阿里雲日前在「雲棲大會 • 成都峰會」上發布《數據安全白皮書》,公開他們在保障 230 萬用戶數據安全方面建立的流程、機制以及具體實踐辦法。他們又稱已正式通過美國註冊會計師協會(AICPA) 與雲安全聯盟(CSA)制定的 SOC2 審計標準,是中國的雲計算服務提供商首次通過這一嚴格的審計標準。
「1+3」理念保障用戶數據安全
白皮書透露,阿里雲在架構設計之初就同步考慮了安全架構,並在七年實踐後總結出獨有的「1+3」強力安全運營管控理念,即通過「安全融入設計、自動化監控與響應、紅藍對抗與持續改進」這 3 個安全手段,以保障用戶數據安全。白皮書又指,阿里雲對各產品及業務的安全漏洞及威脅情報已經達到 100% 監控響應能力。
阿里雲又稱,他們積極邀請全球頂尖安全技術專家持續進行「紅藍軍」攻防對抗,並將對抗結果與生產環境中所遭受的威脅結合,更新迭代威脅分析工具、安全評估方法論,讓數據安全防禦形成一個持續迭代更新的良性循環系統。
阿里雲:用戶對數據有完全的知情權和控制權
阿里雲稱用戶對自身數據一直具有完全的知情權和控制權。用戶可自行選擇其生產數據部署或存放的雲服務可用區地點,未經用戶授權,阿里雲不會任意移動其生產數據的存儲區域。
不同用戶之間,無論是 CPU、內存,還是存儲和網絡都默認相互隔離,既看不到對方的數據,也不會相互影響。 「就像一間五星級酒店被分割成多個房間,他們之間是相互獨立和封閉的,從而確保不同租戶互不干擾和數據隔離。」阿里雲安全資深總監肖力介紹。
對於數據的交換、轉移與分享,阿里雲都提供了標準的加密傳輸協議,以方便雲平台與外界以及系統間傳輸敏感數據的需求。
獲多個認可並致力參與標準綸制
阿里雲表示他們已獲得雲安全國際認證金牌(CSA-STAR)、ISO20000 認證、ISO 27001 和ISO 22301 認證,亦參與雲計算和大數據國際、國家標準、行業標準的編制,並成為多個國際標準組織的成員,以助行業發展。