阿里云如何在云上做好企業(yè)安全

　　在企業(yè)安全意識和能力提升的進程中，伴隨著企業(yè)上云的數(shù)量和規(guī)模越來越多，他們對于在云上如何保護業(yè)務(wù)系統(tǒng)和提升安全防護水平更加關(guān)注。在剛剛結(jié)束的2017云棲大會深圳峰會的安全專場中，參會者擠滿了會場，這些阿里云的客戶來聽的正是如何在云上做好企業(yè)安全

　　重視對安全投入的云服務(wù)商無疑將會贏得客戶的青睞，在中國，雖然企業(yè)對于安全的采購比例占整體IT采購比例的份額非常低。但隨著企業(yè)安全意識的轉(zhuǎn)變和等保合規(guī)等政策的要求愈加嚴(yán)格、《網(wǎng)絡(luò)安全法》的即將落地等，可以預(yù)期，中國企業(yè)安全環(huán)境將快速改善。

　　在企業(yè)安全意識和能力提升的進程中，伴隨著企業(yè)上云的數(shù)量和規(guī)模越來越多，他們對于在云上如何保護業(yè)務(wù)系統(tǒng)和提升安全防護水平更加關(guān)注。在剛剛結(jié)束的2017云棲大會深圳峰會的安全專場中，參會者擠滿了會場，這些阿里云的客戶來聽的正是如何在云上做好企業(yè)安全。

　　實際上，阿里云是對安全進行重力投入為數(shù)不多的幾個云服務(wù)商之一，基于此，這也成為其吸引越來越多的國外大型客戶入駐阿里云的重要原因。

　　阿里云為客戶提供了一整套安全產(chǎn)品和服務(wù)，阿里云安全專家蘊藉在2017云棲大會深圳峰會安全專場中對其進行了詳細解讀。

　　由于云區(qū)別于傳統(tǒng)的IT形態(tài)，阿里云提出安全責(zé)任共擔(dān)模型，阿里云負(fù)責(zé)云平臺基礎(chǔ)安全防護，用戶負(fù)責(zé)虛擬化層以上的組件安全、業(yè)務(wù)安全等，這也符合國家等保政策的要求。云平臺基礎(chǔ)安全防護方面不是本文的重點，實際上對于如此規(guī)模和技術(shù)實力的服務(wù)商來說，攻擊者想要突破其底層平臺防線并不容易，過去還沒有這樣的事件發(fā)生。并且，去年阿里云也成為全國首家云等保試點示范平臺，尤其金融云通過測評成為全國首個四級云平臺。

　　云上安全，阿里云能為你做什么？

　　那么，對于企業(yè)用戶可控和可操作的安全來說，阿里云又為其賦予了哪些能力？

　　蘊藉表示，阿里云為用戶提供了安全管理、系統(tǒng)安全、業(yè)務(wù)及內(nèi)容安全三大安全能力，這三大能力來源于阿里云安全的三大策略，一是云盾SaaS安全服務(wù)、二是云產(chǎn)品安全功能、三是云安全生態(tài)彌補租戶更豐富的安全需求。

　　安全管理包括云賬號安全管理及訪問控制、安全審計和遠程運維，它們大多源于云產(chǎn)品本身的安全功能，值得一說的是這些常常被中小客戶所忽略，例如為特權(quán)用戶開啟雙因素認(rèn)證、使用授權(quán)條件限制來增強安全性、不可信設(shè)備必須使用臨時訪問令牌等，所以要避免安全管理不當(dāng)而成為攻擊者的突破口。

　　阿里云提供的系統(tǒng)安全包括了網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全態(tài)勢感知等多方面安全服務(wù)，這其中許多安全服務(wù)均提供免費版本，租戶如果要獲取更高級的防護能力和服務(wù)，可以按需付費使用。

　　阿里云盾提供了在系統(tǒng)安全方面強大的保護能力，例如云盾DDoS高防IP針對互聯(lián)網(wǎng)服務(wù)器在遭受大流量的DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下，用戶可以通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩(wěn)定可靠。云盾WAF通過防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾海量惡意訪問，避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露。

　　安騎士能夠解決主機層面安全問題，蘊藉指出，它具備頂級Webshell查殺能力，一鍵體檢，支持0day漏洞修復(fù)，從而保護服務(wù)安全。事實上，很多企業(yè)由于開發(fā)測試安全意識薄弱，導(dǎo)致系統(tǒng)存在各種漏洞，安騎士在入侵防護上能極大解決用戶安全問題。

　　在數(shù)據(jù)安全方面，云盾證書服務(wù)幫助租戶輕松實現(xiàn)全站HTTPS，防劫持、防竊聽，云盾加密服務(wù)/密鑰管理服務(wù)讓企業(yè)的敏感數(shù)據(jù)加密存儲，未經(jīng)授權(quán)員工及黑客拿不到、解不開數(shù)據(jù)。

　　此外，阿里云還升級了態(tài)勢感知平臺，作為一個大數(shù)據(jù)安全分析平臺，它能對租戶云上所有資產(chǎn)進行安全告警，并用機器學(xué)習(xí)和威脅情報發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預(yù)測即將發(fā)生的安全事件。

　　在業(yè)務(wù)及內(nèi)容安全方面，阿里云進行了細粒度的數(shù)據(jù)風(fēng)控，同時云盾綠網(wǎng)提供了多樣化的內(nèi)容識別服務(wù)，能有效幫助用戶降低違規(guī)風(fēng)險。蘊藉介紹，目前已開放網(wǎng)站內(nèi)容檢測、圖片鑒黃服務(wù)、垃圾廣告過濾、圖片識別等服務(wù)。

　　所以，阿里云安全從網(wǎng)絡(luò)層到數(shù)據(jù)層，從內(nèi)部視角到外部視角，均部署了防護和監(jiān)測體系，租戶亦能得到縱深端到端的安全防護服務(wù)。

　　對于如何在阿里云上開啟云安全，蘊藉給出了兩個簡單步驟：

　　此外，阿里云提供的安全能力并不只針對其云上的客戶，系統(tǒng)不在阿里云的上的企業(yè)同樣可以獲得其安全服務(wù)，即混合云安全解決方案。企業(yè)將流量導(dǎo)向阿里云即可以統(tǒng)一管理混合云安全策略，減少運維成本和對線下安全硬件的投入。并且，阿里云也可以將其安全服務(wù)完成客戶本地部署，包括網(wǎng)絡(luò)流量監(jiān)控、應(yīng)用防火墻、主機入侵防護、態(tài)勢感知等可以部署到企業(yè)用戶的機房，結(jié)合云端情報中心等實現(xiàn)企業(yè)安全的本地防護。

　　蘊藉強調(diào)，阿里云所提供的下一代方案架構(gòu)和傳統(tǒng)安全安全架構(gòu)的盒子化、單點防御等特性相比，新的安全架構(gòu)SaaS化，更敏捷和彈性，大數(shù)據(jù)檢測未知威脅更加智能化，規(guī)則實時更新，可以產(chǎn)生威脅防御的聯(lián)動效果，并能抵御業(yè)務(wù)層的攻擊。

　　所以，無論是保護云上安全還是“云下安全”，阿里云正在呈現(xiàn)越來越強的安全能力。說到這，有必要給阿里云打上一個新的標(biāo)簽，阿里云不僅是一個云端的計算服務(wù)商，還是一個云安全服務(wù)商。