• 深度
  • 行業
  • 行業
  • 互動

2016云棲大會·成都峰會 安全專場對話:數據安全 讓公共云更安全

極客網訊 6月29日,2016云棲大會成都峰會現場,中國最大的公有云服務商阿里云與專注于核心數據安全防護的專業安全服務商安華金和,雙方牽手,重磅發布戰略合作。

發布會中, 阿里云相關負責人與阿里云用戶和合作伙伴展開了針對云運營商的數據安全問題展開了討論并與在場嘉賓展開了互動。

 

云端安全性問題與第三方審計

某保險集團代表表示 :其保險公司主要從事保險業務,目前考慮利用云的優勢發展自身業務,因為云是整個資源或者IT的發展趨勢,它具有彈性的支持能力,在成本效益中有比較大的優勢。

但是在研究和試點過程中發現一些問題,主要有3點。

1、用戶的數據安全或者整個服務器的安全,對于云運營商的依賴性很大,包括用戶自身的安全意識或者安全能力,最后往往完全依賴于云服務商。所以云運營商擁有用戶所有的數據。但是這對于保險公司的客戶來說就存在一些安全隱患。

2、 目前云的各種安全保護,包括安華金和的數據加密,這種保密的或者保護手段的強度或者和云平臺的相同性,它和云的彈性支持是不是有沖突?是不是有矛盾?會不會影響云用戶的業務處理效率。

3、金融業和其他電商有比較大的差別,就是它的監管非常嚴格,比如說對于用戶比較大的監管,包括公安部、保監會都有相應的關于安全的管理規定,比如說要達到一些級別,比如用戶數要達到千萬級或者更高一級的時候,云運營商能否順利支持。

明源云產品運營總監黃陽表示:在之前,公司并沒有重視客戶安全的問題,但這兩年公司在向云業務轉型,主要是基于云計算在SaaS層面上的SaaS產品,但是公司在做SaaS產品的時候遇到了問題。

有客戶表示,明源的系統是布署到云端的,那客戶自身的數據不是也在云端?那安全性的問題如何解決?

客戶面問的是安全問題,實際上安全問題是有細分的,第一種安全問題是對外的,就是外面的黑客攻擊,實際上對于這個問題,對于云服務器的安全肯定比自建機房要強,所以對外這塊基本不擔心,如果有黑客層面來攻擊的話,公司機房守不住,在云層面也許是守得住的,公司自身的服務器能力是比云服務器要弱的,這一點明源對于阿里云和其他的云服務廠商是相當信任的。

但是又有第二個問題,明源的地產客戶更多擔憂內憂問題。比如說阿里云會不會存在泄露數據,明源作為地產信息垂直化服務商,會不會把客戶的數據拿去做行業大數據分析?其實從商務模式和業務構建上來講明源完全沒有理由動客戶的數據,因為服務公司都是追求非常中立的身份,但是這個時候客戶表示想拿你還是能拿得到。

所以第一個問題我們希望在云安全上有監控的責任出現,希望有第三方或者單獨項目能夠監控,保證我們的行為,不會動客戶數據。

第二個問題就是關于信息化安全問題,怎么保障內部人員動不了云用戶的數據,或者說他拿到數據也無法使用。

阿里云數據安全專家文鎮表示:第一個問題是怎么解決內憂。美國斯諾登事件是內部泄密的嚴重事件。

阿里云花了很大成本在內部威脅檢測方面,就是為了防止云服務商內部人員受到外面利益的誘惑或者是因為其他原因而對公司或者對社會不滿做的一些違法違規的活動。這件事情也是為了向我們的客戶證明,因為阿里云已經承諾不會動客戶的數據,就要用管理手段,技術手段確保這樣的事情不會發生。

第二個問題,阿里云在接受國家審查或者行業審查上下了很大工夫,讓阿里云的流程和規范都符合金融行業的標準,同時引入第三方,比如說國家、行業混入,外部審計機構,比如說安華金和作為獨立第三方來審計。還有一個層面是國家,像廣信版,公安部也經常來檢查,因為阿里云已經是國家重要的基礎設施。阿里云歡迎這樣的監管,讓第三方的專業審計機構,讓國家來檢查。

阿里云團隊最近準備了一個阿里云數據安全白皮書,以更通俗的語言向客戶介紹了阿里云做的這些工作。

對于客戶的數據來說,怎么界定它的所有權,誰能使用這些數據,現在已經有一個比較完善的規范來約束。比如說客戶的應用在阿里云上產生了一些流量,這個流量是雙方交互的結果,如果阿里云用這個數據來進行一些分析,來做云端,是給客戶提供價值的,這種分析我們會在用戶認可、授權的方式下才進行,通過這種方式來更好的保護用戶的隱私,所以說阿里云在保護各個層面,不僅是用戶原生數據,包括衍生數據我們都考慮到了。

安華金和聯合創始人兼技術副總裁楊海峰表示:安華金和在與阿里云進行合作,阿里云需要第三方或者其他的安全廠商幫助他們解決一些他們不適合做的一些事情,或者說他們站的角度不同不適合做的一些事情,所以有第三方可能更適合去做這些事情。

