Elastic Compute Service的雲上安全性是阿里雲和客戶的共同責任。本文介紹Elastic Compute Service(Elastic Compute Service)與客戶在安全性方面各自應該承擔的責任。
雲上安全的重要性
隨著互連網的快速發展,在過去幾十年,我國持續不斷地完善並推出了兩百多部網路與資料安全相關的法律法規,包括網路安全治理的國家基本法《網路安全法》、資料安全的國家基本法《資料安全法》等,對企業的業務安全和資料安全都提出了嚴格的要求與規範。同時,隨著雲端運算應用的日益普及,客戶不再僅僅考慮如何上雲,而更關注如何在雲上持續安全地進行業務營運,既保障自身業務本身的安全性,又保障業務所服務的使用者的資訊安全。由此可見,雲上的安全合規越來越受到企業的重視。
雲上安全通常指的是通過採取一系列策略、控制手段和技術手段,確保基礎設施、資料存放區、資料訪問和應用本身的安全性,保障雲上業務免受內部和外部安全威脅的影響。雲上業務的安全合規構建是阿里雲和客戶的共同責任,雲上客戶必須瞭解雲上業務所涉及的風險,並主動設計和實現充分的安全控制,這樣可以減輕營運負擔,並減少可能因安全事件造成的資產損失。
ECS的安全責任共擔模型
Elastic Compute Service是阿里雲提供的IaaS(Infrastructure as a Service)服務。Elastic Compute Service上的安全性需要阿里雲和客戶共同承擔,雙方的責任邊界如下:
阿里雲負責“雲本身”的安全性:阿里雲負責保障ECS啟動並執行底層基礎設施與服務的安全性,包括運行ECS的物理硬體裝置、軟體服務、網路裝置和管理控制服務等。
客戶負責“雲上”的安全性:客戶負責保障ECS內的安全性,包括客戶需要及時進行作業系統升級和補丁更新、確保ECS內啟動並執行應用軟體或工具的安全性、以安全的方式配置和訪問ECS本身及其上面的服務(比如遵循安全原則進行ECS的網路等參數配置、遵循許可權最小化原則配置ECS的系統管理權限等),以及ECS上資料和流量的安全。這些ECS上的安全性管理與配置是客戶在履行安全責任時必須完成的工作。
ECS的安全責任共擔模型概覽圖如下所示。
阿里雲的責任:保障雲本身的安全性
阿里雲主要從以下四個層面來保障雲本身的安全性,自底向上分別為:
資料中心安全:阿里雲的資料中心建設滿足GB 50174《電子資訊機房設計規範》A類和TIA 942《資料中心機房通訊基礎設施標準》中的T3+標準。
機房容災:火災和煙霧感應器檢測、雙路市電電源和冗餘的電源系統、熱備冗餘模式的精密空調保持恒溫恒濕。
人員管理:機房包間、測電地區、庫房間分離的門禁身份指紋等雙因素認證,特定地區採用鐵籠進行物理隔離,嚴謹的帳號管理、身份認證、授權管理、職責分離、訪問管理。
營運審計:機房各地區設有安防監控系統,生產系統只能通過Bastionhost進行營運操作,所有操作記錄會被完整地記錄在日誌中,並儲存在日誌平台。
物理基礎設施安全:物理基礎設施包括物理伺服器、網路裝置、存放裝置等。物理基礎設施的安全主要依賴雲資料中心本身的安全,同時還會針對公用雲端的服務模式提供額外的安全保障,包括:
資料銷毀:參考NIST SP800-88的安全擦除標準建立了儲存介質資料安全擦除的機制,在終止客戶雲端服務時,及時刪除資料資產,嚴格執行對儲存介質上的資料進行多次清除以完成資料銷毀。
存放裝置資產管理:資產管理精細到以儲存組件為最小單位,並分配有唯一的硬體裝置識別資訊以精準定位到該儲存介質或包含儲存介質的最小單元裝置。儲存介質在未按標準安全擦除或物理銷毀的情況下,不允許離開機房或安全控制地區。
網路隔離:生產網路與非生產網路進行了安全隔離,通過網路ACL確保雲端服務網路無法訪問物理網路,並在生產網路邊界部署了Bastionhost,辦公網內的營運人員只能通過Bastionhost使用域帳號密碼加動態口令方式進行多因素認證進入生產網進行營運管理。
虛擬化系統安全:虛擬化技術是雲端運算的主要技術支撐,通過計算虛擬化、儲存虛擬化、網路虛擬化實現雲端運算環境下的多租戶資源隔離。阿里雲的虛擬化安全技術主要包括租戶隔離、安全強化、逃逸檢測修複、補丁熱修複、資料擦除等五大基礎安全部分,以保障阿里雲虛擬化層的安全。
熱補丁修複:虛擬化平台支援熱補丁修複技術,修複過程不需要使用者重啟系統,不影響使用者的業務。
資料擦除:執行個體伺服器釋放後,其原有的儲存介質將會被可靠地執行資料擦除操作,以保障使用者資料的安全。
租戶隔離:基於硬體虛擬化技術將多個計算節點的虛擬機器在系統層面進行隔離,租戶不能訪問彼此未授權的系統資源。
計算隔離:管理系統與客戶虛擬機器,以及客戶虛擬機器之間相互隔離。
網路隔離:每個虛擬網路與其他網路之間相互隔離。
儲存隔離:計算與儲存分離,虛擬機器只能訪問分配好的物理磁碟空間。
安全強化:虛擬化管理程式和宿主機OS/核心層級進行相應的安全強化,並且虛擬化軟體必須編譯和運行在一個可信的執行環境中,以保障整個鏈路的安全性。
逃逸檢測修複:通過使用進階虛擬機器布局演算法以防止惡意使用者的虛擬機器運行在特定物理機上,虛擬機器無法主動探測自身所處的物理主機環境,並且會對虛擬機器異常行為進行檢測,發現漏洞後進行熱補丁修複。
雲端服務平台的安全:雲平台主要提供雲上帳號的管理能力和雲端服務的訪問服務,包括但不限於雲平台主子帳號管理、登入的多因素認證機制、細粒度的訪問授權能力,以及通過安全方式訪問雲平台的服務等。
客戶的責任:保障ECS上的安全性
客戶需要對ECS上的安全性負責,包括及時更新ECS作業系統的系統補丁提升系統安全性,為ECS執行個體設定合適的安全性群組規則避免非法訪問,通過資料加密保障ECS上的資料安全等。
為了進一步降低客戶進行安全配置的門檻,阿里雲提供了一系列安全管理與組態工具,使用者可以根據業務需要,選擇合適的工具進行配置,保障ECS上的業務安全性。具體說明如下: