Hi~这篇文章想把用户非常关心的“数据安全”中的一个小细节拿出来写一写。因为用户使用公有云资源,相当于是用户租用了阿里云虚拟化后的云主机,用户的数据实际是放在阿里云的基础设施,也就是数据中心里的物理服务器里面的。再怎么说,也还是阿里云的机房。阿里云会不会查看我的数据?
首先肯定是要从法律条文大面上入手解释的。2017年6月份出台了《网络安全法》,云服务商本身担负着多个角色,比如网络运营者、网络产品和服务产品提供者、关键信息实施运行者等,在网安法中,都有相应的规定,这里提取几条跟阿里云用户相关的,比如:
按照相应等级保护制度要求,阿里云需要保障用户数据免受干扰、破坏或未经授权的的访问,防止数据泄露或被窃取、篡改等(阿里云公有云平台是等保三级),这里就不赘述等级保护3级的详细说明了
- 服务期间,不得停止安全维护工作:这句话的意思是,阿里云会一直保持团队对数据中心进行维护,保障底层资源的稳定可用
- 需要收集用户信息时,需要征求到用户的同意:这一点相信用户有感知,在提交工单时,有时候后台人员需要查看必要信息的情况下,会先让用户授权
....
其次就是阿里云对外公布的《服务条款》,用户在购买服务时,页面会跳出此个条款的说明,里面有一段内容解释了:
- 用户完全拥有自己的业务数据,根据相关法律的说明,阿里云不会擅自动用用户数据
- 用户在服务到期、或中途离开阿里云时,可以选择删除自己的业务数据,随着用户删除操作,阿里云不再保留任何数据,也就是说数据能够完全被用户带走
- 即使用户不选择手动删除数据,在服务到期,超过一定的时间段后,用户数据还是会被自动删除点,例如用户创建的实例、副本数据,甚至是备份数据等,删除后不可恢复。这里其实除了强调阿里云在数据留存方面的原则之外,还强调用户也需要对自己的数据,承担一部分责任,谨慎决定留存日期和删除操作
- ....
然后是,阿里云官网有一个版块叫:信任中心,这里友爱地贴上网址,https://help.aliyun.com/product/42397.html?spm=a2c4g.11186631.3.1.EJXiLv 这里详细讲述了阿里云的观念,可以看到有份文件:《数据安全白皮书》,详细介绍了阿里云如何承担安全责任的、用户该如何承担相应安全责任的、阿里云通过了哪些资质认证、阿里云隐私政策、安全体系和架构等等等等,非常详细。我觉得看完这份白皮书,应该就能通过云安全的ACP/ACE考试了吧~
- ISO 27001、ISO 20000、ISO 22301
- 工信部云服务能力标准测试
- CNAS云计算国家标准测试
- CSA STAR认证
- 等级保护
- ....
还有好多,就不罗列了,总共有十几家,是亚洲资质最全的云服务商。反正我也没挨个去查,就是很靠谱的感觉,hahaha
最后,贴上阿里云企业文化,喂饱用户的精神食粮:
- 2015年,阿里云在全球率先发起“数据保护倡议”
- 2017年上海云栖大会上,阿里云总裁胡晓明表示,保护客户数据隐私是阿里云的第一原则:“阿里云承载的是客户的信任,对我们来说,客户数据安全和隐私保护是最重要的事情。”
- 2017年6月份,阿里云打了一场云服务商侵权的官司,《我叫MT》游戏所有者乐动卓越因某游戏公司在云服务器上运营侵权游戏而控告云服务商阿里云侵权,由于阿里云坚持不动用户数据的立场,这场官司打输了,但是收获了不少用户的支持
- 2017年9月份,IDC最近发布的《IDC MarketScape:中国云服务提供商,2017厂商安全评估》,阿里云排在首位
- ....
说了这么多云安全,云安全的具体内容主要包括哪些,从网上找了张图:
果然是看不懂,正好正在准备云安全考试,感觉这些东西混在一块最后理出个头绪出来,对业务人员也是一个大板块要琢磨的。
可能还有很多种其他的说法,是证明阿里云的数据底线的,比如一些非常严苛的内部机制等等。就先写到这里。
Nice Work!
