阿里云安全肖力:云上数据安全体系建设的六要素

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 高等级的云上数据安全体系到底是如何做的?6月29日,在第二届数据安全峰会上,阿里云智能安全事业部总经理肖力给出了答案。肖力指出,云上数据安全建设是一个系统工程,最主要的六大方面是减少攻击面、正确的产品安全策略配置、统一的身份认证授权、数据加密、数据防泄漏、日志审计。

Gartner指出,云服务的安全性与大多数企业数据中心一样好甚至更好,安全性不应再被视为使用公共云服务的主要障碍,到2020年,与传统数据中心相比,公共云的安全能力将帮助企业至少减少60%的安全事件。

高等级的云上数据安全体系到底是如何做的?6月29日,在第二届数据安全峰会上,阿里云智能安全事业部总经理肖力给出了答案。肖力指出,云上数据安全建设是一个系统工程,最主要的六大方面是减少攻击面、正确的产品安全策略配置、统一的身份认证授权、数据加密、数据防泄漏、日志审计。

_
阿里云智能安全事业部总经理肖力

减少攻击面

要确保整个云上数据安全,首先要做的就是减少企业的受攻击面。阿里云的大量实战经验证明,减少受攻击面对整个安全体系非常关键,这包括通过云防火墙实现东西南北向流量的实时监控、通过入侵防御系统(IPS)守住入口并且收敛入口等等,从而达到缩小整个风险敞口的目的。

正确云产品安全配置

一方面,安全是一个持续化的过程,今天安全不代表明天安全,今天合规不代表明天合规,所以合规体系也是定期审查制,并且要做到常态化合规,从而有效保证所有安全策略与安全配置是合规及安全的,因此阿里云会做定期合规审查。

另一方面,需要有对应的产品和技术能力来确保所有安全策略被有效执行。很多安全事件的发生都是因为员工疏忽开放了端口导致被攻击者利用,从而获取到相应的数据。阿里云提供了相应的工具帮助用户检查所有产品侧的安全配置和策略,以做到持续化、常态化的安全合规和安全策略的有效运行。

统一身份认证授权

每一个企业都需要非常完善的统一的身份认证授权体系。以前企业所有的应用系统都在线下机房,可以通过一些简单的身份认证授权系统来确保数据安全。但是随着移动互联网、云计算、SaaS化服务的发展,企业不同的应用系统可能会分布在IDC机房、云上、网盘等不同的地方,数据会在之间相互流动,这对企业如何做好统一身份认证授权提出了很大挑战。最常见的数据安全事件就是离职员工对应的系统权限没有及时删除,最后导致数据泄露。

阿里云在权限管理方面投入了大量的资源,确保每一个转岗或离职员工在应用系统中的权限可以一键删除或者一键转移,以确保不会因内部权限管理问题而造成数据损失。

全方位数据加密与日志审计

阿里云平台具备全链路数据加密能力来保障用户的数据安全,也是国内唯一支持SGX可信加密环境的平台。在使用层,阿里云安全提供用户多级授权可控的RAM,以及全透明化管理日志审计等产品。

目前达摩院在数据加密方面投入了大量资源,以做到用户在所有的云产品的数据实现默认加密,秘钥由用户自己管理。未来,阿里云会把数据加密性能、稳定性做到最高,成本降到最低,以降低用户上云后数据安全的焦虑感。

数据防泄漏

阿里云为用户提供了从数据识别到数据防泄漏、异常行为分析检测等一套完整的敏感数据保护能力,让云上用户能够清晰的了解到自己的数据存放在哪里,被哪些人访问,是否存在安全风险等等,以提升云上用户整体数据安全水位,有效降低数据泄露风险。

云原生优势让数据安全体系更强壮

云底层技术的变化导致了安全体系的不同,基于云原生优势诞生的安全能力可以帮助用户解决很多原来无法解决的问题。例如,阿里云会为用户提供镜像快照功能,一旦用户遇到勒索软件,根本不需要做对抗和解密,只需要用之前的快照镜像恢复数据即可。

淘宝和天猫在全国有多个机房,经过实测,若随机关掉其中一个机房电源,业务还是可以继续运行。“我们会用实践持续验证容灾能否持续强壮,并将这种同等级别的高安全能力给到云上用户,帮助用户建立更强壮的安全体系。”肖力表示。

