带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 免费版,不限时长
简介: 在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)


全球化背景下的合规支撑


在数智化和全球化的趋势下,信息基础设施必须满足不同地区和行业的监管合规要求。这些要求 既包括对云服务提供方在基础设施和云平台安全性上的规定,也包括对客户使用云服务过程中的 要求,涵盖客户的自身数据、应用和账户安全等方面。


为帮助企业高效且低成本地实现安全合规的目标,阿里云高度重视云平台自身的安全合规建设, 确保来自不同地区和行业的客户在选择阿里云服务时,能够满足他们所需遵循的安全合规要求。 同时,阿里云致力于将共性合规要求融入到云安全产品功能设计中,以便客户可以按需选用合适 的产品功能,以满足使用过程中的审计与合规需求。


1 云平台自身合规


1.1 全球安全合规领先的云服务商

 

阿里云基于完整的平台与产品管理机制,结合自身合规治理经验,推动内外部合规标准在云平台 与产品中落地,确保云平台与产品在基础设施安全、网络安全、身份安全、主机安全、数据安全 与个人信息保护、云产品安全等方面均符合海内外合规标准。


阿里云致力于加强全球化业务布局的合规体系建设。作为全球安全合规水平领 先的云服务商,阿里云通过独立第三方机构验证其安全合规的符合性,并在全 球范围内通过了 140 多项安全合规认证。这些认证展现了阿里云在各体系标 准下的全面安全能力。阿里云不断提升云平台安全合规水位,以此支持云上客 户及组织高效满足所在地区和相关行业的安全合规要求。


image.png


更多关于阿里云的安全合规信息以及合规文档,可参见阿里云官网“阿里云信任中心 - 阿里云合规”。


1.2 满足高合规要求行业的客户需求

 

阿里云支持云上客户及组织高效满足金融行业的安全合规要求,已经通过了多项国内及国际权威 机构的认证。在国内,阿里云按照网络安全等级保护制度的要求,对金融云平台开展网络安全等 级保护定级备案,并由第三方权威机构进行网络安全等级保护测评,金融云平台(IaaS/PaaS通过等保四级测评;按照网信办《云计算服务安全评估办法》要求,金融云平台在 2020 年作为 首个通过云计算服务安全评估(增强级)的具有金融行业属性的云平台,为金融行业客户提供安 全可控的云计算服务。


国际上,阿里云通过了支付卡行业安全标准委员会的支付卡行业数据安全标准   PCI DSS)、美国证券交易委员会(SEC)17a-4(f) 记录保存规则评估、   香港金融管理局(HKMA)合规评估、香港保险业监管局(HKIA)合规评估、 香港证券及期货事务监察委员会(SFC)合规评估、香港保安风险评估及审   计(HKSRAA 、澳门金融管理局(ACMA)合规评估、新加坡银行业协会   OSPAR 、菲律宾中央银行(BSP)合规评估、马来西亚国家银行(BNM 和马来西亚证券委员会(SC)合规评估、印尼金融服务管理局(OJK)合规   评估、印尼金融行业 ISAE 3000 认证。

2 助力租户侧合规

 

为满足客户应对监管合规要求及内部安全管理的需求,阿里云持续支持客户的安全合规需求,并 提供等保、密评、数据安全等安全合规咨询服务和解决方案,助力客户获取合规资质。同时,阿 里云还提供强有力的产品安全审计和合规能力,协助客户准备并配合审计与检查,开展有效的安 全合规治理。


2.1 全面专业的安全合规服务


阿里云及时响应客户的合规需求,持续协助客户安全合规文档的提供。阿里云通过官网合规文 档中心、客户服务支持中心、对接销售人员服务等渠道为客户提供安全合规资质、安全合规审 计报告、平台和产品的合规证据等。通过安全合规文档的提供,  阿里云协助客户迎接监管检查, 获取等保、密评、ISO 等资质认证以及通过公司内部审计等, 以支持客户业务安全合规性证明, 同时提升客户市场竞争力。阿里云支持客户通过官网合规文档中心自助下载文档,可参见阿里云 合规文档中心


同时,阿里云组织行业资深安全合规专家,为客户提供安全合规咨询服务。


等保咨询服务整合云安全产品的技术优势,联合优质等保咨询、等保测评机构 等合作资源,为客户提供了一站式等保咨询服务,全面覆盖等保定级、备案、 建设整改以及测评阶段,帮助客户高效地通过等保测评。关于更多阿里云等保 合规服务的信息,可参见阿里云等保合规解决方案


密评合规服务是阿里云依托云平台密评经验和云密码产品优势,联合第三方测 评机构等合作资源,提供一站式密评合规方案,覆盖差距分析、方案设计、建 设整改、密码测评及密评备案等阶段,助力客户快速完成密评合规。关于更多 阿里云密评合规服务的信息,可参见阿里云密评合规解决方案


