安華金和阿里安全峰會(huì)分享 公共云數(shù)據(jù)安全如何應(yīng)對(duì)

如同多年前，當(dāng)銀行剛剛出現(xiàn)，人們擔(dān)心把財(cái)產(chǎn)從后院轉(zhuǎn)移到銀行會(huì)不會(huì)被吞掉？現(xiàn)在，隨著公共云服務(wù)的逐步推廣，雖然深知它的便利性，但用戶仍然擔(dān)心公司各項(xiàng)業(yè)務(wù)數(shù)據(jù)交給云平臺(tái)管理，是不是等于向別人公開了我的商業(yè)秘密？

回望過去，雖然我們現(xiàn)在已不再懷疑銀行對(duì)客戶資產(chǎn)的保護(hù)能力，但這是基于銀行完善而可靠的資產(chǎn)安全體系。那么，對(duì)于公共云服務(wù)平臺(tái)，數(shù)據(jù)安全性的保障同樣成為用戶的首要考慮。7月13、14日，以“聚力.賦能”為主題的阿里安全峰會(huì)在國(guó)家會(huì)議中心召開，安華金和受邀參會(huì)并發(fā)表演講，作為阿里云安全戰(zhàn)略合作伙伴在云安全論壇中對(duì)于“公共云數(shù)據(jù)安全面臨的挑戰(zhàn)與應(yīng)對(duì)”展開分享。

 安華金和聯(lián)合創(chuàng)始人兼副總裁楊海峰

安全性是企業(yè)面對(duì)云計(jì)算的首要考慮

來(lái)自知名研究機(jī)構(gòu)IDC的統(tǒng)計(jì)結(jié)果顯示：相比性能、可用性、集成度等問題，用戶對(duì)于安全性的顧慮排在第一位，占到75%。我們發(fā)現(xiàn)，由于對(duì)云平臺(tái)的數(shù)據(jù)安全性存在顧慮，很多用戶不得不選擇采用私有云這種折衷方式來(lái)規(guī)避這種風(fēng)險(xiǎn)，但對(duì)于大多數(shù)規(guī)模、體量不太大的用戶來(lái)說，建設(shè)私有云并不現(xiàn)實(shí)，性價(jià)比更高的公共云是最好的選擇。

公共云數(shù)據(jù)安全的新挑戰(zhàn)和老問題

通過梳理公共云環(huán)境的安全現(xiàn)狀，我們發(fā)現(xiàn)，當(dāng)用戶數(shù)據(jù)遷移至云端，數(shù)據(jù)安全依然存在內(nèi)部運(yùn)維風(fēng)險(xiǎn)、外部黑客攻擊等老問題，同時(shí)，由于今天的公共云相比傳統(tǒng)數(shù)據(jù)中心環(huán)境發(fā)生了一些變化，這給公共云數(shù)據(jù)安全帶來(lái)了新的挑戰(zhàn)。

1、多用戶共享云服務(wù)環(huán)境是否安全

公共云平臺(tái)的特點(diǎn)是開放的服務(wù)環(huán)境、多租戶環(huán)境，這引起用戶極大的顧慮，比如同行業(yè)的云用戶不免產(chǎn)生疑慮：對(duì)于這樣一個(gè)開放的平臺(tái)，是否我的營(yíng)銷數(shù)據(jù)、人力資源數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等會(huì)被競(jìng)爭(zhēng)對(duì)手看到？

2、公共云運(yùn)維環(huán)境是否安全

在云計(jì)算架構(gòu)中，IaaS、PaaS、SaaS各層分別存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)；IaaS能夠從存儲(chǔ)層獲取數(shù)據(jù)，PaaS能夠從操作系統(tǒng)和RDS獲取數(shù)據(jù)，SaaS能夠直接從SaaS系統(tǒng)中獲取數(shù)據(jù)。這些都是公共云環(huán)境下會(huì)造成用戶數(shù)據(jù)資產(chǎn)不安全的關(guān)鍵問題。

面對(duì)公共云數(shù)據(jù)安全面臨的新挑戰(zhàn)和老問題，安華金和楊海峰提出：構(gòu)建公共云數(shù)據(jù)多層防護(hù)框架是真正有效的解決方案。

參考Gartner的云安全防護(hù)報(bào)告，我們以云數(shù)據(jù)持續(xù)監(jiān)控與防護(hù)為核心思路的公共云數(shù)據(jù)多層防護(hù)框架。框架模型中包含四個(gè)象限：數(shù)據(jù)安全、風(fēng)險(xiǎn)感知、數(shù)據(jù)合規(guī)、威脅防護(hù)，形成閉環(huán)，實(shí)現(xiàn)事前、事中、事后的全階段安全防護(hù)。

一、數(shù)據(jù)安全是基礎(chǔ)，按需加密是關(guān)鍵

我們知道，最根本有效的數(shù)據(jù)保護(hù)是對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，同時(shí)，確保密鑰由用戶掌控。對(duì)于復(fù)雜的云運(yùn)維和多租戶環(huán)境， 云平臺(tái)的使用牽涉到四個(gè)角色的安全顧慮：

IaaS服務(wù)商擔(dān)心黑客攻擊、內(nèi)部人員數(shù)據(jù)泄露；

PaaS服務(wù)商擔(dān)心IaaS服務(wù)商盜用數(shù)據(jù)；

SaaS服務(wù)商擔(dān)心IaaS、PaaS服務(wù)商盜用數(shù)據(jù)；

最終用戶擔(dān)心各環(huán)節(jié)服務(wù)商竊取數(shù)據(jù)。

因此，面對(duì)不同角色的安全需求，真正具有高可用性的數(shù)據(jù)庫(kù)加密方案決不是單一而通用的策略，針對(duì)云計(jì)算架構(gòu)的不同層次，按需采用靈活合理的數(shù)據(jù)加密技術(shù)保護(hù)數(shù)據(jù)資產(chǎn)是關(guān)鍵。

1、文件層透明加密

文件曾加密方案中，密鑰存儲(chǔ)在云端，解決IaaS服務(wù)商通過存儲(chǔ)層盜取數(shù)據(jù)的問題。

2、數(shù)據(jù)庫(kù)層透明加密

對(duì)于PaaS廠商具有操作系統(tǒng)和操作管理員權(quán)限，可以通過操作系統(tǒng)獲取數(shù)據(jù)，使用數(shù)據(jù)庫(kù)層透明加密，是相對(duì)安全的加密方案。

3、應(yīng)用層（JDBC層、CASB層）透明加密

前者是在JDBC層自動(dòng)進(jìn)行數(shù)據(jù)加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中，而CASB層透明加密則需要部署在企業(yè)層，企業(yè)訪問公共云時(shí)，PaaS平臺(tái)對(duì)敏感數(shù)據(jù)進(jìn)行加密。兩種方式同屬應(yīng)用層加密，解決SaaS服務(wù)商盜取數(shù)據(jù)的問題。

二、準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)感知能力

本次安全峰會(huì)中，多家安全企業(yè)不約而同的談到風(fēng)險(xiǎn)感知，不難看出，面對(duì)攻擊技術(shù)的飛躍，安全的定義不再是簡(jiǎn)單的兵來(lái)將擋，事前的風(fēng)險(xiǎn)感知能力越發(fā)重要。通過對(duì)國(guó)內(nèi)外安全事件的深入研究，我們發(fā)現(xiàn)，大多數(shù)泄漏事件的攻擊目標(biāo)直指核心數(shù)據(jù)庫(kù)資產(chǎn)，安全漏洞攻擊、SQL注入、病毒感染等常用手段正在不斷演變攻擊形態(tài)。面對(duì)越來(lái)越復(fù)雜的數(shù)據(jù)安全威脅，如何準(zhǔn)確感知？楊海峰認(rèn)為：依托持續(xù)監(jiān)控和行為分析，對(duì)應(yīng)用側(cè)和運(yùn)維側(cè)進(jìn)行數(shù)據(jù)庫(kù)行為的全面采集，形成完善的語(yǔ)句結(jié)構(gòu)模型，能夠確保威脅發(fā)生的第一時(shí)間準(zhǔn)確感知來(lái)自外部或內(nèi)部的安全風(fēng)險(xiǎn)。 

三、符合數(shù)據(jù)合規(guī)性要求

應(yīng)對(duì)各行業(yè)內(nèi)的數(shù)據(jù)合規(guī)性要求，我們需要保證：

1. 敏感數(shù)據(jù)不外流

2. 數(shù)據(jù)敏感性處理不遺漏

3. 數(shù)據(jù)脫敏后保證有效性

4. 數(shù)據(jù)間關(guān)聯(lián)關(guān)系不變

基于此，我們使用脫敏產(chǎn)品準(zhǔn)確發(fā)現(xiàn)全部敏感數(shù)據(jù)，并進(jìn)行屏蔽、轉(zhuǎn)換，隨機(jī)化等方式進(jìn)行數(shù)據(jù)處理，并保證處理后的數(shù)據(jù)不影響業(yè)務(wù)系統(tǒng)的有效使用。

四、威脅防護(hù)與風(fēng)險(xiǎn)感知聯(lián)動(dòng)并發(fā)

確保防護(hù)準(zhǔn)確有效，應(yīng)當(dāng)基于風(fēng)險(xiǎn)感知能力聯(lián)動(dòng)并發(fā)。

對(duì)于來(lái)自運(yùn)維側(cè)的內(nèi)部威脅，進(jìn)行細(xì)粒度的強(qiáng)制訪問控制，阻斷風(fēng)險(xiǎn)行為；對(duì)于惡意程序的數(shù)據(jù)竊取行為，基于風(fēng)險(xiǎn)感知，進(jìn)行有效識(shí)別和阻斷攔截。

信息技術(shù)的發(fā)展沒有極限，如同人類追求自由的腳步永不停滯，云計(jì)算技術(shù)使我們對(duì)數(shù)據(jù)的使用更加自由，而如安華金和一樣的安全廠商正在背后為這份自由全力以赴。聚力、賦能，在安華人的眼中，我們將之詮釋為：聚全力，賦予數(shù)據(jù)自由飛翔的能力。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。