奉上一份云上数据安全保护指南

阿里云资深安全专家黄瑞瑞

本方案的目标是为用户提供从底层云平台数据安全到上层的云上环境保护，并标明各层次模块，让用户可以像建房子一样，一层层的搭建可信的在云上数据的安全保护。在各横向层次模块之外，云上数据安全也需要纵向的认证、授权、访问控制和日志审计功能，从而为客户提供可控和合规的云上数据安全保护方案。

云上数据保护方案

整体而言，云上的数据安全保护方案需要做到三点原则：可信、可控、合规。换言之，只有在可信和可控的云上环境中，提供合规的数据安全保护方案才能真正做到为客户提供最顶级的数据保护。会上，黄瑞瑞针对这三点原则做出了针对性的技术介绍和讨论。

阿里云在云平台层面为客户提供默认高安全等级的基础设施能力，使客户可以放心的将数据存放和计算在可信的云平台上。值得特别指出的是，阿里云在云平台层面会对硬件和固件的安全进行加固和扫描，并使用TPM2.0技术来提供可信的度量和证明云平台底层的安全计算环境。同时阿里云具备基于硬件加密机（HSM）和芯片级别（SGX ）的安全计算能力。

阿里云基础设施安全能力

在云产品层面，数据安全主要体现在云产品提供可信的数据加密能力、备份能力和校验能力。会上，黄瑞瑞对于云产品的加密能力进行了针对性的讲解，并向参会嘉宾特别介绍了阿里云的全链路加密能力。全链路加密顾名思义是指针对数据加密在传输链路，以及计算和存储节点提供对应的业界高级别加密能力。传输加密主要依赖SSL/TLS加密并提供AES256强度的加密保护。计算节点中阿里云在2017年即开始提供芯片级SGX加密计算环境（在提供SGX能力的云厂商中，阿里云为亚洲第一、世界第二提供此能力的厂商）。在存储加密环节，阿里云不但能提供高强度（AES256）的数据落盘加密能力，更通过密钥管理服务（KMS）提供用户自带密钥（BYOK）功能。联合KMS密钥管理，阿里云可以为用户提供全链路的数据加密保护。

数据全链路加密

整体来说，数据加密操作流程是明文数据经由国际国内公认的安全算法计算得出数据密文。在加密操作中，被安全保护和管理的密钥是加密保护的充分而必要的条件。换言之，控制了密钥，也就控制了整体加密操作的主动权。早在2015年阿里云就在业内首个发起“数据保护倡议”，并在倡议中明确用户数据所有权归属用户，云计算平台不得擅自移作它用。因此，用户自带密钥（BYOK）功能是阿里云致力于保护用户隐私和将数据控制权进一步交给客户的重要技术手段。由于用户自带主密钥为用户资源，而任何调用需通过用户授权（通过阿里云RAM服务），用户对于加密后数据的使用有了完全自主的控制权和主动权。同时，任何对于用户资源的调用都会在日志审计中完整的显示出来，因此加密后数据的云上使用透明性也有了更好的保障。

在云上数据安全保护层面，黄瑞瑞提出了敏感数据保护的三个技术点，包括分类分级（敏感数据鉴别）、访问控制和防泄漏能力。在分类分级技术点中，今天的正态规则引擎虽然能识别规则的敏感数据格式，但针对日益严格的用户隐私保护需求和法律法规，人工智能（AI）引擎也必须被高效的利用起来。今天的AI引擎可以和规则引擎相配合，利用规则引擎的低误报率来降低其误报率并在规则引擎的基础上提供更加智能的数据鉴别能力。当敏感数据被鉴别出来后，云服务应当提供细粒度的访问控制，尤其应提供在用户属性基础上针对数据本身敏感属性的访问控制能力。最后，敏感数据的防泄漏能力必须在网络、终端和应用各个层面完整的提供。整体而言，云上数据安全保护应当提供从鉴别数据、控制数据访问和防止泄露能力上提供全面的保护。

