奉上一份云上数据安全保护指南

摘要: 在数字化转型的浪潮下,无论哪种云的形态,都是企业战略转型的机遇。随着越来越多的数据变得在线,作为云服务商,不能只满足提供“点”上的数据保护技术,而需要为客户提供一整套的数据安全架构方案。在近日举办的2018天府国际网络安全高峰论坛上,阿里云资深安全专家黄瑞瑞提出了从底层云平台到上层云上环境的整体云上数据安全架构方案。

阿里云资深安全专家黄瑞瑞

本方案的目标是为用户提供从底层云平台数据安全到上层的云上环境保护,并标明各层次模块,让用户可以像建房子一样,一层层的搭建可信的在云上数据的安全保护。在各横向层次模块之外,云上数据安全也需要纵向的认证、授权、访问控制和日志审计功能,从而为客户提供可控和合规的云上数据安全保护方案。

云上数据保护方案

整体而言,云上的数据安全保护方案需要做到三点原则:可信、可控、合规。换言之,只有在可信和可控的云上环境中,提供合规的数据安全保护方案才能真正做到为客户提供最顶级的数据保护。会上,黄瑞瑞针对这三点原则做出了针对性的技术介绍和讨论。

阿里云在云平台层面为客户提供默认高安全等级的基础设施能力,使客户可以放心的将数据存放和计算在可信的云平台上。值得特别指出的是,阿里云在云平台层面会对硬件和固件的安全进行加固和扫描,并使用TPM2.0技术来提供可信的度量和证明云平台底层的安全计算环境。同时阿里云具备基于硬件加密机(HSM)和芯片级别(SGX )的安全计算能力。

阿里云基础设施安全能力

在云产品层面,数据安全主要体现在云产品提供可信的数据加密能力、备份能力和校验能力。会上,黄瑞瑞对于云产品的加密能力进行了针对性的讲解,并向参会嘉宾特别介绍了阿里云的全链路加密能力。全链路加密顾名思义是指针对数据加密在传输链路,以及计算和存储节点提供对应的业界高级别加密能力。传输加密主要依赖SSL/TLS加密并提供AES256强度的加密保护。计算节点中阿里云在2017年即开始提供芯片级SGX加密计算环境(在提供SGX能力的云厂商中,阿里云为亚洲第一、世界第二提供此能力的厂商)。在存储加密环节,阿里云不但能提供高强度(AES256)的数据落盘加密能力,更通过密钥管理服务(KMS)提供用户自带密钥(BYOK)功能。联合KMS密钥管理,阿里云可以为用户提供全链路的数据加密保护。

数据全链路加密

整体来说,数据加密操作流程是明文数据经由国际国内公认的安全算法计算得出数据密文。在加密操作中,被安全保护和管理的密钥是加密保护的充分而必要的条件。换言之,控制了密钥,也就控制了整体加密操作的主动权。早在2015年阿里云就在业内首个发起“数据保护倡议”,并在倡议中明确用户数据所有权归属用户,云计算平台不得擅自移作它用。因此,用户自带密钥(BYOK)功能是阿里云致力于保护用户隐私和将数据控制权进一步交给客户的重要技术手段。由于用户自带主密钥为用户资源,而任何调用需通过用户授权(通过阿里云RAM服务),用户对于加密后数据的使用有了完全自主的控制权和主动权。同时,任何对于用户资源的调用都会在日志审计中完整的显示出来,因此加密后数据的云上使用透明性也有了更好的保障。

在云上数据安全保护层面,黄瑞瑞提出了敏感数据保护的三个技术点,包括分类分级(敏感数据鉴别)、访问控制和防泄漏能力。在分类分级技术点中,今天的正态规则引擎虽然能识别规则的敏感数据格式,但针对日益严格的用户隐私保护需求和法律法规,人工智能(AI)引擎也必须被高效的利用起来。今天的AI引擎可以和规则引擎相配合,利用规则引擎的低误报率来降低其误报率并在规则引擎的基础上提供更加智能的数据鉴别能力。当敏感数据被鉴别出来后,云服务应当提供细粒度的访问控制,尤其应提供在用户属性基础上针对数据本身敏感属性的访问控制能力。最后,敏感数据的防泄漏能力必须在网络、终端和应用各个层面完整的提供。整体而言,云上数据安全保护应当提供从鉴别数据、控制数据访问和防止泄露能力上提供全面的保护。

敏感数据保护的三个技术点

在阿里云提供了可信和可控的数据保护技术手段的前提下,更进一步获得了中国和国际上的各大权威合规认证。目前阿里云已经成为合规资质最全的亚太云服务提供商,是亚太首家获得德国C5和ISO27001认证的企业,中国首家获得MTCS Level3和ISO 20000认证的企业,并为世界互联网大会、G20峰会、“一带一路”高峰论坛等多个国际重大活动,提供高等级网络安全护航。

阿里云获得的合规认证

阿里云的安全使命是将云上安全做到极致,提供更坚固,更强壮的安全能力给用户坚实的后盾,解放用户使其能专注本身的业务问题。尤其在数据保护层面,必须为用户提供最有力的全面安全保护能力。“我们的目标是当用户考虑上云时,不再考虑由于安全能否上云,而是确认正是因为安全而必须上云。”黄瑞瑞最后表示。

