安全责任共担
1.1阿里云对云安全的责任是什么?
阿里云负责基础设施(包括跨地域、多可用区部署的数据中心,以及阿里巴巴骨干传输网络)和物理设备(包括计算、存储和网络设备)的物理和硬件安全,并负责运行在飞天分布式云操作系统之上的虚拟化层和云产品层的安全。同时,阿里云负责平台侧的身份和访问控制管理、监控和运营,从而为客户提供高可用和高安全的云服务平台。以阿里云的弹性计算ECS为例,ECS服务的底层物理,硬件,虚拟化等层面的安全能力由阿里云直接提供。有关阿里云保障云平台、云产品的安全性,以及相关安全产品的详细内容请参考《阿里云-安全白皮书》
1.2客户对云安全性的责任是什么?
客户有责任保障云上业务的基础安全和数据安全以达到其公司内部对于数据安全性的要求,可以选择以何种安全的方式配置和使用各种云上产品,并基于这些云产品的安全能力以安全可控的方式构建自己的云上应用和业务,保障其安全。客户可以基于阿里云提供的服务构建自己的云端应用系统,综合运用阿里云产品的安全功能、云盾安全服务以及安全生态提供的第三方安全产品保护自己的业务系统。例如,客户可使用阿里云产品的原生加密能力或云盾加密服务对敏感数据进行加密;使用密钥管理服务(KMS)的托管HSM能力对加密密钥进行妥善管理;开启多因素认证功能以保护阿里云账号认证凭证;使用操作审计服务(ActionTrail)以记录管理控制台操作及OpenAPI调用日志等等。
需要注意的是,如果客户在阿里云上使用的是基础类服务(例如,阿里云提供的云服务器(ECS)),那么相关服务实例完全由客户控制,客户应管理实例并进行安全配置,并应加固租用的云服务器操作系统、升级补丁、配置安全组防火墙进行网络访问控制;但如果客户在阿里云上使用的是非基础类服务(例如,平台类或云原生类等服务),那么客户的安全责任会相应上移,不再需要关心如何维护实例,也不需要关心操作系统的补丁升级、配置加固,只需要管理这些服务的账户及授权,并使用这些服务提供的安全功能。例如,MaxCompute服务为客户提供了不同维度的权限控制能力,客户只需要根据业务需求妥善配置产品中的安全功能即可。
客户数据归属
2.1 谁拥有客户数据(member content)?云服务提供商对客户的数据内容有什么权利?
客户数据(Member content)是指客户使用自己的阿里云帐户提交或上传到阿里云服务的数据内容,这些数据内容在阿里云服务上运行。
客户具有对客户数据(客户数据Member content)的控制、维护和所有权。 客户决定其数据内容的存储位置,控制其数据内容的格式、结构及安全性(包括被屏蔽,匿名或加密)。客户可以选择处理、存储和托管其数据内容的方式,并对阿里云服务访问其数据内容进行管理和控制,例如进行身份访问管理、权限控制和安全凭证管理等。 客户可以在阿里云上控制其数据内容的整个生命周期,并根据自己的特定需求(包括数据内容分类,访问控制,保留和删除)来管理其数据内容。
未经客户同意,阿里云不会访问或使用客户数据。 阿里云绝不会将客户数据或从中获取信息用于营销、广告或任何其他的未经客户授权的目的。
2.2 客户可以如何控制其数据(Member content)?
作为客户,您可以控制您的客户数据(Member content)。
-您控制着您的数据内容在阿里云上的生命周期,包括数据的创建、使用、存储期限及销毁;
-您决定您的数据内容的存储位置,包括存储类型和该存储的地理区域(国际地区及阿里云数据中心);
-您可以决定对数据内容采取何种安全措施。阿里云为客户的静态数据和动态数据提供强大的加密功能,并为客户提供管理加密密钥的工具;
-您可以通过自行控制用户、组、权限及身份验证凭证来管理对数据内容的访问以及对阿里云服务和资源的访问。
客户数据访问
3.1阿里云会访问客户的数据吗?
客户数据(Member content)是指客户使用自己的阿里云帐户提交或上传到阿里云服务的数据内容,这些数据内容在阿里云服务上运行。未经客户同意,阿里云不会访问或使用客户数据。例如客户使用阿里云提供的云服务器(Elastic Computing Service,简称ECS)或阿里云关系型数据库(Relational Database Service,简称RDS),相关服务实例完全由客户控制,客户的数据也完全由客户管理。阿里云不会访问任何的客户数据。
阿里云只有在获得客户许可后才能访问客户数据,以便为客户提供阿里云产品和服务,而阿里云只能在客户允许的范围内访问和使用这些数据。 所有此类访问和使用都将记录并审核。例如,客户在使用智能语音交互(Intelligent Speech Interaction,简称ISI)产品时, ISI 产品仅在得到客户的授权才能访问客户提供的音频数据,提供语音识别、语音合成、自然语言理解等产品服务。
3.2多租户云如何防止未经授权的第三方访问其客户数据(member content)?
