Elastic Compute Service的雲上安全性是阿里雲和客戶的共同責任。本文介紹Elastic Compute Service(Elastic Compute Service)與客戶在安全性方面各自應該承擔的責任。
雲上安全的重要性
隨著互連網的快速發展,在過去幾十年,我國持續不斷地完善並推出了兩百多部網路與資料安全相關的法律法規,包括網路安全治理的國家基本法《網路安全法》、資料安全的國家基本法《資料安全法》等,對企業的業務安全和資料安全都提出了嚴格的要求與規範。同時,隨著雲端運算應用的日益普及,客戶不再僅僅考慮如何上雲,而更關注如何在雲上持續安全地進行業務營運,既保障自身業務本身的安全性,又保障業務所服務的使用者的資訊安全。由此可見,雲上的安全合規越來越受到企業的重視。
雲上安全通常指的是通過採取一系列策略、控制手段和技術手段,確保基礎設施、資料存放區、資料訪問和應用本身的安全性,保障雲上業務免受內部和外部安全威脅的影響。雲上業務的安全合規構建是阿里雲和客戶的共同責任,雲上客戶必須瞭解雲上業務所涉及的風險,並主動設計和實現充分的安全控制,這樣可以減輕營運負擔,並減少可能因安全事件造成的資產損失。
ECS的安全責任共擔模型
Elastic Compute Service是阿里雲提供的IaaS(Infrastructure as a Service)服務。Elastic Compute Service上的安全性需要阿里雲和客戶共同承擔,雙方的責任邊界如下:
阿里雲負責“雲本身”的安全性:阿里雲負責保障ECS啟動並執行底層基礎設施與服務的安全性,包括運行ECS的物理硬體裝置、軟體服務、網路裝置和管理控制服務等。
客戶負責“雲上”的安全性:客戶負責保障ECS內的安全性,包括客戶需要及時進行作業系統升級和補丁更新、確保ECS內啟動並執行應用軟體或工具的安全性、以安全的方式配置和訪問ECS本身及其上面的服務(比如遵循安全原則進行ECS的網路等參數配置、遵循許可權最小化原則配置ECS的系統管理權限等),以及ECS上資料和流量的安全。這些ECS上的安全性管理與配置是客戶在履行安全責任時必須完成的工作。
ECS的安全責任共擔模型概覽圖如下所示。
阿里雲的責任:保障雲本身的安全性
阿里雲主要從以下四個層面來保障雲本身的安全性,自底向上分別為:
資料中心安全:阿里雲的資料中心建設滿足GB 50174《電子資訊機房設計規範》A類和TIA 942《資料中心機房通訊基礎設施標準》中的T3+標準。
機房容災:火災和煙霧感應器檢測、雙路市電電源和冗餘的電源系統、熱備冗餘模式的精密空調保持恒溫恒濕。
人員管理:機房包間、測電地區、庫房間分離的門禁身份指紋等雙因素認證,特定地區採用鐵籠進行物理隔離,嚴謹的帳號管理、身份認證、授權管理、職責分離、訪問管理。
營運審計:機房各地區設有安防監控系統,生產系統只能通過Bastionhost進行營運操作,所有操作記錄會被完整地記錄在日誌中,並儲存在日誌平台。
物理基礎設施安全:物理基礎設施包括物理伺服器、網路裝置、存放裝置等。物理基礎設施的安全主要依賴雲資料中心本身的安全,同時還會針對公用雲端的服務模式提供額外的安全保障,包括:
資料銷毀:參考NIST SP800-88的安全擦除標準建立了儲存介質資料安全擦除的機制,在終止客戶雲端服務時,及時刪除資料資產,嚴格執行對儲存介質上的資料進行多次清除以完成資料銷毀。
存放裝置資產管理:資產管理精細到以儲存組件為最小單位,並分配有唯一的硬體裝置識別資訊以精準定位到該儲存介質或包含儲存介質的最小單元裝置。儲存介質在未按標準安全擦除或物理銷毀的情況下,不允許離開機房或安全控制地區。
網路隔離:生產網路與非生產網路進行了安全隔離,通過網路ACL確保雲端服務網路無法訪問物理網路,並在生產網路邊界部署了Bastionhost,辦公網內的營運人員只能通過Bastionhost使用域帳號密碼加動態口令方式進行多因素認證進入生產網進行營運管理。
虛擬化系統安全:虛擬化技術是雲端運算的主要技術支撐,通過計算虛擬化、儲存虛擬化、網路虛擬化實現雲端運算環境下的多租戶資源隔離。阿里雲的虛擬化安全技術主要包括租戶隔離、安全強化、逃逸檢測修複、補丁熱修複、資料擦除等五大基礎安全部分,以保障阿里雲虛擬化層的安全。
熱補丁修複:虛擬化平台支援熱補丁修複技術,修複過程不需要使用者重啟系統,不影響使用者的業務。
資料擦除:執行個體伺服器釋放後,其原有的儲存介質將會被可靠地執行資料擦除操作,以保障使用者資料的安全。
租戶隔離:基於硬體虛擬化技術將多個計算節點的虛擬機器在系統層面進行隔離,租戶不能訪問彼此未授權的系統資源。
計算隔離:管理系統與客戶虛擬機器,以及客戶虛擬機器之間相互隔離。
網路隔離:每個虛擬網路與其他網路之間相互隔離。
儲存隔離:計算與儲存分離,虛擬機器只能訪問分配好的物理磁碟空間。
