用技术实力打造不一样的京东云安全

原创
作者：赵立京 2019-05-29 14:59:24

云计算 随着全球云计算市场的快速扩张，云安全正在面临巨大的挑战。如何做好云安全？如何满足企业安全需求？京东云安全专家从架构、运维、产品、服务四个方面，对京东云安全体系进行了深入讲解。

【51CTO.com原创稿件】在过去的2018年，云计算领域中的安全事故频发，“云安全”让人们不可避免的对云计算怀抱着质疑的态度，既想得到云计算带来的巨大收益，又对云安全事故会带来的巨大伤害心存隐忧。随着全球云计算市场的快速扩张，云安全正在面临巨大的挑战。如何做好云安全？如何满足企业安全需求？京东云安全专家从架构、运维、产品、服务四个方面，对京东云安全体系进行了深入讲解。

一、架构：安全的基础

首先，京东云安全架构在存储方面给租户提供了AES256加密的存储产品，如云硬盘、数据库存储等。同时，所有的静态数据加密最终使用的都是密钥管理服务（Key Management Service），用KMS来保证用户主密钥的安全，服务于数据全生命周期管理，满足用户数据安全监管合规需求。KMS最核心的密钥控制是基于硬件的，无法通过任何软件手段来伪造或者窃取。

在网络层面，除了海量DDoS防护能力，云 WAF这些基本功能之外，京东云安全有自己的特色：用访问控制检测和过滤网络层数据和流量的方式，实现云上逻辑隔离的网络环境，通过专线和VPN，为用户建立云上业务与本地业务间互联的安全壁垒。此外，京东云会在网络与业务的边界构建纵深防御与响应机制，比如设置边界防火墙、安全组隔离与访问控制、网络入侵检测与响应、异常网络流量分析、安全蜜罐等一系列的隔离和控制措施来保障京东云网络的安全，降低京东云网络的整体风险等级。

在主机和系统应用服务方面，京东云提供了服务与服务间相互调用的安全机制，每一个服务都有自己的身份，在相互调用时，会对其身份进行合法性检测，确认该服务主体是否有权限调用其他的应用服务。在确保服务间调用的安全可信之后，即使内网遭到入侵，入侵者也无法获得数据。此外，京东云使用类似Docker的轻量级云主机安全管理机制，实现操作系统安全自动化运维，主机风险可视化，入侵行为精准实时防御和告警。

二、运维：严格的隔离、控制权限

京东云对运维人员的权限采取严格的隔离和控制：只允许拥有系统权限的人进行运维管理工作。在这个过程中如果发生意外，可以提取、分析系统日志，快速定位并解决问题。
随着欧盟、北美对个人隐私、个人敏感数据的法律监管力度的加强，国内也在逐步的提升这方面的监管力度，所以，京东云针对个人数据隐私的保护已构建了完善的措施。比如对于涉及用户个人隐私数据，京东云从存储、传输、使用和最终销毁都有完善的控制体系，保证个人隐私数据在这个过程中不会被滥用。

此外，京东的白帽子团队，会帮助京东云安全团队发现一些安全的潜在漏洞。同时，一些第三方的信息来源也会帮助京东云及早发现安全风险，然后即刻启动安全防护预案，从根源入手，把安全风险控制住。

三、产品：丰富且定制化

京东云的安全产品表面看起来与其他云厂商并没有多大区别，但是有着自己的特点：

第一，京东云同时提供应用安全网关(VPC-WAF)和Web应用防火墙（云WAF）两种WAF产品形态，满足不同客户需求，提供多样化的Web安全解决方案。目前，京东云是国内支持部署VPC-WAF的云服务商。

第二，无论是DDoS、WAF，还是态势感知、应用安全网关等，京东云安全团队都会根据客户的业务场景，比如网站，语音服务，视频服务等进行定制化开发。

第三，一直以来，京东云为京东商城持续提供技术支持与业务安全保障，通过历年的6.18，双十一这类非常具有挑战性的大型促销活动的经验积累与技术沉淀，京东云安全拥有了宝贵的实战经验和同类业务场景的安全实践能力，基于此，京东云完全能够为客户创造更多价值。

第四，京东云所有的云安全产品都有相应的私有云版本，支持在客户本地的IDC中完成部署和交付，并能够与云上的安全产品进行联动。目前，京东云大部分安全产品均已拥有本地化部署和硬件交付形态，能够完全适配不同行业客户业务场景的需求。此外，若客户本地IDC的安全防护能力有限，就通过与云端联动采取一键上云的操作，利用云端海量的带宽、数据、资产信誉、威胁情报实现大型DDoS攻击防护、未知威胁检测、0 days漏洞检测与响应、网络安全态势感知和预测等。

特别值得注意的是，京东 JDStack 专有云平台，在传统“纵深防护+事后审计”的基础上，着重对边界被攻破后的持续安全检测手段进行了丰富，形成全景安全感知分析能力，使得云内安全可视、可控和快速响应成为现实，为政府数字化转型保驾护航。

四、服务：从客户真实需求出发

京东云团队会从网络层、系统层、应用层这些技术层面与用户进行沟通，掌握用户资产信息，充分理解用户的安全诉求与意图，为工作的开展奠定基础。

在京东云安全专家看来，不同行业的企业用户有着不同的安全层次和需求，比如：大中型互联网企业，IT技术能力较强，可能会存在流程不合规的问题。政府机构对安全的重视等级非常高，但是往往缺少安全技术人员，主要依靠第三方建设和运维。针对这样不同的行业应用现状，京东云提供不同的解决方案，深耕行业，也是京东云的特色优势之一。 7*24小时不间断监控与资产清点，安全专家团队和产品技术团队即时响应，给客户带来了高品质的体验。

以雄厚的技术实力为基础，目前京东云已获得近20项合规资质，成为业内合规资质最全的云服务商之一。此外，京东云还通过中国信息通信研究院可信云服务认证、公安部颁发的等级保护三级认证、云服务企业信用评级AAA级认证、云计算服务能力标准符合性证书(公有云、私有云)、赛可达东方之星安全认证等。

京东6．18大促即将开始，据京东云安全专家透露，京东云内部也早已开始大练兵，公开演练、模拟攻击等训练已成为常态，相信在坚实的技术基础上，京东云安全必会在6.18交上一份满意的答卷。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】