总第6期
2016年4月刊
Focus    焦点
New IT in UsersEyes    用户眼中的新IT
云安全求变:共建生态圈是未来方向
文/蒋菁
分享

近期,苹果与FBI之间的问题闹得沸沸扬扬,吸引人关注的不仅是扑朔迷离的剧情演绎,更刺激人们神经的是背后有关于隐私、安全等问题的讨论。

当云计算加速推动变革,越来越多的业务也开始在云端开展,更多的应用、更多的数据被部署在云端,云计算面临的安全问题也随之更严峻。基于漏洞、病毒、未知威胁的攻击逐渐频繁且智能化,云安全势必成为企业防护的重中之重。

作为一家把从前端供应链的采购、交易、营销,到后端供应链的仓储、配送、售后服务利用互联网技术理念做起来的零售企业,云计算解决的不仅是服务、网络、带宽及存储的问题,也支持着运营的信息系统。可以说,靠信息系统去支撑,利用数据引导电商精细化运作,云计算在这之中功不可没。

因此,云安全成为京东云密切关注的问题。为保障云平台的安全,京东云从最底层的基础架构安全性入手,结合京东云大数据处理的能力,以及业界最优秀的第三方安全厂商打造完整的生态圈,实现从云平台、网络、系统、数据和应用系统安全的全面覆盖。作者近日采访了京东云副总裁李涛涛,看看他们是如何理解“云安全”的?

在京东云方看来,云安全不是靠单一的某一企业就能全部完成。云安全涉及到云服务供应商、安全合作伙伴及用户等方方面面,只有通过构建云服务安全生态与云服务安全大数据共享平台来提升中国云计算安全服务能力,才有可能让单一安全产品功能和性能的比拼升级到云计算安全数据运营能力竞争,从业务角度洞悉安全问题,做到全面覆盖。

尽管云安全得到广大企业的广泛关注,但其发展依然面临不少问题,不开放、不透明便是国内市场面临的发展困境。安全业务倘若都是自己来做,这就很容易陷入自己的固有模式当中,难以及时应对外界变化。京东云认为,云安全的发展离不开整个信息安全产业的支持,这不是单个企业的问题。封闭的云平台,不能真正实现安全大数据的共享,就不能有效发挥信息安全产业各厂商的整体能力,对安全合作伙伴一定要有开放的姿态,与信息安全厂商共同协作共建云安全才是未来的出路。

其次,客户对于云安全的疑虑,一个重要的原因是客户不信任云服务供应商,因此对于客户一定要透明。未来京东云的一个重点就是对客户透明,让客户了解京东云的安全风险控制技术措施,运维流程和管理方式,并针对重点客户开放安全数据接口,提供用户审计API,让客户真正了解京东云,信任京东云安全运营保障能力。

针对近期云安全联盟列出的2016年“十二大云安全威胁”,京东云非常关注,在安全能力规划和产品设计上都有所考虑。针对数据泄密,京东云能够提供数据匿名和变形加密技术,从数据层面实现对客户敏感数据的保护;针对数据云安全,可以实现在数据传输、存储、与处理过程中端到端的高强度加密及访问认证;完善的数据容灾保护; 严密的数据访问监控:记录数据访问日志,通过访问日志监测,进行源代码静态和动态分析;灵活丰富的数据脱敏机制。

事实上,有关云安全的热点和纷争从来不断,京东云认为基于大数据的安全分析,是云服务厂商与传统安全厂商在能力上的最大差别。用最佳的业务数据分析实践能力,结合信息安全行业特点,与第三方安全合作伙伴打造云平台上的安全大数据分享平台,包括安全运营数据的分享、与安全大数据分析平台的共享,方能实现智能化的安全大数据分析,和业务层面的用户安全态势感知。

对于未来云安全发展的趋势,京东云则认为一要做到透明化,提升用户安全感,信任云计算服务,让用户能真切感受的云服务供应商的运维操作合规性与安全保障工作的到位情况;二要做到大数据精准分析,从业务层深入分析安全入侵行为,更加有效的防范APT攻击。

关闭