阿里云数据安全能力全景图发布:云让数据安全化繁为简

数据作为企业核心资产,如何得到有效保护,一直是业界关注的核心问题之一。

近期数据泄露事件频发,数据保护问题再次走进人们的视野。Canalys公司的最新报告“网络安全的下一步”显示,2020年数据泄露呈现爆炸式增长,短短12个月内泄露记录比过去15年总和还多。

阿里云数据安全能力全景图发布:云让数据安全化繁为简

来源:Canalys公司的最新报告“网络安全的下一步”

在429首都网络安全日上,阿里云首次展示了为客户提供的整体数据安全能力全景图,覆盖高等级硬件安全、数据加密、数据治理、数据合理合法的安全使用、防泄漏5大场景17个核心能力项,帮助企业构建全链路数据安全防护力。

阿里云数据安全能力全景图发布:云让数据安全化繁为简

阿里云为客户提供的云上数据安全能力全景图

做好数据安全有多难?

做好数据安全是一个复杂工程,可以说企业遇到的百分之八九十的安全风险最终指向的都是数据风险。基于阿里云实践,我们将数据安全挑战归结为三类:

1. 摸清数据资产情况,犹如“盲人摸象”

当企业意识到需要做数据保护的时候,往往已经有很多数据,这些数据散落在IT系统中的什么位置,是什么类型的数据,哪些数据需要重点保护,看不见也看不全。

而且传统情况下,数据库及存储类产品账号密码分散在各个开发人员手中,安全人员难以获得统一管理权限。

2. 敞口风险多如“牛毛”,如何精准防漏

数据是流动的,可能会出现在企业业务各个环节、IT系统中各个角落,造成可能带来数据泄露的敞口风险变得动态和复杂,比如一个看似低危的漏洞、一个淹没在复杂系统中的老旧API都可能成为攻击者窃取数据的跳板,再比如数据访问权限管理不清晰很可能会被“内鬼”利用等等。

3. 数据使用/分享/计算需要兼顾安全

数据只有被合理合法的有效使用才能成为企业的真正资产,但数据的使用、分享、计算不仅会面临各种合规要求,而且当数据在不同人、系统、网络中流动时会加大风险暴露面。如何做到不同的人和组织,不同应用都是以最小权限读取必要数据信息,且能根据业务需求实时调整,是很大挑战。

数据安全如此复杂,怎么做才能取得事半功倍的效果?

云原生的数据保护力

上述三大挑战出现的主要原因在于,传统环境下,数据本身以“孤岛”形式存在于企业各个服务器之上,访问日志数据也各自孤立,安全产品外挂模式又难与数据库类产品深度集成,因此从割裂、孤立的数据中能够分析得出的有价值信息非常有限,安全工作浮于表面。

云的出现打破了这一局面。

云基础设施天然一体,从云上长出的原生安全能力,可与基础设施及数据存储产品深度集成,全量访问日志实时采集并加以分析,直接用于安全决策。

  • 云上全域数据可视化管理

看见是安全的基础。

阿里云上企业通过授权接入原生安全能力,可以在一个控制台看见所有云上资产分布情况,包括云上自建数据库,起到事半功倍的效果。

由于云原生安全能力与云基础设施以及云产品深度集成,提供的是无代理(agentless)接入模式,侵入度低,可以获取全量访问日志,避免传统情况下因agent安装不全导致日志缺失,进而产生数据泄露而不知的窘境,尤其对于混合云部署的客户而言,大大降低了数据管理难度。

敏感数据是企业数据安全工作的重点保护对象。

在客户授权接入的前提下,阿里云可以提供强大的敏感信息识别能力,覆盖图片、PDF、密钥、文档等200多种文件类型识别及其文本内容提取,支持40多种敏感数据类型识别,帮助企业满足合规监管要求及金融、能源等行业通用要求。

  • 安全能力联动,防御风险更精准

在如今复杂的安全环境下,单点的安全能力带来的价值有限。

访问日志只是记录着一个账号何时何地发起了数据访问请求,无法得知该账号访问了哪些数据,因此即使发现异常操作也无法得知哪些数据面临外泄风险。传统情况下只能通过简单粗暴的方式定义异常行为,并发出告警,例如,把10分钟之内超过50次的访问行为定义为异常,但实际情况可能是这个人只是在访问自己权限范围内的非敏感工作数据,因此传统的定量规则策略往往会出现过多异常告警,让真正的风险被淹没。

