阿里云如何在云上做好企業(yè)安全

　　在企業(yè)安全意識和能力提升的進(jìn)程中，伴隨著(zhù)企業(yè)上云的數量和規模越來(lái)越多，他們對于在云上如何保護業(yè)務(wù)系統和提升安全防護水平更加關(guān)注。在剛剛結束的2017云棲大會(huì )深圳峰會(huì )的安全專(zhuān)場(chǎng)中，參會(huì )者擠滿(mǎn)了會(huì )場(chǎng)，這些阿里云的客戶(hù)來(lái)聽(tīng)的正是如何在云上做好企業(yè)安全

　　重視對安全投入的云服務(wù)商無(wú)疑將會(huì )贏(yíng)得客戶(hù)的青睞，在中國，雖然企業(yè)對于安全的采購比例占整體IT采購比例的份額非常低。但隨著(zhù)企業(yè)安全意識的轉變和等保合規等政策的要求愈加嚴格、《網(wǎng)絡(luò )安全法》的即將落地等，可以預期，中國企業(yè)安全環(huán)境將快速改善。

　　在企業(yè)安全意識和能力提升的進(jìn)程中，伴隨著(zhù)企業(yè)上云的數量和規模越來(lái)越多，他們對于在云上如何保護業(yè)務(wù)系統和提升安全防護水平更加關(guān)注。在剛剛結束的2017云棲大會(huì )深圳峰會(huì )的安全專(zhuān)場(chǎng)中，參會(huì )者擠滿(mǎn)了會(huì )場(chǎng)，這些阿里云的客戶(hù)來(lái)聽(tīng)的正是如何在云上做好企業(yè)安全。

　　實(shí)際上，阿里云是對安全進(jìn)行重力投入為數不多的幾個(gè)云服務(wù)商之一，基于此，這也成為其吸引越來(lái)越多的國外大型客戶(hù)入駐阿里云的重要原因。

　　阿里云為客戶(hù)提供了一整套安全產(chǎn)品和服務(wù)，阿里云安全專(zhuān)家蘊藉在2017云棲大會(huì )深圳峰會(huì )安全專(zhuān)場(chǎng)中對其進(jìn)行了詳細解讀。

　　由于云區別于傳統的IT形態(tài)，阿里云提出安全責任共擔模型，阿里云負責云平臺基礎安全防護，用戶(hù)負責虛擬化層以上的組件安全、業(yè)務(wù)安全等，這也符合國家等保政策的要求。云平臺基礎安全防護方面不是本文的重點(diǎn)，實(shí)際上對于如此規模和技術(shù)實(shí)力的服務(wù)商來(lái)說(shuō)，攻擊者想要突破其底層平臺防線(xiàn)并不容易，過(guò)去還沒(méi)有這樣的事件發(fā)生。并且，去年阿里云也成為全國首家云等保試點(diǎn)示范平臺，尤其金融云通過(guò)測評成為全國首個(gè)四級云平臺。

　　云上安全，阿里云能為你做什么？

　　那么，對于企業(yè)用戶(hù)可控和可操作的安全來(lái)說(shuō)，阿里云又為其賦予了哪些能力？

　　蘊藉表示，阿里云為用戶(hù)提供了安全管理、系統安全、業(yè)務(wù)及內容安全三大安全能力，這三大能力來(lái)源于阿里云安全的三大策略，一是云盾SaaS安全服務(wù)、二是云產(chǎn)品安全功能、三是云安全生態(tài)彌補租戶(hù)更豐富的安全需求。

　　安全管理包括云賬號安全管理及訪(fǎng)問(wèn)控制、安全審計和遠程運維，它們大多源于云產(chǎn)品本身的安全功能，值得一說(shuō)的是這些常常被中小客戶(hù)所忽略，例如為特權用戶(hù)開(kāi)啟雙因素認證、使用授權條件限制來(lái)增強安全性、不可信設備必須使用臨時(shí)訪(fǎng)問(wèn)令牌等，所以要避免安全管理不當而成為攻擊者的突破口。

