極客網(wǎng)訊 6月29日,2016云棲大會(huì)成都峰會(huì)現(xiàn)場(chǎng),中國(guó)最大的公有云服務(wù)商阿里云與專注于核心數(shù)據(jù)安全防護(hù)的專業(yè)安全服務(wù)商安華金和,雙方牽手,重磅發(fā)布戰(zhàn)略合作。
發(fā)布會(huì)中, 阿里云相關(guān)負(fù)責(zé)人與阿里云用戶和合作伙伴展開(kāi)了針對(duì)云運(yùn)營(yíng)商的數(shù)據(jù)安全問(wèn)題展開(kāi)了討論并與在場(chǎng)嘉賓展開(kāi)了互動(dòng)。
云端安全性問(wèn)題與第三方審計(jì)
某保險(xiǎn)集團(tuán)代表表示 :其保險(xiǎn)公司主要從事保險(xiǎn)業(yè)務(wù),目前考慮利用云的優(yōu)勢(shì)發(fā)展自身業(yè)務(wù),因?yàn)樵剖钦麄€(gè)資源或者IT的發(fā)展趨勢(shì),它具有彈性的支持能力,在成本效益中有比較大的優(yōu)勢(shì)。
但是在研究和試點(diǎn)過(guò)程中發(fā)現(xiàn)一些問(wèn)題,主要有3點(diǎn)。
1、用戶的數(shù)據(jù)安全或者整個(gè)服務(wù)器的安全,對(duì)于云運(yùn)營(yíng)商的依賴性很大,包括用戶自身的安全意識(shí)或者安全能力,最后往往完全依賴于云服務(wù)商。所以云運(yùn)營(yíng)商擁有用戶所有的數(shù)據(jù)。但是這對(duì)于保險(xiǎn)公司的客戶來(lái)說(shuō)就存在一些安全隱患。
2、 目前云的各種安全保護(hù),包括安華金和的數(shù)據(jù)加密,這種保密的或者保護(hù)手段的強(qiáng)度或者和云平臺(tái)的相同性,它和云的彈性支持是不是有沖突?是不是有矛盾?會(huì)不會(huì)影響云用戶的業(yè)務(wù)處理效率。
3、金融業(yè)和其他電商有比較大的差別,就是它的監(jiān)管非常嚴(yán)格,比如說(shuō)對(duì)于用戶比較大的監(jiān)管,包括公安部、保監(jiān)會(huì)都有相應(yīng)的關(guān)于安全的管理規(guī)定,比如說(shuō)要達(dá)到一些級(jí)別,比如用戶數(shù)要達(dá)到千萬(wàn)級(jí)或者更高一級(jí)的時(shí)候,云運(yùn)營(yíng)商能否順利支持。
明源云產(chǎn)品運(yùn)營(yíng)總監(jiān)黃陽(yáng)表示:在之前,公司并沒(méi)有重視客戶安全的問(wèn)題,但這兩年公司在向云業(yè)務(wù)轉(zhuǎn)型,主要是基于云計(jì)算在SaaS層面上的SaaS產(chǎn)品,但是公司在做SaaS產(chǎn)品的時(shí)候遇到了問(wèn)題。
有客戶表示,明源的系統(tǒng)是布署到云端的,那客戶自身的數(shù)據(jù)不是也在云端?那安全性的問(wèn)題如何解決?
