一、云的物理机房
数据的「金钟罩、铁布衫」
云对数据的保护,从这里就开始了。我们来看下,阿里云堪称“森严”的物理防护:
物理中心作为“基建狂魔”的阿里云,在全球24个地域开通了78个可用区,为遍布全球的数据提供多个灵活可掌控的“容身之所”。
安防设备从物理中心的选址、内部分区划分,到火灾报警系统的防误报功能,再到覆盖人员、车辆、仪器、运维管控等等,执行全球最高级别的物理安防制度。
内部管控通过分类分级管控、工单驱动授权、行为数据化分析等建立了内部管控体系,严控内外部任何可能发生的威胁。
维护保障定期进行维护检查,对物理设施、云服务平台进行定期更新,【永不宕机】不是一句口号。
(图:阿里云数据中心安防体系)
二、云平台
收敛数据风险
01
什么叫安全融入基础设施?
不喊口号,从数据保护维度看一下是怎么实现的。
如果说物理机房为云上数据打好了坚硬的地基,那由虚拟化的存储、网络、计算等共同构建的云平台,则是为数据提供居住、传输、计算的场所。
存储:主流的存储类型(例如OSS、文件存储、表格存储等)和数据库服务,阿里云均支持落盘加密,在数据写入的一刻,即保护其安全。
网络:阿里云全球部署的3000余个POP节点,在每个节点中都融入了诸如IP隔离、DNS防护、单节点60000QPS能力以抵御DDoS攻击,此外还有单独的SCDN能力,提供加密网络传输,交织起一张安全的防护网络。
计算:虚拟化ECS实例,既要保证其本身的高可用,也要具备从底层透穿而上的可信环境,让数据在此环境中可以安全地流动,并创造价值。阿里云在可信环境上,基于TPM\VTPM技术,构建了基于芯片的云平台可信链,形成“一级加载一级,一级检查一级”的逻辑链条,为云上数据提供安全可信的处理环境。在机密计算侧,通过虚拟化Enclave技术,在ECS实例内部创建可信隔离空间,实现数据可用不可见,让数据能够高效流动起来,从而产生价值。
(图:阿里云全链路可信环境)
02
容灾备份:数据的“兜底”保障
孤品,应该如何保护?备份,似乎是个不错的选择。数据,道理也是共通的。数据的备份容灾,可以很好地帮其避免丢失、勒索的命运,是安全的“兜底”保障。而云,随用随取的海量弹性资源,简单易用的计算、存储、网络、数据库、大数据服务,让它成为了天然的备份容灾中心。
勒索顽疾,迎刃而解
勒索软件正在成为数据的头号威胁,报告显示,以数据加密为主要攻击手段的勒索软件在2021上半年比去年同期平均增长了93%,受害者在2020年所支付的赎金比2019年增长了171%。
阿里云上,「无处不在」的数据备份让勒索病毒无用武之地。
块存储、文件存储、对象存储、数据库、HBR等等等等,都设计了冗余数据存储机制,可默认/手动开启的多副本冗余存储,例如,OSS存储即采用多可用区(AZ)机制,将客户的数据分散存放在同一地域(Region)的3个可用区内。当某个区不可用时,仍然能够保障数据的正常访问,极大降低数据丢失率。
容灾=永不宕机?
阿里云一直致力于提供“永不宕机”的云服务。全球范围内最高标准的基础设施容灾:对云下数据中心设置电力、温度、灾难等应急预案,哪怕遭遇极端情况,物理中心遭到了断水、断电、火灾,甚至物理破坏,也能在双路备用电源、火灾检测系统等机制下,支持访问服务,并发出维修警报。
极其复杂的容灾体系:针对云基础产品以及存储在云上的数据,阿里云均建立了冗余体系,实现业务数据跨地域、跨可用区部署,构建同城应用双活、异地数据灾备、异地多活和两地三中心等容灾体系。当灾难发生时可实现秒级切换,对于金融、证券等监管部门有明确要求的行业,每年例行进行周期性容灾演练,提供高SLA使用承诺。
周密设计的容灾体系落地的好,是保障永不宕机的基础,才是真正的数据高可用。
(图:阿里云云上容灾体系)
三、云上
数据保护如此天然
云的价值之一,是数据的在线。云被长期质疑的聚焦之一,是数据的安全性。矛盾如此的对立统一。
当真正了解云之后,会发现它对数据的保护是一种天然直觉。数据在云上诞生的那一刻在它一生的旅行中
在一个基于可信硬件的安全云环境里,确保合规基础上,以精密设计的天级的密钥轮转,形成主动自发的行为,构建“天书级”破解难度,保护每一个数据“发光发热”。
(图:数据的上云之旅)
具体到一些细粒度的技术点,比如:数据血缘保证流转时的安全,记录数据之间的复杂链路;敏感数据在存储、使用时加了机器可以看到而肉眼无法识别的盲水印;基于深度神经网络和机器学习的数据识别,以提升数据发现和分类分级的能力;API隐身提升数据访问时的安全...相比起云下,云上各安全产品有统一OpenAPI接口和强大的威胁情报库的加持,可以实现多产品间的联动、全网预警、策略秒级下发等能力。利用这些工具可以提升客户对云上数据的可见度和操作自动化,可见度可以让我们对威胁看的更清楚,自动化可以减少因人为造成的错误,二者结合,可以打造比IDC更安全的云上数据处理流程。
(图:云上数据权限管控体系)
四、打破黑盒,看见信任
在上一段提到的矛盾对立统一中,我们发现割裂的地方之一是:“数据放在云上,怎么保证云厂商不会擅自使用、操作?”
