云安全专场：计算无界，安全有道

云安全专场：计算无界，安全有道...



14日下午云安全专场，在4个多小时里，本人聆听了各位技术大咖的演讲，主体思想是“计算无界，安全有道”,云安全专家们深入介绍阿里云如何从技术、生态、合规等方面来构筑可靠、稳定的云平台。带你看阿里云在安全能力上的成长·进化。

会议日程如下：

13:30-14:00

云上的世界为什么更安全

邬怡 阿里云安全高级专家

14:00-14:30

构思基于云等保的责任分担模型及解读

陈雪秀 阿里云高级合规专家

14:30-15:00

圆桌讨论：谈云等保及云环境合规

主持人：
周斌琦 阿里云安全总监
嘉宾：
张宇翔 公安部信息安全等级保护评估中心常务副主任
蔡林 浙江省公安厅网安总队总工程师
沈锡镛 阿里云安全高级专家
客户代表

15:00-15:10

重要合作发布

重量级嘉宾

15:10-15:40

你的数据你做主—安华金和云数据安全产品发布

肖志昱 安华金和技术总监

15:40-16:10

女性移动app的安全攻防战

黄益聪 美柚技术总监

16:10-16:40

互联网+时代下的保险产品及技术的变革

马景堂 国华人寿信息技术部负责人

16:40-17:10

checkpoint云安全新视角

朱凯 checkpoint中国区技术总监

17:10-17:30

让云和安全更简单

冯旭杭 安恒信息副总裁

第一位出场演讲的是阿里云高级安全专家邬怡演讲了《云上的世界为什么更安全》。除了列举阿里云本身在安全方面的经验，比如每天抵御1000次以上DDoS攻击、2000万次Web应用攻击、超过2亿次密码暴力破解攻击等；另外还提到阿里云获得的更多合规性认证。

然后阿里云高级合规专家陈雪秀在演讲中谈到了《构思基于云等保的责任分担模型及解读》。是指企业将基建搬到云端，并不意味着一切安全问题都推给了云提供商，云上风险需由云服务商和用户都需要承担相应的安全责任。



如上图的SaaS模型下，用户需要承担的风险责任在业务管理部分；云服务商的安全责任涵盖了从最底层的物理架构，到网络、存储、虚拟化、操作系统、运行环境等。根据购买产品和服务的差异，如IaaS（云服务器）、PaaS（云数据库）、CaaS（容器服务），用户需要承担的责任部分都会有差异。当然，这实际还涉及到很多问题，比如说双方系统备案、等级测试等的区隔。

为此，阿里云甚至还找来了公安部信息安全等级保护评估中心、浙江省公安厅网安总队的领导，以及中国化工集团信息安全处，和阿里云自己的安全高级专家进行《谈云等保及云环境合规》圆桌讨论，对这种责任划分进行了进一步的明确。似乎表明这种责任共担是有据可依的。

随后阿里云和公安部第三研究所发布战略合作。


安华金和针对阿里云所推的云数据加密和云数据审计产品。为阿里云客户提供安全分享。

还有Check Point的vSEC虚拟安全网关——比较有意思的是，Check Point的中国区技术总监朱凯引用了一些传言，比如“网络安全解决方案不能适应阿里云架构”，而实际情况是在阿里云VPC内部署虚拟机；云环境下的HA模式；安全策略自动更新都完全适用。而Check Point的这套着重高级威胁防御的解决方案预计2个月之后会在阿里云上线，提供的是防火墙、应用控制、反病毒、URL过滤等服务。这也很大程度破除了“高级安全模块不能在阿里云上使用”的传言。



美柚技术总监黄益聪

最后值得一说的是，美柚技术总监黄益聪演讲的《女性移动App的安全攻防战》，大概是全场唯一在谈技术的一个议题了，虽然大体上也有宣传美柚的成份。这款App是女性专用的，比如前期有经期记录一类的功能，算是相当隐私的数据。在安全方面，除了有一些常规的安全策略，比如代码混淆、防冲打包，还有阿里聚安全提供的App安全加固服务之外，这家公司还特别自建HTTPDNS服务（配合HTTP 2.0），对于防劫持是很有好处的。据说2014年根DNS服务器瘫痪时，美柚就是因为自建HTTPDNS服务器幸免于难。另外他们还有基于openresty构建的自研WAF，以及反垃圾系统架构（应用阿里绿网API反黄图，还有相似图片算法等）。这个分享大致上算是给许多App为核心的企业以借鉴价值了。

    关注 砼网社区