2016云棲大會·成都峰會 安全專場對話：數(shù)據(jù)安全 讓公共云更安全

極客網(wǎng)訊 6月29日，2016云棲大會成都峰會現(xiàn)場，中國最大的公有云服務(wù)商阿里云與專注于核心數(shù)據(jù)安全防護(hù)的專業(yè)安全服務(wù)商安華金和，雙方牽手，重磅發(fā)布戰(zhàn)略合作。

發(fā)布會中， 阿里云相關(guān)負(fù)責(zé)人與阿里云用戶和合作伙伴展開了針對云運(yùn)營商的數(shù)據(jù)安全問題展開了討論并與在場嘉賓展開了互動(dòng)。

云端安全性問題與第三方審計(jì)

某保險(xiǎn)集團(tuán)代表表示 ：其保險(xiǎn)公司主要從事保險(xiǎn)業(yè)務(wù)，目前考慮利用云的優(yōu)勢發(fā)展自身業(yè)務(wù)，因?yàn)樵剖钦麄€(gè)資源或者IT的發(fā)展趨勢，它具有彈性的支持能力，在成本效益中有比較大的優(yōu)勢。

但是在研究和試點(diǎn)過程中發(fā)現(xiàn)一些問題，主要有3點(diǎn)。

1、用戶的數(shù)據(jù)安全或者整個(gè)服務(wù)器的安全，對于云運(yùn)營商的依賴性很大，包括用戶自身的安全意識或者安全能力，最后往往完全依賴于云服務(wù)商。所以云運(yùn)營商擁有用戶所有的數(shù)據(jù)。但是這對于保險(xiǎn)公司的客戶來說就存在一些安全隱患。

2、 目前云的各種安全保護(hù)，包括安華金和的數(shù)據(jù)加密，這種保密的或者保護(hù)手段的強(qiáng)度或者和云平臺的相同性，它和云的彈性支持是不是有沖突？是不是有矛盾？會不會影響云用戶的業(yè)務(wù)處理效率。

3、金融業(yè)和其他電商有比較大的差別，就是它的監(jiān)管非常嚴(yán)格，比如說對于用戶比較大的監(jiān)管，包括公安部、保監(jiān)會都有相應(yīng)的關(guān)于安全的管理規(guī)定，比如說要達(dá)到一些級別，比如用戶數(shù)要達(dá)到千萬級或者更高一級的時(shí)候，云運(yùn)營商能否順利支持。

明源云產(chǎn)品運(yùn)營總監(jiān)黃陽表示：在之前，公司并沒有重視客戶安全的問題，但這兩年公司在向云業(yè)務(wù)轉(zhuǎn)型，主要是基于云計(jì)算在SaaS層面上的SaaS產(chǎn)品，但是公司在做SaaS產(chǎn)品的時(shí)候遇到了問題。

有客戶表示，明源的系統(tǒng)是布署到云端的，那客戶自身的數(shù)據(jù)不是也在云端？那安全性的問題如何解決？

客戶面問的是安全問題，實(shí)際上安全問題是有細(xì)分的，第一種安全問題是對外的，就是外面的黑客攻擊，實(shí)際上對于這個(gè)問題，對于云服務(wù)器的安全肯定比自建機(jī)房要強(qiáng)，所以對外這塊基本不擔(dān)心，如果有黑客層面來攻擊的話，公司機(jī)房守不住，在云層面也許是守得住的，公司自身的服務(wù)器能力是比云服務(wù)器要弱的，這一點(diǎn)明源對于阿里云和其他的云服務(wù)廠商是相當(dāng)信任的。

但是又有第二個(gè)問題，明源的地產(chǎn)客戶更多擔(dān)憂內(nèi)憂問題。比如說阿里云會不會存在泄露數(shù)據(jù)，明源作為地產(chǎn)信息垂直化服務(wù)商，會不會把客戶的數(shù)據(jù)拿去做行業(yè)大數(shù)據(jù)分析？其實(shí)從商務(wù)模式和業(yè)務(wù)構(gòu)建上來講明源完全沒有理由動(dòng)客戶的數(shù)據(jù)，因?yàn)榉?wù)公司都是追求非常中立的身份，但是這個(gè)時(shí)候客戶表示想拿你還是能拿得到。

