讯 6月29日,2016云栖大会成都峰会现场,中国最大的公有云服务商阿里云与专注于核心数据安全防护的专业安全服务商安华金和,双方牵手,重磅发布战略合作。
发布会中, 阿里云相关负责人与阿里云用户和合作伙伴展开了针对云运营商的数据安全问题展开了讨论并与在场嘉宾展开了互动。
云端安全性问题与第三方审计
某保险集团代表表示 :其保险公司主要从事保险业务,目前考虑利用云的优势发展自身业务,因为云是整个资源或者IT的发展趋势,它具有弹性的支持能力,在成本效益中有比较大的优势。
但是在研究和试点过程中发现一些问题,主要有3点。
1、用户的数据安全或者整个服务器的安全,对于云运营商的依赖性很大,包括用户自身的安全意识或者安全能力,最后往往完全依赖于云服务商。所以云运营商拥有用户所有的数据。但是这对于保险公司的客户来说就存在一些安全隐患。
2、 目前云的各种安全保护,包括安华金和的数据加密,这种保密的或者保护手段的强度或者和云平台的相同性,它和云的弹性支持是不是有冲突?是不是有矛盾?会不会影响云用户的业务处理效率。
3、金融业和其他电商有比较大的差别,就是它的监管非常严格,比如说对于用户比较大的监管,包括公安部、保监会都有相应的关于安全的管理规定,比如说要达到一些级别,比如用户数要达到千万级或者更高一级的时候,云运营商能否顺利支持。
明源云产品运营总监黄阳表示:在之前,公司并没有重视客户安全的问题,但这两年公司在向云业务转型,主要是基于云计算在SaaS层面上的SaaS产品,但是公司在做SaaS产品的时候遇到了问题。
有客户表示,明源的系统是布署到云端的,那客户自身的数据不是也在云端?那安全性的问题如何解决?
客户面问的是安全问题,实际上安全问题是有细分的,第一种安全问题是对外的,就是外面的黑客攻击,实际上对于这个问题,对于云服务器的安全肯定比自建机房要强,所以对外这块基本不担心,如果有黑客层面来攻击的话,公司机房守不住,在云层面也许是守得住的,公司自身的服务器能力是比云服务器要弱的,这一点明源对于阿里云和其他的云服务厂商是相当信任的。
但是又有第二个问题,明源的地产客户更多担忧内忧问题。比如说阿里云会不会存在泄露数据,明源作为地产信息垂直化服务商,会不会把客户的数据拿去做行业大数据分析?其实从商务模式和业务构建上来讲明源完全没有理由动客户的数据,因为服务公司都是追求非常中立的身份,但是这个时候客户表示想拿你还是能拿得到。
所以第一个问题我们希望在云安全上有监控的责任出现,希望有第三方或者单独项目能够监控,保证我们的行为,不会动客户数据。
第二个问题就是关于信息化安全问题,怎么保障内部人员动不了云用户的数据,或者说他拿到数据也无法使用。
阿里云数据安全专家文镇表示:第一个问题是怎么解决内忧。美国斯诺登事件是内部泄密的严重事件。
阿里云花了很大成本在内部威胁检测方面,就是为了防止云服务商内部人员受到外面利益的诱惑或者是因为其他原因而对公司或者对社会不满做的一些违法违规的活动。这件事情也是为了向我们的客户证明,因为阿里云已经承诺不会动客户的数据,就要用管理手段,技术手段确保这样的事情不会发生。
第二个问题,阿里云在接受国家审查或者行业审查上下了很大工夫,让阿里云的流程和规范都符合金融行业的标准,同时引入第三方,比如说国家、行业混入,外部审计机构,比如说安华金和作为独立第三方来审计。还有一个层面是国家,像广信版,公安部也经常来检查,因为阿里云已经是国家重要的基础设施。阿里云欢迎这样的监管,让第三方的专业审计机构,让国家来检查。
阿里云团队最近准备了一个阿里云数据安全白皮书,以更通俗的语言向客户介绍了阿里云做的这些工作。
对于客户的数据来说,怎么界定它的所有权,谁能使用这些数据,现在已经有一个比较完善的规范来约束。比如说客户的应用在阿里云上产生了一些流量,这个流量是双方交互的结果,如果阿里云用这个数据来进行一些分析,来做云端,是给客户提供价值的,这种分析我们会在用户认可、授权的方式下才进行,通过这种方式来更好的保护用户的隐私,所以说阿里云在保护各个层面,不仅是用户原生数据,包括衍生数据我们都考虑到了。
安华金和联合创始人兼技术副总裁杨海峰表示:安华金和在与阿里云进行合作,阿里云需要第三方或者其他的安全厂商帮助他们解决一些他们不适合做的一些事情,或者说他们站的角度不同不适合做的一些事情,所以有第三方可能更适合去做这些事情。
基础性安全是阿里云应该做的,包括云盾。而用户的系统或者用户的应用和数据层面的东西需要第三方来协助解决,这是安华金和作为第三方和阿里云合作的主要考虑。
