《阿里云认证的解析与实战-云计算ACP认证》——云计算ACP训练营第5天——二、阿里云安全（下）

更多精彩内容，欢迎观看：

《阿里云认证的解析与实战-云计算ACP认证》——云计算ACP训练营第5天——二、阿里云安全（上）：

3) 用户数据安全

 

2015年，阿里云发起了中国云计算服务商首个“数据保护倡议”。

 

• 运行在云计算平台上的开发者、公司、政府、社会机构的数据，所有权绝对属于客户，云计算平台不得将这些数据移作它用。

• 平台方有责任和义务，帮助客户保障其数据的机密性、完整性和可用性，防止数据泄露，并满足个人信息保护、等保2.0以及GDPR等合规要求。

 

用户数据安全包括以下三方面：

 

a) 数据保护

 

• 数据分类：自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶/文件对象等不同级别数据信息。通过关键字、规则、机器学习模型算法，精准识别云环境内的敏感数据，实现云上数据基于业务内容的分类以及基于敏感程度的分级。

 

• 数据脱敏：提供Hash、加密、遮盖、替换、洗牌、变换等六大类近30种内置脱敏算法，脱敏后的数据无需改变相应的业务系统逻辑，保留原有数据特征和分布，确保数据的有效性和可用性。

 

• 数据防泄露：加强对数据的权限控制的完整度和数据使用中的监控和检测能力。对云上存储产品和传输产品权限的有效管控，对用户数据的流转和操作过程有全面的监控和检测能力，及时发现数据使用中可能的异常行为。

 

• 数据完整性：在数据传输和存储层面，提供全链路数据校验功能，定期对存储介质中的数据进行完整性扫描，确保数据传输和存储过程中的数据可靠性需求。

 

• 数据高可用：多副本、系统备份、故障热迁移、负载均衡、DDoS防御等多重保护，保证用户在使用数据时的高可用性。

 

 

b) 全链路加密

 

• 传输加密：云产品为用户访问数据提供了SSL/TLS协议来保证数据传输的安全（阿里云控制台、阿里云产品API访问点），网关产品提供传输链路的加密功能（VPN网关、SAG）。

• 存储加密：云产品（EBS、OSS、RDS、OTS、NAS、MaxCompute等）落盘存储加密，统一使用阿里云密钥管理服务KMS进行密钥管理。

• 加密计算：Intel SGX可信执行环境。

• 加密服务：使用经国家密码管理局检测认证的硬件密码机，实现对加密密钥的完全控制和进行加解密操作。

• SSL证书服务：签发第三方知名CA证书颁发机构的SSL证书，实现网站HTTPS化。

 

c) 密钥管理

 

• 托管HSM：支持将密钥托管在硬件安全模块HSM之中，利用HSM进行密码运算和安全托管等功能。

• 自选密钥：通过在支持的云产品中选择自己创建或上传用户主密钥CMK到KMS中，并直接管理自选密钥的生命周期。

• 密钥轮转：KMS支持通过配置的方式对用户主密钥进行自动轮转。自动轮转允许用户主密钥下周期性产生新的密钥版本作为加密密钥。

 

4) 用户应用安全

 

用户在阿里云上构建的应用也需要得到安全保护。阿里云为用户提供了应用环境安全、应用配置安全和应用自身保护的三个维度的安全功能。

 

a) 应用环境安全

 

• 漏洞扫描：自动发现其网站的关联资产，并进行高效精准的自动化漏洞渗透测试和敏感内容监测，形成专业的风险扫描报告，并提出修复建议。

• 代码托管：云效服务提供了存放源代码等内容的Git库，并提供了严格的权限控制机制。

• 代码审计：在云产品安全生命周期（SPLC）中，阿里云的安全专家在各个开发节点中都会严格审核和评估代码的安全性，代码审计服务检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞并提供代码修订措施和建议。

• 安全加固：在获得客户授权委托的情况下，远程登录到客户的业务系统服务器上，根据用户的资产情况和安全需求，对其外网或内网主机进行全方位的基线加固和组件升级。

 

b) 应用配置安全

 

• ACM配置加密：利用ACM，用户可以在微服务、DevOps、大数据等场景下极大减轻配置管理的工作量，并增强配置管理的服务能力。ACM提供了创建加密配置的功能，降低用户配置的泄露风险。

 

c) 应用保护

 

• WAF：基于云安全大数据和智能计算能力，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见web攻击，过滤海量恶意访问，避免网站资产数据泄露；AI深度学习在降低误报率的同时有效地提高了检出率；基于用户业务访问端上的模型收集和大数据分析能力准实时处理高危请求；提供自动报警和全局响应规则的同步下发和升级功能。

 

5) 用户业务安全

 

对于用户的不同业务场景，阿里云也提供了相对应的安全能力。在业务安全层面，阿里云为用户提供了身份认证、内容检测和业务风控的三个维度的安全功能。

 

a) 身份验证

 

• 实人认证：依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进行的自然人真实身份的核验服务。

 

b) 内容检测

 

• 内容安全：基于深度学习技术及阿里巴巴多年的海量数据支撑，内容安全服务提供图片、视频，文字等多媒体的内容风险智能识别服务，帮助用户降低色情、暴恐、涉政等违规风险，大幅度降低人工审核成本。

 

 

c) 业务风控

 

• 风险识别：基于大数据、机器学习算法、流式计算等阿里巴巴的业务风控最佳实践，为用户提供从API服务、到决策引擎平台的一站式智能风控解决方案，解决企业类客户在用户注册、运营活动、交易、信贷审核等关键业务中面临的欺诈问题。

 

