高等級的雲上資料安全體系到底是如何做的？6月29日，在第二屆資料安全峰會上，阿里雲智慧安全事業部總經理肖力給出了答案。肖力指出，雲上資料安全建設是一個系統工程，最主要的六大方面是減少攻擊面、正確的產品安全策略配置、統一的身份認證授權、資料加密、資料防洩漏、日誌審計。

阿里雲智慧安全事業部總經理肖力

減少攻擊面

要確保整個雲上資料安全，首先要做的就是減少企業的受攻擊面。阿里雲的大量實戰經驗證明，減少受攻擊面對整個安全體系非常關鍵，這包括通過雲防火牆實現東西南北向流量的實時監控、通過入侵防禦系統（IPS）守住入口並且收斂入口等等，從而達到縮小整個風險敞口的目的。

正確雲產品安全配置

一方面，安全是一個持續化的過程，今天安全不代表明天安全，今天合規不代表明天合規，所以合規體系也是定期審查制，並且要做到常態化合規，從而有效保證所有安全策略與安全配置是合規及安全的，因此阿里雲會做定期合規審查。

另一方面，需要有對應的產品和技術能力來確保所有安全策略被有效執行。很多安全事件的發生都是因為員工疏忽開放了埠導致被攻擊者利用，從而獲取到相應的資料。阿里雲提供了相應的工具幫助使用者檢查所有產品側的安全配置和策略，以做到持續化、常態化的安全合規和安全策略的有效執行。

統一身份認證授權

每一個企業都需要非常完善的統一的身份認證授權體系。以前企業所有的應用系統都線上下機房，可以通過一些簡單的身份認證授權系統來確保資料安全。但是隨著移動網際網路、雲端計算、SaaS化服務的發展，企業不同的應用系統可能會分佈在IDC機房、雲上、網盤等不同的地方，資料會在之間相互流動，這對企業如何做好統一身份認證授權提出了很大挑戰。最常見的資料安全事件就是離職員工對應的系統許可權沒有及時刪除，最後導致資料洩露。

阿里雲在許可權管理方面投入了大量的資源，確保每一個轉崗或離職員工在應用系統中的許可權可以一鍵刪除或者一鍵轉移，以確保不會因內部許可權管理問題而造成資料損失。

全方位資料加密與日誌審計

阿里雲平臺具備全鏈路資料加密能力來保障使用者的資料安全，也是國內唯一支援SGX可信加密環境的平臺。在使用層，阿里雲安全提供使用者多級授權可控的RAM，以及全透明化管理日誌審計等產品。

目前達摩院在資料加密方面投入了大量資源，以做到使用者在所有的雲產品的資料實現預設加密，祕鑰由使用者自己管理。未來，阿里雲會把資料加密效能、穩定性做到最高，成本降到最低，以降低使用者上雲後資料安全的焦慮感。

資料防洩漏

阿里云為使用者提供了從資料識別到資料防洩漏、異常行為分析檢測等一套完整的敏感資料保護能力，讓雲上使用者能夠清晰的瞭解到自己的資料存放在哪裡，被哪些人訪問，是否存在安全風險等等，以提升雲上使用者整體資料安全水位，有效降低資料洩露風險。

雲原生優勢讓資料安全體系更強壯

雲底層技術的變化導致了安全體系的不同，基於雲原生優勢誕生的安全能力可以幫助使用者解決很多原來無法解決的問題。例如，阿里雲會為使用者提供映象快照功能，一旦使用者遇到勒索軟體，根本不需要做對抗和解密，只需要用之前的快照映象恢復資料即可。

淘寶和天貓在全國有多個機房，經過實測，若隨機關掉其中一個機房電源，業務還是可以繼續執行。“我們會用實踐持續驗證容災能否持續強壯，並將這種同等級別的高安全能力給到雲上使用者，幫助使用者建立更強壯的安全體系。”肖力表示。

本文作者：阿里雲頭條

原文連結

本文為雲棲社群原創內容，未經