阿里云安全肖力:云上数据安全体系建设的六要素

简介: 高等级的云上数据安全体系到底是如何做的?6月29日,在第二届数据安全峰会上,阿里云智能安全事业部总经理肖力给出了答案。肖力指出,云上数据安全建设是一个系统工程,最主要的六大方面是减少攻击面、正确的产品安全策略配置、统一的身份认证授权、数据加密、数据防泄漏、日志审计。

Gartner指出,云服务的安全性与大多数企业数据中心一样好甚至更好,安全性不应再被视为使用公共云服务的主要障碍,到2020年,与传统数据中心相比,公共云的安全能力将帮助企业至少减少60%的安全事件。

高等级的云上数据安全体系到底是如何做的?6月29日,在第二届数据安全峰会上,阿里云智能安全事业部总经理肖力给出了答案。肖力指出,云上数据安全建设是一个系统工程,最主要的六大方面是减少攻击面、正确的产品安全策略配置、统一的身份认证授权、数据加密、数据防泄漏、日志审计。

_
阿里云智能安全事业部总经理肖力

减少攻击面

要确保整个云上数据安全,首先要做的就是减少企业的受攻击面。阿里云的大量实战经验证明,减少受攻击面对整个安全体系非常关键,这包括通过云防火墙实现东西南北向流量的实时监控、通过入侵防御系统(IPS)守住入口并且收敛入口等等,从而达到缩小整个风险敞口的目的。

正确云产品安全配置

一方面,安全是一个持续化的过程,今天安全不代表明天安全,今天合规不代表明天合规,所以合规体系也是定期审查制,并且要做到常态化合规,从而有效保证所有安全策略与安全配置是合规及安全的,因此阿里云会做定期合规审查。

另一方面,需要有对应的产品和技术能力来确保所有安全策略被有效执行。很多安全事件的发生都是因为员工疏忽开放了端口导致被攻击者利用,从而获取到相应的数据。阿里云提供了相应的工具帮助用户检查所有产品侧的安全配置和策略,以做到持续化、常态化的安全合规和安全策略的有效运行。

统一身份认证授权

每一个企业都需要非常完善的统一的身份认证授权体系。以前企业所有的应用系统都在线下机房,可以通过一些简单的身份认证授权系统来确保数据安全。但是随着移动互联网、云计算、SaaS化服务的发展,企业不同的应用系统可能会分布在IDC机房、云上、网盘等不同的地方,数据会在之间相互流动,这对企业如何做好统一身份认证授权提出了很大挑战。最常见的数据安全事件就是离职员工对应的系统权限没有及时删除,最后导致数据泄露。

阿里云在权限管理方面投入了大量的资源,确保每一个转岗或离职员工在应用系统中的权限可以一键删除或者一键转移,以确保不会因内部权限管理问题而造成数据损失。

全方位数据加密与日志审计

阿里云平台具备全链路数据加密能力来保障用户的数据安全,也是国内唯一支持SGX可信加密环境的平台。在使用层,阿里云安全提供用户多级授权可控的RAM,以及全透明化管理日志审计等产品。

目前达摩院在数据加密方面投入了大量资源,以做到用户在所有的云产品的数据实现默认加密,秘钥由用户自己管理。未来,阿里云会把数据加密性能、稳定性做到最高,成本降到最低,以降低用户上云后数据安全的焦虑感。

数据防泄漏

阿里云为用户提供了从数据识别到数据防泄漏、异常行为分析检测等一套完整的敏感数据保护能力,让云上用户能够清晰的了解到自己的数据存放在哪里,被哪些人访问,是否存在安全风险等等,以提升云上用户整体数据安全水位,有效降低数据泄露风险。

云原生优势让数据安全体系更强壮

云底层技术的变化导致了安全体系的不同,基于云原生优势诞生的安全能力可以帮助用户解决很多原来无法解决的问题。例如,阿里云会为用户提供镜像快照功能,一旦用户遇到勒索软件,根本不需要做对抗和解密,只需要用之前的快照镜像恢复数据即可。

