阿里云安全月专题页链接:https://developer.aliyun.com/topic/securityapril
一、存储面临的安全新挑战
1、 安全合规成为必选项
2017 年 6 月 1 日,《中华人民共和国网络安全法》正式实施,这是中国建立严格的网络治理指导方针的一个重要里程碑。 2019年5月13日,《网络安全等级保护基本要求》等相关国家标准正式发布,宣告“等保2.0”时代的到来。此外,《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》、《互联网个人信息安全保护指南》、《个人信息和重要数据出境安全评估办法》、《密码法》等陆续出台。2018年欧盟颁布的《通用数据保护条例》(GDPR)堪称史上最严厉、最翔实的一部保护用户数据安全的法律。2020年1月起,美国加州的消费者隐私法案(CCPA)也正式生效,该法案将对所有和美国加州居民有关的数据商业行为进行监管。
随着世界各国法律法规的相继推出,数据安全保护的重视程度逐渐加深。在采集、应用、存储过程中,数据安全保护和隐私保护不再是可选项。
2、来自黑客及勒索病毒的威胁
层出不穷的黑客及勒索病毒的攻击也对数据安全带来极大挑战。根据360安全大脑发布的《2月份勒索病毒疫情分析报告》显示, GlobeImposter、phobos、Crysis等长期存在的勒索病毒与新出现的HackedSecret,Makop等新型勒索病毒正在瞄准各大系统发起猛烈攻击。
软件厂家以及云服务提供商需要不断增强对勒索软件的检测,防止备份数据的再次感染,同时,反勒索软件技术需要从检测和预警已经发生的攻击发展为在入侵之前就可以识别恶意代码,保证备份数据的安全性。
3、 人为因素的破坏性巨大
人为因素对数据安全造成的破坏性往往被忽略了。从企业内部来看,这些人为因素包括技术的选型不当,安全意识淡薄,没有备份及容灾规划;流程层面,权限设置不当,存在特权用户等等。人为操作导致的服务崩溃或删除核心数据库的行为时有发生,这些行为都给企业运营能力和行业竞争力带来永久性的损害。
4、 新数据安全技术
数据共享平台依托于中心化的数据交换机制,在个人隐私保护上存在过程复杂、成本高、效率低等问题,因此,数据安全需要新的数字技术予以赋能,例如需要人工智能技术实现更为高效的数据安全治理,助力数据大规模安全应用,有力推动经济社会数字化转型升级。
二、阿里云在存储领域的最佳安全实践
1、精细化的权限管理,保障数据访问的安全
数据的访问权限规定了何人、何时以何种方式获得数据,访问权限的管理是一种有效的数据保护方式。
阿里云存储产品支持文件系统标准的目录/文件权限操作,并支持用户/组的读/写/执行权限,支持VPC 挂载点和经典网络挂载点,并只允许同一 VPC 内或同一账号下的 ECS 实例访问其文件系统。同时提供了权限组功能,通过白名单添加权限组规则,允许指定的 IP 地址或网段访问文件系统,并可以给不同的 IP 地址或网段授予不同级别的细粒度访问权限。 这些方式,有效的实现了数据访问的权限控制,让数据更加安全。
2、多种数据加密方式,保障数据全链路安全
数据加密是最常用的数据安全方式,可以在源端、备端以及传输渠道进行加密。其中,核心的问题是密钥如何保存、如何使用等问题。
在数据存储阶段,借助阿里云对象存储产品多次读取特性,允许用户以“不可篡改、不可删除”的方式进行云上数据合规保存。数据加密功能涵盖客户端加密、服务端加密,并支持用户以自有密钥方式进行加密,大大提升数据安全与合规能力。
同时,阿里云推出内部操作透明化服务,让用户对云平台侧的操作日志可见可控,提升用户对阿里云的信任感和安全感。
在数据传输阶段,借助阿里云文件存储产品,可以实现传输加密、落盘加密,而且可以通过托管密钥、自有密钥加密,充分保证数据在传输中的安全性。同时,为了保障用户数据的隐私性和自主性,阿里云块存储与阿里云密钥管理服务做了深度集成,用户通过云盘加密即可实现隐私数据的一键保护。
3、操作记录可追溯,保障异常行为有迹可查
谁访问了数据,什么时间什么地点做了什么操作,对于云上用户来说非常重要。尤其是当发生安全事件时,通过查询历操作记录可以快速定位事件源头,找出是内鬼作案还是外部攻击,及时止损。
为此,阿里云为云上用户提供了操作日志存储服务,数据的拥有者可以通过阿里云存储控制台为其所拥有的数据开启访问日志记录功能。当开启访问日志记录功能后,可将访问日志以小时为单位,按照固定的命名规则,自动生成一个对象写入用户指定的地方。用户可以直接使用阿里云数据湖解决方案或搭建 Spark 集群等方式对这些日志文件进行分析。同时,用户可以配置目标数据的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。
实时日志查询功能将存储与日志服务相结合,允许用户在控制台直接查询相关访问日志,帮助用户完成数据的访问的操作审计、访问统计、异常事件回溯和问题定位等工作。
为保证用户日志数据的安全,日志服务 API 的所有 HTTP 请求都必须经过安全验证,安全验证基于阿里云的访问密钥,使用对称加密算法完成,防止用户日志被篡改,全面提升SLS日志安全性和合规性。
4、强大的备份与容灾能力,有效抵御勒索病毒
勒索病毒仍然是对企业数据安全造成危害最大的一种黑客攻击行为,数据一旦被加密,除了缴纳赎金,基本上很难对数据进行解密。同时机房故障、自然灾害、人为误删除等原因也会造成数据安全风险和业务中断。而云天然的资源优势为解决这些问题提供了很好的前提条件。
阿里云为用户提供了具备多版本功能的存储产品,使得用户可保留、恢复文件的历史版本,且可设置历史版本保留时间。一旦发生数据被勒索病毒加密,或人为原因导致的数据丢失和损坏,可以通过恢复历史版本,保障业务不受影响。
2018年6月,阿里云正式发布了国内第一家云原生混合云备份服务和混合云容灾服务,提供云上备份与容灾的保护能力,客户可实现灾备方案的分钟级部署,同时,阿里云国内首次推出了具有同城三可用区域部署能力的存储产品,可满足企业级客户对于发生机房级灾难事件时数据不丢、业务不断的需求。
相比于建设线下同城容灾机房,对象存储同城区域冗余存储提供99.95%的可用性SLA指标、12个9 数据可靠性和一键部署云上同城容灾服务能力,结合“跨区域复制”能力,可实现机房、同城、跨地域三级完整的容灾服务能力。
5、存储与AI的融合创新
保护数据隐私的AI安全技术是在分布式计算和信息安全范畴上进行推展,为网络协作计算提供一种新的计算模式。可以通过多种技术结合保护数据安全,包括安全多方计算、差分隐私、动态加密、加密搜索与计算等。阿里云存储产品正在基于人工智能等相关技术,驱动存储数据安全治理迈向自动化、智能化。与此同时,阿里云存储将于阿里达摩院深度合作,进一步探索如何降低信任成本与财务成本,充分发挥数据的价值。
目前,阿里云已经为政府组织、互联网、金融、医疗、教育等多少行业百万级客户提供存储服务,全球部署规模已经超过100EB。阿里云致力于为用户提供“稳定、安全、可靠、易用”的存储服务。
未来,阿里云将继续以客户需求为本,不断精进存储技术和产品的打磨,为客户创造更多价值,让客户享受云计算带来的技术和服务红利。