“一流企业做标准,二流企业做品牌,三流企业做产品”,响亮的口号驱动着一代代企业在追求标准的路上前赴后继 。这其中,也包含刚刚通过由BSI(英国标准协会)审核的ISO27001:2005(信息安全管理体系)认证,成为BSI在国内审核通过ISO27001的第一家云计算安全服务提供商的阿里云。对于这家拥有广泛知名度,却是云安全领域不折不扣的新兵,外界对其知之甚少。为此,CSDN特别专访了阿里集团安全部安全研究中心安全专家沈锡镛,请他详细剖析了阿里云安全对国内安全现状的认知,如何做到与谷歌、亚马逊一样在国际安全标准方面的平等话语权,并详细介绍了阿里云安全模型的技术特点以及未来发展方向。
沈锡镛 ,云计算安全的专家及先行者,在云计算安全管理方面有很多分享。2012年加入阿里巴巴集团,着力于帮助快速成长但缺乏标准化管理的云计算领域建立安全管理框架。
云端迁移是必然
CSDN:有人形容安全市场是“国内安全企业出不去,国外安全厂商进不来”的特殊市场,您怎么看?现在国内安全市场整体发展态势如何?
沈锡镛:这样的观点并不全面。国内安全企业做的好,就能走出去;国外安全厂商也能走进来。从安全上看,国内政策法规并没有明确约束。这是空间,更是机遇。事实上,现在传统安全企业都逐步向敏捷交付转型,从成本和业务扩展考虑也在尝试在云端提供安全即服务(Security as a Service)。从产品到方案再到安全规范和标准,安全企业或许会逐步过渡到云端,为更多用户提供灵活性和专业的安全服务。
CSDN:阿里云在其中的机遇在哪里?
沈锡镛:国内云安全市场中,阿里云比较另类。因为大多传统安全公司不提供云计算服务,而提供云计算服务的企业中又没有像阿里云如此专业化的安全服务能力。这就凸现了阿里云安全的机遇。首先,阿里云安全会与阿里集团的业务紧紧的绑定,将技术与服务策划做的更圆满;其次,跳出企业级安全老三样(防火墙,防病毒软件,入侵检测)的限制,从需求出发的重回安全控制本身,从云端协议、网络控制和隔离等安全方面做新设置;第三,帮助更多中小站长以及如浙江台风系统,CCTV5等企业将应用迁移到云端,实现安全新防护。
CSDN:阿里云的定位是平台,会将更多空间留给开发者。但安全本身作为一种应用模式,如何来为开发者预留空间?
沈锡镛:首先,阿里云作为一个平台,一个生态圈,保证这个生态圈的繁荣和安全是我们不能回避的责任,而安全可以说是云生态健康成长的核心要素。其次阿里的安全团队是以服务客户为第一目标,结合我们十年安全攻防经验,打造云生态圈中的安全生命链。在这个过程中我们定位在基础安全服务提供商,帮助云生态圈中的广大中小网站和各行业用户免除安全后顾之忧,让他们可以全心全意投入到网站运营建设中。
阿里云安全生态链的打造过程中我们愿意借助云计算这个产业创新契机,我们不但希望专业的安全服务商借助我们的生态链中向广大客户提供更加精细化、定制化的安全服务,同时希望联合众多的安全组织和机构一起开发具备云计算特点的云安全产业。
明年就会开始逐步开放我们的云服务市场,会邀请安全厂商进来和我们一起共建共创这个新兴的云计算安全产业,我们相信这个蛋糕远比我们现在看到的要大。