一、存儲面臨的安全新挑戰
1、 安全合規成爲必選項
2017 年 6 月 1 日,《中華人民共和國網絡安全法》正式實施,這是中國建立嚴格的網絡治理指導方針的一個重要里程碑。 2019年5月13日,《網絡安全等級保護基本要求》等相關國家標準正式發佈,宣告“等保2.0”時代的到來。此外,《數據安全管理辦法(徵求意見稿)》、《兒童個人信息網絡保護規定》、《互聯網個人信息安全保護指南》、《個人信息和重要數據出境安全評估辦法》、《密碼法》等陸續出臺。2018年歐盟頒佈的《通用數據保護條例》(GDPR)堪稱史上最嚴厲、最翔實的一部保護用戶數據安全的法律。2020年1月起,美國加州的消費者隱私法案(CCPA)也正式生效,該法案將對所有和美國加州居民有關的數據商業行爲進行監管。
隨着世界各國法律法規的相繼推出,數據安全保護的重視程度逐漸加深。在採集、應用、存儲過程中,數據安全保護和隱私保護不再是可選項。
2、來自黑客及勒索病毒的威脅
層出不窮的黑客及勒索病毒的攻擊也對數據安全帶來極大挑戰。根據360安全大腦發佈的《2月份勒索病毒疫情分析報告》顯示, GlobeImposter、phobos、Crysis等長期存在的勒索病毒與新出現的HackedSecret,Makop等新型勒索病毒正在瞄準各大系統發起猛烈攻擊。
軟件廠家以及雲服務提供商需要不斷增強對勒索軟件的檢測,防止備份數據的再次感染,同時,反勒索軟件技術需要從檢測和預警已經發生的攻擊發展爲在入侵之前就可以識別惡意代碼,保證備份數據的安全性。
3、 人爲因素的破壞性巨大
人爲因素對數據安全造成的破壞性往往被忽略了。從企業內部來看,這些人爲因素包括技術的選型不當,安全意識淡薄,沒有備份及容災規劃;流程層面,權限設置不當,存在特權用戶等等。人爲操作導致的服務崩潰或刪除核心數據庫的行爲時有發生,這些行爲都給企業運營能力和行業競爭力帶來永久性的損害。
4、 新數據安全技術
數據共享平臺依託於中心化的數據交換機制,在個人隱私保護上存在過程複雜、成本高、效率低等問題,因此,數據安全需要新的數字技術予以賦能,例如需要人工智能技術實現更爲高效的數據安全治理,助力數據大規模安全應用,有力推動經濟社會數字化轉型升級。
二、阿里雲在存儲領域的最佳安全實踐
1、精細化的權限管理,保障數據訪問的安全
數據的訪問權限規定了何人、何時以何種方式獲得數據,訪問權限的管理是一種有效的數據保護方式。
阿里雲存儲產品支持文件系統標準的目錄/文件權限操作,並支持用戶/組的讀/寫/執行權限,支持VPC 掛載點和經典網絡掛載點,並只允許同一 VPC 內或同一賬號下的 ECS 實例訪問其文件系統。同時提供了權限組功能,通過白名單添加權限組規則,允許指定的 IP 地址或網段訪問文件系統,並可以給不同的 IP 地址或網段授予不同級別的細粒度訪問權限。 這些方式,有效的實現了數據訪問的權限控制,讓數據更加安全。
2、多種數據加密方式,保障數據全鏈路安全
數據加密是最常用的數據安全方式,可以在源端、備端以及傳輸渠道進行加密。其中,核心的問題是密鑰如何保存、如何使用等問題。
在數據存儲階段,藉助阿里雲對象存儲產品多次讀取特性,允許用戶以“不可篡改、不可刪除”的方式進行雲上數據合規保存。數據加密功能涵蓋客戶端加密、服務端加密,並支持用戶以自有密鑰方式進行加密,大大提升數據安全與合規能力。
同時,阿里雲推出內部操作透明化服務,讓用戶對雲平臺側的操作日誌可見可控,提升用戶對阿里雲的信任感和安全感。