阿里云为客户提供了一套以敏感数据为核心的能力联动,使泄露风险防御更精准。

将数据识别结果与日志审计能力联动,安全运维人员可以清楚的看到每一条日志所代表的具体含义,什么时间什么人/角色查阅了什么数据库的什么字段,结合日志上下文,可以进一步确定这个人是否在频繁访问/下载敏感数据,从而决定是否告警并采取止血措施。这种基于精准信息的分析可以减少对用户和运维人员的不必要打扰,把第一轮复杂的分析和判断交给机器模型来做。

目前,阿里云数据安全中心内置18类850多个数据审计模型,对敏感/恶意操作进行实时预警;内置30多个数据防泄漏模型,可以根据历史访问行为学习得到正常业务特征,建立资产和用户画像,有效识别异常行为。

当告警发出时,运维人员可以清晰的知道哪些数据有外泄风险,并可以直接在告警页面采取止血措施,无需跳转到产品控制台进行二次操作。

此外,阿里云将API安全能力内置于Web应用防火墙,可以透视当前业务全量 API风险概况,避免因数据异常接口暴露导致的数据泄露事件发生。

  • 敏感数据安全的使用/分享/计算

数据的使用、分享、计算涉及到人、权限、数据三方面问题,正确的人具有合理的权限访问有限的数据。

阿里云提供四方面能力:

  1. 多因素认证验证身份安全性,以确保数据访问者身份账号没有被盗用、冒用;
  2. 基于角色进行授权,且权限可以灵活配置、按需调整,保证数据被合理访问的同时不因权限策略影响业务协同;
  3. 提供隐私增强计算平台,在保障数据安全及隐私前提下,在云上完成多方数据的联合分析、训练、预测,不受数据超量级、复杂性影响,实现高价值数据流通,真正做到数据的可用不可见;
  4. 提供数据脱敏能力,满足数据从生产环境到测试环境、分发给外部合作伙伴使用等场景。
  • 不可被破解的加密能力

数据加密是防止数据泄露最有效的方式之一。

Gartner发布的报告《Select the Right Key Management as a Service to Mitigate Data Security and Privacy Risks in the Cloud》指出,“跨多云、混合云和分布式部署的公共云服务的密钥管理即服务(KMaaS)现有方案与最佳实践应当作为更广泛的数据安全性和隐私策略的一部分加以解决”。

阿里云为云上客户提供与云基础设施深度融合的加密能力,客户上云时可以根据自身需求按需调用,做到落盘加密,关键数据先加密再存储,并支持客户自带密钥,在云上构建起一个由自己完全自主可控的虚拟数据中心。

阿里云的加密能力通过中国国家密码管理局检测认证,支持国密算法,加密范畴业界最多,而且云平台保护客户密钥的主密钥默认每日轮转,极大提高了密钥被破解的难度。

  • 不可被篡改的芯片级硬件安全能力

对于*、金融等具有高数据安全需求的领域,可以使用阿里云提供的搭载机密计算和可信计算能力的云服务。该云服务从最底层的安全芯片做起,将硬件层安全虚拟映射到整个目标环境,形成软硬结合的安全体系。这种起始于硬件层不可篡改性的计算环境安全决定了其可以作为最高等级安全的基础,保障高价值数据安全的享受到云计算带来的技术红利。

目前,阿里云为云上客户提供基于SGX2.0和TPM虚拟化实例、行业领先的DataTrust隐私增强计算平台,二者共同形成完整的云可信服务方案,为*、金融等行业高价值数据的流通、使用提供最高等级的安全防护力。


数据安全是一个需要持续关注和投入的领域。早在2015年,阿里云就在全球率先发起“数据保护倡议”,目前已形成丰富的产品体系,并成为亚太地区获得权威合规资质最全的云服务商之一。

未来,阿里云将持续进行能力完善与升级,借助云原生优势,让数据安全化繁为简,成为企业的基础设施之一,从而可以更加专注自身业务发展。

上一篇:海外证券交易类APP公共云防护实践


下一篇:如何使用SAP APF里的过滤器