客戶面問(wèn)的是安全問(wèn)題,實(shí)際上安全問(wèn)題是有細(xì)分的,第一種安全問(wèn)題是對(duì)外的,就是外面的黑客攻擊,實(shí)際上對(duì)于這個(gè)問(wèn)題,對(duì)于云服務(wù)器的安全肯定比自建機(jī)房要強(qiáng),所以對(duì)外這塊基本不擔(dān)心,如果有黑客層面來(lái)攻擊的話,公司機(jī)房守不住,在云層面也許是守得住的,公司自身的服務(wù)器能力是比云服務(wù)器要弱的,這一點(diǎn)明源對(duì)于阿里云和其他的云服務(wù)廠商是相當(dāng)信任的。
但是又有第二個(gè)問(wèn)題,明源的地產(chǎn)客戶更多擔(dān)憂內(nèi)憂問(wèn)題。比如說(shuō)阿里云會(huì)不會(huì)存在泄露數(shù)據(jù),明源作為地產(chǎn)信息垂直化服務(wù)商,會(huì)不會(huì)把客戶的數(shù)據(jù)拿去做行業(yè)大數(shù)據(jù)分析?其實(shí)從商務(wù)模式和業(yè)務(wù)構(gòu)建上來(lái)講明源完全沒(méi)有理由動(dòng)客戶的數(shù)據(jù),因?yàn)榉?wù)公司都是追求非常中立的身份,但是這個(gè)時(shí)候客戶表示想拿你還是能拿得到。
所以第一個(gè)問(wèn)題我們希望在云安全上有監(jiān)控的責(zé)任出現(xiàn),希望有第三方或者單獨(dú)項(xiàng)目能夠監(jiān)控,保證我們的行為,不會(huì)動(dòng)客戶數(shù)據(jù)。
第二個(gè)問(wèn)題就是關(guān)于信息化安全問(wèn)題,怎么保障內(nèi)部人員動(dòng)不了云用戶的數(shù)據(jù),或者說(shuō)他拿到數(shù)據(jù)也無(wú)法使用。
阿里云數(shù)據(jù)安全專家文鎮(zhèn)表示:第一個(gè)問(wèn)題是怎么解決內(nèi)憂。美國(guó)斯諾登事件是內(nèi)部泄密的嚴(yán)重事件。
阿里云花了很大成本在內(nèi)部威脅檢測(cè)方面,就是為了防止云服務(wù)商內(nèi)部人員受到外面利益的誘惑或者是因?yàn)槠渌蚨鴮?duì)公司或者對(duì)社會(huì)不滿做的一些違法違規(guī)的活動(dòng)。這件事情也是為了向我們的客戶證明,因?yàn)榘⒗镌埔呀?jīng)承諾不會(huì)動(dòng)客戶的數(shù)據(jù),就要用管理手段,技術(shù)手段確保這樣的事情不會(huì)發(fā)生。
第二個(gè)問(wèn)題,阿里云在接受?chē)?guó)家審查或者行業(yè)審查上下了很大工夫,讓阿里云的流程和規(guī)范都符合金融行業(yè)的標(biāo)準(zhǔn),同時(shí)引入第三方,比如說(shuō)國(guó)家、行業(yè)混入,外部審計(jì)機(jī)構(gòu),比如說(shuō)安華金和作為獨(dú)立第三方來(lái)審計(jì)。還有一個(gè)層面是國(guó)家,像廣信版,公安部也經(jīng)常來(lái)檢查,因?yàn)榘⒗镌埔呀?jīng)是國(guó)家重要的基礎(chǔ)設(shè)施。阿里云歡迎這樣的監(jiān)管,讓第三方的專業(yè)審計(jì)機(jī)構(gòu),讓國(guó)家來(lái)檢查。
阿里云團(tuán)隊(duì)最近準(zhǔn)備了一個(gè)阿里云數(shù)據(jù)安全白皮書(shū),以更通俗的語(yǔ)言向客戶介紹了阿里云做的這些工作。
對(duì)于客戶的數(shù)據(jù)來(lái)說(shuō),怎么界定它的所有權(quán),誰(shuí)能使用這些數(shù)據(jù),現(xiàn)在已經(jīng)有一個(gè)比較完善的規(guī)范來(lái)約束。比如說(shuō)客戶的應(yīng)用在阿里云上產(chǎn)生了一些流量,這個(gè)流量是雙方交互的結(jié)果,如果阿里云用這個(gè)數(shù)據(jù)來(lái)進(jìn)行一些分析,來(lái)做云端,是給客戶提供價(jià)值的,這種分析我們會(huì)在用戶認(rèn)可、授權(quán)的方式下才進(jìn)行,通過(guò)這種方式來(lái)更好的保護(hù)用戶的隱私,所以說(shuō)阿里云在保護(hù)各個(gè)層面,不僅是用戶原生數(shù)據(jù),包括衍生數(shù)據(jù)我們都考慮到了。
安華金和聯(lián)合創(chuàng)始人兼技術(shù)副總裁楊海峰表示:安華金和在與阿里云進(jìn)行合作,阿里云需要第三方或者其他的安全廠商幫助他們解決一些他們不適合做的一些事情,或者說(shuō)他們站的角度不同不適合做的一些事情,所以有第三方可能更適合去做這些事情。
