据库的操作，我觉得他的信条就是：“一切技巧在绝对实力面前都不堪一击”。

阿里云的数据库对新技术的采用都不拖泥带水，在全球的友商中成了一骑绝尘的六边形战士。

欧阳欣以为李飞飞多少会觉得“开颅手术”冒险，没想到李飞飞早就想好了：“做数据库我们专业，做安全你们专业，欢迎把代码放进数据库！”

就这样，两支团队开始兵合一处。

高手过招，只需君子协定。他们商量好：谁的孩子谁管。谁的代码谁看，谁的代码写得垃圾，万一造成事故，要出来扛责任！拉钩上吊，不许耍赖！

技术挑战是最好的兴奋剂，两拨师傅越战越勇，甚至觉得仅仅把审计功能放进来都不过瘾了。

反正已经把肚子划开了，不如把能做的手术都做了。

举个栗子，加密。

数据库里的敏感数据几乎都是以“列”的方式存在的，比如这一列都是身份证号或电话号。客户为了保护他们的用户隐私，经常需要对数据库某些列进行加密操作。

原本这个功能也是外挂实现的：加密模块扫描数据库，然后统一加密。

就像这样↓↓↓

现在，数据库把底层架构开放给了安全团队，加密模块融合进来，数据落盘的时候就能直接加密。

这样不仅去掉了重复计算，而且数据完全没有明文存储的那一瞬间，理论上来说安全性大大提高。

看到这你也许会吐槽：说得这么热闹，不就是团队搞搞合作嘛！

如果你站在安全团队的角度思考，这个决定相当不容易。

人都希望自己的孩子自己养，现在把安全模块打散塞进其他产品里，就像是把孩子送到别人家，心里的难受可想而知。

不过欧阳欣告诉我：“这些事儿他们纠结过，但想通了。如果总不想麻烦，不想吃亏，最后产品原地踏步，吃亏的只有阿里云上的普通用户。”

说到底，云上的凡人要的是“安全”，而不仅仅是安全产品。

安全产品和 CDN、数据库的协作，只是这场轰轰烈烈变革中的几个镜头。

俯瞰大地，安全就这样被打散揉碎，隐入尘烟，隐入云计算这座入恢弘的天空之城。

上帝关上一扇门，总会打开一扇窗。

很快团队发现：隐入云计算的“尘烟”虽要付代价，但惊喜也像盲盒一样被接连开出来。

有些以前干不了的事情，突然能干了！

（五）把数据敲骨吸髓 

格局与责任有关：

如果你是一个大厦的保安，那么只要看好房间和走廊的监控；

如果你要守卫一座城池，就得操心纵横街道上的人流车流。

作为云计算提供商，阿里云无权也无法查看客户传输的加密数据。

但作为云安全团队必须提供这种“城市路网监控”的能力，让客户自己可以对网络流量进行安全审查。

这样一套系统，学名叫 NDR（网络检测响应系统）。

在网络上布置一些“摄像头”，听起来好像也没什么，就跟我们道路上的摄像头一样嘛。

不过在云上城池，这件事情异常复杂。因为过去几年，阿里云做了一件大事——全面上云。其中重要的一步就是把所有的物理网络替换成了虚拟网络。

虚拟网络主打一个“虚”，用户只能看到数据的逻辑走向，实际走的哪根电缆是不一定的。这样做的好处是，网络永远可以自主选择最好最快的路径来调度，不会因为单点故障而降速、断网。

