点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
点击链接下载查看上文👉:带你读《阿里云安全白皮书》(十九)——云上安全重要支柱(13)
全链路身份管控与精细化授权
3 企业多账号管理
当云上企业使用单账号承载云上资源时,企业内不同业务之间难以实现强隔离,且人员和权限管 理复杂度极高。所以,企业通常会为每个独立的业务单元申请独立的云账号,实现安全隔离。
对于持有大量云账号的中大型组织,阿里云提供了资源目录(Resource Directory)产品,支 持企业管理员将企业的众多账号按业务的层级结构有序地组织起来,形成组织的资源结构目录, 进而以组织视角集中管理身份权限、安全、合规、策略等资源,满足企业资源在安全、审计及合 规方面的管控需要。通过资源目录产品,企业可以利用账号作为逻辑边界提升资源安全状态,更 清晰地管理用户对不同环境的访问权限。
“如何保障众多云账号遵守公司的安全合规基线? ”是众多中大型组织云上资 源管控的痛点。为了支持中大型客户解决此类痛点,阿里云基于资源目录产品 提供了 Control Policy,可限制多云账号内的权限边界,以确保企业安全基线 与合规性。
Control Policy 并不执行权限的授予,而是在整个组织树下,规划约定权限限 制。即使云账号管理员为某个子用户分配了敏感的权限,该子用户由于受到资 源目录管控策略的限制,也仍无法进行危险的操作。
举例来说,当安全合规管控团队希望禁止访问者与 OSS 产品间进行明文交互, 要求强制使用 TLS 链路加密时,可以通过 Control Policy 进行限制。
Control Policy 还支持其它类似的场景,如禁止 ECS 开放公网、强制加密存 储、禁止修改 ECS 镜像分享权限、禁止关闭 ActionTrail 日志审计。企业可 以基于 Control Policy 的能力,用 RAM 的语法灵活地设置企业权限基线, 以满足企业安全与合规管控需要。
4 身份关联与映射
企业内部由于内部管理需要,或考虑到云下历史架构,可能需要保留其它身份与权限管理体系, 或建设专属企业内部的身份与权限管理体系,如传统的 Windows 域身份权限体系。企业自有身 份体系与云上身份权限体系的映射,通过自有身份体系实现单点登录,以此来保障企业身份、权 限系统的简洁性,同时降低密码泄露风险。
阿里云支持云上身份与企业内部身份权限管理机制关联,员工无需持有云上用 户身份的登录密码,直接通过内部身份权限管理机制就能免密登录到云上控制 台,这一关联机制能够有效控制多套账号密码管理混乱所导致的安全隐患。同 时也可以更高效地解决员工转岗、离职所带来的云上账号转交及注销,大大降 低了企业身份权限管理的复杂度。
单点登录(SSO)是一种身份验证解决方案,可让用户通过一次性用户身份 验证登录多个应用程序和网站。SSO 是云上身份与企业自建身份权限体系互 联的基本能力,基于标准的 SAML2.0 或 OIDC 身份协议,可以支持对接企 业自建 IdP(身份提供商) ,使用户在通过企业内部账号认证后,就可以直接 登录到云控制台的某个 RAM 用户或 RAM 角色身份。
如上一章节所述,中大型企业往往需要持有大量的云账号,这些云账号可以通 过资源目录产品来进行统一管理。对于身份关联工作,阿里云基于资源目录产 品,提供了云 SSO 能力,能够将企业中所有的身份在云 SSO 中进行统一的 管理,支持多账号的 SSO 分配与管理,通过配置模版能力,能够大大加速配 置速度,控制配置成本。
通过上述一系列工具及能力,可以将云上身份与企业自建身份体系打通,便于 企业级大规模身份与权限管理,帮助企业保护云上资源的安全。
安全防护能力高效弹性可扩展
面对日益严峻的攻防态势和日益复杂化的系统架构,企业需要实施多方位的安全防护,如在网络 层到应用层需要配置 DDoS 防护、云防火墙、WAF、RASP 等安全产品,如果这些安全防护能 力完全由客户自建,将会产生大量的资源投入成本及时间成本。
在数智化转型趋势中,企业的敏态需求日益增长,云平台能够在确保这些需求得到满足的同时, 助力业务实现快速的弹性伸缩与扩展。在安全领域,阿里云也致力于将安全防护能力融入到云产 品中,以“原生安全”的理念,为客户提供内生、默认、可配置、可弹性伸缩、可扩展、生态友 好的安全防护能力。
1 产品原生安全防护能力
阿里云希望所有将系统部署在云上的企业,都能够享有尽量高的默认安全水位,因此将安全能力 默认融入到了产品设计中,为企业提供原生的安全防护。
- 数据保护层面,阿里云提供了默认的传输加密与存储加密
