阿里云十年:要让更多的企业用安全的云
作者: 日期:2019年04月10日 阅:14,213

3月下旬,阿里巴巴在北京国家会议中心举办了阿里云峰会。十年过去了,企业的问题从 “为什么上云” 成为了 “为什么不上云”。在普遍的云环境下,安全也因为边界的模糊化发生了转变。作为国内外顶尖的云服务商,阿里巴巴自然对云安全投入了极大的精力。安全牛记者在阿里云的云安全专场分论坛,了解了阿里云安全的动态与前沿的理念。

阿里云的安全成就与云安全的六个趋势

在云安全专场的开场部分,阿里云智能安全事业部总经理肖力首先对阿里云的安全成就进行了总结。阿里云如今已经保护中国超过40%的网站,每天成功抵挡36亿次攻击,为超过100万企业提供安全服务,全年帮助用户修复超过833万个漏洞。这些优异的成绩也让阿里云被Forrester评为全球公共云服务商安全评估卓越表现者,被IDC评为中国公共云服务商安全评估领导者。依靠这些经验,阿里云提出了未来的六个云安全趋势:

1. 安全基础建设会变得更加重要。

2. DevSecOps将越来越受到重视。

3. 零信任的背后是身份认证将成为企业的新安全边界。

4. 数据安全领域将得到进一步的发展。

5. 安全厂商融合成为必然,需要自动化响应建立安全闭环。

6. 由于云上的各类服务,企业需要构建基于API的安全生态。

阿里专有云等保合规白皮书发布

为了更好地落实等保2.0的合规需求,阿里云和公安部信息安全等级保护评估中心合作,发布了阿里专有云网络安全等级保护2.0合规能力白皮书。

峰会上,公安部信息安全等级保护评估中心测评部副主任张振峰表示,等保2.0对合规能力带来了三项新的挑战。首先,等保2.0有了第三种形态的安全合规需求——即产品落地使用以前是否合规,将安全进一步前移。第二个挑战则是企业需要合理的选择保护对象和安全措施,要根据不同的场景,针对性地选择保护对象以及适用的合规指标。第三项挑战则是需要构建统一规范的合规工作界面,是对统一合规测评能力的挑战。

作为云服务的领军者,阿里云率先就如何在云环境对等保2.0落地进行了实践,而实践的成果则是阿里专有云等级保护2.0合规能力白皮书。白皮书由三部分组成:

1. 专有云模式下等级保护2.0合规能力技术架构:白皮书中严格按照合规能力规范体系框架的封装方法,给出阿里云专有云各场景下的等保2.0合规能力模型,明确阿里云专有云满足等保2.0合规的恰当的保护对象及合适的安全措施。

另一方面,云租户的合规是由“变量”+“定量”决定的。其中,定量是云服务商默认需要交付的能力,而变量则是根据用户需求选择交付或者依赖用户环境不在交付范围的。在白皮书中,同样给出了阿里云专有云平台合规能力中的定量与变量;并且,对定量部分给出了合规的实现方式和方法,对变量部分则给出了最佳实践。

2. 阿里云专有云等保2.0合规状况:这一部分对阿里云专有云等保2.0合规能力的认定结论——经评估中心评估,阿里专有云平台具备满足等保2.0第四级(可交付的最高等级)的云安全要求的能力。同时,根据不同的定量和变量,进行分项措施认定结论。

3. 白皮书使用建议:这份白皮书是有指导作用的。因此,在白皮书的最后一部分,对白皮书的可能使用者以及使用方式给出了建议,针对云服务客户、生态伙伴以及测评机构三类不同的使用者,在技术选型、规划设计、建设整改和等级测评四个方面进行了不同程度的建议。

作为全球首个专有云等保合规白皮书,这份白皮根据不同的场景,明确了定量和变量,为使用者提供技术参考,以符合技术规范并呈现合规能力。

云安全中心发布

为了帮助企业用户更好地使用阿里云,阿里云发布了自己的云安全中心,作为统一的安全入口。

阿里云智能资深安全专家葛岱斌表示,云平台的安全相比传统的线下安全有着原生数据融合的优势。线下安全由于各种安全设备之间各自为政,安全人员获得的数据很多时候只有告警数据,使得各类数据无法有效联动,形成更大的安全价值。但是,由于云平台本身的特性,使得各种数据之间可以联动互通,从而给各个企业一个云安全管理中心。

云安全中心有安全预防、威胁检测、主动防御与调查响应四大能力,通过建立云上的安全基线、对漏洞进行检测管理、构建主动防御能力以及基于攻击链自动化回溯攻击源头和原因,帮助用户保卫云上的安全。

葛岱斌也提到,很多人觉得阿里的系统是不开放的,或者阿里自身提供安全能力会给其他安全厂商带来负面影响,这些想法都是误解。事实上,阿里已经和多家国内外知名安全厂商合作,加强阿里云的安全能力,这些厂商包括Palo Alto Networks、绿盟、启明星辰等。另一方面,对于国内传统的线下安全的厂商,阿里也在和他们合作,帮助他们把他们原本的线下安全能力上云。

安全牛评

阿里云的发展代表了国内云平台的领先地位。相对的,阿里云在云安全,尤其是云平台服务商的角度,也做出了先进的表率。无论是业内第一份私有云等保合规白皮书为不同人群就云安全合规做出了指导性内容,还是云安全平台帮助云租户更好地使用阿里云云安全功能,都为云平台的安全做出了表率。另一方面,阿里云也在和各个安全厂商合作,帮助安全厂商上云,让安全厂商也有“云”能力,促进了整个云安全的发展,给云生态增加了更强的保护。

相关阅读

阿里云安全白皮书都有哪些重要内容?

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章