9月20日,在杭州云栖大会上,阿里云发布2024版《阿里云安全白皮书》,正式将公共云安全责任共担的思路,升级为“云上安全共同体”理念,这意味着阿里云不仅会坚守安全责任共担模式下云服务商的责任,搭建和提供“安全的云”, 更会进一步与客户紧密合作,提供更多可供客户采取的安全保障措施,与云上客户共同形成一个紧密相连、 互相支持的安全防护网络,进一步造就云平台的运行安全。
阿里巴巴集团安全部总裁钱磊表示,阿里云除了为客户提供安全的云服务,还需要思考如何帮助客户“安全地使用云”,即利用更集中的技术投入、丰富的风险应对经验、完善的安全组织配备、先进的安全治理思路,打通客户安全体验的最后一公里,将平台的安全能力转化为客户侧实实在在的安全效果。“如果客户不安全,云平台就无法实现真正意义上的安全。”
据白皮书阐释,数智时代推动企业全面上云、深度用云的比例显著提升,这也对云上的安全治理体系提出了新的挑战。云计算初期,企业关注数据迁移等与常规IT流程相异的安全管理问题,为了建立企业与云服务商之间对云安全的理解与共识,“安全责任共担模式”应运而生,旨在促进双方在安全管理上的合作与协调。
随着数智技术与社会千行百业的深度融合,整体数字系统以及企业面临的安全挑战日益增多且更为复杂,需要不断提升安全防护、巩固安全机制、强化态势感知。因此,企业和云服务商都需要更高层次的安全理念来应对新的挑战。
“云上安全共同体”的安全理念,正是强调以保护客户云上资产安全为共同目标,云平台与客户密切配合,共同应对安全挑战。在理念引导下,阿里云会继续全权负责在安全责任共担模式下,需要云服务提供者承担的安全责任。如基础设施、物理设备、分布式云操作系统及云服务产品安全,保障云平台基座的安全。客户则主要负责自身数据、应用及账户安全。与此同时,云平台也会发挥主观能动性,提供一系列切实可行的安全保障措施,帮助客户更深入地思考、制定、理解安全策略,并支持这些安全策略更顺畅、便捷地落地实施。
以云产品安全配置为例,阿里云在设计和开发云产品时会严格保证安全性,并在云服务中内嵌客户可自行配置的安全能力。客户在使用云服务时,则需要根据上云数据情况、系统的业务场景自行完成安全配置。在安全共同体理念的引导下,阿里云将在客户使用云产品之初预设更多初始的安全配置与风险提示,使客户在更安全的环境中构建业务,从而避免很多因疏忽或不当操作引发的安全风险。
本次发布的《阿里云安全白皮书2024版》全面阐释了阿里云安全保障措施建设工作,包括对于构建平台核心安全保障的八大支柱,详细描述如何建设“安全的云”,同时书中还提供了阿里云服务的行业及业务场景云上安全实践,希望帮助客户加强对云上安全治理的理解,探索符合自身场景的云上安全最佳实践。
除此之外,阿里云将围绕帮助用户“安全使用云”陆续发布数项新的安全服务和能力,如对于云产品设置更高的初始安全水位,提高云产品使用的安全性;通过提供更普惠的安全能力,促成更低的用云安全成本;通过增强多方位的安全检测和防护能力,实现安全事件的主动响应,通过提供全面而易于理解的安全指南和最佳实践,推动安全科普与安全意识的培育,使用户能够清晰地了解云服务的安全性能和潜在风险,做出明智的决策,共同为数智化趋势下的社会安全稳定运行贡献力量。
更多详情可下载《阿里云安全白皮书2024版》: