点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
点击链接下载查看上文👉:带你读《阿里云安全白皮书》(七)——云上安全重要支柱
安全流程:产品全生命周期
2 设计环节
安全团队会在设计环节介入,辅助产品线完成安全架构的设计与评审工作。对产品的部署架构、 网络架构、应用架构、接口交互逻辑和租户隔离架构进行完整的威胁建模,事前识别出产品的安 全风险,并给出针对性整改建议。
安全是阿里云的生命线。因此在产品管理流程中,安全团队具备产品设计方案的一票否决权,并 将安全审核作为产品上线的关键卡点,从而保障安全要求的落地。
阿里云产品的架构评审完成率均达 100%,威胁建模标准库中累积数百条风险判断规则,以全面 发现各场景、各层级下的安全隐患。
针对云计算的特殊场景,阿里云重点关注租户隔离方面的风险治理,在不同层级实施了不同强度 的加固措施。
针对云场景下的租户隔离问题,阿里云在虚拟化层、网络层、网关层、应用层、主机层架设了不 同层面的纵深防御体系,在假设单层防御失效的情况下设计整体防御方案。
在虚拟化层,阿里云自研了 ECS 沙箱隔离、袋鼠安全容器技术,从架构角度 解决云上资源共享及调度带来的租户隔离影响,并在容器集群内统一配置严格 的 NetworkPolicy、WebHook 拦截能力,拦截集群内的异常访问请求。
在网络层,阿里云在不同类型业务间、不同产品间严格使用 VPC 进行默认隔离 架构设计。对于核心生产网,额外实施内网 L4 层零信任隔离,具备机器、IP、 端口粒度的动态隔离阻断能力 ; 对于容器环境,使用自研的 SideCar 能力,对网 络流量进行清洗和隔离 ; 对于网络通道,在各类计算资源与公网资源之间,实行“非 必要不互通”的策略,加大外部攻击者通过 C2 通道控制计算资源的成本。
在网关层,阿里云实施动态智能的流控策略,避免 A 客户的异常操作影响到 B 客户,并支持业务在网关层配置接口鉴权,避免因内部研发过失导致客户间 越权访问资源及数据。
在应用层,阿里云除了通过产品安全研发全生命周期管控,最大化规避研发编 码失误导致租户隔离被突破以外,还针对 0day 漏洞导致租户隔离被攻破的场 景,提前部署了 Web 应用防火墙、运行时应用自我保护 RASP 工具,使应 用具备应对 0day 漏洞的默认免疫力。
在主机层,阿里云通过自研工具安骑士,实时监控和响应主机上的异常行为, 并及时处置。
不同层级的安全架构设计,共同组成了阿里云的纵深防御体系。阿里云的安全防护不仅仅依赖于 单层的防御机制,而是永远在“单层防御已被攻破”的假设下,设计更深的防御机制。阿里云也 基于“零信任”的理念,结合自身与顶级黑客团队的对抗经验,实施建设了一体化的零信任安全 架构,这一架构的细节,将在 1.2 中详细阐述。
