奉上一份云上数据安全保护指南

阿里云资深安全专家黄瑞瑞

本方案的目标是为用户提供从底层云平台数据安全到上层的云上环境保护,并标明各层次模块,让用户可以像建房子一样,一层层的搭建可信的在云上数据的安全保护。在各横向层次模块之外,云上数据安全也需要纵向的认证、授权、访问控制和日志审计功能,从而为客户提供可控和合规的云上数据安全保护方案。

云上数据保护方案

整体而言,云上的数据安全保护方案需要做到三点原则:可信、可控、合规。换言之,只有在可信和可控的云上环境中,提供合规的数据安全保护方案才能真正做到为客户提供最顶级的数据保护。会上,黄瑞瑞针对这三点原则做出了针对性的技术介绍和讨论。

阿里云在云平台层面为客户提供默认高安全等级的基础设施能力,使客户可以放心的将数据存放和计算在可信的云平台上。值得特别指出的是,阿里云在云平台层面会对硬件和固件的安全进行加固和扫描,并使用TPM2.0技术来提供可信的度量和证明云平台底层的安全计算环境。同时阿里云具备基于硬件加密机(HSM)和芯片级别(SGX )的安全计算能力。

阿里云基础设施安全能力

在云产品层面,数据安全主要体现在云产品提供可信的数据加密能力、备份能力和校验能力。会上,黄瑞瑞对于云产品的加密能力进行了针对性的讲解,并向参会嘉宾特别介绍了阿里云的全链路加密能力。全链路加密顾名思义是指针对数据加密在传输链路,以及计算和存储节点提供对应的业界高级别加密能力。传输加密主要依赖SSL/TLS加密并提供AES256强度的加密保护。计算节点中阿里云在2017年即开始提供芯片级SGX加密计算环境(在提供SGX能力的云厂商中,阿里云为亚洲第一、世界第二提供此能力的厂商)。在存储加密环节,阿里云不但能提供高强度(AES256)的数据落盘加密能力,更通过密钥管理服务(KMS)提供用户自带密钥(BYOK)功能。联合KMS密钥管理,阿里云可以为用户提供全链路的数据加密保护。

数据全链路加密

整体来说,数据加密操作流程是明文数据经由国际国内公认的安全算法计算得出数据密文。在加密操作中,被安全保护和管理的密钥是加密保护的充分而必要的条件。换言之,控制了密钥,也就控制了整体加密操作的主动权。早在2015年阿里云就在业内首个发起“数据保护倡议”,并在倡议中明确用户数据所有权归属用户,云计算平台不得擅自移作它用。因此,用户自带密钥(BYOK)功能是阿里云致力于保护用户隐私和将数据控制权进一步交给客户的重要技术手段。由于用户自带主密钥为用户资源,而任何调用需通过用户授权(通过阿里云RAM服务),用户对于加密后数据的使用有了完全自主的控制权和主动权。同时,任何对于用户资源的调用都会在日志审计中完整的显示出来,因此加密后数据的云上使用透明性也有了更好的保障。

在云上数据安全保护层面,黄瑞瑞提出了敏感数据保护的三个技术点,包括分类分级(敏感数据鉴别)、访问控制和防泄漏能力。在分类分级技术点中,今天的正态规则引擎虽然能识别规则的敏感数据格式,但针对日益严格的用户隐私保护需求和法律法规,人工智能(AI)引擎也必须被高效的利用起来。今天的AI引擎可以和规则引擎相配合,利用规则引擎的低误报率来降低其误报率并在规则引擎的基础上提供更加智能的数据鉴别能力。当敏感数据被鉴别出来后,云服务应当提供细粒度的访问控制,尤其应提供在用户属性基础上针对数据本身敏感属性的访问控制能力。最后,敏感数据的防泄漏能力必须在网络、终端和应用各个层面完整的提供。整体而言,云上数据安全保护应当提供从鉴别数据、控制数据访问和防止泄露能力上提供全面的保护。

