阿里云資深安全專家黃瑞瑞

本方案的目標是為用戶提供從底層云平臺數(shù)據(jù)安全到上層的云上環(huán)境保護，并標明各層次模塊，讓用戶可以像建房子一樣，一層層的搭建可信的在云上數(shù)據(jù)的安全保護。在各橫向?qū)哟文K之外，云上數(shù)據(jù)安全也需要縱向的認證、授權(quán)、訪問控制和日志審計功能，從而為客戶提供可控和合規(guī)的云上數(shù)據(jù)安全保護方案。

云上數(shù)據(jù)保護方案

整體而言，云上的數(shù)據(jù)安全保護方案需要做到三點原則：可信、可控、合規(guī)。換言之，只有在可信和可控的云上環(huán)境中，提供合規(guī)的數(shù)據(jù)安全保護方案才能真正做到為客戶提供最頂級的數(shù)據(jù)保護。會上，黃瑞瑞針對這三點原則做出了針對性的技術(shù)介紹和討論。

阿里云在云平臺層面為客戶提供默認高安全等級的基礎(chǔ)設(shè)施能力，使客戶可以放心的將數(shù)據(jù)存放和計算在可信的云平臺上。值得特別指出的是，阿里云在云平臺層面會對硬件和固件的安全進行加固和掃描，并使用TPM2.0技術(shù)來提供可信的度量和證明云平臺底層的安全計算環(huán)境。同時阿里云具備基于硬件加密機（HSM）和芯片級別（SGX ）的安全計算能力。

阿里云基礎(chǔ)設(shè)施安全能力

在云產(chǎn)品層面，數(shù)據(jù)安全主要體現(xiàn)在云產(chǎn)品提供可信的數(shù)據(jù)加密能力、備份能力和校驗?zāi)芰Α?#xff0c;黃瑞瑞對于云產(chǎn)品的加密能力進行了針對性的講解，并向參會嘉賓特別介紹了阿里云的全鏈路加密能力。全鏈路加密顧名思義是指針對數(shù)據(jù)加密在傳輸鏈路，以及計算和存儲節(jié)點提供對應(yīng)的業(yè)界高級別加密能力。傳輸加密主要依賴SSL/TLS加密并提供AES256強度的加密保護。計算節(jié)點中阿里云在2017年即開始提供芯片級SGX加密計算環(huán)境（在提供SGX能力的云廠商中，阿里云為亞洲第一、世界第二提供此能力的廠商）。在存儲加密環(huán)節(jié)，阿里云不但能提供高強度（AES256）的數(shù)據(jù)落盤加密能力，更通過密鑰管理服務(wù)（KMS）提供用戶自帶密鑰（BYOK）功能。聯(lián)合KMS密鑰管理，阿里云可以為用戶提供全鏈路的數(shù)據(jù)加密保護。

數(shù)據(jù)全鏈路加密

整體來說，數(shù)據(jù)加密操作流程是明文數(shù)據(jù)經(jīng)由國際國內(nèi)公認的安全算法計算得出數(shù)據(jù)密文。在加密操作中，被安全保護和管理的密鑰是加密保護的充分而必要的條件。換言之，控制了密鑰，也就控制了整體加密操作的主動權(quán)。早在2015年阿里云就在業(yè)內(nèi)首個發(fā)起“數(shù)據(jù)保護倡議”，并在倡議中明確用戶數(shù)據(jù)所有權(quán)歸屬用戶，云計算平臺不得擅自移作它用。因此，用戶自帶密鑰（BYOK）功能是阿里云致力于保護用戶隱私和將數(shù)據(jù)控制權(quán)進一步交給客戶的重要技術(shù)手段。由于用戶自帶主密鑰為用戶資源，而任何調(diào)用需通過用戶授權(quán)（通過阿里云RAM服務(wù)），用戶對于加密后數(shù)據(jù)的使用有了完全自主的控制權(quán)和主動權(quán)。同時，任何對于用戶資源的調(diào)用都會在日志審計中完整的顯示出來，因此加密后數(shù)據(jù)的云上使用透明性也有了更好的保障。

在云上數(shù)據(jù)安全保護層面，黃瑞瑞提出了敏感數(shù)據(jù)保護的三個技術(shù)點，包括分類分級（敏感數(shù)據(jù)鑒別）、訪問控制和防泄漏能力。在分類分級技術(shù)點中，今天的正態(tài)規(guī)則引擎雖然能識別規(guī)則的敏感數(shù)據(jù)格式，但針對日益嚴格的用戶隱私保護需求和法律法規(guī)，人工智能（AI）引擎也必須被高效的利用起來。今天的AI引擎可以和規(guī)則引擎相配合，利用規(guī)則引擎的低誤報率來降低其誤報率并在規(guī)則引擎的基礎(chǔ)上提供更加智能的數(shù)據(jù)鑒別能力。當敏感數(shù)據(jù)被鑒別出來后，云服務(wù)應(yīng)當提供細粒度的訪問控制，尤其應(yīng)提供在用戶屬性基礎(chǔ)上針對數(shù)據(jù)本身敏感屬性的訪問控制能力。最后，敏感數(shù)據(jù)的防泄漏能力必須在網(wǎng)絡(luò)、終端和應(yīng)用各個層面完整的提供。整體而言，云上數(shù)據(jù)安全保護應(yīng)當提供從鑒別數(shù)據(jù)、控制數(shù)據(jù)訪問和防止泄露能力上提供全面的保護。

敏感數(shù)據(jù)保護的三個技術(shù)點

在阿里云提供了可信和可控的數(shù)據(jù)保護技術(shù)手段的前提下，更進一步獲得了中國和國際上的各大權(quán)威合規(guī)認證。目前阿里云已經(jīng)成為合規(guī)資質(zhì)最全的亞太云服務(wù)提供商，是亞太首家獲得德國C5和ISO27001認證的企業(yè)，中國首家獲得MTCS Level3和ISO 20000認證的企業(yè)，并為世界互聯(lián)網(wǎng)大會、G20峰會、“一帶一路”高峰論壇等多個國際重大活動，提供高等級網(wǎng)絡(luò)安全護航。

阿里云獲得的合規(guī)認證

阿里云的安全使命是將云上安全做到極致，提供更堅固，更強壯的安全能力給用戶堅實的后盾，解放用戶使其能專注本身的業(yè)務(wù)問題。尤其在數(shù)據(jù)保護層面，必須為用戶提供最有力的全面安全保護能力。“我們的目標是當用戶考慮上云時，不再考慮由于安全能否上云，而是確認正是因為安全而必須上云?！秉S瑞瑞最后表示。

?

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的奉上一份云上数据安全保护指南的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。