基礎性安全是阿里云應該做的,包括云盾。而用戶的系統或者用戶的應用和數據層面的東西需要第三方來協助解決,這是安華金和作為第三方和阿里云合作的主要考慮。

安華金和比較適合做第三方審計,就是說行為的審計和數據防護問題,而且是在數據進到SaaS前就要進行防護,本身從數據存儲和基礎數據位置上就徹底杜絕了問題,這樣從用戶角度會覺得更踏實。

用戶的主動權與阿里云防御體系

某保險集團代表表示:阿里云對很多用戶來說就像上帝,上帝目前可能得做一些自我約束,實際上用戶的擔心就是我不知道你的安全動態情況是怎樣的。所以需要有一個量化動態的工具能夠向用戶來展現一下,有一個可感知的安全情況,我覺得這可能是我們比較希望的。

阿里云安全總監肖力表示:第一個是合規審計的問題,在國內審計是必須的,但是可能還不夠。

第二點是用戶希望把主動權拽在自己手上,阿里云會把最底層的日志拿出來,拿出來可以讓第三方做審計,用戶也可以直接做審計,這個也是最核心的點。

另一點就是通過加密,密鑰在用戶手上。包括像釘釘,釘釘是阿里的一個產品,阿里把釘釘這款數據通訊加密完全交給第三方廠商負責,這樣從甲方角度來看有一個專業廠商幫他做審計,那么他在數據安全方面會非常可靠。

與此同時,阿里云會把整個防御體系搭建起來,不只是黑客,還有內部員工的危險操作,包括一些非常高危的操作全部審計起來做危險模型,通過機器學習發報警,所以防御體系來講無論是內部員工還是外部攻擊者,只要有高危操作都會第一時間知道。

徹底的規避風險與第三方審計的協作

某保險集團代表表示:針對不同的安全對象可能有不同的安全風險,比如對外部,黑客,業務使用方或者阿里這方都有不同的風險點。用戶實際上是希望能有比較全面的,不僅僅局限于數據庫的安全保護,比如說網絡流量,或者說更底層的一些基礎的安全檢測相對來說對用戶來說都比較透明。

明源云產品運營總監黃陽表示:阿里云需要的不僅是技術,更是客觀的思想保證,所以阿里云會引入第三方安全供應商解決問題。

阿里云安全總監肖力表示:在數據加密和審計上需要更多第三方廠商,可以通過第三方方式幫助用戶更好的打消疑慮,解決問題,阿里在數據安全上是非常開放的,也有非常好的帶寬優勢,但是在數據加密,包括在數據安全審計這塊阿里云是非常歡迎各個安全廠商來幫助用戶更好的打消疑慮,解決好用戶數據安全問題。

數據的價值與云服務生態的改變

在場嘉賓:以阿里現在的體量和能力,如果把第三方監管或者第三方監督做起來,我們認為可以改變這個行業的生態。同時,阿里有一個比較核心的理念叫做以數據價值為核心的企業,現在推出云服務,其實是有一些矛盾的。用戶的數據放過去不增加了云服務商的數據價值嗎?所以我們希望阿里的這種體量如果想改變行業生態,應該注意一下第三方,這對云可能是一個促進。

阿里云安全總監肖力:首先阿里云積極配合政府部門的審查。

另外阿里云認為第三方廠商的審計對打消用戶疑慮非常關鍵,所以阿里云會不遺余力來配合,不管是日志還是加密等等一些通道,都可以開放出來,讓第三方一起來幫助用戶,因為云服務商最重要的還是讓用戶滿意,讓用戶覺得在云上面他自己的數據安全是可靠,可控的,這一點是非常關鍵的。

關于云安全生態的探索

阿里云安全生態負責人安忍表示:阿里云安全生態在國內走得非常早,在2015年年中就開始和各個大的安全廠商和很多安全合作伙伴在接觸,甚至在更早的時候,在2014年底阿里云就和國內廠商做底層的工作。

其實在云安全生態來講除了云盾這個產品以外,第三方產品它的交付一般不外乎最原始模式就是鏡像,和線下物理交付設備類似,把原來物理設備軟件抽出來做一個系統鏡像,然后通過加載鏡像來完成一次安全軟件和系統的交付。如果自己在阿里云上買過安全鏡像的客戶就能夠知道,其實這個過程還是比較煩瑣。

阿里云團隊也在的思考有沒有更簡單,更快捷,相對于廠商,對用戶來講成本更低的方式進行安全能力的交付,因為阿里云希望交付給客戶的是安全能力而不只是一臺設備。

很多合作伙伴現在相應推出了SaaS化的安全產品,而且廣大用戶,特別是在阿里云上的客戶用戶對云盾使用,包括對阿里云的使用也被教育得很好,第三方審計和阿里云自身的基礎設施結合得非常緊密,它應用了阿里云大量的大數據基礎設施,數據傳輸基礎設施,存儲的基礎設施,可以說它天生就是長在阿里云之上的一個安全產品。像綠盟現在也提供了兩款安全產品,一個綠盟激光掃描,這個是國內數一數二的掃描器,之前大家接觸的可能都是硬件盒子的模式,但是現在比以前簡單多了,不用再購買硬件,只需要在阿里云上購買就能夠得到以前你需要買一個大的硬件才能得到的掃描的能力。

這些都是阿里云和合作伙伴一起為大家提供更多的安全的選擇,作為整個阿里云安全體系的一個大的互相的補充,因為生態化是阿里云最重要的戰略。

(免責聲明:本網站內容主要來自原創、合作媒體供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )