如同多年前,當(dāng)銀行剛剛出現(xiàn),人們擔(dān)心把財產(chǎn)從后院轉(zhuǎn)移到銀行會不會被吞掉?現(xiàn)在,隨著公共云服務(wù)的逐步推廣,雖然深知它的便利性,但用戶仍然擔(dān)心公司各項業(yè)務(wù)數(shù)據(jù)交給云平臺管理,是不是等于向別人公開了我的商業(yè)秘密?
回望過去,雖然我們現(xiàn)在已不再懷疑銀行對客戶資產(chǎn)的保護能力,但這是基于銀行完善而可靠的資產(chǎn)安全體系。那么,對于公共云服務(wù)平臺,數(shù)據(jù)安全性的保障同樣成為用戶的首要考慮。7月13、14日,以“聚力.賦能”為主題的阿里安全峰會在國家會議中心召開,安華金和受邀參會并發(fā)表演講,作為阿里云安全戰(zhàn)略合作伙伴在云安全論壇中對于“公共云數(shù)據(jù)安全面臨的挑戰(zhàn)與應(yīng)對”展開分享。
安華金和聯(lián)合創(chuàng)始人兼副總裁楊海峰
安全性是企業(yè)面對云計算的首要考慮
來自知名研究機構(gòu)IDC的統(tǒng)計結(jié)果顯示:相比性能、可用性、集成度等問題,用戶對于安全性的顧慮排在第一位,占到75%。我們發(fā)現(xiàn),由于對云平臺的數(shù)據(jù)安全性存在顧慮,很多用戶不得不選擇采用私有云這種折衷方式來規(guī)避這種風(fēng)險,但對于大多數(shù)規(guī)模、體量不太大的用戶來說,建設(shè)私有云并不現(xiàn)實,性價比更高的公共云是最好的選擇。
公共云數(shù)據(jù)安全的新挑戰(zhàn)和老問題
通過梳理公共云環(huán)境的安全現(xiàn)狀,我們發(fā)現(xiàn),當(dāng)用戶數(shù)據(jù)遷移至云端,數(shù)據(jù)安全依然存在內(nèi)部運維風(fēng)險、外部黑客攻擊等老問題,同時,由于今天的公共云相比傳統(tǒng)數(shù)據(jù)中心環(huán)境發(fā)生了一些變化,這給公共云數(shù)據(jù)安全帶來了新的挑戰(zhàn)。
1、多用戶共享云服務(wù)環(huán)境是否安全
公共云平臺的特點是開放的服務(wù)環(huán)境、多租戶環(huán)境,這引起用戶極大的顧慮,比如同行業(yè)的云用戶不免產(chǎn)生疑慮:對于這樣一個開放的平臺,是否我的營銷數(shù)據(jù)、人力資源數(shù)據(jù)、財務(wù)數(shù)據(jù)等會被競爭對手看到?
2、公共云運維環(huán)境是否安全
在云計算架構(gòu)中,IaaS、PaaS、SaaS各層分別存在數(shù)據(jù)泄露的風(fēng)險;IaaS能夠從存儲層獲取數(shù)據(jù),PaaS能夠從操作系統(tǒng)和RDS獲取數(shù)據(jù),SaaS能夠直接從SaaS系統(tǒng)中獲取數(shù)據(jù)。這些都是公共云環(huán)境下會造成用戶數(shù)據(jù)資產(chǎn)不安全的關(guān)鍵問題。
面對公共云數(shù)據(jù)安全面臨的新挑戰(zhàn)和老問題,安華金和楊海峰提出:構(gòu)建公共云數(shù)據(jù)多層防護框架是真正有效的解決方案。
參考Gartner的云安全防護報告,我們以云數(shù)據(jù)持續(xù)監(jiān)控與防護為核心思路的公共云數(shù)據(jù)多層防護框架??蚣苣P椭邪膫€象限:數(shù)據(jù)安全、風(fēng)險感知、數(shù)據(jù)合規(guī)、威脅防護,形成閉環(huán),實現(xiàn)事前、事中、事后的全階段安全防護。
一、數(shù)據(jù)安全是基礎(chǔ),按需加密是關(guān)鍵
我們知道,最根本有效的數(shù)據(jù)保護是對敏感數(shù)據(jù)進行加密處理,同時,確保密鑰由用戶掌控。對于復(fù)雜的云運維和多租戶環(huán)境, 云平臺的使用牽涉到四個角色的安全顧慮:
IaaS服務(wù)商擔(dān)心黑客攻擊、內(nèi)部人員數(shù)據(jù)泄露;
PaaS服務(wù)商擔(dān)心IaaS服務(wù)商盜用數(shù)據(jù);
SaaS服務(wù)商擔(dān)心IaaS、PaaS服務(wù)商盜用數(shù)據(jù);
最終用戶擔(dān)心各環(huán)節(jié)服務(wù)商竊取數(shù)據(jù)。
因此,面對不同角色的安全需求,真正具有高可用性的數(shù)據(jù)庫加密方案決不是單一而通用的策略,針對云計算架構(gòu)的不同層次,按需采用靈活合理的數(shù)據(jù)加密技術(shù)保護數(shù)據(jù)資產(chǎn)是關(guān)鍵。
1、文件層透明加密
文件曾加密方案中,密鑰存儲在云端,解決IaaS服務(wù)商通過存儲層盜取數(shù)據(jù)的問題。
2、數(shù)據(jù)庫層透明加密
對于PaaS廠商具有操作系統(tǒng)和操作管理員權(quán)限,可以通過操作系統(tǒng)獲取數(shù)據(jù),使用數(shù)據(jù)庫層透明加密,是相對安全的加密方案。
3、應(yīng)用層(JDBC層、CASB層)透明加密
前者是在JDBC層自動進行數(shù)據(jù)加密后存儲在數(shù)據(jù)庫中,而CASB層透明加密則需要部署在企業(yè)層,企業(yè)訪問公共云時,PaaS平臺對敏感數(shù)據(jù)進行加密。兩種方式同屬應(yīng)用層加密,解決SaaS服務(wù)商盜取數(shù)據(jù)的問題。
二、準(zhǔn)確及時的風(fēng)險感知能力
本次安全峰會中,多家安全企業(yè)不約而同的談到風(fēng)險感知,不難看出,面對攻擊技術(shù)的飛躍,安全的定義不再是簡單的兵來將擋,事前的風(fēng)險感知能力越發(fā)重要。通過對國內(nèi)外安全事件的深入研究,我們發(fā)現(xiàn),大多數(shù)泄漏事件的攻擊目標(biāo)直指核心數(shù)據(jù)庫資產(chǎn),安全漏洞攻擊、SQL注入、病毒感染等常用手段正在不斷演變攻擊形態(tài)。面對越來越復(fù)雜的數(shù)據(jù)安全威脅,如何準(zhǔn)確感知?楊海峰認(rèn)為:依托持續(xù)監(jiān)控和行為分析,對應(yīng)用側(cè)和運維側(cè)進行數(shù)據(jù)庫行為的全面采集,形成完善的語句結(jié)構(gòu)模型,能夠確保威脅發(fā)生的第一時間準(zhǔn)確感知來自外部或內(nèi)部的安全風(fēng)險。
三、符合數(shù)據(jù)合規(guī)性要求
應(yīng)對各行業(yè)內(nèi)的數(shù)據(jù)合規(guī)性要求,我們需要保證:
1. 敏感數(shù)據(jù)不外流
2. 數(shù)據(jù)敏感性處理不遺漏
3. 數(shù)據(jù)脫敏后保證有效性
4. 數(shù)據(jù)間關(guān)聯(lián)關(guān)系不變
基于此,我們使用脫敏產(chǎn)品準(zhǔn)確發(fā)現(xiàn)全部敏感數(shù)據(jù),并進行屏蔽、轉(zhuǎn)換,隨機化等方式進行數(shù)據(jù)處理,并保證處理后的數(shù)據(jù)不影響業(yè)務(wù)系統(tǒng)的有效使用。
四、威脅防護與風(fēng)險感知聯(lián)動并發(fā)
確保防護準(zhǔn)確有效,應(yīng)當(dāng)基于風(fēng)險感知能力聯(lián)動并發(fā)。
對于來自運維側(cè)的內(nèi)部威脅,進行細(xì)粒度的強制訪問控制,阻斷風(fēng)險行為;對于惡意程序的數(shù)據(jù)竊取行為,基于風(fēng)險感知,進行有效識別和阻斷攔截。
信息技術(shù)的發(fā)展沒有極限,如同人類追求自由的腳步永不停滯,云計算技術(shù)使我們對數(shù)據(jù)的使用更加自由,而如安華金和一樣的安全廠商正在背后為這份自由全力以赴。聚力、賦能,在安華人的眼中,我們將之詮釋為:聚全力,賦予數(shù)據(jù)自由飛翔的能力。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- GitLab將告別中國區(qū)用戶:是時候選擇新的“極狐”或保護賬號了
- 蘋果明年推至少22款新品,阿里非洲首站啟動,科技新品盛宴拉開帷幕
- SUSE預(yù)測:未來私有AI平臺崛起,讓我們共同見證AI的未來
- AI伴侶“小奇”:奇富科技重塑金融服務(wù)體驗的探索之作
- 揭秘軟銀孫正義神秘芯片計劃:打造超越NVIDIA的未來科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開啟
- 大模型獨角獸階躍星辰融資新動態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來之路
- 哪吒汽車創(chuàng)始人資金遭凍結(jié),1986萬元股權(quán)風(fēng)波引關(guān)注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領(lǐng)行業(yè),準(zhǔn)確率領(lǐng)先GPT-4近20%,變革金融業(yè)未來
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。