五項措施，讓阿里雲端儲存更安全

阿里雲安全月專題頁連結： https://developer.aliyun.com/topic/securityapril

一、儲存面臨的安全新挑戰

1、 安全合規成為必選項

2017 年 6 月 1 日，《中華人民共和國網路安全法》正式實施，這是中國建立嚴格的網路治理指導方針的一個重要里程碑。 2019年5月13日，《網路安全等級保護基本要求》等相關國家標準正式釋出，宣告“等保2.0”時代的到來。此外，《資料安全管理辦法（徵求意見稿）》、《兒童個人資訊網路保護規定》、《網際網路個人資訊保安保護指南》、《個人資訊和重要資料出境安全評估辦法》、《密碼法》等陸續CT。2018年歐盟頒佈的《通用資料保護條例》（GDPR）堪稱史上最嚴厲、最翔實的一部保護使用者資料安全的法律。2020年1月起，美國加州的消費者隱私法案（CCPA）也正式生效，該法案將對所有和美國加州居民有關的資料商業行為進行監管。

隨著世界各國法律法規的相繼推出，資料安全保護的重視程度逐漸加深。在採集、應用、儲存過程中，資料安全保護和隱私保護不再是可選項。

2、來自駭客及勒索病毒的威脅

層出不窮的駭客及勒索病毒的攻擊也對資料安全帶來極大挑戰。根據360安全大腦釋出的《2月份勒索病毒疫情分析報告》顯示， GlobeImposter、phobos、Crysis等長期存在的勒索病毒與新出現的HackedSecret，Makop等新型勒索病毒正在瞄準各大系統發起猛烈攻擊。

軟體廠家以及雲服務提供商需要不斷增強對勒索軟體的檢測，防止備份資料的再次感染，同時，反勒索軟體技術需要從檢測和預警已經發生的攻擊發展為在入侵之前就可以識別惡意程式碼，保證備份資料的安全性。

3、 人為因素的破壞性巨大

人為因素對資料安全造成的破壞性往往被忽略了。從企業內部來看，這些人為因素包括技術的選型不當，安全意識淡薄，沒有備份及容災規劃；流程層面，許可權設定不當，存在特權使用者等等。人為操作導致的服務崩潰或刪除核心資料庫的行為時有發生，這些行為都給企業運營能力和行業競爭力帶來永久性的損害。

4、 新資料安全技術

資料共享平臺依託於中心化的資料交換機制，在個人隱私保護上存在過程複雜、成本高、效率低等問題，因此，資料安全需要新的數字技術予以賦能，例如需要人工智慧技術實現更為高效的資料安全治理，助力資料大規模安全應用，有力推動經濟社會數字化轉型升級。

二、阿里雲在儲存領域的最佳安全實踐

1、精細化的許可權管理，保障資料訪問的安全

資料的訪問許可權規定了何人、何時以何種方式獲得資料，訪問許可權的管理是一種有效的資料保護方式。

阿里雲端儲存產品支援檔案系統標準的目錄/檔案許可權操作，並支援使用者/組的讀/寫/執行許可權，支援VPC 掛載點和經典網路掛載點，並只允許同一 VPC 內或同一賬號下的 ECS 例項訪問其檔案系統。同時提供了許可權組功能，透過白名單新增許可權組規則，允許指定的 IP 地址或網段訪問檔案系統，並可以給不同的 IP 地址或網段授予不同級別的細粒度訪問許可權。 這些方式，有效的實現了資料訪問的許可權控制，讓資料更加安全。

2、多種資料加密方式，保障資料全鏈路安全

資料加密是最常用的資料安全方式，可以在源端、備端以及傳輸渠道進行加密。其中，核心的問題是金鑰如何儲存、如何使用等問題。

在資料儲存階段，藉助阿里雲物件儲存產品多次讀取特性，允許使用者以“不可篡改、不可刪除”的方式進行雲上資料合規儲存。資料加密功能涵蓋客戶端加密、服務端加密，並支援使用者以自有金鑰方式進行加密，大大提升資料安全與合規能力。

