【51CTO.com原創(chuàng)稿件】在過去的2018年，云計算領(lǐng)域中的安全事故頻發(fā)，“云安全”讓人們不可避免的對云計算懷抱著質(zhì)疑的態(tài)度，既想得到云計算帶來的巨大收益，又對云安全事故會帶來的巨大傷害心存隱憂。隨著全球云計算市場的快速擴(kuò)張，云安全正在面臨巨大的挑戰(zhàn)。如何做好云安全？如何滿足企業(yè)安全需求？京東云安全專家從架構(gòu)、運維、產(chǎn)品、服務(wù)四個方面，對京東云安全體系進(jìn)行了深入講解。

一、架構(gòu)：安全的基礎(chǔ)

首先，京東云安全架構(gòu)在存儲方面給租戶提供了AES256加密的存儲產(chǎn)品，如云硬盤、數(shù)據(jù)庫存儲等。同時，所有的靜態(tài)數(shù)據(jù)加密最終使用的都是密鑰管理服務(wù)（Key Management Service），用KMS來保證用戶主密鑰的安全，服務(wù)于數(shù)據(jù)全生命周期管理，滿足用戶數(shù)據(jù)安全監(jiān)管合規(guī)需求。KMS最核心的密鑰控制是基于硬件的，無法通過任何軟件手段來偽造或者竊取。

在網(wǎng)絡(luò)層面，除了海量DDoS防護(hù)能力，云 WAF這些基本功能之外，京東云安全有自己的特色：用訪問控制檢測和過濾網(wǎng)絡(luò)層數(shù)據(jù)和流量的方式，實現(xiàn)云上邏輯隔離的網(wǎng)絡(luò)環(huán)境，通過專線和VPN，為用戶建立云上業(yè)務(wù)與本地業(yè)務(wù)間互聯(lián)的安全壁壘。此外，京東云會在網(wǎng)絡(luò)與業(yè)務(wù)的邊界構(gòu)建縱深防御與響應(yīng)機(jī)制，比如設(shè)置邊界防火墻、安全組隔離與訪問控制、網(wǎng)絡(luò)入侵檢測與響應(yīng)、異常網(wǎng)絡(luò)流量分析、安全蜜罐等一系列的隔離和控制措施來保障京東云網(wǎng)絡(luò)的安全，降低京東云網(wǎng)絡(luò)的整體風(fēng)險等級。

在主機(jī)和系統(tǒng)應(yīng)用服務(wù)方面，京東云提供了服務(wù)與服務(wù)間相互調(diào)用的安全機(jī)制，每一個服務(wù)都有自己的身份，在相互調(diào)用時，會對其身份進(jìn)行合法性檢測，確認(rèn)該服務(wù)主體是否有權(quán)限調(diào)用其他的應(yīng)用服務(wù)。在確保服務(wù)間調(diào)用的安全可信之后，即使內(nèi)網(wǎng)遭到入侵，入侵者也無法獲得數(shù)據(jù)。此外，京東云使用類似Docker的輕量級云主機(jī)安全管理機(jī)制，實現(xiàn)操作系統(tǒng)安全自動化運維，主機(jī)風(fēng)險可視化，入侵行為精準(zhǔn)實時防御和告警。

二、運維：嚴(yán)格的隔離、控制權(quán)限

京東云對運維人員的權(quán)限采取嚴(yán)格的隔離和控制：只允許擁有系統(tǒng)權(quán)限的人進(jìn)行運維管理工作。在這個過程中如果發(fā)生意外，可以提取、分析系統(tǒng)日志，快速定位并解決問題。
隨著歐盟、北美對個人隱私、個人敏感數(shù)據(jù)的法律監(jiān)管力度的加強(qiáng)，國內(nèi)也在逐步的提升這方面的監(jiān)管力度，所以，京東云針對個人數(shù)據(jù)隱私的保護(hù)已構(gòu)建了完善的措施。比如對于涉及用戶個人隱私數(shù)據(jù)，京東云從存儲、傳輸、使用和最終銷毀都有完善的控制體系，保證個人隱私數(shù)據(jù)在這個過程中不會被濫用。

此外，京東的白帽子團(tuán)隊，會幫助京東云安全團(tuán)隊發(fā)現(xiàn)一些安全的潛在漏洞。同時，一些第三方的信息來源也會幫助京東云及早發(fā)現(xiàn)安全風(fēng)險，然后即刻啟動安全防護(hù)預(yù)案，從根源入手，把安全風(fēng)險控制住。