基礎(chǔ)性安全是阿里云應(yīng)該做的,包括云盾。而用戶的系統(tǒng)或者用戶的應(yīng)用和數(shù)據(jù)層面的東西需要第三方來(lái)協(xié)助解決,這是安華金和作為第三方和阿里云合作的主要考慮。
安華金和比較適合做第三方審計(jì),就是說(shuō)行為的審計(jì)和數(shù)據(jù)防護(hù)問(wèn)題,而且是在數(shù)據(jù)進(jìn)到SaaS前就要進(jìn)行防護(hù),本身從數(shù)據(jù)存儲(chǔ)和基礎(chǔ)數(shù)據(jù)位置上就徹底杜絕了問(wèn)題,這樣從用戶角度會(huì)覺(jué)得更踏實(shí)。
用戶的主動(dòng)權(quán)與阿里云防御體系
某保險(xiǎn)集團(tuán)代表表示:阿里云對(duì)很多用戶來(lái)說(shuō)就像上帝,上帝目前可能得做一些自我約束,實(shí)際上用戶的擔(dān)心就是我不知道你的安全動(dòng)態(tài)情況是怎樣的。所以需要有一個(gè)量化動(dòng)態(tài)的工具能夠向用戶來(lái)展現(xiàn)一下,有一個(gè)可感知的安全情況,我覺(jué)得這可能是我們比較希望的。
阿里云安全總監(jiān)肖力表示:第一個(gè)是合規(guī)審計(jì)的問(wèn)題,在國(guó)內(nèi)審計(jì)是必須的,但是可能還不夠。
第二點(diǎn)是用戶希望把主動(dòng)權(quán)拽在自己手上,阿里云會(huì)把最底層的日志拿出來(lái),拿出來(lái)可以讓第三方做審計(jì),用戶也可以直接做審計(jì),這個(gè)也是最核心的點(diǎn)。
另一點(diǎn)就是通過(guò)加密,密鑰在用戶手上。包括像釘釘,釘釘是阿里的一個(gè)產(chǎn)品,阿里把釘釘這款數(shù)據(jù)通訊加密完全交給第三方廠商負(fù)責(zé),這樣從甲方角度來(lái)看有一個(gè)專業(yè)廠商幫他做審計(jì),那么他在數(shù)據(jù)安全方面會(huì)非常可靠。
與此同時(shí),阿里云會(huì)把整個(gè)防御體系搭建起來(lái),不只是黑客,還有內(nèi)部員工的危險(xiǎn)操作,包括一些非常高危的操作全部審計(jì)起來(lái)做危險(xiǎn)模型,通過(guò)機(jī)器學(xué)習(xí)發(fā)報(bào)警,所以防御體系來(lái)講無(wú)論是內(nèi)部員工還是外部攻擊者,只要有高危操作都會(huì)第一時(shí)間知道。
徹底的規(guī)避風(fēng)險(xiǎn)與第三方審計(jì)的協(xié)作
某保險(xiǎn)集團(tuán)代表表示:針對(duì)不同的安全對(duì)象可能有不同的安全風(fēng)險(xiǎn),比如對(duì)外部,黑客,業(yè)務(wù)使用方或者阿里這方都有不同的風(fēng)險(xiǎn)點(diǎn)。用戶實(shí)際上是希望能有比較全面的,不僅僅局限于數(shù)據(jù)庫(kù)的安全保護(hù),比如說(shuō)網(wǎng)絡(luò)流量,或者說(shuō)更底層的一些基礎(chǔ)的安全檢測(cè)相對(duì)來(lái)說(shuō)對(duì)用戶來(lái)說(shuō)都比較透明。
明源云產(chǎn)品運(yùn)營(yíng)總監(jiān)黃陽(yáng)表示:阿里云需要的不僅是技術(shù),更是客觀的思想保證,所以阿里云會(huì)引入第三方安全供應(yīng)商解決問(wèn)題。
阿里云安全總監(jiān)肖力表示:在數(shù)據(jù)加密和審計(jì)上需要更多第三方廠商,可以通過(guò)第三方方式幫助用戶更好的打消疑慮,解決問(wèn)題,阿里在數(shù)據(jù)安全上是非常開(kāi)放的,也有非常好的帶寬優(yōu)勢(shì),但是在數(shù)據(jù)加密,包括在數(shù)據(jù)安全審計(jì)這塊阿里云是非常歡迎各個(gè)安全廠商來(lái)幫助用戶更好的打消疑慮,解決好用戶數(shù)據(jù)安全問(wèn)題。
數(shù)據(jù)的價(jià)值與云服務(wù)生態(tài)的改變
在場(chǎng)嘉賓:以阿里現(xiàn)在的體量和能力,如果把第三方監(jiān)管或者第三方監(jiān)督做起來(lái),我們認(rèn)為可以改變這個(gè)行業(yè)的生態(tài)。同時(shí),阿里有一個(gè)比較核心的理念叫做以數(shù)據(jù)價(jià)值為核心的企業(yè),現(xiàn)在推出云服務(wù),其實(shí)是有一些矛盾的。用戶的數(shù)據(jù)放過(guò)去不增加了云服務(wù)商的數(shù)據(jù)價(jià)值嗎?所以我們希望阿里的這種體量如果想改變行業(yè)生態(tài),應(yīng)該注意一下第三方,這對(duì)云可能是一個(gè)促進(jìn)。