安华金和比较适合做第三方审计,就是说行为的审计和数据防护问题,而且是在数据进到SaaS前就要进行防护,本身从数据存储和基础数据位置上就彻底杜绝了问题,这样从用户角度会觉得更踏实。
用户的主动权与阿里云防御体系
某保险集团代表表示:阿里云对很多用户来说就像上帝,上帝目前可能得做一些自我约束,实际上用户的担心就是我不知道你的安全动态情况是怎样的。所以需要有一个量化动态的工具能够向用户来展现一下,有一个可感知的安全情况,我觉得这可能是我们比较希望的。
阿里云安全总监肖力表示:第一个是合规审计的问题,在国内审计是必须的,但是可能还不够。
第二点是用户希望把主动权拽在自己手上,阿里云会把最底层的日志拿出来,拿出来可以让第三方做审计,用户也可以直接做审计,这个也是最核心的点。
另一点就是通过加密,密钥在用户手上。包括像钉钉,钉钉是阿里的一个产品,阿里把钉钉这款数据通讯加密完全交给第三方厂商负责,这样从甲方角度来看有一个专业厂商帮他做审计,那么他在数据安全方面会非常可靠。
与此同时,阿里云会把整个防御体系搭建起来,不只是黑客,还有内部员工的危险操作,包括一些非常高危的操作全部审计起来做危险模型,通过机器学习发报警,所以防御体系来讲无论是内部员工还是外部攻击者,只要有高危操作都会第一时间知道。
彻底的规避风险与第三方审计的协作
某保险集团代表表示:针对不同的安全对象可能有不同的安全风险,比如对外部,黑客,业务使用方或者阿里这方都有不同的风险点。用户实际上是希望能有比较全面的,不仅仅局限于数据库的安全保护,比如说网络流量,或者说更底层的一些基础的安全检测相对来说对用户来说都比较透明。
明源云产品运营总监黄阳表示:阿里云需要的不仅是技术,更是客观的思想保证,所以阿里云会引入第三方安全供应商解决问题。
阿里云安全总监肖力表示:在数据加密和审计上需要更多第三方厂商,可以通过第三方方式帮助用户更好的打消疑虑,解决问题,阿里在数据安全上是非常开放的,也有非常好的带宽优势,但是在数据加密,包括在数据安全审计这块阿里云是非常欢迎各个安全厂商来帮助用户更好的打消疑虑,解决好用户数据安全问题。
数据的价值与云服务生态的改变
在场嘉宾:以阿里现在的体量和能力,如果把第三方监管或者第三方监督做起来,我们认为可以改变这个行业的生态。同时,阿里有一个比较核心的理念叫做以数据价值为核心的企业,现在推出云服务,其实是有一些矛盾的。用户的数据放过去不增加了云服务商的数据价值吗?所以我们希望阿里的这种体量如果想改变行业生态,应该注意一下第三方,这对云可能是一个促进。
阿里云安全总监肖力:首先阿里云积极配合政府部门的审查。
另外阿里云认为第三方厂商的审计对打消用户疑虑非常关键,所以阿里云会不遗余力来配合,不管是日志还是加密等等一些通道,都可以开放出来,让第三方一起来帮助用户,因为云服务商最重要的还是让用户满意,让用户觉得在云上面他自己的数据安全是可靠,可控的,这一点是非常关键的。
关于云安全生态的探索
阿里云安全生态负责人安忍表示:阿里云安全生态在国内走得非常早,在2015年年中就开始和各个大的安全厂商和很多安全合作伙伴在接触,甚至在更早的时候,在2014年底阿里云就和国内厂商做底层的工作。
其实在云安全生态来讲除了云盾这个产品以外,第三方产品它的交付一般不外乎最原始模式就是镜像,和线下物理交付设备类似,把原来物理设备软件抽出来做一个系统镜像,然后通过加载镜像来完成一次安全软件和系统的交付。如果自己在阿里云上买过安全镜像的客户就能够知道,其实这个过程还是比较烦琐。
阿里云团队也在的思考有没有更简单,更快捷,相对于厂商,对用户来讲成本更低的方式进行安全能力的交付,因为阿里云希望交付给客户的是安全能力而不只是一台设备。
很多合作伙伴现在相应推出了SaaS化的安全产品,而且广大用户,特别是在阿里云上的客户用户对云盾使用,包括对阿里云的使用也被教育得很好,第三方审计和阿里云自身的基础设施结合得非常紧密,它应用了阿里云大量的大数据基础设施,数据传输基础设施,存储的基础设施,可以说它天生就是长在阿里云之上的一个安全产品。像绿盟现在也提供了两款安全产品,一个绿盟激光扫描,这个是国内数一数二的扫描器,之前大家接触的可能都是硬件盒子的模式,但是现在比以前简单多了,不用再购买硬件,只需要在阿里云上购买就能够得到以前你需要买一个大的硬件才能得到的扫描的能力。
这些都是阿里云和合作伙伴一起为大家提供更多的安全的选择,作为整个阿里云安全体系的一个大的互相的补充,因为生态化是阿里云最重要的战略。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。