《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 阿里云上數(shù)據(jù)安全防護“三步曲”

阿里云上數(shù)據(jù)安全防護“三步曲”

2022-03-21
來源:安全牛

  隨著現(xiàn)代企業(yè)數(shù)字化發(fā)展的不斷推進,遠程辦公,、業(yè)務上云已經(jīng)成為常態(tài),,而企業(yè)數(shù)據(jù)資產(chǎn)作為未來企業(yè)發(fā)展的基座,,在運營、存儲,、訪問等一系列流程中也面臨著巨大的安全風險挑戰(zhàn),,如何做好企業(yè)數(shù)據(jù)資產(chǎn)的運營與防護?如何讓企業(yè)放置在云端的數(shù)據(jù)資產(chǎn),,既能“存得住”,,又能“用得好”,還能讓企業(yè)隨時可以“看得見”,?

  為了幫助企業(yè)更好地理解和應對業(yè)務上云后所面臨的數(shù)據(jù)安全風險,,阿里云于2021年云棲大會發(fā)布了《阿里云數(shù)據(jù)安全和隱私保護白皮書》,安全牛日前訪談了白皮書的主創(chuàng)團隊:AIS團隊,、存儲團隊,、云安全團隊、合規(guī)團隊和ECS團隊,,基于阿里云的數(shù)據(jù)安全防護實踐經(jīng)驗,,探討分析云上數(shù)據(jù)保護的體系化建設。

  01

  云上數(shù)據(jù)安全的體系化建設挑戰(zhàn)

  提起數(shù)據(jù)安全,,我們首先想到的會是“資料會不會被竊取,,要如何給敏感信息加密”,但是隨著云計算與大數(shù)據(jù)的發(fā)展,,技術的創(chuàng)新改變了數(shù)據(jù)的使用形態(tài),,特別是在企業(yè)將業(yè)務放到云端以后,云環(huán)境下的數(shù)據(jù)安全防護,,更要結(jié)合國家相關法規(guī)政策的要求以及科技的實際發(fā)展狀況,,面對可用性、安全性以及合規(guī)性這三大維度的安全挑戰(zhàn),,對云上數(shù)據(jù)安全進行全面的,、體系化的治理與保護。

  阿里云專家認為,,企業(yè)業(yè)務上云后,,數(shù)據(jù)資產(chǎn)的安全性成為最受用戶關注的重點之一。云計算環(huán)境下的數(shù)據(jù)安全,,并非單點,,而是體系化的建設工程:從物理基礎設施的建設安防,到平臺層存儲,、網(wǎng)絡,、計算、容災的風險收斂,,再到云上數(shù)據(jù)的安全合規(guī),,貫穿了云上數(shù)據(jù)的采集,、傳輸、存儲,、處理,、交換、銷毀等各流程,。在云上數(shù)據(jù)安全能力構(gòu)建時,,只有保證上述流程的可靠性、安全性和合規(guī)性相輔相成,,才能夠?qū)崿F(xiàn)云上數(shù)據(jù)的多維度深層次安全,,真正構(gòu)建起云上數(shù)據(jù) “合規(guī)、可靠,、安全”的技術生態(tài),,建立用戶信任。

  安全牛了解到,,阿里云成立以來,,始終高度重視云上用戶的數(shù)據(jù)安全,在云設計之初就同步考慮了安全架構(gòu),,不僅將安全的基因植入到整個云平臺和各個云產(chǎn)品中,,更將數(shù)據(jù)安全要求嵌入到了與產(chǎn)品開發(fā)生命周期相關的各個環(huán)節(jié)當中。