所以第一個(gè)問題我們希望在云安全上有監(jiān)控的責(zé)任出現(xiàn)，希望有第三方或者單獨(dú)項(xiàng)目能夠監(jiān)控，保證我們的行為，不會動(dòng)客戶數(shù)據(jù)。

第二個(gè)問題就是關(guān)于信息化安全問題，怎么保障內(nèi)部人員動(dòng)不了云用戶的數(shù)據(jù)，或者說他拿到數(shù)據(jù)也無法使用。

阿里云數(shù)據(jù)安全專家文鎮(zhèn)表示：第一個(gè)問題是怎么解決內(nèi)憂。美國斯諾登事件是內(nèi)部泄密的嚴(yán)重事件。

阿里云花了很大成本在內(nèi)部威脅檢測方面，就是為了防止云服務(wù)商內(nèi)部人員受到外面利益的誘惑或者是因?yàn)槠渌蚨鴮净蛘邔ι鐣粷M做的一些違法違規(guī)的活動(dòng)。這件事情也是為了向我們的客戶證明，因?yàn)榘⒗镌埔呀?jīng)承諾不會動(dòng)客戶的數(shù)據(jù)，就要用管理手段，技術(shù)手段確保這樣的事情不會發(fā)生。

第二個(gè)問題，阿里云在接受國家審查或者行業(yè)審查上下了很大工夫，讓阿里云的流程和規(guī)范都符合金融行業(yè)的標(biāo)準(zhǔn)，同時(shí)引入第三方，比如說國家、行業(yè)混入，外部審計(jì)機(jī)構(gòu)，比如說安華金和作為獨(dú)立第三方來審計(jì)。還有一個(gè)層面是國家，像廣信版，公安部也經(jīng)常來檢查，因?yàn)榘⒗镌埔呀?jīng)是國家重要的基礎(chǔ)設(shè)施。阿里云歡迎這樣的監(jiān)管，讓第三方的專業(yè)審計(jì)機(jī)構(gòu)，讓國家來檢查。

阿里云團(tuán)隊(duì)最近準(zhǔn)備了一個(gè)阿里云數(shù)據(jù)安全白皮書，以更通俗的語言向客戶介紹了阿里云做的這些工作。

對于客戶的數(shù)據(jù)來說，怎么界定它的所有權(quán)，誰能使用這些數(shù)據(jù)，現(xiàn)在已經(jīng)有一個(gè)比較完善的規(guī)范來約束。比如說客戶的應(yīng)用在阿里云上產(chǎn)生了一些流量，這個(gè)流量是雙方交互的結(jié)果，如果阿里云用這個(gè)數(shù)據(jù)來進(jìn)行一些分析，來做云端，是給客戶提供價(jià)值的，這種分析我們會在用戶認(rèn)可、授權(quán)的方式下才進(jìn)行，通過這種方式來更好的保護(hù)用戶的隱私，所以說阿里云在保護(hù)各個(gè)層面，不僅是用戶原生數(shù)據(jù)，包括衍生數(shù)據(jù)我們都考慮到了。

安華金和聯(lián)合創(chuàng)始人兼技術(shù)副總裁楊海峰表示：安華金和在與阿里云進(jìn)行合作，阿里云需要第三方或者其他的安全廠商幫助他們解決一些他們不適合做的一些事情，或者說他們站的角度不同不適合做的一些事情，所以有第三方可能更適合去做這些事情。

基礎(chǔ)性安全是阿里云應(yīng)該做的，包括云盾。而用戶的系統(tǒng)或者用戶的應(yīng)用和數(shù)據(jù)層面的東西需要第三方來協(xié)助解決，這是安華金和作為第三方和阿里云合作的主要考慮。