安全強化:虛擬化管理程式和宿主機OS/核心層級進行相應的安全強化,並且虛擬化軟體必須編譯和運行在一個可信的執行環境中,以保障整個鏈路的安全性。
逃逸檢測修複:通過使用進階虛擬機器布局演算法以防止惡意使用者的虛擬機器運行在特定物理機上,虛擬機器無法主動探測自身所處的物理主機環境,並且會對虛擬機器異常行為進行檢測,發現漏洞後進行熱補丁修複。
雲端服務平台的安全:雲平台主要提供雲上帳號的管理能力和雲端服務的訪問服務,包括但不限於雲平台主子帳號管理、登入的多因素認證機制、細粒度的訪問授權能力,以及通過安全方式訪問雲平台的服務等。
客戶的責任:保障ECS上的安全性
客戶需要對ECS上的安全性負責,包括及時更新ECS作業系統的系統補丁提升系統安全性,為ECS執行個體設定合適的安全性群組規則避免非法訪問,通過資料加密保障ECS上的資料安全等。
為了進一步降低客戶進行安全配置的門檻,阿里雲提供了一系列安全管理與組態工具,使用者可以根據業務需要,選擇合適的工具進行配置,保障ECS上的業務安全性。
阿里雲提供的產品 | 產品簡介 | 產品文檔 |
作業系統安全 | ||
可信計算 | 可信執行個體底層物理伺服器搭載可信平台模組TPM(Trusted Platform Module)/可信密碼模組TCM(Trusted Cryptography Module)作為硬體可信根TCB(Trusted Computing Base),實現伺服器的可信啟動,確保零篡改。在虛擬化層面,支援虛擬可信能力vTPM,提供執行個體啟動過程核心組件的校正能力。 | |
機密計算 | 機密計算是指通過CPU硬體加密及隔離能力,提供可信執行環境,保護資料不受未授權第三方的修改。此外,您還可以通過遠程證明等方式驗證雲平台、執行個體是否處於預期的安全狀態。 | |
Security Center | Security Center提供雲上資產管理、配置核查、主動防禦、安全強化、雲產品配置評估和安全可視化等核心能力,同時結合雲上海量日誌、分析模型和超強算力,構建了雲上強大的安全Security Center的綜合能力平台,可有效發現和阻止病毒傳播、駭客攻擊、勒索加密、漏洞利用、AK泄露、挖礦等風險事件,協助客戶實現一體化、自動化的安全營運閉環,保護多雲環境下的主機、容器、虛擬機器等工作負載的安全,同時滿足監管合規要求。 | |
ECS身份與訪問安全 | ||
SSH金鑰組 | SSH金鑰組,簡稱金鑰組,是一種安全便捷的登入認證雲端服務器的方式,由公開金鑰和私密金鑰組成,僅支援Linux執行個體。將公開金鑰配置在Linux執行個體中,在本地或者另外一台執行個體中,就可以使用私密金鑰通過SSH命令或相關工具登入目標執行個體,便於遠程登入大量Linux執行個體,方便管理。 | |
會話管理 | 會話管理(Session Manager)是由阿里雲的雲助手提供的功能,客戶在無需開啟ECS執行個體入方向連接埠的情況下,利用會話管理用戶端實現執行個體的免密安全登入。會話管理用戶端與雲助手進行通訊時,會通過WSS(Web Socket Secure)協議建立WebSocket長串連,WSS使用SSL(Secure Socket Layer)加密WebSocket長串連,可以保障全鏈路資料的安全。 | |
安全性群組 | 安全性群組是一種虛擬防火牆,用於控制安全性群組內ECS執行個體的入流量和出流量,從而提高ECS執行個體的安全性。安全性群組具備狀態監測和資料包過濾能力,客戶可以基於安全性群組的特性和安全性群組規則的配置在雲端劃分安全域。 | |
存取控制RAM | 存取控制RAM(Resource Access Management)用於為人員、雲端服務等指定身份並基於身份授予資源存取權限,從而控制對阿里雲資源的訪問。客戶可以使用RAM建立並管理子使用者和使用者組,並通過許可權管理,管控他們對雲資源的訪問。 | |
Bastionhost | 營運資訊安全中心(Bastionhost)是阿里雲提供的營運和安全審計管控平台,可集中管理營運許可權,全程管控操作行為,即時還原營運情境,保障營運行為身份可鑒別、許可權可管控、操作可審計,解決資產管理困難、營運職責許可權不清晰以及營運事件難追溯等問題, 助力企業滿足等保合規需求。 | |
網路安全 | ||
Virtual Private Cloud | Virtual Private Cloud(Virtual Private Cloud)是客戶基於阿里雲構建的一個隔離的網路環境,專用網路之間邏輯上徹底隔離。專用網路由邏輯網路裝置(如虛擬路由器,虛擬交換器)組成,可以通過專線/VPN等串連方式與傳統資料中心組成一個按需定製的網路環境。 | |