如果云上城池的路网是固定的，摄像头就好布置。

现在可好，代码一笑，生死难料，“黑客帝国”里的道路可以瞬间重构，亲妈都不认识，你说这个摄像头该怎么布置？

这种情况下，安全系统反而*不得不*深入云的基础设施。

安全团队需要拿到那张实时更新的“云上地图”：

不怕网络变化多，只要你肯跟我说。

云安全和云网络两支团队把 NDR 系统和网络负载均衡系统（GWLB）在数据层面对接。

最终效果是：

无论何时，用户只要点一下授权， 就像对着错综虚空发射了一颗照明弹，赛博空间瞬间被照亮，魑魅魍魉无所遁隐。

说到这，也许你已经发现：这座云上城池虽然变幻多端，但描绘、理解、保卫它并非不可能。

归根结底要靠——数！据！

当你拥有的数据维度更多，数据更丰富，真相就会如泉水一样涌现。

都说数据是石油。它一直在那，不增不减，但你技术不够，还真就没办法“冶炼”它。

影响数据发挥作用的大敌，其实是数据格式的不统一。

欧阳欣告诉我，就在几年前，安全产品之间的数据也是无法打通的。因为在设计之初，它们是不需要交互的，各自定义自己的数据格式就好。

这个历史遗留特性成了后来的“技术债”。

2023 年，安全产品团队下功夫还债，已经把安全产品内部的数据全部连通。

即便这样，还嫌数据不够多。

哪里的数据最多？其实不是安全系统，而是业务系统。

还拿银行打比方吧：

安全系统的数据就是“谁来了、谁走了、谁的行为可疑”，业务系统的数据是“谁存了多少钱、取了多少钱”。

业务数据本不是为了做安全而设计的，但中间隐匿着大真相，能为安全所用。

目前安全和业务的主要数据已经打通，相当于两重地图叠交曝光，断点可以连成真相。

这就是阿里云安全的独门绝技——云上态势感知。

怎么个感知法呢？

举个例子吧：

在《阿里巴巴是座城》中，我详细讲过，淘宝、天猫、闲鱼等等阿里的服务，是黑产眼里的“香香矿”，每时每刻都会有无数人想尽办法薅羊毛、卖假货、盗信息。

《阿里巴巴是座城》

而阿里巴巴当然是阿里云的最大客户，在和敌人交战的过程中，阿里云安全每时每刻都在好几张地图上积累数据。

比如各种设备、各种身份、各种 IP，还有它们之间的行为关系等等。

关系复杂到了什么程度呢？靠人力已经完全无法看懂其中的关联。那肿么办？还得上独门绝技。

这就是“图计算”。

图计算可谓是数据分析技术皇冠上的明珠。

简单来说，它可以同时分析万亿个边、点的关系，追溯出一条攻击链条。

顶级黑客好似武林高手，最懂得“大隐隐于市”：

一个攻击动作虽然无法避免被记录下来，但通常会隐匿在几十万个类似的正常动作中。安全调查的时候，极难把那些隐匿的动作关联起来。

而图计算就是这种混沌尘烟里的照妖镜。看似不经意的操作，只要实际上相互勾连，就都可以被搜索出来。

正所谓要想人不知除非己莫为。

追溯攻击链条是重要的一步，但不是全部。

更重要的是，你要在链条上发现黑客使用的漏洞，以及黑客现在所处的位置，及时挡住他移进一步移动的“裂缝”。

这里就是 AI 的用武之地了。

当企业的安全运营人员看到告警时，如果不明白告警的意思，就可以让安全中心的 AI 助手来解释一下；

发现了某个脚本，不知道是干嘛的，也可以让助手帮忙解读。

原来需要半个小时的研判，在 AI 的帮助下能干到一分钟以内。

这样就能大大提高追赶和拦截黑客的速度。

你看，在图计算和 AI 的加持下，数据被“敲骨吸髓”。

如果没有安全产品和云计算本身的深度融合做基础，这一切都无法发生。

欧阳欣回忆，最近几年在重点网络攻防演练中，阿里云作为防守方，因为“破腚”很少，导致攻击队根本不计划攻击阿里云了。

因为就这么短的时间，打别人更容易得分，为啥要啃硬骨头？

正所谓：善战者无赫赫之功。

嗯，多少带点儿凡尔赛。

（六）重剑与温柔 

2024 年的云栖大会，阿里云安全团队宣布了一个重磅消息：

诸多云上武器对中小客户免费开放！

比如 AK 泄露的检测、漏洞的扫描和检测、挖矿病毒检测、5G 以内的 DDoS 防护，这些云上最常发生的攻击都是“免费低保”的一部分。

