如同多年前，當銀行剛剛出現(xiàn)，人們擔心把財產從后院轉移到銀行會不會被吞掉？現(xiàn)在，隨著公共云服務的逐步推廣，雖然深知它的便利性，但用戶仍然擔心公司各項業(yè)務數據交給云平臺管理，是不是等于向別人公開了我的商業(yè)秘密？

回望過去，雖然我們現(xiàn)在已不再懷疑銀行對客戶資產的保護能力，但這是基于銀行完善而可靠的資產安全體系。那么，對于公共云服務平臺，數據安全性的保障同樣成為用戶的首要考慮。7月13、14日，以“聚力.賦能”為主題的阿里安全峰會在國家會議中心召開，安華金和受邀參會并發(fā)表演講，作為阿里云安全戰(zhàn)略合作伙伴在云安全論壇中對于“公共云數據安全面臨的挑戰(zhàn)與應對”展開分享。

 安華金和聯(lián)合創(chuàng)始人兼副總裁楊海峰

安全性是企業(yè)面對云計算的首要考慮

來自知名研究機構IDC的統(tǒng)計結果顯示：相比性能、可用性、集成度等問題，用戶對于安全性的顧慮排在第一位，占到75%。我們發(fā)現(xiàn)，由于對云平臺的數據安全性存在顧慮，很多用戶不得不選擇采用私有云這種折衷方式來規(guī)避這種風險，但對于大多數規(guī)模、體量不太大的用戶來說，建設私有云并不現(xiàn)實，性價比更高的公共云是最好的選擇。

公共云數據安全的新挑戰(zhàn)和老問題

通過梳理公共云環(huán)境的安全現(xiàn)狀，我們發(fā)現(xiàn)，當用戶數據遷移至云端，數據安全依然存在內部運維風險、外部黑客攻擊等老問題，同時，由于今天的公共云相比傳統(tǒng)數據中心環(huán)境發(fā)生了一些變化，這給公共云數據安全帶來了新的挑戰(zhàn)。

1、多用戶共享云服務環(huán)境是否安全

公共云平臺的特點是開放的服務環(huán)境、多租戶環(huán)境，這引起用戶極大的顧慮，比如同行業(yè)的云用戶不免產生疑慮：對于這樣一個開放的平臺，是否我的營銷數據、人力資源數據、財務數據等會被競爭對手看到？

2、公共云運維環(huán)境是否安全

在云計算架構中，IaaS、PaaS、SaaS各層分別存在數據泄露的風險；IaaS能夠從存儲層獲取數據，PaaS能夠從操作系統(tǒng)和RDS獲取數據，SaaS能夠直接從SaaS系統(tǒng)中獲取數據。這些都是公共云環(huán)境下會造成用戶數據資產不安全的關鍵問題。

面對公共云數據安全面臨的新挑戰(zhàn)和老問題，安華金和楊海峰提出：構建公共云數據多層防護框架是真正有效的解決方案。

參考Gartner的云安全防護報告，我們以云數據持續(xù)監(jiān)控與防護為核心思路的公共云數據多層防護框架?？蚣苣Ｐ椭邪膫€象限：數據安全、風險感知、數據合規(guī)、威脅防護，形成閉環(huán)，實現(xiàn)事前、事中、事后的全階段安全防護。

一、數據安全是基礎，按需加密是關鍵

我們知道，最根本有效的數據保護是對敏感數據進行加密處理，同時，確保密鑰由用戶掌控。對于復雜的云運維和多租戶環(huán)境， 云平臺的使用牽涉到四個角色的安全顧慮：

IaaS服務商擔心黑客攻擊、內部人員數據泄露；

PaaS服務商擔心IaaS服務商盜用數據；

SaaS服務商擔心IaaS、PaaS服務商盜用數據；

最終用戶擔心各環(huán)節(jié)服務商竊取數據。

因此，面對不同角色的安全需求，真正具有高可用性的數據庫加密方案決不是單一而通用的策略，針對云計算架構的不同層次，按需采用靈活合理的數據加密技術保護數據資產是關鍵。

1、文件層透明加密

文件曾加密方案中，密鑰存儲在云端，解決IaaS服務商通過存儲層盜取數據的問題。

2、數據庫層透明加密

對于PaaS廠商具有操作系統(tǒng)和操作管理員權限，可以通過操作系統(tǒng)獲取數據，使用數據庫層透明加密，是相對安全的加密方案。

3、應用層（JDBC層、CASB層）透明加密

前者是在JDBC層自動進行數據加密后存儲在數據庫中，而CASB層透明加密則需要部署在企業(yè)層，企業(yè)訪問公共云時，PaaS平臺對敏感數據進行加密。兩種方式同屬應用層加密，解決SaaS服務商盜取數據的問題。

二、準確及時的風險感知能力

本次安全峰會中，多家安全企業(yè)不約而同的談到風險感知，不難看出，面對攻擊技術的飛躍，安全的定義不再是簡單的兵來將擋，事前的風險感知能力越發(fā)重要。通過對國內外安全事件的深入研究，我們發(fā)現(xiàn)，大多數泄漏事件的攻擊目標直指核心數據庫資產，安全漏洞攻擊、SQL注入、病毒感染等常用手段正在不斷演變攻擊形態(tài)。面對越來越復雜的數據安全威脅，如何準確感知？楊海峰認為：依托持續(xù)監(jiān)控和行為分析，對應用側和運維側進行數據庫行為的全面采集，形成完善的語句結構模型，能夠確保威脅發(fā)生的第一時間準確感知來自外部或內部的安全風險。 

三、符合數據合規(guī)性要求

應對各行業(yè)內的數據合規(guī)性要求，我們需要保證：

1. 敏感數據不外流

2. 數據敏感性處理不遺漏

3. 數據脫敏后保證有效性

4. 數據間關聯(lián)關系不變

基于此，我們使用脫敏產品準確發(fā)現(xiàn)全部敏感數據，并進行屏蔽、轉換，隨機化等方式進行數據處理，并保證處理后的數據不影響業(yè)務系統(tǒng)的有效使用。

四、威脅防護與風險感知聯(lián)動并發(fā)

確保防護準確有效，應當基于風險感知能力聯(lián)動并發(fā)。

對于來自運維側的內部威脅，進行細粒度的強制訪問控制，阻斷風險行為；對于惡意程序的數據竊取行為，基于風險感知，進行有效識別和阻斷攔截。

信息技術的發(fā)展沒有極限，如同人類追求自由的腳步永不停滯，云計算技術使我們對數據的使用更加自由，而如安華金和一樣的安全廠商正在背后為這份自由全力以赴。聚力、賦能，在安華人的眼中，我們將之詮釋為：聚全力，賦予數據自由飛翔的能力。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。