2018年云上的世界為什么更安全.pdf

1、云上的世界為什么更安全上云勢不可擋截止2014年，平均超過50%的企業已經或計劃使用IaaS服務，到2017年將超過80；Figure 1.Percentage of Organizations Currentiy Using or Planning to Use Cloud Services by IndustryQuestion we asked:When did or will your organization begin the use of these cloud service types(including both public and private cloud)?Sour

2、ce:Gartner(February 2015)安全不再是用戶上云首要挑戰對于云計算依賴程度不同的用戶，安全問題都不再是他們首要的挑戰Challenges Decrease with Cloud Maturity%of Respondents Reporting These As Significant ChallengesCloud BeginnersCloud ExplorersCloud Focused0%20%40%Lack of resources/expertiseSecurityComplianceManaging multiple cloud servicseGovernan

3、ce/controlBuilding a private cloudManaging costsPerformanceSource：RightScale 2016 State of the Cloud ReportTop 5 Challenges Change with Cloud MaturityPlaceCloud BeginnersCloudExplorersCloudFocusde#1Lack of resources/expertise(38%)Lack of resources/expertise(34%)Lack of resources/expertise(26%)#2Secu

4、rity(35%)Compliance(32%)Buliding a private cloud(19%)#3Compliance(34%)Managing costs(30%)Managing costs(18%)#4Managing multiple cloud services(30%)Security(28%)Managing multiple cloud services(18%)#5Governance/Control(29%)Managing multiple cloud services(26%)Security(17%)用戶對公共云安全感倍增64.9%的用戶覺得云比IDC安全

5、或同等安全。64.9%Of it leaders think the cloud is as secure or more secure than on-premes software47.1%They have equivatent security35.0%Cloud is less secure17.8%Cloud is more secure咨詢機構對云計算安全看法到2020年，95%的云安全事故歸結于客戶的失誤。沒有證據表明云計算服務商在安全上不如用戶企業。領先的公共云服務商系統往往比大多數傳統企業的本地系統更安全。No evidence indicates that CSPs ha

6、ve performed less securely than end-user organizations.The recent history of public clouds has demonstrated that brand-name,externally provisioned,multitenant services are not only highly resistant to attack,but also are a more secure starting point than most traditional in-house implementations.”“T

7、hrough 2020,95%of cloud security failures will be the customers fault.”Cloud environments are more secure than organizationsthink.The perceived loss of control may be a good thing or a bad thing.More mature cloud service providers are constantly driven by customers to provide strong levels of securi

8、ty while ensuring compliance with all applicable regulationg.Organizations can be,and probably will be,more secure in the cloud and ultimately lead to lower risk.Source：Assessing the Risk：Yes，the Cloud Can BeMore Secure Than Your On-Premises Environment，IDC，2015云計算比企業想像中的更安全企業可以或將在云上獲得更安全的保護云安全責任劃分逐

9、步清晰云服務商和用戶都需要承擔相應的安全責任業務管理數據函數應用運行環境容器操作系統虛擬化計算存儲網絡物理IDCIaaSCaaSSaaSPaaSFaaSDaaS風險中風險中風險低風險低風險低風險低風險低風險低風險高風險高風險高風險用戶責任云服務商責任云服務商安全要求更高更多的合規性認證幫助云服務商提升安全控制能力?？蛻粼谠粕蠘嫿ㄏ到y時，云服務商也分擔了合規性責任。云服務商經受過更多安全考驗1000每天抵御1000次以上DDoS攻擊2000萬每天抵御2000萬次Web應用攻擊2億每天防御超過2億次密碼暴力破解攻擊全中國35%的網站35%云服務商有更好的基礎設施高可用的基礎設施全球部署、多地域多可

10、用區的云數據中心，采用多線BGP網絡高可用基礎架構和多副本數據冗余。安全開發生命周期嚴格遵循安全開發生命周期（SDL）信息安全融入到整個軟件開發生命周期中持續不間斷服務熱升級技術高度自動化的安全運維自動化安全響應策略擁有硬件并不代表安全最重要的資產并不是物理設備，而是數據數據并不能與物理設備綁定對外開放服務，就存在數據泄露風險正確理解安全責任共擔模型云服務類名稱云服務類型責任劃分云服務器IaaS從操作系統開始由用戶負責，包括操作系統補丁管理、安全組配置等。云數據庫PaaS數據庫管理及權限配置由用戶負責，數據庫漏洞修復、數據庫冗余配置由云服務商負責容器服務CaaS從容器開始由用戶負責人，包括容器

11、中的操作系統、應用等管理。云郵箱SaaS用戶負責管理郵件業務，包括郵箱賬號、權限等。阿里云能為用戶安全做什么強大的安全防護能力威脅情報（TI）可管理安全服務（MSS）SaaS化安全能力能力整合提前預警有效遏制全鏈路覆蓋實時響應主動出擊關注效果快速部署縱深防御自動聯防彈性擴展阿里云能為用戶安全做什么國內通過合規認證最多的云平臺2012.07阿里云通過ISO 27001認證2012.09阿里云信息系統通過信息安全等級保護三級測評2013.05阿里云獲得首張云安全國際認證金牌2013.07阿里云獲得首批工信部數據中心聯盟組織的可信云服務認證2016.03阿里云成為國內首個通過新版ISO 20000認證的云服務商2016.04阿里云成為bsi全球首個通過ISO 22301認證的云服務商2016.04阿里金融云通過服務組織控制（SOC）獨立審計2016.05阿里云產品通過CDNS云計算國家標準測試2016.06阿里云通過支付卡行業數據安全標注（PCI-DSS）認證2016.06阿里云通過新加坡國家標準MTCS T3級認證阿里云能為用戶安全做什么云盾-安全管家即將發布的安全建議功能賬號身份認證及權限管理網絡訪問控制數據安全日志審計監控和告警基礎安全防護自動檢查云平臺6大類40多個安全控制點提供問題修復指導方案為用戶提供全面的云平臺安全配置指引