敏感数据保护的三个技术点

在阿里云提供了可信和可控的数据保护技术手段的前提下,更进一步获得了中国和国际上的各大权威合规认证。目前阿里云已经成为合规资质最全的亚太云服务提供商,是亚太首家获得德国C5和ISO27001认证的企业,中国首家获得MTCS Level3和ISO 20000认证的企业,并为世界互联网大会、G20峰会、“一带一路”高峰论坛等多个国际重大活动,提供高等级网络安全护航。

阿里云获得的合规认证

阿里云的安全使命是将云上安全做到极致,提供更坚固,更强壮的安全能力给用户坚实的后盾,解放用户使其能专注本身的业务问题。尤其在数据保护层面,必须为用户提供最有力的全面安全保护能力。“我们的目标是当用户考虑上云时,不再考虑由于安全能否上云,而是确认正是因为安全而必须上云。”黄瑞瑞最后表示。

 

原文链接
本文为云栖社区原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/520382.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

云数据库POLARDB优势解读系列文章之②——高性价比

现在做任何事情都要看投入产出比,对应到数据库上其实就是性价比。POLARDB作为一款阿里自研数据库,经常被问的问题是:性能怎么样?能不能支撑我的业务?价格贵不贵?很显然,在早期调研阶段&#xff…

38年后的今天,用数据回顾什么是女排精神?

戳蓝字“CSDN云计算”关注我们哦!作者 | 朱小五责编 | 阿秃每当我们足篮打水一场空时,总会想起女排。38年前,1981年11月16日,中国队击败当时号称“东洋魔女“的日本女排,首次夺得世界冠军,这也是中国在三大…

阿里如何将“高峰前扩容、高峰后缩容”的梦想照进现实?

一、2017年我们做了什么? 记得早在2017年的时候,王坚博士就曾召大家就关于“IDC As a Computer”是否能做到,进行过激烈的讨论。而要做到此,必须要实现存储计算分离,分离后由调度对计算和存储资源进行独立自由调度。而…

阿里云异构计算团队亮相英伟达2018 GTC大会

1、首届云原生计算国际会议上,弹性计算研究员伯瑜介绍了基于虚拟化、容器化编排技术的云计算操作系统PouchContainer 首届云原生计算国际会议(KubeCon CloudNativeCon,China,2018)在上海举办,弹性计算研究…

发布国内首个无服务器容器服务,运维效率从未如此高效

近年来,随着越来越多的企业基于微服务架构构建自身核心业务平台后,微服务已获得越来越多技术人员的肯定,同时,微服务也承载着企业数字化转型的重任。但微服务架构的落地给企业的运维团队带来了不少的挑战,原有的运维方…

OPPO 正式发布 ColorOS 7,“轻”装上阵带来多项亮眼新功能……

今日OPPO举办了 ColorOS 7 发布会,正式发布了主打“轻快无边界”的ColorOS 7,以“轻”为核心构建了无边界设计 2.0,在UI、交互、动画、声效等方面进行了优化,围绕“快”阐述了ColorOS 7 在畅快使用、高效体验上所做的创新功能。 此…

ubuntu mysql5.6_ubuntu安装mysql5.6

安装mysql5.6在ubuntu上安装mysql5.6的版本1.添加mysql5.6的源sudo apt-get install software-properties-commonsudo add-apt-repository deb http://archive.ubuntu.com/ubuntu trusty universe2.安装mysql5.6sudo apt-getupdatesudo apt install mysql-server-5.6sudo apt i…

流量隔离方案 Dpath 护航双十一新零售

需求 在今年的双11准备期间,业务同学提出要针对新零售进行特殊的保障,希望新零售过来的流量,单独进入到一批机器,和其他普通流量隔离开来,这对新零售系统稳定性提出更高的要求。 需求总结下来就是: 针对…

潘石屹接连带货 Python,要来抢我们的饭碗?

