杭州云栖大会主论坛上，阿里云安全事业部总经理肖力发表了《云安全，技术驱动智能化防御》主题演讲，结合企业的安全痛点详细解读了云上安全的六大优势，并指出了企业安全最佳实践之道。

肖力表示，传统的企业安全边界正在失效，无论企业数据部署在本地还是云上都会成为攻击的目标，看似铜墙铁壁的传统安全防御措施已经无法应对越来越智能化的攻击。基于云的原生安全能力及安全产品和服务，能够帮助用户构建从基础设施安全到应用安全的全方位多层次安全体系，保障用户资产安全及业务稳定性。

 

相对于传统安全防御体系而言，云上安全的先天优势如何帮助企业构建更强壮的安全体系，肖力在会上做了详细解读。

 

云产品的默认安全优势

阿里云在设计云操作系统及云产品时会默认加进安全理念。2017年发布了89个基于云产品的安全功能，所有产品在上线之前都要在产品设计、产品开发及产品交付等各个阶段考虑默认安全问题。例如云服务器ECS在交到用户手上时默认不对互联网开放，只能用户按需开放，遵循了最小权限原则。

全方位安全隔离管控

传统的企业网络拓扑图一般是杂乱无章的，而业务上云以后，基于云构建的网络架构清晰明了，可以借助云防火墙进行东西南北向的全方位防护，进行更智能的流量调度，实时检测整个安全体系的威胁情况。

云上用户资产全面管理

以漏洞应急响应为例，传统部署方式若发生高危漏洞，做资产盘点可能就需要花上十个小时。而安全攻防的对抗，时间非常关键。在云上，阿里云通过API将用户所有的资产信息甚至配置信息、云产品的日志都给到用户，让用户可以清晰的看到云上资产的全部情况，尽可能缩短响应时间。

 

快速准确的威胁情报以及应急响应能力

基于云平台的全网联动优势，用户可以拥有快速准确实时的威胁情报能力。以WannaCry病毒为例，在病毒爆发前28天，阿里云就对整个云平台上受“永恒之蓝”漏洞影响的用户做了详细分析，并发出安全预警，及时上线默认防御策略。28天之后病毒爆发，全球很多企业内网遭受攻击，而用户几乎不受影响。

阿里云还为用户提供了快速的应急响应服务，2017年共启动了79次应急响应，一小时之内提供响应服务并上线防御策略。

基于容灾和镜像快照，实现快速恢复能⼒

在容灾方面，云的基础设施能力能够帮助用户以更便捷、更快速甚至更低成本的方式搭建容灾系统。而镜像功能为安全管理员在漏洞爆发之后及时打补丁提供了有利条件，若出现新补丁与应用系统不兼容的情况，可以通过镜像快速恢复，保证业务正常运行，这在传统的安全体系下是无法做到的。

云上智能安全运营管理

原来运用传统的IPS或防火墙做安全管理的时候，每天有大量的日志报警，用户根本无法有效使用。阿里云为用户提供了态势感知产品，通过精准的数据分析能力以及模型能力，能够帮助用户全面监控云上所有威胁，极大地减少误报。利用云的基础设施调度能力，用户不仅可以提前预警、感知威胁，还可以实现自动化响应。

云上智能安全运营能力也为企业安全合规体系建设提供了便利。基于云的基础设施能力，可以对每一个安全控制点进行自动化的检测合规点是否强壮和牢固，安全管理员可以很明确地知道每一天企业的安全水位。

 

云上安全最佳实践，遵循最小权限原则

安全的最基本的原则是遵循安全最小化原则，这是安全的铁律。

第一，正确地配置云产品

很多云服务提供商出现安全问题其实都是因为用户配置授权过大导致的，所以在云产品安全配置方面要遵循最小化原则；

第二，数据加密是解决数据安全最好的方案

阿里云可以提供非常完善的数据加密服务，并且确认所有的密钥掌握在用户自己手中；

第三，开启云安全保护

阿里云基于云的基础设施优势，设计了云防火墙、态势感知等多种安全产品和服务，为用户业务安全开启全方位防护。

2018上半年阿里云成为全球首家也是唯一一家审计报告覆盖所有C5标准基础要求和附加要求的云服务提供商。目前承载着中国超过40%的网站，每天为用户抵御超过36亿次攻击，帮助用户修复了超过648万的高级漏洞，极大改善了中国互联网的安全态势。

肖力表示，我们的初衷是打造最安全的云平台，通过云的原生能力和安全能力帮助更多的企业解决安全问题。

原文链接
本文为云栖社区原创内容，未经允许不得转载。