不过免费还是要力所能及，真正健康可持续的生态不是拒绝收费，而是要用各种方法不断把成本降低。

“降低成本”是云计算的看家本领。安全和云的深度融合，恰似骑上这匹白马。

加持之一就是——资源的规模效应。

阿里云安全产品负责人祝建跃告诉我。“云上戍卫队”有一项服务，就是帮助客户来做“防勒索病毒服务”。

简单来说有这么几步：

1、把云上的重要数据进行备份，一旦遇险能够还原。

2、在云主机上布置反勒索软件，一旦发现勒索病毒和非正常加密活动，就采取阻断。

3、派安全人员定期巡检，查看最新变动的资产是否被安全系统覆盖。

这里的第三步是成本最高的，因为要真人去巡查。

但是！如果在云上，大量客户可以远程共享同一个安全人员的工作，相当于一个宿管巡逻整个宿舍楼，人力成本就会大大摊薄。

“假设用户需要花 10 块钱来购买云上防勒索系统，现在只要再加十分之一的成本，也就是 1 块钱，就可以购买安全运营人员帮你使用这些系统的服务。”

祝建跃说。

云还有另一大加持——超强的弹性。

当一个应用突然爆火，云上系统需要从一台服务器到几万台服务器。这就像你的饭店突然涌入很多食客，后厨从一口锅直接增加到一万口锅。

云计算本身“弹”起来可能只需要几秒钟，但如果相应的安全保护系统没有同步弹起来，就像绿巨人变身，衣服都撑破了，这些云上负载不就被迫处于“裸奔”状态了吗？

和云融合后的安全系统，二者可以同步扩容。

更重要的是，当抢购结束，安全产品也可以和云计算同时缩容量，成本瞬间消减。

凡此种种，都在让更多云上的众生可以一点点理解云安全的意义，接近云原生安全的方式，并有机会得到重剑的护佑。

云上城池，烟波浩渺，那些窗口密密麻麻，彼此难辨；但走到近处，一砖一瓦对于“铁柱”来说都意义重大。

拼力守护最多数人的生活，是一群平凡人对另一群平凡人至深的温柔。

说到这，欧阳欣想起了一件“小事”。

一个美国著名品牌经常发售限量版的运动鞋。前两年他们刚对中国用户开放抢购，但每次都引来大批黄牛，经常是正常消费者还没点进去，网站已经被黄牛给挤垮了。

品牌的中国区团队经过研判，建议试试用阿里云的 WAF 来拦截黄牛。

可他们却受到了总部的质疑：我们美国的网络安全产品世界第一，为啥不用？

为了打破尴尬的场面，中国区只好组织了一场“比武招亲”，让中外各家网络安全产品都来测试，看看谁拦截得最好。

在一开始，阿里云 WAF 的表现并不惊艳，总会漏过，该拦不拦。但老师傅很快意识到，这是因为对这波专门买鞋的羊毛党不够熟悉导致的。

数据！此处要有数据！

老师傅和这个品牌的安全团队深聊几次，把针对运动鞋的羊毛党特征数据注入 WAF，强大的数据挖掘机器开始运转，拦截准确率起飞。

最后，无论是对羊毛党的拦截，还是在云上伸缩的速度，还是在性价比方面，都拿了第一。美国总部看到数据，已经找不到不使用阿里云 WAF 的理由了。

这正是千万中国产品的故事蓝本，它们在国际上没有口碑，甚至备受质疑，要想赢得胜利，只能靠绝对的实力和削尖脑袋拼杀。

祝建跃告诉我，这几年团队一直在努力补齐云安全产品的英文文档。

阿里云安全的英文文档

他们的愿望也朴素：

不仅让国内的阿里云用户可以熟练使用阿里云安全，也让海外的用户也能够尝尝中国的好东西，甚至其他品牌云的使用者也有机会享受阿里云安全的护佑。

站在此地回望，云计算大概穿越了三个时代：

2009-2016，云计算的成功考验的是对资源的管理调度。由此有了飞天和 5K。

2016-2022，云计算的成功在于对计算本质的理解，由此有了神龙和 CIPU。

2022 年至今，云计算的成功考验的是对人深层需求的理解。由此云上才迁来了这么多平凡的用户。

如此，我们可以更理解安全产品融入云的必然：

把安全的骨骼融化在云里，是为了把数据的价值再深榨取一滴，是为了把弹性的速度提高一级，是为了把安全产品的价格降低一点，为了云上的凡人们。

历史时刻在提出“真问题”。但它从不明示，只是暗藏在万千凡人的命运走向中，等待被参悟。

“为平凡人铸重剑”，或许是云安全的一个回答。