雲原生安全助力在線教育三分鐘搞定安全防禦

導語

這個假期，一場不期而遇的疫情讓遠程教學成爲新常態。在線學習成爲全國各地老師和學生們的統一方式。據交銀國際研究部數據顯示，疫情期間，在線教育企業加速獲客，春節後日活躍用戶數較春節期間增加5000萬，用戶活躍度達到50%至80%。對比2019年，疫情期間用戶活躍度高10倍。2019年在線教育獲客成本每一個用戶500元，本次疫情至關於提早獲取了將來2年的用戶量。但與之同時，惡性的商業競爭帶來的嚴峻挑戰和許多在線教育平臺自身的安全準備不足也在這一個多月的時間內體現的淋淋盡致。

兩則故事

業務遍及海內外的 A教育集團，在響應教育局「停課不停教不停學」的第一天，就因爲大量「殭屍肉雞」惡意衝擊教學直播平臺，致使業務癱瘓，大量用戶沒法正常訪問。

B在線教育機構的核心數據遭遇大規模泄露，致使報名參加B在線教育機構試聽活動的家長，都收到了C公司發來的營銷短信和電話，很多客源被以更低價挖走，並且因爲數據泄露，B機構遭到了諸多家長投訴。

安全挑戰升級

抗擊疫情使得全國師生開始選擇線上方式開展教與學，讓在線教育行業迅速成爲全社會關注的熱點，其面臨的安全挑戰也同步升級。

在線教育機構成爲黑客重點攻擊目標。黑客具備逐利屬性，哪裏有利益就往哪裏去。當全社會都開始重視在線教育，海量高質量數據涌入在線教育機構時，黑客也會將重點攻擊目標轉向在線教育機構。常見的攻擊手段如經過發起DDoS攻擊致使業務癱瘓，從而進行鉅額勒索，植入挖礦病毒致使企業即便已經作了系統擴容後仍遇到業務卡頓現象，數據泄露致使業務發展規劃被竊取、經營負面信息被披露、客戶被競對挖走等後果，更有甚者，惡意競爭者會經過惡意修改網站代碼等方式，投放不良廣告、暗鏈、惡意文件等等，致使企業聲譽受損。

法律法規要求更加嚴格。2019年12月1日起等保2.0制度開始正式實施，之前不過等保屬於違規，隨着《中華人民共和國網絡安全法》的施行，不過等保屬於違法。教育部反覆強調「深刻貫徹落實《網絡安全法》，根據落實網絡安全等級保護制度的要求，進一步完善相關管理制度和標準規範。」更是屢屢發文要求作好安全建設。教育企業及機構進行信息安全建設已經成爲了「必須項」。

安全建設現狀

此次疫情將在線教育行業推向了歷史浪潮的前鋒，這讓諸多企業機構的安全建設面臨史無前例的考驗。主要表如今如下幾方面：

核心數據在互聯網「裸奔」。在線教育通常是經過網站或APP提供服務的，而大多數企業卻缺少有效的網站漏洞發現機制與入侵防護手段保障系統不被黑客入侵。諸多企業可能早已漏洞百出卻渾然不知，致使核心數據資產暴露於互聯網、成百上千Web漏洞能夠被輕易利用、數據已經被竊取卻並絕不知情。

業務系統設計缺陷卻無從着手。許多在線教育機構業務系統設計存在缺陷，能夠輕易獲取服務器權限。而對於大多數教育機構而言，因爲沒有專職的安全團隊且不知如何全面檢查系統漏洞和安全設計缺陷，他們每每難以有效抵禦黑客攻擊。

攻擊頻發卻無任何防禦。在面臨頻發的黑客攻擊時，沒有任何的防禦措施，尤爲在0-day漏洞爆發面前更是一籌莫展。

安全管理和安全意識不到位。在線教育目前屬於業務開拓期，所以大部分企業機構將主要精力都放在如何快速獲客上，而忽略了對應的安全建設，有些企業運維人員兼職安全運營，有的甚至對安全漠不關心。

雲上安全責任邊界意識不清晰。部分在線教育企業對於業務上雲後的安全責任歸屬問題沒有清晰認識，存在「買了大家的雲服務，安全大家就該提供保障，咱們既然買了大家的雲服務，大家就要爲全部安全負責」的錯誤認知。雲平臺和雲上用戶都具有安全保障的責任，僅靠雲平臺基礎保障是遠遠不夠的，用戶須要對自身在雲上系統和業務安全負責。

