现在越来越多的用户选择上云，这不只是对于原来自己搭建服务器或者自建IDC的思路的转变，更是对于云服务提供商的信任。而这种信任，很大程度上是基于云服务提供商对于用户数据安全性和服务稳定性的保障。而如果将这两点比较，安全性则显得更加重要，因为一旦云上的业务数据发生泄漏、篡改等安全事件，无疑会对企业的业务和声誉造成非常恶劣的影响和经济上的损失。

云服务提供商应该承担两方面安全的责任，一是用于提供云服务的硬件基础设施安全，二是云上用户的数据安全。而作为中国用户数量达百万级以上的公共云服务提供商，阿里云又是如何做的呢？

阿里云基础设施的安全
谈到阿里云安全，大家可能或多或少对阿里云的云盾有所了解，但是对于阿里云基础设施的保护，阿里云则有其专门的团队来做这件事情。不过，不是完全和云盾割离开，而是基于云盾的一部分能力去做，比如说抗DDoS攻击的能力，来保护阿里云云平台自身的安全。而且除了专门的团队之外，阿里云还会采购一些第三方安全厂商的产品，整合到阿里云的基础设施中。

云服务提供商最终会向着“安全厂商”转变。因为鉴于客户对云服务商所能提供的安全性的刚性需求，云服务商做安全似乎已经成为了一种必然趋势。而且相比于一些安全厂商虚拟化的产品，如VPN、WAF等这些更加上层甚至偏应用的安全，阿里云则更倾向于做底层安全，比如说攻防、数据库的透明加密等。因为越是靠近基础设施的安全产品，越是会被云服务商所包装和覆盖，也就是说对用户的透明化和不可见。虽然可能其它基础设施安全厂商的产品还在用，但是对于客户的感知来讲，则更多的是阿里云提供这样一个安全的云环境。

对于云上租户的安全，阿里云又是怎么做的？
计算、存储、网络、安全和数据，是阿里云服务的五大核心能力。而这其中，用户安全这部分，则是通过云盾来提供完整的安全解决方案。

云盾，涵盖网络安全、服务器安全、数据安全、业务安全和移动安全着五个安全领域，DDoS高防IP、WAF、主机安全防护（安骑士）、专家服务（安全管家）、证书服务、加密服务，通过加密服务的API，对业务数据实现密文转换和解读）、内容安全（绿网）、反欺诈、移动安全以及态势感知和先知计划等安全产品，并基于威胁情报（包括漏洞、恶意URL、恶意域名、IP信誉库和恶意样本库）这一核心能力，组成其整体安全解决方案。

当然，考虑到使用阿里云的资源和成本，云服务的客户也不希望“把鸡蛋都放到一个篮子里”，因此除了云盾，阿里云也需要搭建自己的云安全市场，组建安全生态圈。

阿里云安全生态圈
现在入驻阿里云云市场的安全市场并有产品正式上线的，有31家安全厂商。这些厂商有像深信服、山石网科、安全狗、云锁这样的传统安全厂商，也有如青藤云安全、思睿嘉德这样的初创企业。除此之外，还有10几家和阿里云有合作关系的安全厂商，其产品暂时还没有在云市场发布。

目前，多家知名安全厂商都已将拳头产品放在阿里云云市场售卖。除了我们在阿里云市场可以看到的一些列安全类公司，还有多家国内外知名安全厂商在与阿里云进行深度接洽合作的可能性。

在遵循数据隐私保护原则的前提下，阿里云还将开放部分全局的安全统计数据与情报给厂商，以帮助厂商更好的改进产品与服务，保护云上用户的安全。云生态平台上各个安全厂商相互独立提供服务。阿里云会综合全局的安全数据以及最新获取的威胁知识和情报，将这些有用的信息反馈给厂商，此举将加强云上厂商对威胁知识与情报的共享，帮助厂商加强应对威胁的检测与防御能力，加快对威胁事件的响应速度。

阿里云以开放的姿态建设云安全生态圈，将实现“三赢”的局面。通过团结更多安全力量，阿里云将进一步提升云平台的安全防御实力，让云上用户有更多安全选择。同时，也推动了传统安全厂商上云，积极拥抱DT时代。

为什么阿里云选择SaaS作为现在云安全市场的主推模式？
安全公司利润往往很低，因为成本大都耗费在销售和售后这两块。而在SaaS环境下，可以通过线上的运营极大降低销售成本。以阿里云为例，现在上万个付费客户，未来可能会超十万、甚至是百万，但几乎没有销售团队。用户只需点击，线上开通、支付后即可使用。升级维护也是非常方便局势，因为根本没有硬件设备。

因此，安全公司在SaaS化服务之后，整个行业的收益、对用户的价值，都要高出很多。而且，这里有个很重要的不同点，就是安全产品的销售原来有很大一部分是关系性主导，包括合规性主导。但当用户通过SaaS选择产品的时候，选择成本会降低很多，这个时候安全产品的“能力”和“体验”就非常关键。

原来安全产品的交互界面都非常难看，缺乏美感，因为盒子不需要美感，通上电应用就好，但是在SaaS服务下则不一样，因为每天用户都要用，这也是行业的一个发展趋势和方向，而阿里云就是要解决这个问题。