敏感数据保护的三个技术点

在阿里云提供了可信和可控的数据保护技术手段的前提下，更进一步获得了中国和国际上的各大权威合规认证。目前阿里云已经成为合规资质最全的亚太云服务提供商，是亚太首家获得德国C5和ISO27001认证的企业，中国首家获得MTCS Level3和ISO 20000认证的企业，并为世界互联网大会、G20峰会、“一带一路”高峰论坛等多个国际重大活动，提供高等级网络安全护航。

阿里云获得的合规认证

阿里云的安全使命是将云上安全做到极致，提供更坚固，更强壮的安全能力给用户坚实的后盾，解放用户使其能专注本身的业务问题。尤其在数据保护层面，必须为用户提供最有力的全面安全保护能力。“我们的目标是当用户考虑上云时，不再考虑由于安全能否上云，而是确认正是因为安全而必须上云。”黄瑞瑞最后表示。

原文链接
本文为云栖社区原创内容，未经允许不得转载。

奉上一份云上数据安全保护指南相关推荐

端午将至，VR全景奉上别开生面的“云上”端午节
端午将至,街上早已飘溢着粽子的香气,大家知道端午习俗有哪些吗?除了吃粽子,还有赛龙舟.悬艾蒿.踩露水.佩香囊等.搭乘端午假期的"顺风车",多地都在推出活动吸引游客,各地文旅期望打造 ...
庆科：从安全设计上突破，云上物联网操作系统进化之路
2016年初,Facebook的创始人扎克伯格给自己定了一个小目标: 我要亲自设计一款人工智能,用它来管理自己的家,控制家里的电器,为我的工作提供便利. 一年过去,一个名叫Jarvis的系统出现在公众 ...
云上自动化：云上编排让上云更简单
摘要本文介绍了为什么在一个好的公有云或私有云中必须要有一个编排系统来支持云上自动化,以及实现这个编排系统的困难和各家的努力.同时提供了一套实现编排系统的原型,它包括了理论分析及主体插件框架,还给出一 ...
云上自动化 vs 云上编排
[摘要] 本文介绍了为什么在一个好的公有云或私有云中必须要有一个编排系统来支持云上自动化,以及实现这个编排系统的困难和各家的努力.同时提供了一套实现编排系统的原型,它包括了理论分析及主体插件框架,还给 ...
NSA和CISA联合发布《5G云基础设施安全保护指南》
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士美国关键基础设施安全局 (CISA) 和美国国家安全局 (NSA) 分享了关于保护云原生5G网络安全的指南. 这两家机构为负责构建和配置5G云基 ...
华为云3大体系化防护实践，保障金融业云上数据安全
在华为云城市峰会深圳站上,华为云安全总经理杨松发表演讲,分享了华为云的3个体系化的防护理念和实践,以启发和帮助金融行业完整.系统地构建符合业务需要的安全体系,在云上构建一朵安全的"金融云&q ...
阿里云刘强：无影云电脑构建云上安全办公室
简介:无影云电脑提供触手可及的算力,在云办公.外企办公.分支机构办公.软件开发.人力外包等场景构建云上安全办公室. 2021年12月21日,阿里云弹性计算年度峰会在上海正式举行,并通过全实景进行直播. ...
腾讯云披露退役硬盘销毁流程，强调用户数据安全保护
如果你有一块存储过隐私信息的硬盘即将报废,那你可不能当垃圾随便扔掉,因为这可能会带来隐私泄露,哪怕看上去它们已经被删除. 同理,对于企业来说,如果存放过私密业务数据的硬盘处置不当,将可能导致机密信息的 ...
每秒处理1000万用户请求…云上架构如何实现高性能和高可用
关注我们获得更多精彩内容! 内容来源:2017 年 12 月 21 日,驻云科技资深架构师翟永东在"云时代企业架构的搭建"进行<云上架构如何实现高性能和高可用>演讲分享 ...

奉上一份云上数据安全保护指南

奉上一份云上数据安全保护指南相关推荐

最新文章

热门文章