三、產(chǎn)品：豐富且定制化

京東云的安全產(chǎn)品表面看起來與其他云廠商并沒有多大區(qū)別，但是有著自己的特點：

第一，京東云同時提供應(yīng)用安全網(wǎng)關(guān)(VPC-WAF)和Web應(yīng)用防火墻（云WAF）兩種WAF產(chǎn)品形態(tài)，滿足不同客戶需求，提供多樣化的Web安全解決方案。目前，京東云是國內(nèi)支持部署VPC-WAF的云服務(wù)商。

第二，無論是DDoS、WAF，還是態(tài)勢感知、應(yīng)用安全網(wǎng)關(guān)等，京東云安全團(tuán)隊都會根據(jù)客戶的業(yè)務(wù)場景，比如網(wǎng)站，語音服務(wù)，視頻服務(wù)等進(jìn)行定制化開發(fā)。

第三，一直以來，京東云為京東商城持續(xù)提供技術(shù)支持與業(yè)務(wù)安全保障，通過歷年的6.18，雙十一這類非常具有挑戰(zhàn)性的大型促銷活動的經(jīng)驗積累與技術(shù)沉淀，京東云安全擁有了寶貴的實戰(zhàn)經(jīng)驗和同類業(yè)務(wù)場景的安全實踐能力，基于此，京東云完全能夠為客戶創(chuàng)造更多價值。

第四，京東云所有的云安全產(chǎn)品都有相應(yīng)的私有云版本，支持在客戶本地的IDC中完成部署和交付，并能夠與云上的安全產(chǎn)品進(jìn)行聯(lián)動。目前，京東云大部分安全產(chǎn)品均已擁有本地化部署和硬件交付形態(tài)，能夠完全適配不同行業(yè)客戶業(yè)務(wù)場景的需求。此外，若客戶本地IDC的安全防護(hù)能力有限，就通過與云端聯(lián)動采取一鍵上云的操作，利用云端海量的帶寬、數(shù)據(jù)、資產(chǎn)信譽、威脅情報實現(xiàn)大型DDoS攻擊防護(hù)、未知威脅檢測、0 days漏洞檢測與響應(yīng)、網(wǎng)絡(luò)安全態(tài)勢感知和預(yù)測等。

特別值得注意的是，京東 JDStack 專有云平臺，在傳統(tǒng)“縱深防護(hù)+事后審計”的基礎(chǔ)上，著重對邊界被攻破后的持續(xù)安全檢測手段進(jìn)行了豐富，形成全景安全感知分析能力，使得云內(nèi)安全可視、可控和快速響應(yīng)成為現(xiàn)實，為政府?dāng)?shù)字化轉(zhuǎn)型保駕護(hù)航。

四、服務(wù)：從客戶真實需求出發(fā)

京東云團(tuán)隊會從網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層這些技術(shù)層面與用戶進(jìn)行溝通，掌握用戶資產(chǎn)信息，充分理解用戶的安全訴求與意圖，為工作的開展奠定基礎(chǔ)。

在京東云安全專家看來，不同行業(yè)的企業(yè)用戶有著不同的安全層次和需求，比如：大中型互聯(lián)網(wǎng)企業(yè)，IT技術(shù)能力較強(qiáng)，可能會存在流程不合規(guī)的問題。政府機(jī)構(gòu)對安全的重視等級非常高，但是往往缺少安全技術(shù)人員，主要依靠第三方建設(shè)和運維。針對這樣不同的行業(yè)應(yīng)用現(xiàn)狀，京東云提供不同的解決方案，深耕行業(yè)，也是京東云的特色優(yōu)勢之一。 7*24小時不間斷監(jiān)控與資產(chǎn)清點，安全專家團(tuán)隊和產(chǎn)品技術(shù)團(tuán)隊即時響應(yīng)，給客戶帶來了高品質(zhì)的體驗。

以雄厚的技術(shù)實力為基礎(chǔ)，目前京東云已獲得近20項合規(guī)資質(zhì)，成為業(yè)內(nèi)合規(guī)資質(zhì)最全的云服務(wù)商之一。此外，京東云還通過中國信息通信研究院可信云服務(wù)認(rèn)證、公安部頒發(fā)的等級保護(hù)三級認(rèn)證、云服務(wù)企業(yè)信用評級AAA級認(rèn)證、云計算服務(wù)能力標(biāo)準(zhǔn)符合性證書(公有云、私有云)、賽可達(dá)東方之星安全認(rèn)證等。

京東6．18大促即將開始，據(jù)京東云安全專家透露，京東云內(nèi)部也早已開始大練兵，公開演練、模擬攻擊等訓(xùn)練已成為常態(tài)，相信在堅實的技術(shù)基礎(chǔ)上，京東云安全必會在6.18交上一份滿意的答卷。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】