SDK安全系列 | 数字化将建立在安全沙箱中

云计算是将业务以“软件”形式实现（这一过程可称之为“信息化”“数位化”等等），通过“租赁”第三方硬件与网络资源的方式加以运行，进而服务广大客户的过程。换言之，云计算将代码化的数字内容资产托管并运行在了IaaS、PaaS、SaaS各个层面服务商的第三方环境下。这一过程中，服务器、网络设备、操作系统、乃至数据库和中间件均由第三方提供并维护管理。

那么问题来了，作为数字资产的代码和数据要如何在无法完全受控的环境中安全运行，并在数据隐私方面得到保护呢？而作为软硬件平台提供者的云服务商本身，又如何防范客户有意无意间引入的安全漏洞、风险，以及不法分子由内部对云平台的攻击呢？这好比一个大型写字楼，里面引入了各种商家，其中可能混入“电诈企业”或无下限营销机构等，可能严重威胁写字楼的名声和营商环境。因此，云计算技术探索中的重要一环既是不断去解决“如何让自己的代码安全的在他人的数字环境中稳定的运行并保障数据安全及隐私”以及“如何让他人的代码在自己的数字空间运行并保障自身环境的安全”两大问题。

虚拟世界的“租户”和“业主”之间如何建立的信任是一个巨大的难题，有时开发者自己都无法发现其软件供应链已被污染，这不仅影响到自己的软件安全也可能殃及到云环境下其他“租户”，面对当前高度关联、相互融合的数字化环境，使即便不上云的服务、产品往往也不能免于上述风险的波及，特别是在数字化浪潮下企业往往面临着多重信任挑战：

一定程度上来说，数字化就是让自己的代码安全机密的运行在别人的软硬件和网络环境中，并让别人的代码运行在自己的环境中却无法故意或无意的对我造成破坏。

谈及数字化转型，管理咨询公司、科技厂商们有各种高深理论，但实际上就是实现“办公室设在咖啡馆，企业却依然保持有效运转”。这意味着企业的员工可以在线上协同、客户可以在线上交易、领导可以在线上管理、合作伙伴可以在线上合作，完全“离地”却可以保障企业数据安全、经营隐私，彻底解决了信息安全风险的隐忧。从本质上看，数字化不就是通过网络突破物理世界时间与空间的制约吗？数字化转型，不就是让企业经营适应这样的生产方式、经营方式吗？

可以说，一个声称完成了数字化转型的企业，它的终极形态就是远程办公，无论员工和客户人在办公室还是咖啡馆，他们都是在虚拟世界、在远程，安全无障碍的协作。“企业内网比外网安全”将成为不存在的事。提供“零信任技术”的厂商会告诉你，任何在所谓“内网”使用的设备、运行的软件，都是不可信任的。在这个安全议题上，你必须是偏执狂、妄想症患者，永远假设你的内网已经被攻破，企业软件供应链已经被污染，整个企业就是在街头路边的WiFi上运转。防火墙背后也没有绝对安全，内网就是外网,“永不信任，总是查证”。

数字化意味着连接，连接的前提是开放，开放的资格取决于安全风控能力。可以说，安全风控是数字化转型的第一属性，而数字化企业的安全风控，建立在零信任基础上，零信任可能成为企业数字化转型的“必要条件”。

零信任，首先是一种数字化时代的安全“哲学”，首先是架构理念，然后才是一系列的科技产品与工具，且种类繁多，不一而足。没有哪家厂商敢声称现在已经提供了所有的、完整的解决方案。这是一个正在发展的领域，大家都在路上。在这里，我们只探讨其中一种类型的技术方案：软件隔离（零信任的技术方案里，还有一种Micro-segmentation网络微隔离技术，不在本文讨论范围）。

事实上，隔离技术早已无处不在。在云端，大型云服务提供商之所以能允许成千上万的“租户”把代码跑在自己的机房里而不用担心安全问题，至少有相当一部分原因与虚拟机相关。虚拟机就是隔离环境，代码只能在这个隔离环境里运行，内存、CPU、网络、存储等资源都是安全隔离与受限的。你看不到其他“租户”的代码与资源，他们也看不到你。

当前，从云端到浏览器端都有隔离机制，这种机制就是：安全沙箱。有理由相信，安全沙箱将无处不在，未来的软件都将运行在某种形态的沙箱之内。安全沙箱是双向隔离的，一方面它把任何代码关在箱子里跑，免得它们潜在入侵、损害所在运行的“宿主”环境；另一方面它也保护运行在其中的代码，免得它被不安全的“宿主”环境侵害。有理由相信，“隔离”将成为数字化转型主旋律。

首先，什么是沙箱？它本身就是一种线下生活现象的虚拟化。现实世界里，小孩子们在沙地、沙滩上用木板隔离出一个方盒子，在盒子里堆砌、创造各种东西，这就是一个沙箱。它有两个根本特点：一、它有边界，通过木板设定了游戏创造的范围只在围墙内；二、它的游戏材料是沙，任何的创造一抹就平，瞬间无影无踪不留痕迹。

这两个特点，在计算机世界被模拟了，在一台设备（不管是一台服务器还是一个手机，我们称之为“宿主”）中，通过软硬件手段的结合，可以模拟出一个“管控”区域，它有着预先指定、划分出来的运算与存储资源与宿主的其他资源完全隔离。应用代码可以被丢到区域里运行，即使它是病毒、木马、DDoS攻击软件，也只能在一个资源受限的模拟世界折腾。此外，这样的区域，既然是模拟的，不管里面跑着什么，都可以被“一键删除”，一切归零。这就是计算机世界的沙箱。

沙箱技术有很多种类，是否能称之为“安全沙箱”，则视乎其隔离的程度和自身的技术目的。例如能模拟出一整台服务器或者桌面电脑的虚拟机，应该能称之为安全沙箱，可以在里面跑企业服务、也可以在里面打游戏，并不影响宿主的安全稳定运行。而浏览器里沙箱的实现，则是普通用户最常接触的一类安全沙箱，它把远程加载的、来自不同网站的页面进行隔离，并在运行这些包含大量不知名开源技术的代码时防范各类攻击，保护宿主环境，让用户免受隐私泄漏、数据被盗、遭遇钓鱼诈骗、感染病毒等风险。而容器类技术，如docker、LXC等，则有着沙箱隔离的特点，但因为共享宿主操作系统的内核，并不提供彻底全模拟的环境，所以往往并不被视为安全沙箱。

数字化的发展中“隔离”是硬道理，有云端“租户”之间的隔离，有虚拟服务器的隔离，有网络间微隔离、进程间隔离，乃至手机上一段代码（例如一个小程序）的隔离，体现着隔离粒度的差异。

空讲“数字化转型”无用，它怎么“落地变现”呢？“转型”后的企业的形态是怎样的呢？硅谷著名投资机构Andreessen Horowitz （“a16z”）的合伙人Marc Andreessen在2011年8月20日发表过一篇影响力颇大的文章“Why software is eating the world”（《为什么软件正在吞噬世界》），十年后回顾，确实遇见到了软件在全球举足轻重、无孔不入的现状。企业的数字化转型就是企业员工、客户、合作伙伴全部通过软件进行生产协作、经营管理和交易买卖。人在哪里无所谓，见不见面不重要，只要保障了数据安全、商业隐私，就可以在网上有效经营。数字化企业应当是一种建立在软件上并且管理制度与高效使用这些工具相匹配的企业。

支撑数字化的下一代企业软件是什么样子的？我们认为“小程序化”“安全沙箱化”是其中一个基石。逻辑如下：