安全架构设计影响深远,火山引擎张鑫学生时代论文获IEEE“时间沉淀奖”

“今年4月,我收到了IEEE Symposium on Security and Privacy大会组委会的邮件通知。”

火山引擎副总裁张鑫没想到,十年前发表于信息安全领域顶会IEEE Security and Privacy的论文,现在又获得了评奖门槛极其严苛的IEEE“Test of Time”奖(时间沉淀奖)。

正如奖项名字所指代的,时间沉淀奖旨在表彰那些经受住时间考验的论文,考验的时间则设立在十年及以上。岁月流逝,技术更迭,这些论文的影响力不仅没有随时光消弭,反而在信息领域长流中光彩更胜。

下一代安全互联网

“互联网在60年代设计之初,并没有把防御复杂安全攻击作为设计原则,因此后续再基于现有的架构打‘安全补丁’就犹如在沙滩上建城堡,很难牢固、有效。我们大胆设想,如果我们可以摒弃当前的互联网架构,重新设计一个从设计之初、在第一天就把安全作为重要考量的新一代互联网,很多安全疑难杂症便可以得到更优雅、更系统、更高效的解决。”张鑫回忆道。十多年前,尚在卡内基梅隆攻读网络安全博士的他就此开始研究SCION。

图片1.jpg

图:火山引擎副总裁张鑫

SCION被称为下一代安全互联网,目标是通过安全的域间路由和路径感知网络实现一个安全、稳定和透明的互联网。对于这种想要从“底子”出发解决安全性的理想路线,今天的研究者将其统称为“革命式路线”。有了“革命式”,自然也就有了“演进式”。“演进式路线”试图通过渐进方式达成目标,显然比前者更为务实。历史早已反复验证,现实总是率先接纳那些姿态更为柔和的;一旦沾染了理想的气息,付出的代价也注定更大。互联网世界不是例外。

站在2022年的时间点上,可以清晰看到,所谓的理想化路线如何在落地时受挫。从XIA ( eXpressive Internet Architecture )到ICN( Information-Centric Networking) ,从全维可定义多模态智慧网络的PINet到基于域间路由与服务位置的CoLoR,种种理论化建构均止步于理论世界,无法再往前一步——SCION是顺利落地的唯一幸存者。

如今,SCION已被部署于亚洲、欧洲、美国、澳洲等多个国家和地区的网络运营商中,承载实际的网络流量。基于SCION的系统被用于行业和政府的关键基础设施通信,比如基于SCION的瑞士安全金融网络,它允许瑞士金融中心授权的用户之间安全通信。

“SCION是一种安全架构设计。SCION在实现安全性的同时,其多路径路由提供到终端主机的多路径选择也进一步优化了通信性能。在此基础上,SCION使ISP和服务提供商能够建立新的产品和服务,甚至实现全新的商业模式。”

张鑫当时的导师Adrian Perrig解释道,“SCION承诺,在分布式拒绝服务攻击的情况下,也能根除路由攻击并提供通信保证。”Adrian Perrig如今在苏黎世联邦理工学院工作。前段时间,该校专门发了新闻,庆贺Adrian Perrig之前指导的论文获得IEEE时间沉淀奖。

2022年5月,SCION作为新一代安全互联网标准被提交给网络标准制定的权威机构IETF。其提交的草案中写道:

“用户需要跨路由域的可用性保证,即便在面临攻击时,这一需求也并不改变。他们还希望依靠一个可以多边治理、不受全球终止开关影响的互联网。”

“SCION正是为了满足上述要求而生的。”