安華金和比較適合做第三方審計(jì)，就是說行為的審計(jì)和數(shù)據(jù)防護(hù)問題，而且是在數(shù)據(jù)進(jìn)到SaaS前就要進(jìn)行防護(hù)，本身從數(shù)據(jù)存儲和基礎(chǔ)數(shù)據(jù)位置上就徹底杜絕了問題，這樣從用戶角度會覺得更踏實(shí)。

用戶的主動(dòng)權(quán)與阿里云防御體系

某保險(xiǎn)集團(tuán)代表表示：阿里云對很多用戶來說就像上帝，上帝目前可能得做一些自我約束，實(shí)際上用戶的擔(dān)心就是我不知道你的安全動(dòng)態(tài)情況是怎樣的。所以需要有一個(gè)量化動(dòng)態(tài)的工具能夠向用戶來展現(xiàn)一下，有一個(gè)可感知的安全情況，我覺得這可能是我們比較希望的。

阿里云安全總監(jiān)肖力表示：第一個(gè)是合規(guī)審計(jì)的問題，在國內(nèi)審計(jì)是必須的，但是可能還不夠。

第二點(diǎn)是用戶希望把主動(dòng)權(quán)拽在自己手上，阿里云會把最底層的日志拿出來，拿出來可以讓第三方做審計(jì)，用戶也可以直接做審計(jì)，這個(gè)也是最核心的點(diǎn)。

另一點(diǎn)就是通過加密，密鑰在用戶手上。包括像釘釘，釘釘是阿里的一個(gè)產(chǎn)品，阿里把釘釘這款數(shù)據(jù)通訊加密完全交給第三方廠商負(fù)責(zé)，這樣從甲方角度來看有一個(gè)專業(yè)廠商幫他做審計(jì)，那么他在數(shù)據(jù)安全方面會非?？煽?。

與此同時(shí)，阿里云會把整個(gè)防御體系搭建起來，不只是黑客，還有內(nèi)部員工的危險(xiǎn)操作，包括一些非常高危的操作全部審計(jì)起來做危險(xiǎn)模型，通過機(jī)器學(xué)習(xí)發(fā)報(bào)警，所以防御體系來講無論是內(nèi)部員工還是外部攻擊者，只要有高危操作都會第一時(shí)間知道。

徹底的規(guī)避風(fēng)險(xiǎn)與第三方審計(jì)的協(xié)作

某保險(xiǎn)集團(tuán)代表表示：針對不同的安全對象可能有不同的安全風(fēng)險(xiǎn)，比如對外部，黑客，業(yè)務(wù)使用方或者阿里這方都有不同的風(fēng)險(xiǎn)點(diǎn)。用戶實(shí)際上是希望能有比較全面的，不僅僅局限于數(shù)據(jù)庫的安全保護(hù)，比如說網(wǎng)絡(luò)流量，或者說更底層的一些基礎(chǔ)的安全檢測相對來說對用戶來說都比較透明。

明源云產(chǎn)品運(yùn)營總監(jiān)黃陽表示：阿里云需要的不僅是技術(shù)，更是客觀的思想保證，所以阿里云會引入第三方安全供應(yīng)商解決問題。

阿里云安全總監(jiān)肖力表示：在數(shù)據(jù)加密和審計(jì)上需要更多第三方廠商，可以通過第三方方式幫助用戶更好的打消疑慮，解決問題，阿里在數(shù)據(jù)安全上是非常開放的，也有非常好的帶寬優(yōu)勢，但是在數(shù)據(jù)加密，包括在數(shù)據(jù)安全審計(jì)這塊阿里云是非常歡迎各個(gè)安全廠商來幫助用戶更好的打消疑慮，解決好用戶數(shù)據(jù)安全問題。

