阿里雲安全肖力：雲上數據安全體系建設的六要素

Gartner指出，雲服務的安全性與大多數企業數據中心同樣好甚至更好，安全性不該再被視爲使用公共雲服務的主要障礙，到2020年，與傳統數據中心相比，公共雲的安全能力將幫助企業至少減小60%的安全事件。

高等級的雲上數據安全體系究竟是如何作的？6月29日，在第二屆數據安全峯會上，阿里雲智能安全事業部總經理肖力給出了答案。肖力指出，雲上數據安全建設是一個系統工程，最主要的六大方面是減小攻擊面、正確的產品安全策略配置、統一的身份認證受權、數據加密、數據防泄漏、日誌審計。

 

阿里雲智能安全事業部總經理肖力

減小攻擊面

要確保整個雲上數據安全，首先要作的就是減小企業的受攻擊面。阿里雲的大量實戰經驗證實，減小受攻擊面對整個安全體系很是關鍵，這包括經過雲防火牆實現東西南北向流量的實時監控、經過入侵防護系統（IPS）守住入口而且收斂入口等等，從而達到縮小整個風險敞口的目的。

正確雲產品安全配置

一方面，安全是一個持續化的過程，今天安全不表明明天安全，今天合規不表明明天合規，因此合規體系也是按期審查制，而且要作到常態化合規，從而有效保證全部安全策略與安全配置是合規及安全的，所以阿里雲會作按期合規審查。

另外一方面，須要有對應的產品和技術能力來確保全部安全策略被有效執行。不少安全事件的發生都是由於員工疏忽開放了端口致使被攻擊者利用，從而獲取到相應的數據。阿里雲提供了相應的工具幫助用戶檢查全部產品側的安全配置和策略，以作到持續化、常態化的安全合規和安全策略的有效運行。

統一身份認證受權

每個企業都須要很是完善的統一的身份認證受權體系。之前企業全部的應用系統都在線下機房，能夠經過一些簡單的身份認證受權系統來確保數據安全。可是隨着移動互聯網、雲計算、SaaS化服務的發展，企業不一樣的應用系統可能會分佈在IDC機房、雲上、網盤等不一樣的地方，數據會在之間相互流動，這對企業如何作好統一身份認證受權提出了很大挑戰。最多見的數據安全事件就是離職員工對應的系統權限沒有及時刪除，最後致使數據泄露。

阿里雲在權限管理方面投入了大量的資源，確保每個轉崗或離職員工在應用系統中的權限能夠一鍵刪除或者一鍵轉移，以確保不會因內部權限管理問題而形成數據損失。

全方位數據加密與日誌審計

阿里雲平臺具有全鏈路數據加密能力來保障用戶的數據安全，也是國內惟一支持SGX可信加密環境的平臺。在使用層，阿里雲安全提供用戶多級受權可控的RAM，以及全透明化管理日誌審計等產品。

目前達摩院在數據加密方面投入了大量資源，以作到用戶在全部的雲產品的數據實現默認加密，祕鑰由用戶本身管理。將來，阿里雲會把數據加密性能、穩定性作到最高，成本降到最低，以下降用戶上雲後數據安全的焦慮感。

數據防泄漏

阿里云爲用戶提供了從數據識別到數據防泄漏、異常行爲分析檢測等一套完整的敏感數據保護能力，讓雲上用戶可以清晰的瞭解到本身的數據存放在哪裏，被哪些人訪問，是否存在安全風險等等，以提高雲上用戶總體數據安全水位，有效下降數據泄露風險。

雲原生優點讓數據安全體系更強壯

雲底層技術的變化致使了安全體系的不一樣，基於雲原生優點誕生的安全能力能夠幫助用戶解決不少原來沒法解決的問題。例如，阿里雲會爲用戶提供鏡像快照功能，一旦用戶遇到勒索軟件，根本不須要作對抗和解密，只須要用以前的快照鏡像恢復數據便可。

淘寶和天貓在全國有多個機房，通過實測，若隨機關掉其中一個機房電源，業務仍是能夠繼續運行。「咱們會用實踐持續驗證容災可否持續強壯，並將這種同等級別的高安全能力給到雲上用戶，幫助用戶創建更強壯的安全體系。」肖力表示。

 

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。