同時，阿里雲推出內部操作透明化服務，讓使用者對雲平臺側的操作日誌可見可控，提升使用者對阿里雲的信任感和安全感。

在資料傳輸階段，藉助阿里雲檔案儲存產品，可以實現傳輸加密、落盤加密，而且可以透過託管金鑰、自有金鑰加密，充分保證資料在傳輸中的安全性。同時，為了保障使用者資料的隱私性和自主性，阿里雲塊儲存與阿里雲金鑰管理服務做了深度整合，使用者透過雲盤加密即可實現隱私資料的一鍵保護。

3、操作記錄可追溯，保障異常行為有跡可查

誰訪問了資料，什麼時間什麼地點做了什麼操作，對於雲上使用者來說非常重要。尤其是當發生安全事件時，透過查詢歷操作記錄可以快速定位事件源頭，找出是內鬼作案還是外部攻擊，及時止損。

為此，阿里云為雲上使用者提供了操作日誌儲存服務，資料的擁有者可以透過阿里雲端儲存控制檯為其所擁有的資料開啟訪問日誌記錄功能。當開啟訪問日誌記錄功能後，可將訪問日誌以小時為單位，按照固定的命名規則，自動生成一個物件寫入使用者指定的地方。使用者可以直接使用阿里雲資料湖解決方案或搭建 Spark 叢集等方式對這些日誌檔案進行分析。同時，使用者可以配置目標資料的生命週期管理規則，將這些日誌檔案轉成歸檔儲存，長期歸檔儲存。

實時日誌查詢功能將儲存與日誌服務相結合，允許使用者在控制檯直接查詢相關訪問日誌，幫助使用者完成資料的訪問的操作審計、訪問統計、異常事件回溯和問題定位等工作。

為保證使用者日誌資料的安全，日誌服務 API 的所有 HTTP 請求都必須經過安全驗證，安全驗證基於阿里雲的訪問金鑰，使用對稱加密演算法完成，防止使用者日誌被篡改，全面提升SLS日誌安全性和合規性。

4、強大的備份與容災能力，有效抵禦勒索病毒

勒索病毒仍然是對企業資料安全造成危害最大的一種駭客攻擊行為，資料一旦被加密，除了繳納贖金，基本上很難對資料進行解密。同時機房故障、自然災害、人為誤刪除等原因也會造成資料安全風險和業務中斷。而云天然的資源優勢為解決這些問題提供了很好的前提條件。

阿里云為使用者提供了具備多版本功能的儲存產品，使得使用者可保留、恢復檔案的歷史版本，且可設定歷史版本保留時間。一旦發生資料被勒索病毒加密，或人為原因導致的資料丟失和損壞，可以透過恢復歷史版本，保障業務不受影響。

2018年6月，阿里雲正式釋出了國內第一家雲原生混合雲備份服務和混合雲容災服務，提供雲上備份與容災的保護能力，客戶可實現災備方案的分鐘級部署，同時，阿里雲國內首次推出了具有同城三可用區域部署能力的儲存產品，可滿足企業級客戶對於發生機房級災難事件時資料不丟、業務不斷的需求。

相比於建設線下同城容災機房，物件儲存同城區域冗餘儲存提供99.95%的可用性SLA指標、12個9 資料可靠性和一鍵部署雲上同城容災服務能力，結合“跨區域複製”能力，可實現機房、同城、跨地域三級完整的容災服務能力。

5、儲存與AI的融合創新

保護資料隱私的AI安全技術是在分散式計算和資訊保安範疇上進行推展，為網路協作計算提供一種新的計算模式。可以透過多種技術結合保護資料安全，包括安全多方計算、差分隱私、動態加密、加密搜尋與計算等。阿里雲端儲存產品正在基於人工智慧等相關技術，驅動儲存資料安全治理邁向自動化、智慧化。與此同時，阿里雲端儲存將於阿里達摩院深度合作，進一步探索如何降低信任成本與財務成本，充分發揮資料的價值。

---

目前，阿里雲已經為政府組織、網際網路、金融、醫療、教育等多少行業百萬級客戶提供儲存服務，全球部署規模已經超過100EB。阿里雲致力於為使用者提供“穩定、安全、可靠、易用”的儲存服務。

未來，阿里雲將繼續以客戶需求為本，不斷精進儲存技術和產品的打磨，為客戶創造更多價值，讓客戶享受雲端計算帶來的技術和服務紅利。