安全互联网和安全计算

多年后,张鑫加入火山引擎。颇具巧合的是,张鑫十年前研究的是安全互联网,而火山引擎有支安全团队一直在研究数据间如何安全计算。

隐私计算,试图针对信息时代的“掘金”安全问题,给出解决方案。

过去十余年,人类一直与数据大爆炸同行。相关研究预计,至2022年,全球数据储量将达61.2ZB,中国的数据产生量约占全球数据产生量的23%,位居全球首位。

数据量剧增的背后,是全球数字经济的快速发展。不论是导航、兴趣电商、短视频、外卖对人们生活方式的重塑,还是健康码、疫情地图等数字产品的迅速推出与迭代,其背后都少不了数据的支撑。

图片2.jpg

2020年4月,中国发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据同土地、劳动力、资本、技术等传统生产要素并列,作为一种新型生产要素参与分配。

数据价值日益凸显的同时,也频频发生着各类数据安全、隐私泄露、滥用用户数据的问题,为此各国出台严格的法律对用户隐私数据进行保护。比如,2012年新加坡出台的《个人数据保护法》(PDPA),2018年5月欧盟出台的《通用数据保护条例》,2018年6月美国颁布的《加州消费者隐私法案》。而中国,在用户隐私保护上先后出台了《网络安全法》《数据安全法》《个人信息保护法》 《关于构建更加完善的要素市场化配置体制机制的意见》等法律法规政策。

各国政府在规范用户隐私保护举措的同时,也让不同主体之间的数据流通变得越来越困难,而智能数字化技术的发展需要更多数据。比如在医疗领域,大量的病患样本数据可以用来做疾病预测和研究,由于医疗数据涉及病患的隐私信息,在现有的法律法规下,根本无法汇聚不同医疗机构的样本。Gartner指出,在2023年底之前,全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规,导致数据无法流通。隐私计算想要解决的,正是在这个日益严格的用户隐私保护时代,如何在满足安全隐私合规条件下,实现数据价值挖掘与利用最大化。

四十多年前,实现“数据可用不可见”曾深深困扰着图灵奖获得者、华人科学家姚期智,由此诞生著名的“百万富翁”问题:

两个百万富翁相遇在街头,在虚荣心的驱动下,都想知道对方的钱是否比自己多,但又不想让对方知道自己的底细。那么,如何在不借助第三方的情况下,对比出谁更有钱?

时移世易,当初人们眼中的冷门研究,近些年已经成为互联网安全领域的热门,火山引擎也给出了自己的隐私计算解决方案——Jeddak。

Jeddak是一个面向数据安全与隐私计算的综合平台体系,直面解决生产领域最棘手的端到端数据安全、特别是计算环境下的隐私保护问题,力求在满足安全隐私合规条件下,实现数据价值挖掘与利用最大化。

借助四大隐私计算子系统(协同计算、多方计算、可信计算、同态计算),Jeddak既可独立适配相应的主流场景以发挥所长,各系统内部又能融合互补,实现数据“可用不可见”的理想效果,帮助金融、医疗、政务等各个领域的数据流通交易以及合作共享。

以金融行业为例,作为数字化应用最为广泛的行业之一,数据价值贯穿于金融风控、营销、运营等全业务流程。想要实现数据价值的前提,其关键点是实现数据的流通,这就免不了要引入更多的数据源,以及让企业面临机构自身业务积累的数据资产和商业秘密泄露的风险。火山引擎Jeddak隐私计算平台的存在,则能让外部和金融行业的数据间流通和计算变得安全。

也就是说,基于Jeddak“打开”的数据流通之门,无论是金融机构之间,还是金融机构同运营商、互联网、电商平台之间,最终都能在不泄露原始信息的前提下,进行数据“共享”,实现数据价值的挖掘,带来业务提升。

如何做到数据“可用不可见”的呢?据介绍,Jeddak在面向中间结果汇聚的隐私保护,结合MPC技术实现数据分片的匿名化,从而避免各参与方的数据泄露;在数据样本对齐阶段,Jeddak跨越传统密码学解决手段,转而应用软硬结合的TEE技术和OPRF等最新方案,得以适配不同场景需求,安全高效地实现隐私数据求交;在数据交互和发布过程中,Jeddak充分利用DP技术防止用户隐私泄漏等等。总而言之,Jeddak隐私计算平台通过前沿技术的融通创新,用先进技术突破制约安全计算发展的关键阻碍。