  02

  防護“一步曲”:以云基礎架構(gòu)安全能力為依托

  當企業(yè)業(yè)務云化之后,,云端數(shù)據(jù)存儲與傳統(tǒng)數(shù)據(jù)存儲一樣,,都需要面對勒索、泄漏,、誤刪等安全風險,,傳統(tǒng)數(shù)據(jù)存儲所使用的數(shù)據(jù)加密、校驗等手段在云上也同樣適用也是通用的,。云環(huán)境下,災備體系依舊是行之有效的數(shù)據(jù)安全防護手段,。因為無論怎樣高可靠性,、高安全性的服務也不能完全杜絕企業(yè)內(nèi)部人員誤刪和惡意刪除數(shù)據(jù)的情況發(fā)生,所以從安全存儲的角度出發(fā),,最好的手段就是做好容災備份和加密訪問,。云上數(shù)據(jù)存儲具有穩(wěn)定、彈性,、安全,、即開即用等特點,因此云上數(shù)據(jù)災備的方式更簡單,,也降低了整體數(shù)據(jù)災備的成本投入,。

  據(jù)阿里云存儲團隊介紹,,在傳統(tǒng)環(huán)境下完成數(shù)據(jù)的備災,不僅成本高昂,,而且災難恢復效果也難以保證,。相比之下,云存儲的彈性特點優(yōu)勢可以特別容易地應對和解決,,部署困難,、災變突發(fā)性強、危害性大,、操作復雜,、成本高、容災演變無法保障等問題,。同時,,在云災備環(huán)境下,用戶可以通過極小的價值投入完成一系列數(shù)據(jù)的復制,、快照等工作,,經(jīng)濟成本更低,進而讓原本無法承擔高昂的線下IDC機房和硬件產(chǎn)品成本的企業(yè)用戶,,也能夠享受到高水平的,、普惠的備災能力?!?/p>

  業(yè)務云化后,,安全防護手段的最大轉(zhuǎn)變主要在于物理安全層面,因為此時的物理環(huán)境安全是作為云安全服務的一部分來進行管理的,,對于物理環(huán)境下整體運營狀況都是可管可控的,。阿里云AIS團隊表示:”云服務下的物理安全防護是與數(shù)據(jù)中心全生命周期管理相關聯(lián)的,某個服務器是否在運行,,存儲介質(zhì)是否被擦除,、銷毀等異常情況都在管控范圍內(nèi)?!?/p>

  03

  防護”二步曲“:讓云上數(shù)據(jù)責權分明

  很多企業(yè)會擔心云上數(shù)據(jù)的合規(guī)問題,,因為云廠商對于云上數(shù)據(jù)的操作、運維等動作,,完全是個黑盒,,存取過程的不可知,自然會導致應用結(jié)果的不可信,。

  阿里云合規(guī)負責人認為,,云上數(shù)據(jù)合規(guī)的核心目的之一,是提升客戶對于云服務平臺的信任。這種信任的構(gòu)建,,不僅僅依賴于單純的技術,,更需要制度和體系的保障。

  為了保障云上數(shù)據(jù)應用的合規(guī)性,,阿里云始終高度重視以下三個維度的工作:

  一,、明確云上數(shù)據(jù)的權利和義務。

  實現(xiàn)企業(yè)云上數(shù)據(jù)的安全防護不僅僅是云服務商的”獨角戲“,,需要用戶和云服務商共同完成,。阿里云將云上數(shù)據(jù)分為用戶業(yè)務數(shù)據(jù)和用戶隱私數(shù)據(jù),客戶對于這兩類數(shù)據(jù)都擁有絕對的歸屬權和控制權,,未經(jīng)許可,,阿里云不會接觸、操作,、更改客戶數(shù)據(jù),。同時,企業(yè)用戶在具備以上權利的同時,,也承擔著提升安全意識,,積極使用安全防護產(chǎn)品、響應安全防護策略的義務,。用戶和云服務商,,在對云上數(shù)據(jù)的合規(guī)治理和安全防護上,實現(xiàn)了安全責任共擔,。

  二,、對內(nèi)建立不可觸碰的行為紅線。

  在權利與義務之下,,阿里云恪守對用戶的安全承諾,,在內(nèi)部建立了三個統(tǒng)一管理平臺,包括賬號統(tǒng)一管控,、運維統(tǒng)一管理和統(tǒng)一客戶授權管理,。此外,阿里云所有賬號管理遵循最小權限原則,,僅授予員工必要的權限,,同時設置了運維操作紅線。將有限的權限賦予正確的人做正確的事,,才能保護云上數(shù)據(jù)免受未經(jīng)權限的訪問。

