阿裡雲安全肖力：雲上資料安全體系建設的六要素

Gartner指出，雲服務的安全性與大多數企業資料中心一樣好甚至更好，安全性不應再被視為使用公共雲服務的主要障礙，到2020年，與傳統資料中心相比，公共雲的安全能力将幫助企業至少減少60%的安全事件。

高等級的雲上資料安全體系到底是如何做的？6月29日，在第二屆資料安全峰會上，阿裡雲智能安全事業部總經理肖力給出了答案。肖力指出，雲上資料安全建設是一個系統工程，最主要的六大方面是減少攻擊面、正确的産品安全政策配置、統一的身份認證授權、資料加密、資料防洩漏、日志審計。

阿裡雲智能安全事業部總經理肖力

減少攻擊面

要確定整個雲上資料安全，首先要做的就是減少企業的受攻擊面。阿裡雲的大量實戰經驗證明，減少受攻擊面對整個安全體系非常關鍵，這包括通過雲防火牆實作東西南北向流量的實時監控、通過入侵防禦系統（IPS）守住入口并且收斂入口等等，進而達到縮小整個風險敞口的目的。

正确雲産品安全配置

一方面，安全是一個持續化的過程，今天安全不代表明天安全，今天合規不代表明天合規，是以合規體系也是定期審查制，并且要做到常态化合規，進而有效保證所有安全政策與安全配置是合規及安全的，是以阿裡雲會做定期合規審查。

另一方面，需要有對應的産品和技術能力來確定所有安全政策被有效執行。很多安全事件的發生都是因為員工疏忽開放了端口導緻被攻擊者利用，進而擷取到相應的資料。阿裡雲提供了相應的工具幫助使用者檢查所有産品側的安全配置和政策，以做到持續化、常态化的安全合規和安全政策的有效運作。

統一身份認證授權

每一個企業都需要非常完善的統一的身份認證授權體系。以前企業所有的應用系統都線上下機房，可以通過一些簡單的身份認證授權系統來確定資料安全。但是随着移動網際網路、雲計算、SaaS化服務的發展，企業不同的應用系統可能會分布在IDC機房、雲上、網盤等不同的地方，資料會在之間互相流動，這對企業如何做好統一身份認證授權提出了很大挑戰。最常見的資料安全事件就是離職員工對應的系統權限沒有及時删除，最後導緻資料洩露。

阿裡雲在權限管理方面投入了大量的資源，確定每一個轉崗或離職員工在應用系統中的權限可以一鍵删除或者一鍵轉移，以確定不會因内部權限管理問題而造成資料損失。

全方位資料加密與日志審計

阿裡雲平台具備全鍊路資料加密能力來保障使用者的資料安全，也是國内唯一支援SGX可信加密環境的平台。在使用層，阿裡雲安全提供使用者多級授權可控的RAM，以及全透明化管理日志審計等産品。

目前達摩院在資料加密方面投入了大量資源，以做到使用者在所有的雲産品的資料實作預設加密，秘鑰由使用者自己管理。未來，阿裡雲會把資料加密性能、穩定性做到最高，成本降到最低，以降低使用者上雲後資料安全的焦慮感。

資料防洩漏

阿裡雲為使用者提供了從資料識别到資料防洩漏、異常行為分析檢測等一套完整的敏感資料保護能力，讓雲上使用者能夠清晰的了解到自己的資料存放在哪裡，被哪些人通路，是否存在安全風險等等，以提升雲上使用者整體資料安全水位，有效降低資料洩露風險。

雲原生優勢讓資料安全體系更強壯

雲底層技術的變化導緻了安全體系的不同，基于雲原生優勢誕生的安全能力可以幫助使用者解決很多原來無法解決的問題。例如，阿裡雲會為使用者提供鏡像快照功能，一旦使用者遇到勒索軟體，根本不需要做對抗和解密，隻需要用之前的快照鏡像恢複資料即可。

淘寶和天貓在全國有多個機房，經過實測，若随機關掉其中一個機房電源，業務還是可以繼續運作。“我們會用實踐持續驗證容災能否持續強壯，并将這種同等級别的高安全能力給到雲上使用者，幫助使用者建立更強壯的安全體系。”肖力表示。