根据Gartner的一项调查显示:95%的CIO预计未来三年网络威胁会不断增加,但实际上目前只有65%的组织有自己的网络安全专家。调查还发现,技能方面的挑战继续困扰着那些实施数字化的组织。数字安全人员的短缺,被认为是阻碍创新的最大因素。不难看出,企业在安全建设上还存在着很大的短板,企业需要一个强大的云安全服务商来保障基础设施安全,同时,协助企业解决应用安全、数据安全以及业务安全等问题。
“未来,100%的企业都会基于云来搭建业务的安全体系,也会更依赖云安全的能力。云所带来的变革,可以让企业安全体系建设就如同“搭房子”。” 阿里云安全事业部总经理肖力在21日网络安全生态峰会上做了这样的比喻,在整个安全体系建设中,阿里云作为云服务商承担保障云平台安全的责任,让整个平台具备堡垒般的安全能力,同时联合生态伙伴一起,为企业提供基于阿里云云盾的完善的安全产品和服务,因此,企业可以更专注“上层”的业务和应用安全,并基于企业云安全架构,像建房子一样,依据模块搭建自己的安全体系。 会上,肖力还用“可信、智能、合规”这三个词来定义阿里云平台在企业安全体系建设中的核心优势。
可信 从平台到产品的全链路安全
肖力表示:企业与云服务商的信任不是一种情感式的主观维系,而是一种基于创新技术的物理信任。基于云的优势,阿里云通过全链路数据加密确保用户数据安全,从数据的传播到计算再到最后的存储,每个链路上都做到了“芯片级”加密保护,更是国内唯一支持SGX可信加密环境的云安全服务商。另一方面,阿里云所有的产品从代码开发初期直到产品上线都必须严格经过SPLC云产品安全生命周期的审核,确保每一个云产品的出产都“默认安全”。阿里云安全还提供支持用户多级授权可控的RAM以及全透明化管理日志审计的云安全产品,可以说现场阿里云将可信重新做了技术化的定义。
智能 强大计算能力驱动安全自动化
阿里云不断基于大数据分析的能力提升自身的技术更多的反哺用户。如果说,过去对于网络威胁的感知,企业处于”两眼瞎“的状态,现在的企业已经拥有了“看见”的能力,将威胁扼杀在初期。阿里云基于强大的云计算能力,将阿里巴巴的安全事件通过模型和算法嵌入到产品中。就拿阿里云安全团队发现一个0Day漏洞事件来看,从发现到响应确保24小时内完成,高效帮助用户解决云上的安全问题。因为“看见”所以企业能实时感知到系统、网络、应用的变化,实现云上业务安全可视和可感知,更可以按照不同的事件类型进行溯源并实现自动的授权处理,真正实现运维的自动化
合规 安全体系的最强验证
坚持保护客户数据始终是阿里云的第一原则,目前,阿里云已经成为亚洲合规资质最全的云服务商,也是云安全及数据隐私保护领域的先行者。早在2013年,阿里云就通过ISO27000和CSASTAR标准认证,在通用的安全管理体系上融入云的优势,确保云平台安全,并给客户提供全面的安全支持。在国内,阿里云也成为了全国首家云等保试点示范平台,和首家通过国家等保四级备案测评的云计算服务提供商。 用肖力的话说,帮助企业满足合规在企业数字化进程中,应该高于一切也重于一切。这代表的是一种自我约束,也是安全体系强壮型的验证。
阿里云持续坚持打造一个可信、智能、合规的云安全平台,这将成为共建安全生态最有力的核心驱动力。用阿里云重要的生态伙伴杭州安恒科技股份有限公司副总裁郑赳的说法:基于阿里云安全的能力,安恒还将孵化和创造出更加多的安全产品和服务,助力数字化的建设,这是云计算创造的价值,也是对阿里云平台的信任。