在數據傳輸階段,藉助阿里雲文件存儲產品,可以實現傳輸加密、落盤加密,而且可以通過託管密鑰、自有密鑰加密,充分保證數據在傳輸中的安全性。同時,爲了保障用戶數據的隱私性和自主性,阿里雲塊存儲與阿里雲密鑰管理服務做了深度集成,用戶通過雲盤加密即可實現隱私數據的一鍵保護。
3、操作記錄可追溯,保障異常行爲有跡可查
誰訪問了數據,什麼時間什麼地點做了什麼操作,對於雲上用戶來說非常重要。尤其是當發生安全事件時,通過查詢歷操作記錄可以快速定位事件源頭,找出是內鬼作案還是外部攻擊,及時止損。
爲此,阿里云爲雲上用戶提供了操作日誌存儲服務,數據的擁有者可以通過阿里雲存儲控制檯爲其所擁有的數據開啓訪問日誌記錄功能。當開啓訪問日誌記錄功能後,可將訪問日誌以小時爲單位,按照固定的命名規則,自動生成一個對象寫入用戶指定的地方。用戶可以直接使用阿里雲數據湖解決方案或搭建 Spark 集羣等方式對這些日誌文件進行分析。同時,用戶可以配置目標數據的生命週期管理規則,將這些日誌文件轉成歸檔存儲,長期歸檔保存。
實時日誌查詢功能將存儲與日誌服務相結合,允許用戶在控制檯直接查詢相關訪問日誌,幫助用戶完成數據的訪問的操作審計、訪問統計、異常事件回溯和問題定位等工作。
爲保證用戶日誌數據的安全,日誌服務 API 的所有 HTTP 請求都必須經過安全驗證,安全驗證基於阿里雲的訪問密鑰,使用對稱加密算法完成,防止用戶日誌被篡改,全面提升SLS日誌安全性和合規性。
4、強大的備份與容災能力,有效抵禦勒索病毒
勒索病毒仍然是對企業數據安全造成危害最大的一種黑客攻擊行爲,數據一旦被加密,除了繳納贖金,基本上很難對數據進行解密。同時機房故障、自然災害、人爲誤刪除等原因也會造成數據安全風險和業務中斷。而云天然的資源優勢爲解決這些問題提供了很好的前提條件。
阿里云爲用戶提供了具備多版本功能的存儲產品,使得用戶可保留、恢復文件的歷史版本,且可設置歷史版本保留時間。一旦發生數據被勒索病毒加密,或人爲原因導致的數據丟失和損壞,可以通過恢復歷史版本,保障業務不受影響。
2018年6月,阿里雲正式發佈了國內第一家雲原生混合雲備份服務和混合雲容災服務,提供雲上備份與容災的保護能力,客戶可實現災備方案的分鐘級部署,同時,阿里雲國內首次推出了具有同城三可用區域部署能力的存儲產品,可滿足企業級客戶對於發生機房級災難事件時數據不丟、業務不斷的需求。
相比於建設線下同城容災機房,對象存儲同城區域冗餘存儲提供99.95%的可用性SLA指標、12個9 數據可靠性和一鍵部署雲上同城容災服務能力,結合“跨區域複製”能力,可實現機房、同城、跨地域三級完整的容災服務能力。
5、存儲與AI的融合創新
保護數據隱私的AI安全技術是在分佈式計算和信息安全範疇上進行推展,爲網絡協作計算提供一種新的計算模式。可以通過多種技術結合保護數據安全,包括安全多方計算、差分隱私、動態加密、加密搜索與計算等。阿里雲存儲產品正在基於人工智能等相關技術,驅動存儲數據安全治理邁向自動化、智能化。與此同時,阿里雲存儲將於阿里達摩院深度合作,進一步探索如何降低信任成本與財務成本,充分發揮數據的價值。
目前,阿里雲已經爲政府組織、互聯網、金融、醫療、教育等多少行業百萬級客戶提供存儲服務,全球部署規模已經超過100EB。阿里雲致力於爲用戶提供“穩定、安全、可靠、易用”的存儲服務。
未來,阿里雲將繼續以客戶需求爲本,不斷精進存儲技術和產品的打磨,爲客戶創造更多價值,讓客戶享受雲計算帶來的技術和服務紅利。