1、署名:安忍职称:阿里云高级安全专家云上的世界为什么更安全上云势不可挡截止2014年,平均超过50%的企业已经或计划使用IaaS服务,到2017年将超过80;Figure 1.Percentage of Organizations Currentiy Using or Planning to Use Cloud Services by IndustryQuestion we asked:When did or will your organization begin the use of these cloud service types(including both public and pr
2、ivate cloud)?Source:Gartner(February 2015)安全不再是用户上云首要挑战对于云计算依赖程度不同的用户,安全问题都不再是他们首要的挑战Challenges Decrease with Cloud Maturity%of Respondents Reporting These As Significant ChallengesCloud BeginnersCloud ExplorersCloud Focused0%20%40%Lack of resources/expertiseSecurityComplianceManaging multiple cloud
3、 servicseGovernance/controlBuilding a private cloudManaging costsPerformanceSource:RightScale 2016 State of the Cloud ReportTop 5 Challenges Change with Cloud MaturityPlaceCloud BeginnersCloudExplorersCloudFocusde#1Lack of resources/expertise(38%)Lack of resources/expertise(34%)Lack of resources/exp
4、ertise(26%)#2Security(35%)Compliance(32%)Buliding a private cloud(19%)#3Compliance(34%)Managing costs(30%)Managing costs(18%)#4Managing multiple cloud services(30%)Security(28%)Managing multiple cloud services(18%)#5Governance/Control(29%)Managing multiple cloud services(26%)Security(17%)用户对公共云安全感倍增
5、64.9%的用户觉得云比IDC安全或同等安全。64.9%Of it leaders think the cloud is as secure or more secure than on-premes software47.1%They have equivatent security35.0%Cloud is less secure17.8%Cloud is more secure咨询机构对云计算安全看法到2020年,95%的云安全事故归结于客户的失误。没有证据表明云计算服务商在安全上不如用户企业。领先的公共云服务商系统往往比大多数传统企业的本地系统更安全。No evidence indic
6、ates that CSPs have performed less securely than end-user organizations.The recent history of public clouds has demonstrated that brand-name,externally provisioned,multitenant services are not only highly resistant to attack,but also are a more secure starting point than most traditional in-house im
7、plementations.”“Through 2020,95%of cloud security failures will be the customers fault.”Cloud environments are more secure than organizationsthink.The perceived loss of control may be a good thing or a bad thing.More mature cloud service providers are constantly driven by customers to provide strong
8、 levels of security while ensuring compliance with all applicable regulationg.Organizations can be,and probably will be,more secure in the cloud and ultimately lead to lower risk.Source:Assessing the Risk:Yes,the Cloud Can BeMore Secure Than Your On-Premises Environment,IDC,2015云计算比企业想像中的更安全企业可以或将在云
9、上获得更安全的保护云安全责任划分逐步清晰云服务商和用户都需要承担相应的安全责任业务管理数据函数应用运行环境容器操作系统虚拟化计算存储网络物理IDCIaaSCaaSSaaSPaaSFaaSDaaS风险中风险中风险低风险低风险低风险低风险低风险低风险高风险高风险高风险用户责任云服务商责任云服务商安全要求更高更多的合规性认证帮助云服务商提升安全控制能力。客户在云上构建系统时,云服务商也分担了合规性责任。云服务商经受过更多安全考验1000每天抵御1000次以上DDoS攻击2000万每天抵御2000万次Web应用攻击2亿每天防御超过2亿次密码暴力破解攻击全中国35%的网站35%云服务商有更好的基础设施高
10、可用的基础设施全球部署、多地域多可用区的云数据中心,采用多线BGP网络高可用基础架构和多副本数据冗余。安全开发生命周期严格遵循安全开发生命周期(SDL)信息安全融入到整个软件开发生命周期中持续不间断服务热升级技术高度自动化的安全运维自动化安全响应策略拥有硬件并不代表安全最重要的资产并不是物理设备,而是数据数据并不能与物理设备绑定对外开放服务,就存在数据泄露风险正确理解安全责任共担模型云服务类名称云服务类型责任划分云服务器IaaS从操作系统开始由用户负责,包括操作系统补丁管理、安全组配置等。云数据库PaaS数据库管理及权限配置由用户负责,数据库漏洞修复、数据库冗余配置由云服务商负责容器服务Caa
11、S从容器开始由用户负责人,包括容器中的操作系统、应用等管理。云邮箱SaaS用户负责管理邮件业务,包括邮箱账号、权限等。阿里云能为用户安全做什么强大的安全防护能力威胁情报(TI)可管理安全服务(MSS)SaaS化安全能力能力整合提前预警有效遏制全链路覆盖实时响应主动出击关注效果快速部署纵深防御自动联防弹性扩展阿里云能为用户安全做什么国内通过合规认证最多的云平台2012.07阿里云通过ISO 27001认证2012.09阿里云信息系统通过信息安全等级保护三级测评2013.05阿里云获得首张云安全国际认证金牌2013.07阿里云获得首批工信部数据中心联盟组织的可信云服务认证2016.03阿里云成为国内首个通过新版ISO 20000认证的云服务商2016.04阿里云成为bsi全球首个通过ISO 22301认证的云服务商2016.04阿里金融云通过服务组织控制(SOC)独立审计2016.05阿里云产品通过CDNS云计算国家标准测试2016.06阿里云通过支付卡行业数据安全标注(PCI-DSS)认证2016.06阿里云通过新加坡国家标准MTCS T3级认证阿里云能为用户安全做什么云盾-安全管家即将发布的安全建议功能账号身份认证及权限管理网络访问控制数据安全日志审计监控和告警基础安全防护自动检查云平台6大类40多个安全控制点提供问题修复指导方案为用户提供全面的云平台安全配置指引