大数据时代如何保障云端数据安全？

阿里云官网君来回答亲的问题：

阿里云安全肖力：云上数据安全体系建设的六要素

Gartner指出，云服务的安全性与大多数企业数据中心一样好甚至更好，安全性不应再被视为使用公共云服务的主要障碍，到2020年，与传统数据中心相比，公共云的安全能力将帮助企业至少减少60%的安全事件。

高等级的云上数据安全体系到底是如何做的？6月29日，在第二届数据安全峰会上，阿里云智能安全事业部总经理肖力给出了答案。肖力指出，云上数据安全建设是一个系统工程，最主要的六大方面是减少攻击面、正确的产品安全策略配置、统一的身份认证授权、数据加密、数据防泄漏、日志审计。

阿里云智能安全事业部总经理肖力减少攻击面

要确保整个云上数据安全，首先要做的就是减少企业的受攻击面。阿里云的大量实战经验证明，减少受攻击面对整个安全体系非常关键，这包括通过云防火墙实现东西南北向流量的实时监控、通过入侵防御系统（IPS）守住入口并且收敛入口等等，从而达到缩小整个风险敞口的目的。

正确云产品安全配置

一方面，安全是一个持续化的过程，今天安全不代表明天安全，今天合规不代表明天合规，所以合规体系也是定期审查制，并且要做到常态化合规，从而有效保证所有安全策略与安全配置是合规及安全的，因此阿里云会做定期合规审查。

另一方面，需要有对应的产品和技术能力来确保所有安全策略被有效执行。很多安全事件的发生都是因为员工疏忽开放了端口导致被攻击者利用，从而获取到相应的数据。阿里云提供了相应的工具帮助用户检查所有产品侧的安全配置和策略，以做到持续化、常态化的安全合规和安全策略的有效运行。

统一身份认证授权

每一个企业都需要非常完善的统一的身份认证授权体系。以前企业所有的应用系统都在线下机房，可以通过一些简单的身份认证授权系统来确保数据安全。但是随着移动互联网、云计算、SaaS化服务的发展，企业不同的应用系统可能会分布在IDC机房、云上、网盘等不同的地方，数据会在之间相互流动，这对企业如何做好统一身份认证授权提出了很大挑战。最常见的数据安全事件就是离职员工对应的系统权限没有及时删除，最后导致数据泄露。

阿里云在权限管理方面投入了大量的资源，确保每一个转岗或离职员工在应用系统中的权限可以一键删除或者一键转移，以确保不会因内部权限管理问题而造成数据损失。

全方位数据加密与日志审计

阿里云平台具备全链路数据加密能力来保障用户的数据安全，也是国内唯一支持SGX可信加密环境的平台。在使用层，阿里云安全提供用户多级授权可控的RAM，以及全透明化管理日志审计等产品。

目前达摩院在数据加密方面投入了大量资源，以做到用户在所有的云产品的数据实现默认加密，秘钥由用户自己管理。未来，阿里云会把数据加密性能、稳定性做到最高，成本降到最低，以降低用户上云后数据安全的焦虑感。

数据防泄漏

阿里云为用户提供了从数据识别到数据防泄漏、异常行为分析检测等一套完整的敏感数据保护能力，让云上用户能够清晰的了解到自己的数据存放在哪里，被哪些人访问，是否存在安全风险等等，以提升云上用户整体数据安全水位，有效降低数据泄露风险。

云原生优势让数据安全体系更强壮

云底层技术的变化导致了安全体系的不同，基于云原生优势诞生的安全能力可以帮助用户解决很多原来无法解决的问题。例如大数据风险，阿里云会为用户提供镜像快照功能，一旦用户遇到勒索软件，根本不需要做对抗和解密，只需要用之前的快照镜像恢复数据即可。