阿里云在云平台提供更为安全便捷的数据保护能力的同时,根据自身多年的经  验积累,基于数据安全法律法规及国家标准等,结合大量云上客户的最佳实践, 提供了一套完整的数据安全合规解决方案,帮助企业提升云上数据风险防御能  力,实现企业核心及敏感数据安全可控。关于更多阿里云数据安全合规服务的  信息,可参见阿里云数据安全合规解决方案


2.2 便捷高效的安全合规产品


阿里云为帮助客户在云资源管理过程中更好地满足安全合规要求,定义了三个关键环节:事前限制、 事中及时发现和修复、事后审计记录。阿里云针对每个关键环节均提供匹配的安全合规产品和服务, 提升客户对云资源管理的合规与审计能力。


在事前限制环节,资源管理服务中资源目录的管控策略能力支持按照合规要求执行针对资源的访 问控制,实现预防性管控。在事中及时发现和修复环节,配置审计(Config)服务支持持续评估 云上资源配置合规性,实现发现性管控。在事后审计记录环节,操作审计(ActionTrail)服务支 持对云上操作日志的集中管理收集和持久化存储,实现对操作日志的追溯分析。


阿里云的安全合规产品通过限制和持续监控以确保 IT 配置始终符合合规预期,提供合规能力;通 过客观记录云上 IT 运维的全过程并做长期留存,提供审计能力。基于强有力的合规与审计能力, 阿里云为客户构建一个可见、可控、可追溯的安全运维环境,降低客户安全合规风险。

image.png

2.2.1 管控策略

通过资源管理服务中资源目录的管控策略能力,定义组织最大的权限边界。策 略决定了组织中哪些行为允许发生。用户使用管控策略,将合规基线按照策略 语法编写对应的 Policy,然后将 Policy 附加到期望生效的组织节点上,那么 此节点下所有账号(包含未来新增账号)都会继承到这个父节点的 Policy 被附加了这个 Policy 的业务账号,即使业务开发具有 Admin 限,也依然 无法做突破 Policy 的操作。管控策略自上而下的继承性确保策略不会被业务 部门所篡改,保证了企业安全红线、合规基线的强制实施。


2.2.2 配置审计

用户使用面向云上资源的配置审计(Config)服务,实现对于海量云上资源 合规性的持续监控和自动修复,满足客户内外部合规的需求。

image.png


时,配置审计(Config)帮助用户记录云上 IT 资源的配置变更历史,并通 审计规则持续地评估云上资源配置的合规性 , 通过使用自动修复模板或者自定 义修正, 自动对云上不合规资源完成修复。当资源配置变更时,通过触发配置 审计规则来判断某个资源配置是否合规;或将审计规则设置为周期性触发,定期为用户执行合规评估。配置审计(Config)支持客户按照企业实际场景自定   义审计规则,也提供累计 400+ 审计规则模板;同时基于法律法规和最佳实践,  提供了 20+ 合规包模板,并支持用户从规则、资源和成员(仅用于多账号模式) 维度查看检测结果。其中,法律法规合规包模板涵盖了 GxP 欧盟附录 11 标准   合规包、ISO27001 安全管理标准合规包、等保三级预检合规包、RMiT 金融   标准检查合规包等;最佳实践类合规包模板涵盖了 AccessKey 及权限治理最   佳实践、资源稳定性最佳实践、多可用区架构最佳实践、网络及数据安全最佳   实践等。用户可以通过快速启用合规包,多维度进行合规统计和分析,推动云   上 IT 合规治理。


2.2.3 操作审计


通过使用阿里云操作审计(ActionTrail)服务,用户可以利用云上操作日志  查看账号行为、进行问题溯源、构建安全分析等, 可以满足客户合规审计需求, 助力提升租户侧合规能力。


操作审计(ActionTrail)默认为每个阿里云账号记录最近 90 天的管控事件, 如用户为了满足内外的合规要求需要对事件记录留存更长时间,可以通过操作 审计(ActionTrail)的跟踪服务实现事件记录的持久化存储。


操作审计(ActionTrail)为用户提供统一的云资源操作日志管理,可通过多账 号跟踪功能实现将多个账号日志集中收集。通过阿里云资源目录(Resource Directory)的管理账号或操作审计的委派管理账号,可配置对整个资源目录 中多账号跟踪,其记录的操作日志通常包括操作人、操作时间、源 IP 地址、 资源对象、操作名称及操作状态等,这样资源目录中所有成员账号的事件记录 被集中投递到指定的存储服务中,便于企业的审计管理员统一对云上所有账号 的操作记录进行合规审计和安全分析。


通过对操作日志进行分析,可以应用到安全监控与保障、合规审计、资源变更 管理、故障诊断与运维等多个合规应用场景。





相关文章
|
1月前
|
云安全 人工智能 自然语言处理
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
1月前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。

热门文章

最新文章

下一篇
DataWorks