随着业务的快速发展,云计算有可能成为继大型计算机、PC机和互联网之后的第四次IT产业革命。与此同时,安全也从企业上云的顾虑变为云计算的核心竞争力。CSA云安全联盟统计,64%的企业认为云上更安全。“传统IDC要求用户对所有安全问题负责,到了云上,安全迎来责任共担新时代,安全问题变成厂商与用户共同解决。”7月13日2016阿里安全峰会上,阿里云安全事业群资深总监肖力总结七年实践,重新定义云计算时代的安全本质。
阿里云安全事业群资深总监 肖力
事实上,责任共担模式并非云计算厂商独创。小区公共治安维护依靠保安和片警,各家各户防火防盗业主自己要承担起相应的责任,就是典型的责任共担模式。对云计算厂商来说,责任共担即是厂商充分承担起云平台本身的安全保障责任,并全力维护云上客户的安全。
目前,云安全责任共担模式在业界已经达成共识。在海外,亚马逊AWS、微软Azure均采用了与用户共担风险的安全策略。例如,AWS 负责管理云本身的安全,业务系统安全则由客户负责。客户可以在AWS安全市场里挑选合适的产品来保护自己的内容、平台、应用程序、系统和网络安全。肖力介绍,“在阿里云,从安全责任划分的角度来讲,即阿里云负责云基础设施层面的安全,用户责任虚拟化层以上的安全”。
为了云计算安全全新的职责,阿里云内部早在几年前就从架构设计、产品研发以及服务模式等方面开始备战。要知道,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。据悉,目前阿里云保护了全国35%的网站,每天抵抗2亿次密码暴力破解,每天应对2000万次的Web应用攻击,每天抵御1000次DDoS攻击。
都说专业的事情要交给专业的人来做。既然云计算厂商做安全如此专业,为什么不能把所有的安全问题都托管给厂商呢?肖力透露,阿里云一直认为数据是客户的资产。云计算平台不得以任何理由将这些数据移作它用。如此一来,厂商将不可能知道客户在哪个中了木马的终端上登陆了业务系统,结果被黑客窃取到管理员用户和口令。正如保安和片警不会知道业主小刘家钥匙被朋友复制,从而发生大白天的被盗事件一样。
云计算发展十余年来,安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战。攻击者从不考虑安全漏洞的归属,但防御方却需要有这个能力识别和处置。