數(shù)據(jù)的價(jià)值與云服務(wù)生態(tài)的改變

在場嘉賓：以阿里現(xiàn)在的體量和能力，如果把第三方監(jiān)管或者第三方監(jiān)督做起來，我們認(rèn)為可以改變這個(gè)行業(yè)的生態(tài)。同時(shí)，阿里有一個(gè)比較核心的理念叫做以數(shù)據(jù)價(jià)值為核心的企業(yè)，現(xiàn)在推出云服務(wù)，其實(shí)是有一些矛盾的。用戶的數(shù)據(jù)放過去不增加了云服務(wù)商的數(shù)據(jù)價(jià)值嗎？所以我們希望阿里的這種體量如果想改變行業(yè)生態(tài)，應(yīng)該注意一下第三方，這對云可能是一個(gè)促進(jìn)。

阿里云安全總監(jiān)肖力：首先阿里云積極配合政府部門的審查。

另外阿里云認(rèn)為第三方廠商的審計(jì)對打消用戶疑慮非常關(guān)鍵，所以阿里云會不遺余力來配合，不管是日志還是加密等等一些通道，都可以開放出來，讓第三方一起來幫助用戶，因?yàn)樵品?wù)商最重要的還是讓用戶滿意，讓用戶覺得在云上面他自己的數(shù)據(jù)安全是可靠，可控的，這一點(diǎn)是非常關(guān)鍵的。

關(guān)于云安全生態(tài)的探索

阿里云安全生態(tài)負(fù)責(zé)人安忍表示：阿里云安全生態(tài)在國內(nèi)走得非常早，在2015年年中就開始和各個(gè)大的安全廠商和很多安全合作伙伴在接觸，甚至在更早的時(shí)候，在2014年底阿里云就和國內(nèi)廠商做底層的工作。

其實(shí)在云安全生態(tài)來講除了云盾這個(gè)產(chǎn)品以外，第三方產(chǎn)品它的交付一般不外乎最原始模式就是鏡像，和線下物理交付設(shè)備類似，把原來物理設(shè)備軟件抽出來做一個(gè)系統(tǒng)鏡像，然后通過加載鏡像來完成一次安全軟件和系統(tǒng)的交付。如果自己在阿里云上買過安全鏡像的客戶就能夠知道，其實(shí)這個(gè)過程還是比較煩瑣。

阿里云團(tuán)隊(duì)也在的思考有沒有更簡單，更快捷，相對于廠商，對用戶來講成本更低的方式進(jìn)行安全能力的交付，因?yàn)榘⒗镌葡Ｍ桓督o客戶的是安全能力而不只是一臺設(shè)備。

很多合作伙伴現(xiàn)在相應(yīng)推出了SaaS化的安全產(chǎn)品，而且廣大用戶，特別是在阿里云上的客戶用戶對云盾使用，包括對阿里云的使用也被教育得很好，第三方審計(jì)和阿里云自身的基礎(chǔ)設(shè)施結(jié)合得非常緊密，它應(yīng)用了阿里云大量的大數(shù)據(jù)基礎(chǔ)設(shè)施，數(shù)據(jù)傳輸基礎(chǔ)設(shè)施，存儲的基礎(chǔ)設(shè)施，可以說它天生就是長在阿里云之上的一個(gè)安全產(chǎn)品。像綠盟現(xiàn)在也提供了兩款安全產(chǎn)品，一個(gè)綠盟激光掃描，這個(gè)是國內(nèi)數(shù)一數(shù)二的掃描器，之前大家接觸的可能都是硬件盒子的模式，但是現(xiàn)在比以前簡單多了，不用再購買硬件，只需要在阿里云上購買就能夠得到以前你需要買一個(gè)大的硬件才能得到的掃描的能力。

這些都是阿里云和合作伙伴一起為大家提供更多的安全的選擇，作為整個(gè)阿里云安全體系的一個(gè)大的互相的補(bǔ)充，因?yàn)樯鷳B(tài)化是阿里云最重要的戰(zhàn)略。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。