  三,、透明是提升信任的最有效手段,。

  雖然云廠商通過種種技術和規(guī)定來證明其數(shù)據(jù)的安全性,但是仍有一個核心問題:云上操作的數(shù)據(jù)黑盒,。盡管云服務商會邀請第三方審計機構(gòu),,不定期對內(nèi)部進行管控和審計,,但是客戶的疑問依舊會存在。為了解決這個問題,,阿里云在內(nèi)部發(fā)起了”水晶計劃“,,將云內(nèi)部人為的操作日志,徹底開放給客戶,??蛻艨梢酝ㄟ^訂閱的方式,在任何他想訪問的時刻來獲得阿里云內(nèi)部的運維操作日志,,將黑盒變成白盒,。

  04

  防護”三步曲“:以先進技術賦能數(shù)據(jù)應用安全

  云上數(shù)據(jù)的安全防護同樣需要貫穿數(shù)據(jù)的采集、傳輸,、存儲,、處理、交換直至銷毀這一完整生命周期,。

  在數(shù)據(jù)的采集和分類分級階段,,阿里云會通過OCR技術,針對企業(yè)用戶的數(shù)據(jù)資產(chǎn),,分別從內(nèi)容特征,、特征萃取、語義特征,、統(tǒng)計特征幾大角度出發(fā),,對結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)數(shù)據(jù),、圖片文件以及敏感數(shù)據(jù)進行分類分級,,尤其對于敏感數(shù)據(jù),云服務商會針對這類數(shù)據(jù)基于關鍵詞,、數(shù)據(jù)列表名等制定自定義識別規(guī)則,,以幫助企業(yè)用戶實現(xiàn)數(shù)據(jù)資產(chǎn)的有效管理。

  在數(shù)據(jù)的傳輸和存儲階段,,阿里云通過SSL/TLS協(xié)議,、云加密服務(CloudHSM)和密鑰管理服務(KMS),即可實現(xiàn)傳輸層,、傳輸層應用,、存儲層、存儲層應用的安全防護,。同時,,阿里云也提供給客戶數(shù)據(jù)在交換過程中的動態(tài)、靜態(tài)脫敏,幫助客戶實現(xiàn)明文與密文之間的平滑切換,、避免因開發(fā)測試或外部人員直接訪問帶來的數(shù)據(jù)泄漏,。

  為了保證數(shù)據(jù)不被惡意使用,阿里云平臺建設了完善的身份認證體系,,包括云平臺賬號密碼驗證,、API訪問密鑰(Access Key)、多因素認證(MFA)設備,、安全令牌(STS Token)等目前常用的身份認證手段,。

  針對云上數(shù)據(jù)安全防護的新需求,大量新興安全技術也在不斷應用,。以機密計算為例,,這是一種新生的、適用于數(shù)據(jù)處理和預算階段的有效防護手段,,借助硬件芯片技術通過一種”可用不可見“的形式讓數(shù)據(jù)在安全的環(huán)境中進行預算和處理,,可以有效解決數(shù)據(jù)預算過程中的防泄密問題。

  阿里云機密計算團隊表示:機密計算不僅可以對數(shù)據(jù)的計算處理進行安全防護,,對于隱私數(shù)據(jù)保護也十分有利,。相比密碼算法等傳統(tǒng)方式,機密計算是目前在工程上可落地的,、解決大規(guī)模數(shù)據(jù)隱私計算的有效方法,,它能夠為用戶提供全加密數(shù)據(jù)庫,在云上更好地實現(xiàn)數(shù)據(jù)安全保護,。目前,,阿里云的ACK-TEE、全加密數(shù)據(jù)庫,、Datatrust等產(chǎn)品已經(jīng)開始基于機密計算技術,,來為云上用戶提供更先進的數(shù)據(jù)安全防護能力。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。