相关文章
|
运维 监控 Cloud Native
《生来创新-金融级云原生》——2 金融级云原生的“新标准和新蓝图”——2.2 定义金融云原生的10大新要素——要素 6:全链路技术风险防控
《生来创新-金融级云原生》——2 金融级云原生的“新标准和新蓝图”——2.2 定义金融云原生的10大新要素——要素 6:全链路技术风险防控
178 0
|
NoSQL 安全 关系型数据库
《快递行业云上技术服务白皮书》——4. 快递行业技术服务最佳实践——4.2 大促保障最佳实践——4.2.3 大促保障的五大技术要素(下)
《快递行业云上技术服务白皮书》——4. 快递行业技术服务最佳实践——4.2 大促保障最佳实践——4.2.3 大促保障的五大技术要素(下)
111 0
|
存储 缓存 JSON
《快递行业云上技术服务白皮书》——4. 快递行业技术服务最佳实践——4.2 大促保障最佳实践——4.2.3 大促保障的五大技术要素(上)
《快递行业云上技术服务白皮书》——4. 快递行业技术服务最佳实践——4.2 大促保障最佳实践——4.2.3 大促保障的五大技术要素(上)
193 0
|
存储 监控 安全
《互联网业务出海安全合规解决方案》|学习笔记
快速学习《互联网业务出海安全合规解决方案》
539 0
|
运维 安全 Devops
蚂蚁集团TRaaS技术风险防控平台入选中国信通院《信息系统稳定性保障能力建设指南(1.0)》最佳实践案例
近日,中国信息通信研究院分布式系统稳定性实验室正式发布了《信息系统稳定性保障能力建设指南》(以下简称《指南》)。蚂蚁集团应邀深度参与了《指南》的研讨编制,该指南收录了包括蚂蚁集团在内的多家知名机构在系统稳定性保障服务方面的优秀案例,旨在为各行业提升系统稳定性能力提供参考。
851 0
蚂蚁集团TRaaS技术风险防控平台入选中国信通院《信息系统稳定性保障能力建设指南(1.0)》最佳实践案例
|
机器学习/深度学习 安全 算法
重磅发布 阿里云数据中台全新产品DataTrust聚焦企业数据安全保障
DataTrust(隐私增强计算产品)是基于阿里云底层多项基础安全能力,经过阿里云数据中台丰富的客户业务实践,构建的一款为企业数据安全流通的产品。
2360 0
重磅发布 阿里云数据中台全新产品DataTrust聚焦企业数据安全保障
|
运维 监控 安全
从毛坯房到精装修,阿里云企业IT治理样板间助力云上管控和治理
随着近几年云的高速发展,云原生的概念深入人心,越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云,还是基于云原生技术构建新的产品和业务,企业都期望利用云技术低成本、敏捷的进行业务创新,实现上云价值最大化。 企业在上云之前,不只是将业务应用适配云环境,更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」(Landing Zone),让业务研发人员只用关心自身业务,大胆的依托于云上的能力快速进行业务迭代和创新,兼顾「效率」与「可控」,才能实现上云价值最大化。
从毛坯房到精装修,阿里云企业IT治理样板间助力云上管控和治理
|
存储 人工智能 监控
应急管理大数据社会化治理体系下媒体数据的价值
近年来,我国应急安全管理工作取了了巨大的成绩,但是,从一些突发应急安全事件处置的情况来看,我们的应急安全处置能力建设尚存在很多短板。当前,我国全社会上下正在进行一场数字化、智能化革命,将数字化和智能化技术引入应急安全管理领域,是提高我国应急安全管理水平,增强对应急安全事件处置能力,最大程度减少应急安全事件对我国社会的所造成的的生命和财产损失的必然选择。
586 0
应急管理大数据社会化治理体系下媒体数据的价值
|
安全 运维
带你读《企业安全建设指南:金融行业安全架构与技术实践》之一:企业信息安全建设简介
本书全面、系统地介绍企业信息安全的技术架构与实践,总结了作者在金融行业多年的信息安全实践经验,内容丰富,实践性强。第一部分“安全架构”主要内容:信息安全观、金融行业信息安全的特点、安全规划、内控合规管理、信息安全团队建设、安全培训规划、外包安全管理、安全考核、安全认证等。第二部分“安全技术实战”主要内容:互联网应用安全、移动应用安全、企业内网安全、数据安全、业务安全、邮件安全、活动目录安全、安全检测、安全运营、SOC、安全资产管理和矩阵式监控、信息安全趋势和安全从业者的未来等。
|
运维 安全 大数据
如何建设数据安全体系?
数据安全是实现隐私保护的最重要手段之一
1406 0