6月29日,阿里云在云棲大會(huì)·成都峰會(huì)發(fā)布《數(shù)據(jù)安全白皮書》(以下簡(jiǎn)稱白皮書),首次公開了阿里云在保障230萬用戶數(shù)據(jù)安全方面建立的流程、機(jī)制以及具體實(shí)踐辦法。
借此機(jī)會(huì),針對(duì)用戶最關(guān)心的云上數(shù)據(jù)傳輸、使用和存儲(chǔ)等問題,阿里云也給出了詳實(shí)的解讀和承諾。并通過權(quán)威的認(rèn)證和審計(jì)報(bào)告,充分證明其在數(shù)據(jù)安全方面的合法合規(guī)性。
作為行業(yè)內(nèi)首個(gè)主動(dòng)接受市場(chǎng)和監(jiān)管檢驗(yàn)的云服務(wù)商,阿里云開創(chuàng)性地以透明、公開的方式搭建信任關(guān)系,再次成為云計(jì)算行業(yè)的先鋒代表,也為云計(jì)算市場(chǎng)的健康發(fā)展起到了積極的示范意義。
“1+3”的強(qiáng)力安全運(yùn)營管控理念
從成立第一天起,阿里云就將“用戶安全”列為最重要的事情。白皮書透露,阿里云在架構(gòu)設(shè)計(jì)之初就同步考慮了安全架構(gòu),不僅將安全的基因植入到整個(gè)云平臺(tái)和各個(gè)云產(chǎn)品中,更將數(shù)據(jù)安全要求嵌入產(chǎn)品開發(fā)生命周期的各個(gè)環(huán)節(jié)。
七年實(shí)踐,阿里云總結(jié)出獨(dú)有的“1+3”的強(qiáng)力安全運(yùn)營管控理念,即通過“安全融入設(shè)計(jì)、自動(dòng)化監(jiān)控與響應(yīng)、紅藍(lán)對(duì)抗與持續(xù)改進(jìn)”這3個(gè)安全手段,實(shí)現(xiàn)保障用戶數(shù)據(jù)安全這個(gè)核心目標(biāo)。白皮書中寫道,阿里云對(duì)各產(chǎn)品及業(yè)務(wù)的安全漏洞及威脅情報(bào)已經(jīng)達(dá)到100%監(jiān)控響應(yīng)能力。
阿里云還積極邀請(qǐng)全球頂尖安全技術(shù)專家持續(xù)進(jìn)行“紅藍(lán)軍”攻防對(duì)抗,并將對(duì)抗結(jié)果與生產(chǎn)環(huán)境中所遭受的威脅結(jié)合,更新跌代威脅分析工具、安全評(píng)估方法論,讓數(shù)據(jù)安全防御形成一個(gè)持續(xù)迭代更新的良性循環(huán)系統(tǒng)。
數(shù)據(jù)是客戶資產(chǎn),阿里云不會(huì)移作它用
阿里云用戶對(duì)自身數(shù)據(jù),一直具有完全的知情權(quán)和控制權(quán)。用戶可自行選擇其生產(chǎn)數(shù)據(jù)部署或存放的云服務(wù)可用區(qū)地點(diǎn),未經(jīng)用戶授權(quán) ,阿里云不會(huì)任意移動(dòng)其生產(chǎn)數(shù)據(jù)的存儲(chǔ)區(qū)域。
不同用戶之間,無論是CPU、內(nèi)存,還是存儲(chǔ)和網(wǎng)絡(luò)都默認(rèn)相互隔離,既看不到對(duì)方的數(shù)據(jù),也不會(huì)相互影響。“就像一間五星級(jí)酒店被分割成多個(gè)房間,他們之間是相互獨(dú)立和封閉的,從而確保不同租戶互不干擾和數(shù)據(jù)隔離。”阿里云安全資深總監(jiān)肖力介紹。
對(duì)于數(shù)據(jù)的交換、轉(zhuǎn)移與分享,阿里云都提供了標(biāo)準(zhǔn)的加密傳輸協(xié)議,以方便云平臺(tái)與外界以及系統(tǒng)間傳輸敏感數(shù)據(jù)的需求。
全球領(lǐng)先的云計(jì)算安全技術(shù)
白皮書介紹,所有開發(fā)、維護(hù)、客服以及其他可能接觸到阿里云內(nèi)部系統(tǒng)的人員,他們的每次登陸都有嚴(yán)密的身份識(shí)別,確保帳號(hào)與生產(chǎn)設(shè)備“不會(huì)誤用”、“不被盜用”、“不能亂用”的三不原則!
七年時(shí)間,阿里云沉淀了一支包括云底層安全、云平臺(tái)安全、合規(guī)內(nèi)控及標(biāo)準(zhǔn)在內(nèi)的專業(yè)團(tuán)隊(duì),保障用戶的數(shù)據(jù)安全并協(xié)助用戶滿足企業(yè)運(yùn)營的合規(guī)目標(biāo)。
如今,阿里云全球領(lǐng)先的熱升級(jí)技術(shù)更使得產(chǎn)品升級(jí)、漏洞修復(fù)都不會(huì)影響客戶業(yè)務(wù)。去年初,Xen被爆存在高危漏洞。阿里云采用了全部熱升級(jí)的方式,在用戶沒有感知的情況下,解決了此問題。
現(xiàn)在,阿里云保護(hù)著全國35%的網(wǎng)站。2015年,阿里云安全團(tuán)隊(duì)共監(jiān)控到DDoS攻擊事件超過10萬次,其中流量達(dá)到300Gbps以上的攻擊次數(shù)有66次,最大攻擊峰值流量達(dá)到477Gbps。
國際多家標(biāo)準(zhǔn)組織肯定阿里云數(shù)據(jù)安全機(jī)制
云計(jì)算行業(yè)安全認(rèn)證和行業(yè)合規(guī)是任何一家云服務(wù)提供商正式運(yùn)營的必備條件,也是提供云服務(wù)的資質(zhì)保障。在安全方面,阿里云已獲得云安全國際認(rèn)證金牌(CSA-STAR)、ISO20000認(rèn)證、ISO 27001 和ISO 22301認(rèn)證,被譽(yù)為亞太地區(qū)認(rèn)證合規(guī)最完備的云計(jì)算平臺(tái)。
阿里云還通過了美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA) 與云安全聯(lián)盟(CSA)制定的SOC2審計(jì)標(biāo)準(zhǔn)。該報(bào)告由國際審計(jì)師事務(wù)所安永出具,數(shù)據(jù)安全性為其審計(jì)重點(diǎn)。
此外,為促進(jìn)行業(yè)健康發(fā)展,阿里云還積極參與云計(jì)算和大數(shù)據(jù)國際、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的編制,并在多個(gè)國際標(biāo)準(zhǔn)組織內(nèi)擔(dān)任重要席位。
更多阿里云相關(guān): 阿里云官網(wǎng)阿里云服務(wù)器學(xué)生專享云服務(wù)器9.9元阿里云15天免費(fèi)體驗(yàn)