阿里云安全肖力：云上数据安全体系建设的六要素

Gartner指出，云服务的安全性与大多数企业数据中心同样好甚至更好，安全性不该再被视为使用公共云服务的主要障碍，到2020年，与传统数据中心相比，公共云的安全能力将帮助企业至少减小60%的安全事件。

高等级的云上数据安全体系究竟是如何作的？6月29日，在第二届数据安全峰会上，阿里云智能安全事业部总经理肖力给出了答案。肖力指出，云上数据安全建设是一个系统工程，最主要的六大方面是减小攻击面、正确的产品安全策略配置、统一的身份认证受权、数据加密、数据防泄漏、日志审计。

 

 

阿里云智能安全事业部总经理肖力

减小攻击面

要确保整个云上数据安全，首先要作的就是减小企业的受攻击面。阿里云的大量实战经验证实，减小受攻击面对整个安全体系很是关键，这包括经过云防火墙实现东西南北向流量的实时监控、经过入侵防护系统（IPS）守住入口而且收敛入口等等，从而达到缩小整个风险敞口的目的。

正确云产品安全配置

一方面，安全是一个持续化的过程，今天安全不表明明天安全，今天合规不表明明天合规，因此合规体系也是按期审查制，而且要作到常态化合规，从而有效保证全部安全策略与安全配置是合规及安全的，所以阿里云会作按期合规审查。

另外一方面，须要有对应的产品和技术能力来确保全部安全策略被有效执行。不少安全事件的发生都是由于员工疏忽开放了端口致使被攻击者利用，从而获取到相应的数据。阿里云提供了相应的工具帮助用户检查全部产品侧的安全配置和策略，以作到持续化、常态化的安全合规和安全策略的有效运行。

统一身份认证受权

每个企业都须要很是完善的统一的身份认证受权体系。之前企业全部的应用系统都在线下机房，能够经过一些简单的身份认证受权系统来确保数据安全。可是随着移动互联网、云计算、SaaS化服务的发展，企业不一样的应用系统可能会分布在IDC机房、云上、网盘等不一样的地方，数据会在之间相互流动，这对企业如何作好统一身份认证受权提出了很大挑战。最多见的数据安全事件就是离职员工对应的系统权限没有及时删除，最后致使数据泄露。

阿里云在权限管理方面投入了大量的资源，确保每个转岗或离职员工在应用系统中的权限能够一键删除或者一键转移，以确保不会因内部权限管理问题而形成数据损失。

全方位数据加密与日志审计

阿里云平台具有全链路数据加密能力来保障用户的数据安全，也是国内惟一支持SGX可信加密环境的平台。在使用层，阿里云安全提供用户多级受权可控的RAM，以及全透明化管理日志审计等产品。

目前达摩院在数据加密方面投入了大量资源，以作到用户在全部的云产品的数据实现默认加密，秘钥由用户本身管理。将来，阿里云会把数据加密性能、稳定性作到最高，成本降到最低，以下降用户上云后数据安全的焦虑感。

数据防泄漏

阿里云为用户提供了从数据识别到数据防泄漏、异常行为分析检测等一套完整的敏感数据保护能力，让云上用户可以清晰的了解到本身的数据存放在哪里，被哪些人访问，是否存在安全风险等等，以提高云上用户总体数据安全水位，有效下降数据泄露风险。

云原生优点让数据安全体系更强壮

云底层技术的变化致使了安全体系的不一样，基于云原生优点诞生的安全能力能够帮助用户解决不少原来没法解决的问题。例如，阿里云会为用户提供镜像快照功能，一旦用户遇到勒索软件，根本不须要作对抗和解密，只须要用以前的快照镜像恢复数据便可。

淘宝和天猫在全国有多个机房，通过实测，若随机关掉其中一个机房电源，业务仍是能够继续运行。“咱们会用实践持续验证容灾可否持续强壮，并将这种同等级别的高安全能力给到云上用户，帮助用户创建更强壮的安全体系。”肖力表示。

 

本文做者：阿里云头条

原文连接

本文为云栖社区原创内容，未经容许不得转载。