淘宝和天猫在全国有多个机房,经过实测,若随机关掉其中一个机房电源,业务还是可以继续运行。“我们会用实践持续验证容灾能否持续强壮,并将这种同等级别的高安全能力给到云上用户,帮助用户建立更强壮的安全体系。”肖力表示。

相关文章
|
XML 运维 监控
【共读】企业信息安全建设与运维指南(二)
【共读】企业信息安全建设与运维指南(二)
1308 0
【共读】企业信息安全建设与运维指南(二)
|
安全 大数据 云计算
内附PPT下载 | 肖力:企业安全体系发展与最佳实践
阿里巴巴副总裁、阿里云安全事业部总经理、阿里巴巴集团第一位安全工程师肖力为大家带来企业安全体系发展与最佳实践的介绍。内容包括企业安全体系的演变,阿里在整个企业安全体系各个基础风险域当中的一些最佳实践,以及云计算对安全体系的影响。
2767 0
|
12月前
|
关系型数据库 应用服务中间件 nginx
Docker一键安装中间件(RocketMq、Nginx、MySql、Minio、Jenkins、Redis)
本系列脚本提供RocketMQ、Nginx、MySQL、MinIO、Jenkins和Redis的Docker一键安装与配置方案,适用于快速部署微服务基础环境。
|
机器学习/深度学习 Kubernetes 监控
Kubernetes 节点故障自愈方案:结合 Node Problem Detector 与自动化脚本
本文深入探讨了Kubernetes节点故障自愈方案,结合Node Problem Detector(NPD)与自动化脚本,提供技术细节、完整代码示例及实战验证。文章分析了硬件、系统和内核层面的典型故障场景,指出现有监控体系的局限性,并提出基于NPD的实时事件捕获与自动化诊断树的改进方案。通过深度集成NPD、设计自动化修复引擎以及展示内核死锁恢复的实战案例,文章详细说明了自愈流程的实现步骤与性能优势。此外,还提供了生产环境部署指南、高可用架构设计及安全防护措施,并展望了机器学习增强故障预测和混沌工程验证的进阶优化方向。全文约1.2万字,适合希望提升Kubernetes集群稳定性的技术人员阅读。
825 2
|
SQL 关系型数据库 数据库
实时计算 Flink版操作报错之使用SQL 将 PostgreSQL 的 date 类型字段转换为 TIMESTAMP 类型时遇到报错,该如何处理
在使用实时计算Flink版过程中,可能会遇到各种错误,了解这些错误的原因及解决方法对于高效排错至关重要。针对具体问题,查看Flink的日志是关键,它们通常会提供更详细的错误信息和堆栈跟踪,有助于定位问题。此外,Flink社区文档和官方论坛也是寻求帮助的好去处。以下是一些常见的操作报错及其可能的原因与解决策略。
|
资源调度 前端开发 JavaScript
Python学习二:Python包管理器pip
这篇文章介绍了Python包管理器pip的基本概念、基本操作、如何更改下载源为国内镜像以加速下载,以及如何指定安装包的位置。
903 0
Python学习二:Python包管理器pip
|
机器学习/深度学习 分布式计算 算法
使用Spark进行机器学习
【5月更文挑战第2天】使用Spark进行机器学习
407 2
|
人工智能 文字识别 物联网
新一代端侧模型,面壁 MiniCPM 2.0开源,魔搭社区最佳实践
MiniCPM-V 2.0 不仅带来优秀端侧多模态通用能力,更带来惊艳的 OCR 表现。通过自研的高清图像解码技术,可以突破传统困境,让更为精准地识别充满纷繁细节的街景、长图在端侧成为可能。
|
测试技术 持续交付 Docker
Docker in Docker原理与实战
Docker in Docker原理与实战
1388 0
|
Python
学习阿里云RPA
学习阿里云RPA
789 1