• 爬虫风险管理：有效降低和解决外部恶意自动化工具对用户网站的业务影响，主要防护场景包括航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分等。提供对Web网页端/H5页面/APP/API全方位防护，并通过云端共享海量的威胁情报做到对爬虫类攻击的快速响应。

 

• 游戏盾：对大流量DDoS攻击（T级别）进行有效防御外，还彻底解决游戏行业特有的TCP协议资源耗尽型攻击（L4-CC攻击）问题能力。

 

6) 用户账户安全

 

在整体的云上安全架构中，用户的账户安全涵盖了所有层面。

 

• 云上用户的账户安全主要体现在五个方面，包括身份认证（Authentication）、访问授权（Authorization）、账号管理（Account）、操作审计（Audit）和应用管理（Application），即账户安全中的5A要素。

• 一个云服务或云产品可能提供了5A中的多个维度能力。

 

用户账户安全包括以下四个方面：

 

a) 身份认证

 

通过凭证信息认证用户的真实身份，通常指通过登录密码或访问密钥AK来进行认证。

 

• 账号密码认证：使用主账号或RAM用户的密码登录阿里云控制台并对云上资源进行操作。

• Access Key（AK）认证：Access Key（AK）是用户调用云服务API的身份凭证，用于在用户通过API访问阿里云资源时对用户身份进行认证。AK ID用于标识用户，AK Secret用来验证用户身份的合法性。不建议用户为其云账号（即主账号）创建AK凭证。

• STS认证：为RAM用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证。

• MFA认证：在用户名和密码之外再额外增加一层安全保护。启用MFA后，用户登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自其MFA设备的可变验证码（第二安全要素），支持基于软件的虚拟MFA设备。

• SSO认证：支持基于SAML2.0的单点登录，支持使用企业自有身份系统的登录服务登录访问阿里云。

• SSH密钥对：将公钥配置在Linux实例中，在本地或者另外一个实例中，可以使用私钥通过SSH命令或相关工具登录之前有公钥配置的实例，而不需要输入密码。

 

b) 账号管理和访问授权

 

• 阿里云账号和RAM：用户管理与资源访问权限控制服务，RAM使得一个阿里主账号可拥有多个独立的子用户（RAM用户）。

• RAM用户：云账号下为企业员工、系统或应用程序创建独立的RAM用户账号。

• RAM角色：解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移动App颁发临时授权令牌、进行角色SSO登录等场景。

• 资源目录（Resource Directory）：面向企业客户提供的一套基于多账号的分级管理服务。

 

c) 操作审计

 

• ActionTrail：提供统一的云资源操作日志管理，记录云账号下的用户登录及资源访问操作。

• 堡垒机：集中运维身份鉴别、账号管控、系统操作审计等多种功能，基于协议正向代理实现。

 

d) 应用管理

 

• 应用身份服务：集中式身份管理服务，提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统，实现一个账号打通所有应用服务。

 

7) 用户安全监控和运营

 

让阿里云的安全监控和运营能力输出到用户的业务层面。

 

• 用户需要云平台为其提供相应的安全监控和运营能力，使得用户可以做到感知安全态势，监控其云资源的配置安全正确性，对云上日志进行完整的监控。

• 在适宜的情况下针对客户整体业务环境的进行安全测试、响应和咨询服务。

 

用户安全监控和运营包括以下五方面：

 

a) 威胁检测和响应

 

• 云安全中心：实时识别分析、预警安全威胁的统一安全管理系统，基于威胁情报的威胁检测能力，实现威胁检测、响应、溯源的自动化安全运营闭环。

• 应急响应：帮助用户正确应对黑客入侵事件，清理木马后门、分析入侵原因，降低安全事件带来的损失，并帮助客户快速恢复业务。

 

b) 配置检查

 

• 配置审计：面向云上资源的审计服务，为用户提供跨区域的资源清单和检索能力，记录资源的历史配置快照，形成配置时间线。

• 云安全中心：对主机进行安全配置扫描，包括账号安全、系统配置数据库风险、合规对标要求等方面。对云平台配置检查，包括身份认证、网络访问控制、数据安全、日志审计、基础安全防护五个维度的最佳安全配置实践检测。

 

c) 日志审计

 

• 日志监控：日志服务产品提供了各个云产品日志的实时采集和消费，查询和实时分析，以及投递数据仓库、三方SIEM的全栈功能，可以使用户对不同的日志实时进行监控和审计。

• 平台侧操作日志透明化：部分云产品（如OSS）对用户提供了平台侧的内部操作透明化能力，让阿里云的相关内部操作事件对用户可见透明，使得用户可以对云平台内部操作事件也可以进行审计监控等操作。

 

 

d) 安全测试

 

• 渗透测试：以攻击者思维，模拟黑客对业务系统进行全面深入安全测试，帮助企业用户挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于黑客发现安全风险。

• 安全众测：借助三方白帽子和阿里巴巴应急中心安全专家资源和能力，为企业客户提供私密的安全众测服务，可帮助企业全面发现业务漏洞及风险，按效果付费。

 

e) 安全咨询

 

• 安全管家：安全代为托管服务，为企业客户提供定制的安全防护策略优化、重大活动保障、人工值守等评估和咨询服务，并为客户业务环境进行实时监控检测、加固指导、漏洞管理、应急响应等全方位安全保障工作。

• 等保咨询：联合阿里云在各地的等保咨询合作机构，提供等保2.0测评的专业咨询，帮助客户更快地完成等保整改和测评工作。

• PCI-DSS合规咨询：联合产业内有完整PCI资质的合作伙伴，提供咨询指导、弱点扫描、安全评估等PCI-DSS合规咨询服务。