地产大亨潘石屹近日开始一项全新学习,刷爆程序员的朋友圈,程序员纷纷议论起来:地产大亨也要来抢饭碗啦?11月14日,他说:今天开始我学习一门新的语言Python,我在寻找。这也是今天给自己人生的礼物…

mysql连接不上怎么重置密码错误_MySQL数据库连接不上、密码修改问题

1.问题描述版本:【CentOS8】【MySQL5.7】问题:远程使用navicat连接不上数据库,后来试了在linux中都登不进去。根据提示应该是密码不对,此文主要介绍密码修改和一些注意事项。2.解决方法1)因为现在登不进去,所以没法修改…

服务化改造的云上利器 | 阿里云 EDAS 重大升级发布

11月22日,广东云栖大会企业级互联网架构专场上,阿里云发布了全新版本的企业级分布式应用服务EDAS。 新版本增强了对主流微服务框架的原生支持,实现SpringCloud & Dubbo用户代码零侵入就能迁移至EDAS,降低开发者的接入门槛&am…

Nacos发布0.5.0版本,轻松玩转动态 DNS 服务

阿里巴巴微服务开源项目Nacos于近期发布v0.5.0版本,该版本主要包括了DNS-basedService Discovery,对Java 11的支持,持续优化Nacos产品用户体验,更深度的与Spring Cloud体系的网关集成等方面做了演进。 一、发布 DNS-F 为了进一步…

刷爆了!华为:这类程序员我给200万!你怎么看?

从2017年开始,人工智能便波澜不断,无论是从BAT高调布局AI,还是从年薪50万招聘AI应届生,炽手可热形容AI工程师一点都不过分。百度推出“少帅计划”,针对30岁以下的深度学习科学家,开出100万以上年薪!阿里巴巴…

如何在优雅地Spring 中实现消息的发送和消费

本文将对rocktmq-spring-boot的设计实现做一个简单的介绍,读者可以通过本文了解将RocketMQ Client端集成为spring-boot-starter框架的开发细节,然后通过一个简单的示例来一步一步的讲解如何使用这个spring-boot-starter工具包来配置,发送和消…

假如有人把支付宝存储服务器炸了

戳蓝字“CSDN云计算”关注我们哦!作者 | 净整些没用的责编 | 阿秃近日,在知乎看到了一个问题《假如有人把支付宝存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?》外行人问题。网站都是有服…

如何在一分钟内实现微服务系统下的架构可视化

为什么需要架构可视化 随着企业进行微服务架构改造,系统架构复杂度越来越高,架构变化日益频繁,微服务改造后的实际架构模型可能与预期已经产生了巨大差异,架构师或系统运维人员很难准确记忆所有资源实例的构成和交互情况&#xf…

SpringBoot2.x整合Redis 分布式集群_02

文章目录1. maven依赖2. RedisConfig3. RedisUtils4. application.yml5. 单元测试6. redis 客户端查看1. maven依赖 <!--redis Start--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis<…

驱动阿里云的高性能网络引擎- 飞天洛神

大家都知道阿里云部件的系统都是以神仙命名的&#xff0c;比如说洛神、伏羲、盘古、女娲等等。而在11月15日的GNTC 云专场峰会上&#xff0c;阿里云资深网络技术专家宗志刚先生首先分享了“驱动阿里云的高性能网络引擎- 飞天洛神”主题演讲。洛神是阿里云飞天系统的虚拟网络系统…

6G为什么不被看好?

戳蓝字“CSDN云计算”关注我们哦&#xff01;作者 | 小枣君责编&#xff5c;阿秃前段时间&#xff0c;科技部官宣我国正式启动6G研发的新闻&#xff0c;在网上引起了广泛的转发&#xff0c;相信大家都有看到。新闻摘要&#xff1a;2019年11月3日&#xff0c;科技部会同发展改革…

阿里巴巴IPv6应用平台引领下一代互联网

在11月15日的GNTC IPv6专场峰会上&#xff0c;阿里巴巴网络架构师张先国先生首先分享了“阿里巴巴IPv6应用平台引领下一代互联网”主题演讲。演讲中讲述了阿里巴巴为何尽早启动IPv6项目、阿里巴巴PV6应用平台实践、以及阿里巴巴五大应用及集团各种平台如何构建在阿里云平台之上…