　　阿里云提供的系統安全包括了網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全、安全態(tài)勢感知等多方面安全服務(wù)，這其中許多安全服務(wù)均提供免費版本，租戶(hù)如果要獲取更高級的防護能力和服務(wù)，可以按需付費使用。

　　阿里云盾提供了在系統安全方面強大的保護能力，例如云盾DDoS高防IP針對互聯(lián)網(wǎng)服務(wù)器在遭受大流量的DDoS攻擊后導致服務(wù)不可用的情況下，用戶(hù)可以通過(guò)配置高防IP，將攻擊流量引流到高防IP，確保源站的穩定可靠。云盾WAF通過(guò)防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權核心資源訪(fǎng)問(wèn)等OWASP常見(jiàn)攻擊，過(guò)濾海量惡意訪(fǎng)問(wèn)，避免網(wǎng)站資產(chǎn)數據泄露。

　　安騎士能夠解決主機層面安全問(wèn)題，蘊藉指出，它具備頂級Webshell查殺能力，一鍵體檢，支持0day漏洞修復，從而保護服務(wù)安全。事實(shí)上，很多企業(yè)由于開(kāi)發(fā)測試安全意識薄弱，導致系統存在各種漏洞，安騎士在入侵防護上能極大解決用戶(hù)安全問(wèn)題。

　　在數據安全方面，云盾證書(shū)服務(wù)幫助租戶(hù)輕松實(shí)現全站HTTPS，防劫持、防竊聽(tīng)，云盾加密服務(wù)/密鑰管理服務(wù)讓企業(yè)的敏感數據加密存儲，未經(jīng)授權員工及黑客拿不到、解不開(kāi)數據。

　　此外，阿里云還升級了態(tài)勢感知平臺，作為一個(gè)大數據安全分析平臺，它能對租戶(hù)云上所有資產(chǎn)進(jìn)行安全告警，并用機器學(xué)習和威脅情報發(fā)現潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預測即將發(fā)生的安全事件。

　　在業(yè)務(wù)及內容安全方面，阿里云進(jìn)行了細粒度的數據風(fēng)控，同時(shí)云盾綠網(wǎng)提供了多樣化的內容識別服務(wù)，能有效幫助用戶(hù)降低違規風(fēng)險。蘊藉介紹，目前已開(kāi)放網(wǎng)站內容檢測、圖片鑒黃服務(wù)、垃圾廣告過(guò)濾、圖片識別等服務(wù)。

　　所以，阿里云安全從網(wǎng)絡(luò )層到數據層，從內部視角到外部視角，均部署了防護和監測體系，租戶(hù)亦能得到縱深端到端的安全防護服務(wù)。

　　對于如何在阿里云上開(kāi)啟云安全，蘊藉給出了兩個(gè)簡(jiǎn)單步驟：

　　此外，阿里云提供的安全能力并不只針對其云上的客戶(hù)，系統不在阿里云的上的企業(yè)同樣可以獲得其安全服務(wù)，即混合云安全解決方案。企業(yè)將流量導向阿里云即可以統一管理混合云安全策略，減少運維成本和對線(xiàn)下安全硬件的投入。并且，阿里云也可以將其安全服務(wù)完成客戶(hù)本地部署，包括網(wǎng)絡(luò )流量監控、應用防火墻、主機入侵防護、態(tài)勢感知等可以部署到企業(yè)用戶(hù)的機房，結合云端情報中心等實(shí)現企業(yè)安全的本地防護。

　　蘊藉強調，阿里云所提供的下一代方案架構和傳統安全安全架構的盒子化、單點(diǎn)防御等特性相比，新的安全架構SaaS化，更敏捷和彈性，大數據檢測未知威脅更加智能化，規則實(shí)時(shí)更新，可以產(chǎn)生威脅防御的聯(lián)動(dòng)效果，并能抵御業(yè)務(wù)層的攻擊。

　　所以，無(wú)論是保護云上安全還是“云下安全”，阿里云正在呈現越來(lái)越強的安全能力。說(shuō)到這，有必要給阿里云打上一個(gè)新的標簽，阿里云不僅是一個(gè)云端的計算服務(wù)商，還是一個(gè)云安全服務(wù)商。