通过政府最高级安全审查 阿里云为公有云正名

　　文/郑凯

　　一直以来，公有云的安全性总是存在些许争议。

　　尽管，公有云的大趋势，已经被广泛认可，但迫于安全性的疑虑，让很多的大行业至今仍对公有云的部署保持谨慎。在一些全球性的企业调查中，时常有大比例的受访者徘徊在公有云的风险与收益之间，这导致了部分企业业务云化的速度变得缓慢。

　　但今天，这样的顾虑已经被阿里云直接打破。在9月19日，在2016年国家网络安全宣传周上，中央网信办宣布，经过多轮评议，阿里云电子政务云平台首批通过党政部门云计算服务网络安全审查，并获得了“增强级”的最高级别。

　　我们知道，在网络安全上升到国家安全层面之后，政府行业对云计算的安全性要求，就成为了重中之重。能够在安全要求最高的政府行业取得安全合规的最高评级，这不仅是阿里云自己的胜利，同时也是阿里云所代表的中国公有云的胜利。

　　云上安全 其实阿里云一直在努力

　　根据阿里巴巴的财报显示，2016年第一季度阿里云营收10.66亿元，同比增长175%，这是阿里云第四个季度保持三位数增长。无论从营业额还是增长速度上看，阿里云都是国内公有云市场的领头羊，所以，阿里云在近几年里，也背负了很多没有来由的“骂名”。

　　事实上，每一个高速成长的业态都很容易遭遇非议，一方面是因为公有云带来的变革另某些陈旧的行业赶到恐慌，另一方面在公有云崛起的过程中，一些非一线的云计算公司确实在拓展当中，发生过一些安全事故。

　　所以，那些围绕数据安全，以及公有云安全的问题，总是时刻包围着阿里云。正是在这样的背景下，阿里云反而通过对飞天系统的自研，始终将安全性作为云计算业务的第一诉求，并走出了一条自己的安全之路。

　　在2014年，我国首批通过可信云认证的云服务名单中，阿里云计算的三项云服务率先通过认证。可信云服务认证由数据中心联盟和云计算发展与政策论坛联合组织，是我国唯一针对云服务可信性的权威认证体系。阿里云的三款核心产品——云服务器ECS、云数据库RDS和云存储OSS，均在首批名单之列。

　　2015年，阿里云率先发起“数据保护倡议”，并强调数据是客户资产，云计算平台不得移作它用，并有责任和义务帮助客户保障其数据的私密性、完整性和可用性。这是中国云计算服务商首次定义行业标准，针对用户普遍关注的数据安全问题，进行清晰地界定。

　　实际上，阿里云在安全合规和认证方面下了很大的功夫。据悉，阿里云目前通过的安全合规认证数量在亚洲排名第一，能够最大限度地支撑自身和用户业务满足国际国内安全合规要求。阿里云是国内首家通过等级保护三级测评、ISO27k、ISO20k、ISO22301、PCI DSS、MTCS Level 3的云计算厂商，同时还是全球第一家通过CSA－CStar认证的云计算厂商。

　　这些努力都证明了阿里云对安全性的思考是系统化的，也许行业用户从传统的IT架构迈向云计算架构的步伐不会如想象的那样快，但阿里云已经为公有云做出了表率，至少在安全性的角度，公有云的安全绝对是值得信赖的。

　　最高安全等级背后是阿里云行业布局

　　我们知道阿里云也在转型，为了实现公有云最终的目标，阿里云用专有云给企业和行业用户嫁接混合云，以达成让云计算快速在地方落地的目的。所以，每一个大行业对阿里云都至关重要。

　　而大行业，对安全等级的要求总是最高的。

　　以政府行业为例，早在2014年9月3日，我国就发布了云计算国家标准GB/T31167-2014《信息安全技术云计算服务安全指南》和GB/T31168-2014《信息安全技术云计算服务安全能力要求》。

