Gartner指出,雲服務的安全性與大多數企業數據中心一樣好甚至更好,安全性不應再被視爲使用公共雲服務的主要障礙,到2020年,與傳統數據中心相比,公共雲的安全能力將幫助企業至少減少60%的安全事件。
高等級的雲上數據安全體系到底是如何做的?6月29日,在第二屆數據安全峯會上,阿里雲智能安全事業部總經理肖力給出了答案。肖力指出,雲上數據安全建設是一個系統工程,最主要的六大方面是減少***面、正確的產品安全策略配置、統一的身份認證授權、數據加密、數據防泄漏、日誌審計。
阿里雲智能安全事業部總經理肖力
減少***面
要確保整個雲上數據安全,首先要做的就是減少企業的受***面。阿里雲的大量實戰經驗證明,減少受***面對整個安全體系非常關鍵,這包括通過雲防火牆實現東西南北向流量的實時監控、通過***防禦系統(IPS)守住入口並且收斂入口等等,從而達到縮小整個風險敞口的目的。
正確雲產品安全配置
一方面,安全是一個持續化的過程,今天安全不代表明天安全,今天合規不代表明天合規,所以合規體系也是定期審查制,並且要做到常態化合規,從而有效保證所有安全策略與安全配置是合規及安全的,因此阿里雲會做定期合規審查。
另一方面,需要有對應的產品和技術能力來確保所有安全策略被有效執行。很多安全事件的發生都是因爲員工疏忽開放了端口導致被***者利用,從而獲取到相應的數據。阿里雲提供了相應的工具幫助用戶檢查所有產品側的安全配置和策略,以做到持續化、常態化的安全合規和安全策略的有效運行。
統一身份認證授權
每一個企業都需要非常完善的統一的身份認證授權體系。以前企業所有的應用系統都在線下機房,可以通過一些簡單的身份認證授權系統來確保數據安全。但是隨着移動互聯網、雲計算、SaaS化服務的發展,企業不同的應用系統可能會分佈在IDC機房、雲上、網盤等不同的地方,數據會在之間相互流動,這對企業如何做好統一身份認證授權提出了很大挑戰。最常見的數據安全事件就是離職員工對應的系統權限沒有及時刪除,最後導致數據泄露。
阿里雲在權限管理方面投入了大量的資源,確保每一個轉崗或離職員工在應用系統中的權限可以一鍵刪除或者一鍵轉移,以確保不會因內部權限管理問題而造成數據損失。
全方位數據加密與日誌審計
阿里雲平臺具備全鏈路數據加密能力來保障用戶的數據安全,也是國內唯一支持SGX可信加密環境的平臺。在使用層,阿里雲安全提供用戶多級授權可控的RAM,以及全透明化管理日誌審計等產品。
目前達摩院在數據加密方面投入了大量資源,以做到用戶在所有的雲產品的數據實現默認加密,祕鑰由用戶自己管理。未來,阿里雲會把數據加密性能、穩定性做到最高,成本降到最低,以降低用戶上雲後數據安全的焦慮感。
數據防泄漏
阿里云爲用戶提供了從數據識別到數據防泄漏、異常行爲分析檢測等一套完整的敏感數據保護能力,讓雲上用戶能夠清晰的瞭解到自己的數據存放在哪裏,被哪些人訪問,是否存在安全風險等等,以提升雲上用戶整體數據安全水位,有效降低數據泄露風險。
雲原生優勢讓數據安全體系更強壯
雲底層技術的變化導致了安全體系的不同,基於雲原生優勢誕生的安全能力可以幫助用戶解決很多原來無法解決的問題。例如,阿里雲會爲用戶提供鏡像快照功能,一旦用戶遇到勒索軟件,根本不需要做對抗和解密,只需要用之前的快照鏡像恢復數據即可。
淘寶和天貓在全國有多個機房,經過實測,若隨機關掉其中一個機房電源,業務還是可以繼續運行。“我們會用實踐持續驗證容災能否持續強壯,並將這種同等級別的高安全能力給到雲上用戶,幫助用戶建立更強壯的安全體系。”肖力表示。