6月29日,阿里云在云棲大會·成都峰會發布《數據安全白皮書》(以下簡稱白皮書),首次公開了阿里云在保障230萬用戶數據安全方面建立的流程、機制以及具體實踐辦法。
借此機會,針對用戶最關心的云上數據傳輸、使用和存儲等問題,阿里云也給出了詳實的解讀和承諾。并通過權威的認證和審計報告,充分證明其在數據安全方面的合法合規性。
作為行業內首個主動接受市場和監管檢驗的云服務商,阿里云開創性地以透明、公開的方式搭建信任關系,再次成為云計算行業的先鋒代表,也為云計算市場的健康發展起到了積極的示范意義。
“1+3”的強力安全運營管控理念
從成立第一天起,阿里云就將“用戶安全”列為最重要的事情。白皮書透露,阿里云在架構設計之初就同步考慮了安全架構,不僅將安全的基因植入到整個云平臺和各個云產品中,更將數據安全要求嵌入產品開發生命周期的各個環節。
七年實踐,阿里云總結出獨有的“1+3”的強力安全運營管控理念,即通過“安全融入設計、自動化監控與響應、紅藍對抗與持續改進”這3個安全手段,實現保障用戶數據安全這個核心目標。白皮書中寫道,阿里云對各產品及業務的安全漏洞及威脅情報已經達到100%監控響應能力。
阿里云還積極邀請全球頂尖安全技術專家持續進行“紅藍軍”攻防對抗,并將對抗結果與生產環境中所遭受的威脅結合,更新跌代威脅分析工具、安全評估方法論,讓數據安全防御形成一個持續迭代更新的良性循環系統。
數據是客戶資產,阿里云不會移作它用
阿里云用戶對自身數據,一直具有完全的知情權和控制權。用戶可自行選擇其生產數據部署或存放的云服務可用區地點,未經用戶授權 ,阿里云不會任意移動其生產數據的存儲區域。
不同用戶之間,無論是CPU、內存,還是存儲和網絡都默認相互隔離,既看不到對方的數據,也不會相互影響。“就像一間五星級酒店被分割成多個房間,他們之間是相互獨立和封閉的,從而確保不同租戶互不干擾和數據隔離。”阿里云安全資深總監肖力介紹。
對于數據的交換、轉移與分享,阿里云都提供了標準的加密傳輸協議,以方便云平臺與外界以及系統間傳輸敏感數據的需求。
全球領先的云計算安全技術
白皮書介紹,所有開發、維護、客服以及其他可能接觸到阿里云內部系統的人員,他們的每次登陸都有嚴密的身份識別,確保帳號與生產設備“不會誤用”、“不被盜用”、“不能亂用”的三不原則!
七年時間,阿里云沉淀了一支包括云底層安全、云平臺安全、合規內控及標準在內的專業團隊,保障用戶的數據安全并協助用戶滿足企業運營的合規目標。
如今,阿里云全球領先的熱升級技術更使得產品升級、漏洞修復都不會影響客戶業務。去年初,Xen被爆存在高危漏洞。阿里云采用了全部熱升級的方式,在用戶沒有感知的情況下,解決了此問題。
現在,阿里云保護著全國35%的網站。2015年,阿里云安全團隊共監控到DDoS攻擊事件超過10萬次,其中流量達到300Gbps以上的攻擊次數有66次,最大攻擊峰值流量達到477Gbps。
國際多家標準組織肯定阿里云數據安全機制
云計算行業安全認證和行業合規是任何一家云服務提供商正式運營的必備條件,也是提供云服務的資質保障。在安全方面,阿里云已獲得云安全國際認證金牌(CSA-STAR)、ISO20000認證、ISO 27001 和ISO 22301認證,被譽為亞太地區認證合規最完備的云計算平臺。
阿里云還通過了美國注冊會計師協會(AICPA) 與云安全聯盟(CSA)制定的SOC2審計標準。該報告由國際審計師事務所安永出具,數據安全性為其審計重點。
此外,為促進行業健康發展,阿里云還積極參與云計算和大數據國際、國家標準、行業標準的編制,并在多個國際標準組織內擔任重要席位。
更多阿里云相關: 阿里云官網阿里云服務器學生專享云服務器9.9元阿里云15天免費體驗
京公網安備 11010502049343號