(图:云上数据安全管控体系)
如同银行诞生之初,大家会思考现金攥在自己手里安全,还是交给银行拿回来一张纸更值得信任。
这种信任的构建过程,并不是单纯的技术可以解决的,更需要制度和体系的保障。
阿里云在内部人员操作权限层面,设计了一系列管控制度,推进信任的建立。
01
对内:不可触碰的行为红线?
内部人员访问和权限控制上,阿里云做了两件重要的事情:
其一,统。阿里云内部建立三个统一管理平台。账号统一管理:单个账号发生任何变动,如离职、转岗、业务变动等,权限自动调整并同步。运维统一管理:对所有运维管控类API建立了认证、鉴权及管理机制。统一客户授权管理:保障触碰客户云上资源及数据的操作在发起前强制获得客户显示授权,避免通过口头、聊天等非正式方式进行授权。通过三合一统,掌控所有内部访问、操作情况,并进行统一监管。
其二,控。账号管理:每个账号明确持有者,并遵循最小权限原则,授予员工有限的资源访问权限。行为管理:设置运维操作红线,所有遇到操作客户云上资源、触碰客户的云上业务数据的业务场景,要求提前通过工单、服务单等形式获得客户明确授权,具体到数据库API调用场景,红线禁止绕过已有运维管控流程,做手工API调用。通过管+控,将有限的权利赋予正确的人,保证云上数据免受未经授权的访问。
02
对外透明是提升信任的有效手段
再严格的管控手段,深藏平台之后,对用户而言依旧是一个“黑盒”。
为进一步提升信任,阿里云通过Inner-Action Trail服务将“黑盒”透明化。对用户来说,这是一项永久免费的服务,可以接近实时地自动采集并存储云平台侧操作事件。
基于日志服务输出查询分析、报表,云平台所有用户都可以订阅查看,目前阿里云10款重点产品开放了这项服务,涵盖服务器、存储、数据库、密钥管理等,让数据保护可见、可控。
五、数据隐私两手抓
最合规云平台
数据和隐私常常会被放在一起讨论,但这是两个不同的概念。
在阿里云的定义中:业务数据是客户基于云上应用开展业务所产生的数据,通过云平台提供的服务,加工、存储、上传、下载、分发以及通过其他方式处理的数据。用户数据是客户在使用云服务或产品时,提供给云平台的企业信息、账户信息、联系信息、身份信息、设备信息、日志信息、服务记录等,属于客户隐私。
对于云上的隐私类数据,阿里云同样制定了一套管理体系,保证客户对其所有权和控制权。
首先
包括人、物理、基础设施、访问控制等十几个方面确保数据在云上的安全性。
其次
设置个人信息保护团队,加强人员培训与机制流程制定。
再次
产品规划遵循默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,都必须通过安全+隐私设计的双重评估,确保其合规性。
还有(one more thing)
阿里云通过大量权威机构的认证,证明个人信息保护能力/数据安全保护能力。已获得:ISO/IEC27701:2019ISO/IEC29151:2017ISO/IEC 27018:2014、BS10012:2017在内的关于国际隐私保护标准认证的“全满贯”。
(图:阿里云全球合规认证)
六、明确数据权利和义务
才能践行保护
明确权利和义务,是法律得已践行的基础。数据的保护,同理可证。
在以上所有保障手段之上,阿里云更近一步,明确了用户对不同类型数据的权利与义务,并通过法律法规、资质认证等多种手段保障权利和义务的履行。
阿里云郑重承诺:
客户的数据完全归客户所有。客户对数据拥有控制权,可进行删除、更改等操作。未经许可,阿里云不会接触、操作、更改客户数据。
但同时,也强烈建议所有云上用户,为了自身数据安全,应妥善管理存在云上平台的数据以及进入和管理云平台产品的服务口令、密码等,并正确地配置并使用云上安全工具,保护自身重要数据不泄露。
(图:云上存储介质一生)
来源:阿里云安全
编辑:阿里云研究院内容运营主管 赵子千