传输加密是指云产品为用户访问(包括读取和上传)数据提供了 SSL/TLS 协 议来保证数据传输的安全。例如,当用户通过阿里云控制台操作时,控制台 会使用 HTTPS 协议进行数据传输。所有的阿里云产品都为客户提供了支持 HTTPS 的 API 访问点,以满足敏感数据的加密传输需求。对象存储 OSS、全 球加速产品还提供了 TLS 版本控制能力,以满足客户多样化的安全合规需求。
阿里云为用户提供云产品落盘存储加密能力,并统一使用阿里云密钥管理服务 (Key Management Service,简称 KMS)进行密钥管理。云上关键存储产品, 如云盘、数据库 RDS、对象存储 OSS,均实现了一键加密能力,客户可免 费一键开启,以满足敏感数据的磁盘加密存储需求。
- 网络安全层面,阿里云提供了默认额度的流量攻击防护额度
阿里云云安全中心提供了免费版的漏洞检测、安全告警和基线检查服务,还帮 助客户收集并呈现安全日志和云上资产指纹。客户可以在 ECS 管理控制台的 概览页面或者云安全中心控制台查看相关安全信息。
客户创建弹性公网 IP(EIP,Elastic IP Address)资源时,阿里云将默认开 启 DDoS 基础防护能力,免费提供最大 5 Gbps 的基础 DDoS 防护能力,以 抵御小规模攻击。
- 访问控制层面,阿里云提供了默认最小够用的产品配置
为防止企业无意间配置错误的访问控制策略,导致严重的数据安全隐患,阿里 云在产品中提供了默认最小够用的产品配置,并提供充分的风险提醒。例如, OSS Bucket 配置了“阻止公网访问”,防止使用者误操作,导致敏感数据 非预期对外暴露。
应用层防护层面,阿里云提供了可选的安全防御与扫描能力
应用实时监控服务是阿里云的一款应用性能管理(APM)监控产品,整合了 RASP(Runtime Application Self-Protection) 防护能力。当企业有代码 层入侵拦截的需求时,可以通过 ARMS 控制台一键接入应用安全,接入后重 启目标应用对应的实例即可,无需对任何应用代码进行修改。
云效作为阿里云提供的 DevOps SaaS 产品,在代码检测环节提供了安全扫 描能力,客户可按需使用该功能,提升应用代码的安全质量。
阿里云还将在更多的产品上,推动更多的原生安全设计落地,保障企业的安全 水位。
2 按需使用与弹性伸缩
企业所需要保护的资产规模、需要实施的具体安全防护级别会动态变化。考虑到企业的快速迭代、 扩展需求,阿里云提供了按需使用、 一键接入、按需扩展的安全能力,旨在帮助企业同步实施安 全防护策略。
高昂的接入成本也是影响安全防护实施敏捷性的一个关键因素,阿里云通过一 系列产品改造与建设,帮助客户实现低成本、高质量的接入体验。
以阿里云的流量防护产品为例:
在企业原本的接入流程中,会遇到诸多障碍,影响抗 D 能力的有效接入:
● 配置繁琐:企业业务有大量 IP 资产和端口资产,代理模式防护部署需要维护 多对多转发配置。
● 协同链路长:代理模式防护部署涉及串联部署、DNS 接入需要企业内部运维 流程协同。
● 架构改造复杂:代理模式防护部署需要修改入口到高防 IP,会改变企业的业 务流量架构。
3 云上安全生态共享
安全不是闭门造车,云上企业众多,场景千变万化。为促进云上安全生态,阿里云通过云市场形 式引入了众多安全产品,为客户提供了丰富的选择,并通过优化产品设计,便于三方安全产品在 云基础产品上提供更优质的服务。
阿里云云市场是云上的软件交易及交付平台,通过赋能生态伙伴,引入三方生态产品,以实现客户、 阿里云、生态伙伴之间的共赢。截至 2024 年 8 月,阿里云云市场已引入包含国内外主流安全厂 商的 358 款三方安全产品,为企业的安全解决方案提供更多的选择。
除此之外,阿里云在自身云产品设计上,为生态集成留出了接入扩展点,为三 方安全设备提供更稳定、可靠、安全的接入体验。
网关型负载均衡(Gateway Load Balancer ,GWLB) 是阿里云提供的一 种负载均衡服务,专为网络虚拟设备设计, 旨在简化在阿里云上部署和管理第 三方网络虚拟设备(如第三方防火墙、DPI 设备等)的过程。
GWLB 与阿里云云市场上的众多安全和网络供应商产品集成,如 FortiGate、 Palo Alto Networks 等主流安全厂商,使得这些设备可以在阿里云上高效部署 和管理,轻松实现云原生安全和网络策略。GWLB 为这些设备提供了高可用性 和扩展性、灵活的流量分配、基于 Private Link 的私网安全数据传输能力、易 用的配置与管理能力。另外,GWLB 还支持统一的安全策略,使用户在复杂的 网络结构下,同时保持高性能及高安全性。
在拥抱安全生态的路上,阿里云还将继续砥砺前行,未来会引入更多的三方企 业共同加入到云上安全生态的大市场中,共同为用户的安全水位保障添砖加瓦。
