用技术实力打造不一样的京东云安全

【51CTO.com原创稿件】在过去的2018年，云计算领域中的安全事故频发，“云安全”让人们不可避免的对云计算怀抱着质疑的态度，既想得到云计算带来的巨大收益，又对云安全事故会带来的巨大伤害心存隐忧。随着全球云计算市场的快速扩张，云安全正在面临巨大的挑战。如何做好云安全？如何满足企业安全需求？京东云安全专家从架构、运维、产品、服务四个方面，对京东云安全体系进行了深入讲解。

一、架构：安全的基础

首先，京东云安全架构在存储方面给租户提供了AES256加密的存储产品，如云硬盘、数据库存储等。同时，所有的静态数据加密最终使用的都是密钥管理服务（Key Management Service），用KMS来保证用户主密钥的安全，服务于数据全生命周期管理，满足用户数据安全监管合规需求。KMS最核心的密钥控制是基于硬件的，无法通过任何软件手段来伪造或者窃取。

在网络层面，除了海量DDoS防护能力，云 WAF这些基本功能之外，京东云安全有自己的特色：用访问控制检测和过滤网络层数据和流量的方式，实现云上逻辑隔离的网络环境，通过专线和VPN，为用户建立云上业务与本地业务间互联的安全壁垒。此外，京东云会在网络与业务的边界构建纵深防御与响应机制，比如设置边界防火墙、安全组隔离与访问控制、网络入侵检测与响应、异常网络流量分析、安全蜜罐等一系列的隔离和控制措施来保障京东云网络的安全，降低京东云网络的整体风险等级。

在主机和系统应用服务方面，京东云提供了服务与服务间相互调用的安全机制，每一个服务都有自己的身份，在相互调用时，会对其身份进行合法性检测，确认该服务主体是否有权限调用其他的应用服务。在确保服务间调用的安全可信之后，即使内网遭到入侵，入侵者也无法获得数据。此外，京东云使用类似Docker的轻量级云主机安全管理机制，实现操作系统安全自动化运维，主机风险可视化，入侵行为精准实时防御和告警。

二、运维：严格的隔离、控制权限

京东云对运维人员的权限采取严格的隔离和控制：只允许拥有系统权限的人进行运维管理工作。在这个过程中如果发生意外，可以提取、分析系统日志，快速定位并解决问题。
随着欧盟、北美对个人隐私、个人敏感数据的法律监管力度的加强，国内也在逐步的提升这方面的监管力度，所以，京东云针对个人数据隐私的保护已构建了完善的措施。比如对于涉及用户个人隐私数据，京东云从存储、传输、使用和最终销毁都有完善的控制体系，保证个人隐私数据在这个过程中不会被滥用。

此外，京东的白帽子团队，会帮助京东云安全团队发现一些安全的潜在漏洞。同时，一些第三方的信息来源也会帮助京东云及早发现安全风险，然后即刻启动安全防护预案，从根源入手，把安全风险控制住。

三、产品：丰富且定制化

京东云的安全产品表面看起来与其他云厂商并没有多大区别，但是有着自己的特点：

第一，京东云同时提供应用安全网关(VPC-WAF)和Web应用防火墙（云WAF）两种WAF产品形态，满足不同客户需求，提供多样化的Web安全解决方案。目前，京东云是国内唯一支持部署VPC-WAF的云服务商。

第二，无论是DDoS、WAF，还是态势感知、应用安全网关等，京东云安全团队都会根据客户的业务场景，比如网站，语音服务，视频服务等进行定制化开发。

第三，一直以来，京东云为京东商城持续提供技术支持与业务安全保障，通过历年的6.18，双十一这类非常具有挑战性的大型促销活动的经验积累与技术沉淀，京东云安全拥有了宝贵的实战经验和同类业务场景的安全最佳实践能力，基于此，京东云完全能够为客户创造更多价值。

第四，京东云所有的云安全产品都有相应的私有云版本，支持在客户本地的IDC中完成部署和交付，并能够与云上的安全产品进行联动。目前，京东云大部分安全产品均已拥有本地化部署和硬件交付形态，能够完全适配不同行业客户业务场景的需求。此外，若客户本地IDC的安全防护能力有限，就通过与云端联动采取一键上云的操作，利用云端海量的带宽、数据、资产信誉、威胁情报实现大型DDoS攻击防护、未知威胁检测、0 days漏洞检测与响应、网络安全态势感知和预测等。

特别值得注意的是，京东 JDStack 专有云平台，在传统“纵深防护+事后审计”的基础上，着重对边界被攻破后的持续安全检测手段进行了丰富，形成全景安全感知分析能力，使得云内安全可视、可控和快速响应成为现实，为政府数字化转型保驾护航。

四、服务：从客户真实需求出发

京东云团队会从网络层、系统层、应用层这些技术层面与用户进行沟通，掌握用户资产信息，充分理解用户的安全诉求与意图，为工作的开展奠定基础。

在京东云安全专家看来，不同行业的企业用户有着不同的安全层次和需求，比如：大中型互联网企业，IT技术能力较强，可能会存在流程不合规的问题。政府机构对安全的重视等级非常高，但是往往缺少安全技术人员，主要依靠第三方建设和运维。针对这样不同的行业应用现状，京东云提供不同的解决方案，深耕行业，也是京东云的特色优势之一。 7*24小时不间断监控与资产清点，安全专家团队和产品技术团队即时响应，给客户带来了高品质的体验。

以雄厚的技术实力为基础，目前京东云已获得近20项合规资质，成为业内合规资质最全的云服务商之一。此外，京东云还通过中国信息通信研究院可信云服务认证、公安部颁发的等级保护三级认证、云服务企业信用评级AAA级认证、云计算服务能力标准符合性证书(公有云、私有云)、赛可达东方之星安全认证等。

京东6．18大促即将开始，据京东云安全专家透露，京东云内部也早已开始大练兵，公开演练、模拟攻击等训练已成为常态，相信在坚实的技术基础上，京东云安全必会在6.18交上一份满意的答卷。

对云计算的定义有多种说法。对于到底什么是云计算，至少可以找到100种解释。 现阶段广为接受的是美国国家标准与技术研究院（NIST）定义：云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问， 进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。  用通俗的话说，云计算就是通过大量在云端的计算资源进行计算，如：用户通过自己的电脑发送指令给提供云计算的服务商，通过服务商提供的大量服务器进行“核爆炸”的计算，再将结果返回给用户。