　　其中，《信息安全技术云计算服务安全指南》主要面向云计算服务商和测评机构。云服务商准备给政务部门提供服务时，要落实安全能力标准中的相关要求，并提出申请。政府的办公室会组织相关的测评机构，按照这个标准对云服务商进行测评，所以政府采购云服务将有一套标准化的操作规则。

　　在历时一年半时间的严格评测中，中国电子标准化研究院作为第三方机构，分别从开发与供应链安全、系统与通信保护、维护、应急响应与灾备、审计、风险评估与持续监控等10个方面对阿里云电子政务云平台开展了安全审查。阿里云电子政务云平台安全能力基本符合GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》中的“增强级”要求。

　　这意味着，根据国家标准，阿里云可以作为满足增强安全要求的云平台，承载非涉密的敏感信息和重要政务业务。同时，这一次的评级，也代表着阿里云在政府行业云计算的布局有望再进一步。

　　同时，除了达到了政府行业的云计算安全的最高标准以外，阿里云还在金融和医药等安全性要求很高的大行业通过了安全性的测试。比如，阿里金融云通过服务组织控制（SOC）独立审计2016年，全球四大会计师事务所之一安永针对中国云计算厂商阿里云，出具数据安全审计报告。报告显示，阿里云已正式通过美国注册会计师协会(AICPA) 与云安全联盟(CSA)制定的SOC2审计标准。截至目前，中国云计算厂商中仅有阿里云一家通过该审计。

　　据悉，安永针对阿里云的数据安全审计过程，涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共217项，对每一项进行逐一验证。这也是中国的云计算服务提供商首次通过这一堪称“全球最严”的数据安全审计。

　　我们知道，阿里云在今年的云栖大会上，发布了物联网、专有云(Apsara Stack)、混合云等方案，企业级云计算的布局已经非常明显，这代表阿里云将会在中国的大行业中开辟新的战场。而大行业用户对云计算安全性的要求最高，所以，阿里云正在通过各行业最高级别的安全认证，来突破行业用户对安全的顾虑，做到为中国行业的云化提速。

　　为公有云正名

　　很显然，公有云和私有云之间的市场碰撞，在安全性方面，始终是绕不开的话题。

　　私有云的公司也常用安全问题，对公有云服务商进行攻伐。可是，我们要客观的对双方的安全性对比做一个评估。

　　首先，私有云是在企业自己的数据中心边界范围内部署的。但私有并不意味着绝对的安全，往往私有云中的一个虚拟机被攻破以后，就可以打破整个私有云的安全策略。尤其是对于技术能力有限的企业来说，其所搭建的安全策略很难与时俱进，面对互联网的攻击时也往往感到措手不及。

　　其次，公有云的优势在于统一的管理和运维，这首先就超越了90%的企业私有云安全技术水平。同时，公有云服务商的云服务通常来自于自身对业务的理解，以阿里云为例，在经过每年双11的锤炼之后，无论是运维还是安全策略都是动态升级，总是与当下最新的网络攻击匹配。这是灵活性较低的私有云所不具备的。

　　第三，从阿里云的角度看，十年来对网络安全的理解，和技术积累是很多传统公司所没有的财富。核心层面坚持自主研发飞天云计算操作系统，并凝练阿里巴巴集团十年安全技术积累推出云盾产品服务，在漏洞检测、DDoS防护、内核安全等领域都达到了标杆水平。

　　同时，每一天，阿里云实时保护全中国35%的网站，这使得阿里云具备国内最丰富的攻防对抗数据和样本。再辅以强大的人工智能、机器学习和计算能力，阿里云能够及时从海量的安全数据中抓取到攻击线索、漏洞信息和威胁情报等高价值信息，提升云上用户的整体安全水平。

　　我们说，今天的世界是技术驱动的世界，而今天的技术则是动态和实时性的，迭代速度非常惊人。只有具备了阿里巴巴这样的业务体量，和技术能力的云服务商，才能形成与时俱进的安全策略。所以，已经无需对私有云还是公有云谁更安全再进行对比，阿里云已经做到了为公有云正名。