淘宝和天猫在全国有多个机房，经过实测，若随机关掉其中一个机房电源，业务还是可以继续运行。“我们会用实践持续验证容灾能否持续强壮，并将这种同等级别的高安全能力给到云上用户，帮助用户建立更强壮的安全体系。”肖力表示。

阿里云发布敏感数据保护产品SDDP，数据贴身防护实现“外防内控”

数据安全问题，尤其是个人信息保护问题，一直是所有企业和个人关注的重点问题，7月10日，阿里云针对云上企业正式发布一款敏感数据保护产品SDDP（Sensitive Data Detection and Protection），该产品参考Gartner提出的DCAP框架（Data-Centric Audit and Protection，以数据为中心的审计与保护），结合了阿里云多年大数据处理技术、人工智能分析技术和数据安全运营实践，帮助客户精准识别敏感数据存储位置、多种算法组合脱敏确保数据安全可用、智能检测数据访问异常行为，实现了“外部攻击守源端、内部窃取能发现”的双重防护能力，帮助企业有效防止来自外部攻击和内部窃取导致的数据泄露。

国际数据泄露分析机构“Data Breach Statistics”调查显示，全球每天已发现的数据丢失与泄漏达到620万条。云端数据因为存在多种类型数据源难于有效识别、数据访问API化导致数据出口通道多难于有效管控、应用微服务化导致数据流转复杂难于有效审计等特点，长期存在识别难、防护难、泄漏检测难等突出问题。常规基于边界的安全防护产品，在出现权限信息外泄或者主机被远程控制的情况下，很难针对后续数据窃取攻击实施响应；而目前市场上常见数据安全产品也主要针对终端文件保护或者传统RDS数据库保护而无法有效适应云端数据特点，缺乏针对云端数据的原生保护能力。

为了专门解决云上敏感数据保护存在的上述问题，阿里云SDDP通过建立识别、保护、检测三段式云端数据保护框架，实现了结构化数据（如RDS/ODPS）、半结构化数据（如表格存储）、非结构数据（如OSS对象存储）的同标准识别，覆盖了云端离线计算、实时计算等多种数据类产品，重新定义了“外防内控、纵深防御”的数据安全防护理念，强力打造云端数据贴身防护能力。

基于客户最常见的三大数据安全场景，SDDP可以有效增强安全管理与防护能力：

敏感数据的发现与管理：在很多数据安全泄漏事件案例中，很多客户不清楚云端保存的敏感数据的分布情况。客户可以使用SDDP内置的敏感数据识别模型实现敏感数据的识别与打标，同时也能根据业务实际需要定制自己的识别规则。敏感数据使用的安全脱敏：如果客户在开发环境/测试环境/数据分析的环境中需要使用到敏感数据，用户可使用SDDP实现数据静态脱敏，该产品通过组合各种不同的脱敏算法，能够实现保留格式、保留统计特征等业务需求。数据泄漏异常检测与处置：针对已经绕过边界或者来自内部的数据窃取行为，SDDP可以通过不断学习账号行为，完善账号行为基线画像，一旦某个账号发生异常行为就会持续跟踪，并自动报警做相应处理，防止敏感数据被不该访问的人访问。

通过上述安全能力的传达，SDDP可以为客户带来以下安全价值：

外部攻击守源端：通过识别/保护/检测三段式能力框架，SDDP能针对已经绕过边界的外部攻击行为，实现基于数据源的近场防护。内部窃取能发现：针对来自内部的窃取行为，SDDP通过异常检测有效发现内部异常账号，有效检测来自内部的窃取行为，做好数据的贴身保镖。

数据安全是所有企业的关注的核心问题，在最新发布的等级保护2.0最新标准中也对个人信息保护、数据分类分级、数据泄漏检测提出了新的要求。阿里云一直将保障用户数据安全作为第一准则，同时致力于把阿里巴巴多年安全能力通过产品化的形式给到所有云上用户，助力用户做到数据的可管可控，满足合规要求，更好的促进业务的健康发展。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!