阿里云安全總監(jiān)肖力:首先阿里云積極配合政府部門(mén)的審查。
另外阿里云認(rèn)為第三方廠商的審計(jì)對(duì)打消用戶疑慮非常關(guān)鍵,所以阿里云會(huì)不遺余力來(lái)配合,不管是日志還是加密等等一些通道,都可以開(kāi)放出來(lái),讓第三方一起來(lái)幫助用戶,因?yàn)樵品?wù)商最重要的還是讓用戶滿意,讓用戶覺(jué)得在云上面他自己的數(shù)據(jù)安全是可靠,可控的,這一點(diǎn)是非常關(guān)鍵的。
關(guān)于云安全生態(tài)的探索
阿里云安全生態(tài)負(fù)責(zé)人安忍表示:阿里云安全生態(tài)在國(guó)內(nèi)走得非常早,在2015年年中就開(kāi)始和各個(gè)大的安全廠商和很多安全合作伙伴在接觸,甚至在更早的時(shí)候,在2014年底阿里云就和國(guó)內(nèi)廠商做底層的工作。
其實(shí)在云安全生態(tài)來(lái)講除了云盾這個(gè)產(chǎn)品以外,第三方產(chǎn)品它的交付一般不外乎最原始模式就是鏡像,和線下物理交付設(shè)備類(lèi)似,把原來(lái)物理設(shè)備軟件抽出來(lái)做一個(gè)系統(tǒng)鏡像,然后通過(guò)加載鏡像來(lái)完成一次安全軟件和系統(tǒng)的交付。如果自己在阿里云上買(mǎi)過(guò)安全鏡像的客戶就能夠知道,其實(shí)這個(gè)過(guò)程還是比較煩瑣。
阿里云團(tuán)隊(duì)也在的思考有沒(méi)有更簡(jiǎn)單,更快捷,相對(duì)于廠商,對(duì)用戶來(lái)講成本更低的方式進(jìn)行安全能力的交付,因?yàn)榘⒗镌葡M桓督o客戶的是安全能力而不只是一臺(tái)設(shè)備。
很多合作伙伴現(xiàn)在相應(yīng)推出了SaaS化的安全產(chǎn)品,而且廣大用戶,特別是在阿里云上的客戶用戶對(duì)云盾使用,包括對(duì)阿里云的使用也被教育得很好,第三方審計(jì)和阿里云自身的基礎(chǔ)設(shè)施結(jié)合得非常緊密,它應(yīng)用了阿里云大量的大數(shù)據(jù)基礎(chǔ)設(shè)施,數(shù)據(jù)傳輸基礎(chǔ)設(shè)施,存儲(chǔ)的基礎(chǔ)設(shè)施,可以說(shuō)它天生就是長(zhǎng)在阿里云之上的一個(gè)安全產(chǎn)品。像綠盟現(xiàn)在也提供了兩款安全產(chǎn)品,一個(gè)綠盟激光掃描,這個(gè)是國(guó)內(nèi)數(shù)一數(shù)二的掃描器,之前大家接觸的可能都是硬件盒子的模式,但是現(xiàn)在比以前簡(jiǎn)單多了,不用再購(gòu)買(mǎi)硬件,只需要在阿里云上購(gòu)買(mǎi)就能夠得到以前你需要買(mǎi)一個(gè)大的硬件才能得到的掃描的能力。
這些都是阿里云和合作伙伴一起為大家提供更多的安全的選擇,作為整個(gè)阿里云安全體系的一個(gè)大的互相的補(bǔ)充,因?yàn)樯鷳B(tài)化是阿里云最重要的戰(zhàn)略。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- GitLab將告別中國(guó)區(qū)用戶:是時(shí)候選擇新的“極狐”或保護(hù)賬號(hào)了
- 蘋(píng)果明年推至少22款新品,阿里非洲首站啟動(dòng),科技新品盛宴拉開(kāi)帷幕
- SUSE預(yù)測(cè):未來(lái)私有AI平臺(tái)崛起,讓我們共同見(jiàn)證AI的未來(lái)
- AI伴侶“小奇”:奇富科技重塑金融服務(wù)體驗(yàn)的探索之作
- 揭秘軟銀孫正義神秘芯片計(jì)劃:打造超越NVIDIA的未來(lái)科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開(kāi)啟
- 大模型獨(dú)角獸階躍星辰融資新動(dòng)態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來(lái)之路
- 哪吒汽車(chē)創(chuàng)始人資金遭凍結(jié),1986萬(wàn)元股權(quán)風(fēng)波引關(guān)注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長(zhǎng)待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領(lǐng)行業(yè),準(zhǔn)確率領(lǐng)先GPT-4近20%,變革金融業(yè)未來(lái)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。