【51CTO.com原创稿件】在过去的2018年,云计算领域中的安全事故频发,“云安全”让人们不可避免的对云计算怀抱着质疑的态度,既想得到云计算带来的巨大收益,又对云安全事故会带来的巨大伤害心存隐忧。随着全球云计算市场的快速扩张,云安全正在面临巨大的挑战。如何做好云安全?如何满足企业安全需求?京东云安全专家从架构、运维、产品、服务四个方面,对京东云安全体系进行了深入讲解。
一、架构:安全的基础
首先,京东云安全架构在存储方面给租户提供了AES256加密的存储产品,如云硬盘、数据库存储等。同时,所有的静态数据加密最终使用的都是密钥管理服务(Key Management Service),用KMS来保证用户主密钥的安全,服务于数据全生命周期管理,满足用户数据安全监管合规需求。KMS最核心的密钥控制是基于硬件的,无法通过任何软件手段来伪造或者窃取。
在网络层面,除了海量DDoS防护能力,云 WAF这些基本功能之外,京东云安全有自己的特色:用访问控制检测和过滤网络层数据和流量的方式,实现云上逻辑隔离的网络环境,通过专线和VPN,为用户建立云上业务与本地业务间互联的安全壁垒。此外,京东云会在网络与业务的边界构建纵深防御与响应机制,比如设置边界防火墙、安全组隔离与访问控制、网络入侵检测与响应、异常网络流量分析、安全蜜罐等一系列的隔离和控制措施来保障京东云网络的安全,降低京东云网络的整体风险等级。
在主机和系统应用服务方面,京东云提供了服务与服务间相互调用的安全机制,每一个服务都有自己的身份,在相互调用时,会对其身份进行合法性检测,确认该服务主体是否有权限调用其他的应用服务。在确保服务间调用的安全可信之后,即使内网遭到入侵,入侵者也无法获得数据。此外,京东云使用类似Docker的轻量级云主机安全管理机制,实现操作系统安全自动化运维,主机风险可视化,入侵行为精准实时防御和告警。
二、运维:严格的隔离、控制权限
京东云对运维人员的权限采取严格的隔离和控制:只允许拥有系统权限的人进行运维管理工作。在这个过程中如果发生意外,可以提取、分析系统日志,快速定位并解决问题。
随着欧盟、北美对个人隐私、个人敏感数据的法律监管力度的加强,国内也在逐步的提升这方面的监管力度,所以,京东云针对个人数据隐私的保护已构建了完善的措施。比如对于涉及用户个人隐私数据,京东云从存储、传输、使用和最终销毁都有完善的控制体系,保证个人隐私数据在这个过程中不会被滥用。
此外,京东的白帽子团队,会帮助京东云安全团队发现一些安全的潜在漏洞。同时,一些第三方的信息来源也会帮助京东云及早发现安全风险,然后即刻启动安全防护预案,从根源入手,把安全风险控制住。
三、产品:丰富且定制化
京东云的安全产品表面看起来与其他云厂商并没有多大区别,但是有着自己的特点:
第一,京东云同时提供应用安全网关(VPC-WAF)和Web应用防火墙(云WAF)两种WAF产品形态,满足不同客户需求,提供多样化的Web安全解决方案。目前,京东云是国内支持部署VPC-WAF的云服务商。
第二,无论是DDoS、WAF,还是态势感知、应用安全网关等,京东云安全团队都会根据客户的业务场景,比如网站,语音服务,视频服务等进行定制化开发。
第三,一直以来,京东云为京东商城持续提供技术支持与业务安全保障,通过历年的6.18,双十一这类非常具有挑战性的大型促销活动的经验积累与技术沉淀,京东云安全拥有了宝贵的实战经验和同类业务场景的安全实践能力,基于此,京东云完全能够为客户创造更多价值。
第四,京东云所有的云安全产品都有相应的私有云版本,支持在客户本地的IDC中完成部署和交付,并能够与云上的安全产品进行联动。目前,京东云大部分安全产品均已拥有本地化部署和硬件交付形态,能够完全适配不同行业客户业务场景的需求。此外,若客户本地IDC的安全防护能力有限,就通过与云端联动采取一键上云的操作,利用云端海量的带宽、数据、资产信誉、威胁情报实现大型DDoS攻击防护、未知威胁检测、0 days漏洞检测与响应、网络安全态势感知和预测等。
特别值得注意的是,京东 JDStack 专有云平台,在传统“纵深防护+事后审计”的基础上,着重对边界被攻破后的持续安全检测手段进行了丰富,形成全景安全感知分析能力,使得云内安全可视、可控和快速响应成为现实,为政府数字化转型保驾护航。
四、服务:从客户真实需求出发
京东云团队会从网络层、系统层、应用层这些技术层面与用户进行沟通,掌握用户资产信息,充分理解用户的安全诉求与意图,为工作的开展奠定基础。
在京东云安全专家看来,不同行业的企业用户有着不同的安全层次和需求,比如:大中型互联网企业,IT技术能力较强,可能会存在流程不合规的问题。政府机构对安全的重视等级非常高,但是往往缺少安全技术人员,主要依靠第三方建设和运维。针对这样不同的行业应用现状,京东云提供不同的解决方案,深耕行业,也是京东云的特色优势之一。 7*24小时不间断监控与资产清点,安全专家团队和产品技术团队即时响应,给客户带来了高品质的体验。
以雄厚的技术实力为基础,目前京东云已获得近20项合规资质,成为业内合规资质最全的云服务商之一。此外,京东云还通过中国信息通信研究院可信云服务认证、公安部颁发的等级保护三级认证、云服务企业信用评级AAA级认证、云计算服务能力标准符合性证书(公有云、私有云)、赛可达东方之星安全认证等。
京东6.18大促即将开始,据京东云安全专家透露,京东云内部也早已开始大练兵,公开演练、模拟攻击等训练已成为常态,相信在坚实的技术基础上,京东云安全必会在6.18交上一份满意的答卷。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】