網路ACL | 網路ACL(Network Access Control List)是Virtual Private Cloud中的網路存取控制功能。客戶可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中Elastic Compute Service執行個體流量的存取控制。 | |
應用安全 | ||
Cloud Firewall | Cloud Firewall是一款雲平台SaaS(Software as a Service)化的防火牆,可針對客戶雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控,是客戶業務上雲的第一道網路防線。互連網邊界、主機邊界防火牆和VPC邊界防火牆配合使用,可以精細化地管控資料訪問行為,同時也組成了互連網邊界-虛擬網路邊界-主機邊界三層縱深防禦體系。 | |
Web Application Firewall | Web Application FirewallWAF(Web Application Firewall)對網站或者App的業務流量進行惡意特徵識別及防護,在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。 | |
DDos防護 | DDoS原生防護直接為阿里雲公網IP資產提升DDoS攻擊防禦能力,主要提供針對三層和四層流量型攻擊的防禦服務。當流量超出DDoS原生防護的預設清洗閾值後,自動觸發流量清洗,實現DDoS攻擊防護。 DDoS原生防護採用被動清洗方式為主、主動壓製為輔的方式,針對DDoS攻擊在反向探測、黑白名單、報文合規等標準技術的基礎上,在攻擊持續狀態下,保證被防護雲產品仍可以正常對外提供商務服務。DDoS原生防護通過在阿里雲機房出口處建設DDoS攻擊檢測及清洗系統,採用旁路部署方式。阿里雲DDoS原生防護可在較小接入成本的情況下提升DDoS防護能力,降低DDoS攻擊對業務帶來的潛在風險。 | |
VPN網關 | VPN網關是一款網路連接服務,通過建立加密隧道的方式實現企業本機資料中心、企業辦公網路、互連網用戶端與阿里雲Virtual Private Cloud之間安全可靠的私網串連。 | |
數位憑證管理服務 | 阿里雲SSL認證,是經WebTrust認證的知名CA(Certificate Authority)機構頒發給網站的可信憑證,具有網站身分識別驗證和加密傳輸雙重功能。 數位憑證管理服務(Certificate Management Service)是阿里雲提供的憑證發行和管理平台,為您提供一站式的SSL認證全生命週期管理、私人認證管理、私人認證應用倉庫等服務,協助您實現不同情境下認證的部署與管理。 | |
資料安全 | ||
快照服務 | 阿里雲快照服務是一種無代理的資料備份方式,可以為所有類型的雲端硬碟建立崩潰一致性快照,用於備份或者恢複整個雲端硬碟。它是一種便捷高效的資料容災手段,常用於資料備份、製作鏡像、應用容災等。 | |
加密雲端硬碟 | 使用加密雲端硬碟,您無需構建、維護和保護自己的密鑰管理基礎設施,即可保護資料的隱私性和自主性,為業務資料提供安全邊界。ECS執行個體的系統硬碟和資料盤均可被加密。 | |
Key Management Service(KMS) | 阿里雲密鑰管理系統KMS(Key Management Service)是一款安全管理類產品,可保護認證密鑰的資料安全性、完整性和可用性,滿足您多應用、多業務的密鑰管理需求,同時符合監管和等保合規要求。 Key Management Service是您的一站式密鑰管理和資料加密服務平台,提供簡單、可靠、安全、合規的資料加密保護能力。KMS協助您降低在密碼基礎設施和資料加解密產品上的採購、營運、研發開銷,以便您只需關注業務本身。 | |
安全審計 | ||
Action TrailActionTrail | Action Trail(ActionTrail)協助客戶監控並記錄阿里雲帳號的活動,包括通過阿里雲控制台、OpenAPI、開發人員工具對雲上產品和服務的訪問和使用行為。客戶可以將這些行為事件下載或儲存到Log ServiceSLS或Object Storage Service,然後進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。 | |
雲身份服務IDaaS | 雲身份服務IDaaS(Alibaba Cloud Identity as a Service)是阿里雲為企業使用者提供的雲原生的、經濟的、便捷的、標準的身份、許可權管理體系。對管理者而言,IDaaS提供一站式組織架構、賬戶全生命週期管理、應用接入實現單點登入(SSO),並控制帳號所具備的許可權等能力。對客戶而言,IDaaS提供應用訪問門戶、獨立登入體系、帳號自服務能力。 | |