公开信息显示,火山引擎隐私计算入选了开放隐私计算技术社区OpenMPC的“隐私计算2021年度优秀应用案例TOP10”,并且通过火山引擎的客户数据平台业务接入了包括银行、车企、零售等行业在内的多家客户。

安全,也是火山引擎云平台的前提

隐私计算,实际上只是火山引擎对外提供安全能力的一个缩影。

十年来,字节跳动孵化了众多用户喜爱的APP,其需要保护的业务量级迅速跃至亿级:

2015年12月,今日头条累计拥有激活用户3.5亿;

2020年8月,包含抖音火山版在内,抖音的日活跃用户已经超过了6亿。

在如此量级的用户数据面前,安全技术的稳定性与前瞻性都成了必需。这意味着,字节跳动安全团队既需要保障数据远离现有的漏洞与危险,又需要洞察前方的未知风险以闪避,正如团队的介绍所言“为亿万用户的数据安全保驾护航”。

企业要想实现数字化转型,上云是未来发展的必然趋势,上云后如何保障自己的数据隐私和业务安全成为不得不考虑的问题。字节跳动安全团队为亿万用户保驾护航沉淀下来的技术能力,在2021年12月已通过火山引擎云安全产品对外服务,保障企业的云上安全。

在产品的描述文档中,火山引擎被定位为一朵“安全可靠”、“透明可信”的云,“安全”被放到了第一位,成为“云”的前提。

图片3.jpg

图:2021年12月2日火山引擎举办的“新云·共未来”发布会

这也意味着,无论是云计算环境、管理体系、数据保护,还是防护措施,都将安全视为必须,因此进行了专门的设计。比如仅云计算环境,就采用了全栈可信计算环境、平台安全能力、安全合规资质、透明访问鉴权和操作审计、统一的身份权限管理,以及安全管理体系等六种手段。

安全防护措施更是实现了数据全链路覆盖,包括采集、传输、存储、共享、归档、销毁等,其安全手段也采用了身份认证、权限控制、数据分级分类、日志审计、前端水印、传输加密、存储加密、数据脱敏、安全覆写等十多种。

另一方面,随着云原生成为云计算主要架构之一,云上的容器安全也面临全新的挑战。一项针对Docker Hub上公开发布的各类镜像的研究发现,有51%的镜像存在严重漏洞,全部400万个最新镜像中约有0.2%可能属于人为策划的恶意镜像。

对此,火山引擎进行了针对性部署。一方面,通过系统迭代增强安全能力:投入2年多时间深入分析这类镜像漏洞和入侵攻击的核心场景,完成从镜像CI构建、镜像扫描、容器启动控制、运行时阻断技术方面的实践,形成了云原生环境下的镜像容器全生命周期的安全防护体系。

另一方面收纳成熟的云原生产品与团队作为补充:去年七月份,火山引擎就完成了对云原生安全服务商氢盾科技的全资收购,既融合了其云原生安全防护平台,又一举将拥有成熟企业安全服务经验的团队收入囊中。

火山引擎把云平台的透明可信及如何构建透明可信看做最重要的事情,并专门推出了云信任中心。企业客户在使用火山引擎云产品服务时,可以通过云信任中心来完成信任承诺协议的签署。通过云信任中心,企业客户可查看云控制台的全部操作记录。据介绍,目前火山引擎已经从云平台、云产品打造完整的云透明可信服务体系,并支撑云租户完成安全建信及云租户自身的安全保障。

作为一朵去年刚发布的新云,火山引擎在安全上的表现的确可圈可点,尤其是把“安全”作为云的前提。不过,安全是一场持之以恒的修炼,前路漫漫,火山引擎需要一直在路上。