原文地址:http://blog.51cto.com/14031893/2325447

时间: 2024-10-03 16:22:36

奉上一份云上数据安全保护指南的相关文章

Eclipse上导出码云上的项目

1.菜单栏File里的import. 2.Git 3.输入码云上的地址 4.选择本地创库位置 5.再次引入本地maven项目 6.选择本地存在的创库位置,勾选上add set

如何保障云上数据安全?一文详解云原生全链路加密

点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者李鹏(壮怀)阿里云容器服务高级技术专家黄瑞瑞? 阿里云技术架构部资深技术专家 导读:对于云上客户而言,其云上数据被妥善的安全保护是其最重要的安全需求,也是云上综合安全能力最具象的体现.本文作者将从云安全体系出发,到云数据安全,再到云原生安全体系对全链路加密进行一次梳理,从而回答:在云原生时代,全链路加密需要做什么?如何做到?以

阿里云上数据统一备份 – 混合云备份服务解析

近年来,随着越来越多的企业从传统经济向数字经济转型,云已经渐渐成为数据经济IT新常态.核心业务系统上云,云上的业务创新,这些都产生了大量的业务数据,这些数据也成为了企业最重要的资产.资源. 任何数据损失都可能对业务带来严重影响,但是勒索病毒,黑客攻击,人为误操作,运维失误,乃至机房灾难的威胁随时可能带来数据损失.备份是数据保护的核心手段,更是等级保护,行业合规的硬性要求. 阿里云混合云备份服务(Hybrid Backup Recovery, 简称HBR)是一种简单易用且高性价比的云备份服务,可以

Oracle 12c dataguard云上挖坑记

--为某机场贵宾业务部署oracle 12c到百度云 项目需求 据称现有环境为多节点RAC,管理成本高,主要体现在没有专业技术人家对基础设施进行维护.迁移到云上以后,基础设施维护就节省掉了.而且后边容量扩充易如反掌,远程维护之类也比物理环境去现场操作方便许多. 但在云上,oracle RAC实现的两个前提条件--共享存储及心跳网络,不被正式支持,因此要在云上部署oracle RAC用于生产环境,不是一个好的解决方案.经过多轮讨论,一致同意在百度云部署单实例oracle 12c,以dataguar

云上安全不容忽视,华为云技术硬实力织成“保护网”

在云计算时代,最值钱的莫过于数据.作为企业的核心资产,各行业对于云上数据信息安全都保持着高度重视.把数据放到云上是否足够安全,已经成为各个企业在上云时考虑最多的问题.近日,工业和信息化部网络安全管理局发布了<关于相关企业网络与信息安全检查结果的公示>.公示显示,工信部对7家电信企业在落实<网络安全法>.<通信网络安全防护办法>.<电信和互联网用户个人信息保护规定>等法律法规情况上进行了实地检查,检查结果表明这7家知名企业均存在问题,并被责令整改.此举可谓为各

云上数据仓库选型指南

前言: 云数据仓库是构建在云上的新一代数据仓库解决方案,如何选择符合企业需求的云数据仓库,选择时应考虑哪些关键问题成为很多企业管理者关心的问题.本文参考TDWI以及Forrester的研究报告内容,对云数据仓库选型参考依据进行介绍,希望能对您在云数据仓库选型时有所帮助. 正文: 云数据仓库的解决方案改变了我们传统的数据平台构建方法.您可以在没有平台技术专家的指导下在几分钟内创建并开始使用数据仓库服务,让企业的数据分析师及其他非技术人员访问并处理大规模的数据以快速获得业务洞察.企业得以在更低的成本

阿里云上配置CentOS安装Git(小沐git安装命令全集整理版)

步骤比较简单 主要是记录下 实现的过程 备忘! 比较详细的教程:http://www.liaoxuefeng.com/wiki/0013739516305929606dd18361248578c67b8067c8c017b000/00137583770360579bc4b458f044ce7afed3df579123eca000 CentOS的yum源中没有git,只能自己编译安装 确保已安装了依赖的包 yum install curl yum install curl-devel yum in

云上安全三字经

阿里云在安全上倡导的是责任共担模型, 简单说就是云平台的安全由阿里云负责, 但云上租户自己的网络.主机.业务.数据的安全,需要租户自己负责,那作为一个租户,具体该怎么做呢? 记得小时候的"三字经"郎朗上口,至今不忘. 因此我就想,云上的安全能否也用3字经的方式表达?即简单又清晰,因此整理了下面9个安全"三字经". 这第1句是:筑堡垒. 就是通过虚拟网络的技术,Virtual Private Cloud,简称VPC,把每个租户的业务系统放到一个私有网络中, 在不同VP

阿里云上部署webservice或者网站,服务器本身测试可以整成使用,但是在其他机器上调用时找不到网页或者webservice

前一段时间做项目时需要用到webservice,开始时在自己的本地机器上创建了webservice,然后在vs2012中发布了这个webservice 然后在iis上配置好以后,本地调用测试开发都可以,项目接近尾声时我们需要把webservice发布到外网上,让其他程序调用, 于是就在阿里云上部署iis和webservice,遇到了很多问题,开始是iis配置错误,然后自己天天百度研究,因为对阿里云不了解,第一次用,所以 很闹心那一段时间,但是还是坚持去研究,后来的后来.请教了一份老师,帮我配置了