上述這些問題仍然在許多企業中普遍存在。比黑客攻擊更可怕的是你還不知道如何防護它，就已經被攻破了卻渾然不知。

安全難題如何破？

針對在線教育行業面臨的安全挑戰，阿里雲制定了一套完整的在線教育行業安全解決方案。

傳統的安全解決方案主要經過外掛設備來解決各種安全問題，可是在新型的雲環境下，外掛設備存在許多兼容性風險。經過簡單的將外掛設備軟件化後安裝在雲上虛擬機的方式，已經愈來愈被證實須要更高效、更穩定、更安全的解決方案來替代。企業須要的是一套「長」在雲上的原生安全解決方案。

雲原生安全解決方案與傳統「外掛」型解決方案的主要區別有以下兩點：

部署便捷。與其說「部署」倒不如說是「開關」更合適。基於雲原生的安全產品無需進行復雜的運維配置、網絡架構調整，能夠作到明確保護目標後即開即用。同時因爲無需配置DNS解析反覆牽引流量，最大限度的下降了安全防禦帶來的網絡質量影響，極大的保障了安全建設和用戶體驗的共贏。

靈活敏捷的調整。當因業務或實際狀況須要需緊急進行資產保護或撤銷保護時，雲原生的安全解決方案能夠迅速響應，靈活調整，大幅度縮短了安全響應工做的週期。

阿里云爲客戶提供的雲原生安全解決方案包含哪些雲原生能力，到底能解決哪些問題？

精準識別和保護敏感數據安全。敏感數據是企業數據安全防禦中的重中之重。藉助阿里雲的敏感數據保護產品SDDP能夠根據企業不一樣的業務屬性快速識別並定位企業海量數據中的敏感數據，追蹤敏感數據的使用狀況，不只在外部攻擊突破外圍防護時起到「貼身保鏢」的做用，更能夠防止企業內部人員竊取或刪除數據的產生。

完美抵禦DDoS攻擊，甚至能夠作到無限抗。因爲阿里雲是直接將DDoS防護能力加載到雲產品中，免去了部署和切換IP的煩惱，能夠實現分鐘級接入，即刻使用即刻生效。同時因爲雲計算原生的網絡和帶寬資源優點，使得DDoS防禦一樣能夠具有彈性防禦能力，能夠根據攻擊強度實時彈性調整防護策略。

保障企業內外和內部之間的邊界安全。經過部署SaaS化雲防火牆，能夠幫助企業統一管理外部互聯網到內部業務的訪問控制策略以及內部業務與業務之間的訪問控制，運維人員藉助雲防火牆能夠清晰的看到有哪些外部流量訪問了內部業務，內部各個業務之間的流量訪問狀況，從而能夠輕鬆判斷是否有惡意攻擊，並及時阻止。尤爲是針對熱門漏洞、高危0-day和N-day漏洞的利用可實現精準防禦，避免大規模入侵產生。

實現主機安全運營自動化閉環。藉助阿里云云安全中心，一方面作到主機層面的防勒索、防病毒、防篡改、漏洞一鍵修復等，實現威脅檢測、響應、溯源的自動化安全運營閉環，讓欠缺專業安全運維人員的企業也能作好安全防禦；另外一方面，針對等保2.0最新標準，能夠實現一鍵合規檢查，保護雲上資產和本地主機知足監管合規要求。

值得一提的是，即便對於沒有專業安全人員的企業來講，這些安全防禦能力只須要幾分鐘便可構建完成。這也是雲原生安全的最大的優點之一。由於原生，因此便捷。

以在線教育企業好將來爲例，好將來旗下包含多個教育品牌，教育形式、客戶人羣和運營方式各不相同。如何實現全部業務平臺的統一安全管控是安全建設的主要問題之一。通過測試驗證，好將來採用了阿里雲安騎士主機安全產品，最終實現對服務器的統一安全管控。同時，結合網站威脅掃描系統按期對全部業務平臺的Web業務進行漏洞風險驗證和內容安全監測，構建了從底層服務器到上層業務平臺完善的安全檢測和防禦體系。

目前，阿里雲在線教育安全解決方案已擁有超百家客戶，在抗擊疫情期間更是保障了過億名老師和學生能夠安全、順利的完成線上學習，讓「停課不停學」真正落到實處。