查看原文
其他

云端环境下如何保障数据安全?

京东云 2022-09-20

2021年6月10日,全国人大常委会通过了《中华人民共和国数据安全法》,确定将于2021年9月1日正式施行,该法律的发布为各行业的数据安全提供了监管依据,标志着我国在数据安全领域有法可依。

近年来云计算市场规模持续增长,但安全事故频发不断,数据泄露是最频繁发生的安全事件之一。数据泄露将对企业造成持续负面影响,包括品牌信誉、企业营收、用户流失等,如国外某大厂数据泄露事件导致市值瞬间蒸发,还面临50亿美元的巨额罚款,数据泄露成本巨大。国内近年来也屡有多起规模或影响较大的信息泄露事件发生。

政企纷纷上云后,在云服务模式下如何保障云上数据安全成为关注的首要问题。数据安全法的出台,正是匹配政企数字化发展,业务上云的一种信息安全制度保障。

政企上云的数据安全风险

并不是企业和服务提供商有意想泄漏数据,而是由于安全性不够而引发了数据泄漏问题。从实际情况出发,用户业务上云面临的数据安全风险分布在各个阶段:

严格标准保障云端安全

历经多年京东618、双11大促磨炼,京东云云端数据安全防护能力在实战中不断提升。作为京东集团的技术基石,京东云以更严格的标准对数据的全生命周期进行安全防护

为保障用户安全的处理云上数据,京东云对云端数据全生命周期安全防护保障以内容智能识别为核心,以数据全生命周期为范围,以自主生成和管理密钥为手段,让租户自行对企业内数据实行精准分析,知晓数据分布和风险,进而保护数据资产;同时,监管企业特权账号访问记录并自动分析,依据安全策略对数据进行加密、脱敏,并生成安全事件报表,提供系统化的安全防护。

智能化数据管理,以用户为中心

数据生产是用户将云下数据迁移上云,或在云中产生新的数据内容,或对已有内容的替换、更新或修改。针对这一阶段,平台提供自主可控方案,帮助用户自行完成数据分类分级,并进行风险分析,在数据全生命周期的起始阶段就做好数据的梳理、区分与隔离。

京东云平台内置的智能内容识别引擎,用户可依据数据安全需求,自行对其数据资产进行分类分级管理。识别和标记敏感数据,对各类别级别的数据实施差异化的保护、细粒度的管控,有助于满足合规要求,防止敏感数据泄漏。

全链路透明加密,保障数据安全

对于云端存储的敏感及重要数据,平台提供多种加密措施进行防护,降低数据泄漏的风险。

自动化透明存储加密技术,对用户存储在云硬盘、对象存储和数据库中的数据进行加密存储,加密所使用的密钥由用户维护和管理,京东云任何人员无法获取密钥信息,同时支持使用用户的自定义密钥对敏感数据进行加密。京东云通过密钥管理服务KMS(Key Management Service)帮助用户管理及备份其加密密钥,提供云上密钥创建、禁用、轮换、删除等全生命周期管理。

自动化透明传输加密技术,针对用户业务混合云部署和全球化布局的场景,可以使用京东云提供的虚拟专用网络(VPN)、云专线服务,实现不同区域之间业务的互联互通和数据传输安全。

严格身份认证,杜绝恶意行为

平台支持用户对数据的访问进行严格的管控及安全防护。为保证数据的合法访问,京东云提供用户身份鉴别、授权管理、权限鉴别三合一的用户业务访问控制。京东云提供了用户身份管理与访问控制服务(Identity and AccessManagement,IAM)。用户可以通过IAM服务创建、管理子用户账号,并控制这些子用户访问京东云资源的权限。

对于对象存储、文件存储、数据库等服务,用户可通过操作审计服务保存的所有操作记录,实现精确追踪、还原用户行为审计,对于安全分析,资源变更追查,合规审查有非常重要的作用。

数据流转和使用机制,保障数据使用安全

数据使用过程中,对敏感数据进行数据脱敏、水印等处理可以确保数据合规使用,并规避信息泄漏和法律法规遵从风险。

敏感数据脱敏技术,针对用户敏感数据,平台内置专有的数据脱敏规则,采用适当的脱敏算法进行处理,包括:数据遮蔽、数据仿真、关键部分替换、数据随机替换等,以达到隐藏或模糊处理真实敏感信息的目的,提高生产数据在应用开发、测试以及第三方工具做数据分析等使用场景中的安全性。
数据溯源技术,通过添加数字水印技术对数据库中敏感数据添加水印,该水印技术使访问主体(用户)的身份信息编码到输出的内容中。对用户上传文件到对象存储后,京东云可以在云端实现图片的缩放、裁剪、水印、鉴黄、格式转化和样式管理,视频转码工作流等丰富的数据处理功能,提供数据安全性、透明性、可溯源性。

数据态势管理技术,通过识别用户业务操作行为,识别业务访问逻辑、端口、账户、位置等信息,建立安全基线和访问控制策略,通过分析有效发现业务逻辑和访问异常,对敏感信息的违规外发或用户的异常行为能够进行有效阻断,进行风险预警和处置。

数据销毁机制,确保数据无法恶意恢复

当用户删除数据或离开京东云时,平台支持用户使用自己的密钥对指定的数据及其所有副本进行全面的加密,然后删除密钥,达到数据加密擦除的效果。随后平台再对数据及副本进行全面的清除,包括删除用户与数据之间的索引关系,并将内存、块存储等存储空间进行清零操作。在一定条件下,对退役的磁性存储设备进行消磁和物理销毁,确保其数据无法恢复。

安全能力的建设没有捷径,京东云安全背靠京东集团整体技术体系,历经多年京东618、11.11等大促磨练,积累了丰富的攻防技术能力和实战经验。基于自身对复杂业务场景网络安全需求的理解,由内向外服务了政企、金融、零售、泛互联网等行业客户,未来,京东云安全也将持续专注于安全防护,为客户提供更全面、精准、智能的网络安全服务。

End

|往期回顾|

京东云618大促再加码!一元得一年云主机,最高返两倍代金券

京东科技打造“供应链+场景+技术”服务 护航数字人民币618消费体验

鱼和熊掌不可兼得?一站式安全加速解决多重挑战

解码京东618背后的十大突破性技术应用

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存