【51CTO.com原創稿件】在過去的2018年，云計算領域中的安全事故頻發，“云安全”讓人們不可避免的對云計算懷抱著質疑的態度，既想得到云計算帶來的巨大收益，又對云安全事故會帶來的巨大傷害心存隱憂。隨著全球云計算市場的快速擴張，云安全正在面臨巨大的挑戰。如何做好云安全？如何滿足企業安全需求？京東云安全專家從架構、運維、產品、服務四個方面，對京東云安全體系進行了深入講解。

一、架構：安全的基礎

首先，京東云安全架構在存儲方面給租戶提供了AES256加密的存儲產品，如云硬盤、數據庫存儲等。同時，所有的靜態數據加密最終使用的都是密鑰管理服務（Key Management Service），用KMS來保證用戶主密鑰的安全，服務于數據全生命周期管理，滿足用戶數據安全監管合規需求。KMS最核心的密鑰控制是基于硬件的，無法通過任何軟件手段來偽造或者竊取。

在網絡層面，除了海量DDoS防護能力，云 WAF這些基本功能之外，京東云安全有自己的特色：用訪問控制檢測和過濾網絡層數據和流量的方式，實現云上邏輯隔離的網絡環境，通過專線和VPN，為用戶建立云上業務與本地業務間互聯的安全壁壘。此外，京東云會在網絡與業務的邊界構建縱深防御與響應機制，比如設置邊界防火墻、安全組隔離與訪問控制、網絡入侵檢測與響應、異常網絡流量分析、安全蜜罐等一系列的隔離和控制措施來保障京東云網絡的安全，降低京東云網絡的整體風險等級。

在主機和系統應用服務方面，京東云提供了服務與服務間相互調用的安全機制，每一個服務都有自己的身份，在相互調用時，會對其身份進行合法性檢測，確認該服務主體是否有權限調用其他的應用服務。在確保服務間調用的安全可信之后，即使內網遭到入侵，入侵者也無法獲得數據。此外，京東云使用類似Docker的輕量級云主機安全管理機制，實現操作系統安全自動化運維，主機風險可視化，入侵行為精準實時防御和告警。

二、運維：嚴格的隔離、控制權限

京東云對運維人員的權限采取嚴格的隔離和控制：只允許擁有系統權限的人進行運維管理工作。在這個過程中如果發生意外，可以提取、分析系統日志，快速定位并解決問題。
隨著歐盟、北美對個人隱私、個人敏感數據的法律監管力度的加強，國內也在逐步的提升這方面的監管力度，所以，京東云針對個人數據隱私的保護已構建了完善的措施。比如對于涉及用戶個人隱私數據，京東云從存儲、傳輸、使用和最終銷毀都有完善的控制體系，保證個人隱私數據在這個過程中不會被濫用。

此外，京東的白帽子團隊，會幫助京東云安全團隊發現一些安全的潛在漏洞。同時，一些第三方的信息來源也會幫助京東云及早發現安全風險，然后即刻啟動安全防護預案，從根源入手，把安全風險控制住。

三、產品：豐富且定制化

京東云的安全產品表面看起來與其他云廠商并沒有多大區別，但是有著自己的特點：

第一，京東云同時提供應用安全網關(VPC-WAF)和Web應用防火墻（云WAF）兩種WAF產品形態，滿足不同客戶需求，提供多樣化的Web安全解決方案。目前，京東云是國內支持部署VPC-WAF的云服務商。

第二，無論是DDoS、WAF，還是態勢感知、應用安全網關等，京東云安全團隊都會根據客戶的業務場景，比如網站，語音服務，視頻服務等進行定制化開發。

第三，一直以來，京東云為京東商城持續提供技術支持與業務安全保障，通過歷年的6.18，雙十一這類非常具有挑戰性的大型促銷活動的經驗積累與技術沉淀，京東云安全擁有了寶貴的實戰經驗和同類業務場景的安全實踐能力，基于此，京東云完全能夠為客戶創造更多價值。

第四，京東云所有的云安全產品都有相應的私有云版本，支持在客戶本地的IDC中完成部署和交付，并能夠與云上的安全產品進行聯動。目前，京東云大部分安全產品均已擁有本地化部署和硬件交付形態，能夠完全適配不同行業客戶業務場景的需求。此外，若客戶本地IDC的安全防護能力有限，就通過與云端聯動采取一鍵上云的操作，利用云端海量的帶寬、數據、資產信譽、威脅情報實現大型DDoS攻擊防護、未知威脅檢測、0 days漏洞檢測與響應、網絡安全態勢感知和預測等。

特別值得注意的是，京東 JDStack 專有云平臺，在傳統“縱深防護+事后審計”的基礎上，著重對邊界被攻破后的持續安全檢測手段進行了豐富，形成全景安全感知分析能力，使得云內安全可視、可控和快速響應成為現實，為政府數字化轉型保駕護航。

四、服務：從客戶真實需求出發

京東云團隊會從網絡層、系統層、應用層這些技術層面與用戶進行溝通，掌握用戶資產信息，充分理解用戶的安全訴求與意圖，為工作的開展奠定基礎。

在京東云安全專家看來，不同行業的企業用戶有著不同的安全層次和需求，比如：大中型互聯網企業，IT技術能力較強，可能會存在流程不合規的問題。政府機構對安全的重視等級非常高，但是往往缺少安全技術人員，主要依靠第三方建設和運維。針對這樣不同的行業應用現狀，京東云提供不同的解決方案，深耕行業，也是京東云的特色優勢之一。 7*24小時不間斷監控與資產清點，安全專家團隊和產品技術團隊即時響應，給客戶帶來了高品質的體驗。

以雄厚的技術實力為基礎，目前京東云已獲得近20項合規資質，成為業內合規資質最全的云服務商之一。此外，京東云還通過中國信息通信研究院可信云服務認證、公安部頒發的等級保護三級認證、云服務企業信用評級AAA級認證、云計算服務能力標準符合性證書(公有云、私有云)、賽可達東方之星安全認證等。

京東6．18大促即將開始，據京東云安全專家透露，京東云內部也早已開始大練兵，公開演練、模擬攻擊等訓練已成為常態，相信在堅實的技術基礎上，京東云安全必會在6.18交上一份滿意的答卷。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】