阿里雲安全肖力雲上資料安全體系建設的六要素

gartner指出，雲服務的安全性與大多數企業資料中心一樣好甚至更好，安全性不應再被視為使用公共雲服務的主要障礙，到2023年，與傳統資料中心相比，公共雲的安全能力將幫助企業至少減少60%的安全事件。

高等級的雲上資料安全體系到底是如何做的？6月29日，在第二屆資料安全峰會上，阿里雲智慧型安全事業部總經理肖力給出了答案。肖力指出，雲上資料安全建設是乙個系統工程，最主要的六大方面是減少攻擊面、正確的產品安全策略配置、統一的身份認證授權、資料加密、資料防洩漏、日誌審計。

阿里雲智慧型安全事業部總經理肖力

減少攻擊面

要確保整個雲上資料安全，首先要做的就是減少企業的受攻擊面。阿里雲的大量實戰經驗證明，減少受攻擊面對整個安全體系非常關鍵，這包括通過雲防火牆實現東西南北向流量的實時監控、通過入侵防禦系統（ips）守住入口並且收斂入口等等，從而達到縮小整個風險敞口的目的。

正確雲產品安全配置

一方面，安全是乙個持續化的過程，今天安全不代表明天安全，今天合規不代表明天合規，所以合規體系也是定期審查制，並且要做到常態化合規，從而有效保證所有安全策略與安全配置是合規及安全的，因此阿里雲會做定期合規審查。

另一方面，需要有對應的產品和技術能力來確保所有安全策略被有效執行。很多安全事件的發生都是因為員工疏忽開放了埠導致被攻擊者利用，從而獲取到相應的資料。阿里雲提供了相應的工具幫助使用者檢查所有產品側的安全配置和策略，以做到持續化、常態化的安全合規和安全策略的有效執行。

統一身份認證授權

阿里雲在許可權管理方面投入了大量的資源，確保每乙個轉崗或離職員工在應用系統中的許可權可以一鍵刪除或者一鍵轉移，以確保不會因內部許可權管理問題而造成資料損失。

全方位資料加密與日誌審計

阿里雲平台具備全鏈路資料加密能力來保障使用者的資料安全，也是國內唯一支援sgx可信加密環境的平台。在使用層，阿里雲安全提供使用者多級授權可控的ram，以及全透明化管理日誌審計等產品。

目前達摩院在資料加密方面投入了大量資源，以做到使用者在所有的雲產品的資料實現預設加密，秘鑰由使用者自己管理。未來，阿里雲會把資料加密效能、穩定性做到最高，成本降到最低，以降低使用者上雲後資料安全的焦慮感。

資料防洩漏

阿里雲為使用者提供了從資料識別到資料防洩漏、異常行為分析檢測等一套完整的敏感資料保護能力，讓雲上使用者能夠清晰的了解到自己的資料存放在**，被哪些人訪問，是否存在安全風險等等，以提公升雲上使用者整體資料安全水位，有效降低資料洩露風險。

雲原生優勢讓資料安全體系更強壯

雲底層技術的變化導致了安全體系的不同，基於雲原生優勢誕生的安全能力可以幫助使用者解決很多原來無法解決的問題。例如，阿里雲會為使用者提供映象快照功能，一旦使用者遇到勒索軟體，根本不需要做對抗和解密，只需要用之前的快照映象恢復資料即可。

**和天貓在全國有多個機房，經過實測，若隨機關掉其中乙個機房電源，業務還是可以繼續執行。「我們會用實踐持續驗證容災能否持續強壯，並將這種同等級別的高安全能力給到雲上使用者，幫助使用者建立更強壯的安全體系。」肖力表示。

阿里雲安全肖力 雲上資料安全體系建設的六要素