客户数据(Member content)是指客户使用自己的阿里云帐户提交或上传到阿里云服务的数据内容,这些数据内容在阿里云服务上运行。
首先,除非获得客户的明确授权,阿里云不会访问或使用客户的数据。客户对其数据的访问进行控制,也对其使用阿里云服务及资源的访问进行管理。
其次,阿里云提供了一系列高级的访问控制、加密和日志记录功能,可帮助您有效地防止第三方非授权访问。例如,用户可以使用其云账号(即主账号)或其云账号下Resource Access Management (RAM)用户的密码登录云服务控制台并对其云上资源进行操作;通过阿里云Access Key (AK) 调用云服务API身份凭证,用于通过API访问阿里云上的资源;也可以通过STS(Security Token Service)管理短期访问资源的凭证;使用MFA认证为用户名和密码额外增加安全保护;对于云上服务来说,在身份认证完成后,使用阿里云的Resource Access Management (RAM)资源访问控制服务,用于用户身份管理与资源访问控制。
另外,客户存储在阿里云上的所有数据均具有强大的租户隔离安全性和控制能力,阿里云提供了一系列先进的数据访问控制解决方案以保障租户间的隔离。例如用户可以使用安全沙箱容器对内存、网络、IO等进行强隔离,从而在单宿主机上更好的其他多租户进行安全隔离;使用专有网络(Virtual Private Cloud,简称VPC),实现数据链路层的隔离,从而构建安全的网络环境;使用实例级别虚拟化防火墙-安全组,划分各个ECS实例安全域;使用云防火墙对南北向和东西向访问的网络流量进行分析,并支持全网流量(互联网访问流量,安全组间流量等)可视化,并支持对主动外联行为的分析和阻断。可通过“阿里云安全白皮书”了解更多的安全解决方案。
数据存储地及跨境传输
4.1客户数据存储在哪里?由谁来负责客户数据存储的合规性?
阿里云数据中心(Regions and Zones)是建立在全球各个地区的集群。 客户可以自行选择一个区域(Region)或数据中心(Zone)存储其数据内容(member content)(完整的数据中心列表请见: https://www.alibabacloud.com/global-locations)。
无论客户将其数据内容存储在哪个区域或数据中心,客户都可以对其进行有效的控制。客户应考虑是否应向相关的个人(数据主体)披露其存储或处理其个人数据的地理位置,并在必要时从相关数据主体处获得必需的同意。
4.2未经我的许可,阿里云会移动我的数据内容吗(member content)? (包括跨境传输)
阿里云仅在客户选择的阿里云区域中存储和处理每个客户的内容,未经客户同意,阿里云不会移动客户的任何数据内容。 如果客户选择将数据内容存储在一个以上的区域中,或者在区域之间复制或移动内容,那完全是客户的选择,并且无论移动和处理的内容是什么,客户都需要考虑适用于此类操作的法律要求。
如果客户需要使用其他地区提供的阿里云服务,则阿里云将采取必要措施,以确保跨境转移符合适用的数据保护法规。例如,阿里云提供了GDPR Addendum,其中包含经欧盟委员会第2010/87 / EU号决定(或任何后续决定)或GDPR第46条提及的标准合同条款,适用于阿里云客户从欧盟向欧洲经济区以外的国家/地区转移包含个人数据的内容。
数据隔离
5.1阿里云是否充分隔离了客户数据(member content)?
客户存储在阿里云上的所有数据均具有强大的租户隔离安全性和控制能力,阿里云提供了一系列先进的数据访问控制解决方案,例如用户可以使用安全沙箱容器对内存、网络、IO等进行强隔离,从而在单宿主机上更好的其他多租户进行安全隔离;使用专有网络(Virtual Private Cloud,简称VPC),实现数据链路层的隔离,从而构建安全的网络环境;使用实例级别虚拟化防火墙-安全组,划分各个ECS实例安全域;使用云防火墙对南北向和东西向访问的网络流量进行分析,并支持全网流量(互联网访问流量,安全组间流量等)可视化,并支持对主动外联行为的分析和阻断。可通过“阿里云安全白皮书”了解更多的安全解决方案。
5.2物理隔离要求的缺点是什么?为什么逻辑隔离比物理隔离更有效?
物理隔离云产品的需求主要来自于客户对于第三方未经授权访问其应用程序及数据内容的担忧。 但是,对于可通过网络或Internet访问的系统,这些系统的物理隔离(例如将它们放置在上锁的笼子或单独的数据中心设施中)不会提高其安全性或增强其访问控制。简而言之,已连接系统的所有访问控制都是通过逻辑访问控制、权限管理、网络流量路由以及加密进行管理的。为保护客户的数据,阿里云为客户提供了逻辑安全功能以及安全控制措施,解决了任何物理隔离问题。 与分区域部署的数据中心相比,由于存储空间利用率较低以及冗余的选择性等问题,物理隔离还将导致较高的运营成本和较低的资源利用率。
客户可以利用一系列的阿里云安全解决方案,以达到物理隔离的同等安全效果。例如通过使用虚拟私有云(VPC)为每个租户创建完全独立的网络域的等效方法,通过使用加密解决方案对静止和传输中的数据进行加密等等。阿里云保障云平台自身安全的详细内容请参考《阿里云-安全白皮书》.