病毒肆掠,疫情严峻。为了共同抵抗疫情,众多企事业单位开始 SOHO 办公(也叫线上办公),员工尽量在家远程办公,通过钉钉、手机和邮箱等方式完成业务沟通,以有效降低人员接触导致的交叉感染风险,这是互联网时代给予疫情防御战线的一份礼物。
与此同时,这类新型的办公方式也给企事业单位的数据安全保护带来了更多挑战,主要体现在以下几个方面:
- 需要将部分前期仅在内网可访问的数据权限开放到互联网;
- 员工使用缺乏安全管控的家庭终端接入到公司内部系统中(特别是日常使用固定终端的办公人员);
- 数据访问源分布广泛(白名单访问控制方式极易失效);
- 截屏、拍照、录像等数据窃取方式缺乏监管。
云上企业如何在 SOHO 办公场景下有效实现敏感数据的保护呢?
阿里云数据安全专家建议从以下五个方面着手,提升企业数据安全保护能力:
01 控制接入
SOHO 办公方式无可避免的需要将前期仅在内网可访问的数据权限开放到互联网,此时首先需要建立安全的网络通信方式,诸如使用VPN等措施,将远程连接进行加密,保证数据在传输过程中不被第三方窃取。
同时建议对 SOHO 办公场景下员工能够接触到的数据进行分类分级,针对敏感程度高、泄漏影响大的数据,如非业务需要,配置访问策略加以限制,并根据需要使用堡垒机等安全终端,对敏感程度高的数据进行访问记录,同时关闭下载权限,让敏感数据在非本地终端上的使用可查可控。
02 管理权限
在远程办公过程中,一定会涉及云端用户账号的认证和授权。对于云平台层面的访问控制,应使用 RAM 来进行账号权限管理,划分不同的管理权限。搭配多因子认证(MFA)来增强账号的安全性。特别是对于账号 AK 的保护,需要额外关注;对于资源的访问能够和堡垒机结合,基于最小权限原则进行授权,同时尽量避免多人共享账号,降低数据泄漏的风险。
03 加固终端
有效控制员工家庭自有终端的接入,尽量使用公司配置的电脑办公,同时通过安装终端防泄漏(DLP)、杀毒、移动设备管理(MDM)等安全管理软件降低终端数据泄漏风险,同时此类软件的防截屏、防粘贴拷贝等特性也能一定程度上防止数据外泄。在 SOHO 办公期间,基于终端、基于邮件网关、基于应用网关的 DLP 技术都能发挥一定的作用。
阿里云客户可以使用阿里云提供的 DLP 数据防泄漏能力,有效提升终端侧的敏感数据保护与控制能力。
04 保护数据
增强云端数据的保护能力。例如,通过将脱敏后的数据存储到测试环境供相关人员使用,能有效降低因远程办公的开发人员直接访问生产数据而造成泄漏的风险,同时通过保留部分数据内容和结构的算法,有效支撑远程数据使用和分析的场景。通过对高敏感信息,例如个人身份、医疗信息等数据实现脱敏或加密,进一步保护云端信息在远程终端侧的可用和保密。
阿里云建议云上用户通过开启相关数据安全服务,如敏感数据保护(SDDP),密钥管理(KMS)等服务,实现针对重要数据的保护功能。
05 检测异常
SOHO 办公场景下,数据访问源对应的终端、IP 等分布广、变化快,常规的告警配置很难灵活应对,只有通过自学习的检测手段,动态生成员工终端的访问和行为模式,才能实现对访问终端行为和操作的及时、有效的告警。同时结合大数据计算提供的海量数据分析能力,进一步提升异常告警的准确率,为远程办公中发生的异常事件,提供更快速的应急响应能力。
对于阿里云上的用户,我们建议通过配置诸如敏感数据保护(SDDP)、数据库审计等服务,实现远程访问云上数据行为的实时监测和有效审计。
在这个特殊的时期,如果您对 SOHO 办公场景下有任何数据安全相关问题,都可以随时联系我们,我们提供免费咨询服务。
招聘
TL;DR
阿里云 - 云原生应用平台 - 基础软件中台团队(原容器平台基础软件团队)诚邀 Kubernetes/容器/ Serverless/应用交付技术领域专家( P6-P8 )加盟。
工作年限:建议 P6-7 三年起,P8 五年起,具体看实际能力。
工作地点:
- 国内:北京,杭州,深圳;
- 海外:旧金山湾区、西雅图
简历立刻回复,2~3 周出结果。节后入职。
工作内容
基础产品事业部是阿里云智能事业群的核心研发部门,负责计算、存储、网络、安全、中间件、系统软件等研发。而云原生应用平台基础软件终态团队致力于打造稳定、标准、先进的云原生应用系统平台,推动行业面向云原生技术升级与革命。
在这里,既有 CNCF TOC 和 SIG 联席主席,也有 etcd 创始人、K8s Operator 创始人与 Kubernetes 核心维护成员组成的、国内最顶尖的 Kubernetes 技术团队。
在这里,你将同来自全球的云原生技术领域专家们(如 Helm 项目的创始人、Istio 项目的创始人)密切合作,在独一无二的场景与规模中从事 Kubernetes、Service Mesh、Serverless、Open Application Model ( OAM )等云计算生态核心技术的研发与落地工作,在业界标杆级的平台上,既赋能阿里巴巴全球经济体,更服务全世界的开发者用户。
- 以 Kubernetes 为核心,推动并打造下一代 "以应用为中心" 的基础技术体系;在阿里经济体场景中,研发和落地“以应用为中心”的基础设施架构和基于 Open Application Model ( OAM )的下一代 NoOps 体系,让 Kubernetes 与云原生技术栈发挥出真正的价值和能量;
- 研发多环境复杂应用交付核心技术;结合阿里与生态中的核心业务场景,打造多环境复杂应用交付的业界标准与核心依赖(对标 Google Cloud Anthos 和 Microsoft Azure Arc );
- 云原生应用平台核心产品及后端架构设计与开发工作;在生态核心技术与前沿架构的加持下,在世界级云厂商的平台场景中,用技术打造持续的云产品生命力与竞争力;
- 持续推动阿里经济体应用平台架构演进,包括 Serverless 基础设施、标准云原生标准 PaaS 构建、新一代应用交付体系构建等核心技术工作。
技术要求:Go/Rust/Java/C++,Linux,分布式系统
简历提交
lei.zhang AT alibaba-inc.com
“阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践,做最懂云原生开发者的技术圈。”
