安全设计原则
最小化原则
安全最小化原则是最基本的原则之一,对外提供的服务越少,安全风险越小。当企业基于云的SaaS、PaaS、IaaS构建业务系统时,需时刻遵循安全最小化原则,包括:
网络最小化原则:尽可能少的开放公网访问入口,尽可能小范围的控制端口开放,尽可能的使用VPC或子网对网络进行最小分段,并进行网段的隔离和监控;
身份最小化原则:尽可能的减少系统管理员,以角色和权限绑定的思路赋予用户身份;
权限最小化原则:原则上尽可能的以白名单模式开放权限,即仅允许特定的最小权限。但这往往在实际落地过程中难以落实,但这是安全设计的重要原则之一。
RAM用户权限最小化原则:通常建议使用RAM用户进行身份管理,并进行RAM用户权限的细粒度分配;
AccessKey权限最小化原则:在一些最佳实践中,是不建议在云账号下创建 AccessKey,通常建议在RAM用户或可被监控和权限可控的账号下申请AccessKey用于自动化调用。
审计可追溯原则
尽可能确保所有来自用户端的访问请求留有审计记录,以便于在发生网络攻击事件时,能够通过云资源操作日志、云资源访问日志以及变更日志还原攻击事件,追溯攻击过程,以便于企业判断和定位攻击事件的等级、影响和损失。
数据安全保护原则
基于安全责任共担模型,数据安全的体系建设同样划分为租户和云平台,租户侧建立数据安全保护体系建议参考如下原则进行设计:
数据的分类分级原则:企业应结合实际应用和业务特性,有意识的建立数据分类分级制度和体系,分类分级是个长期且动态的工作,也是开展分级保护的第一步;
数据的访问控制和权限最小化原则:企业应结合实际业务流程,梳理数据访问的用户身份、目的、权限、途径,并通过相关技术控制手段对权限、访问途径进行管理;
静态数据保护原则:要对静态存储的数据进行访问认证、数据加密;
动态数据保护原则:要对数据流动的通道、流动中的数据进行传输加密和数据加密;
数据审计原则:原则上要对数据的访问、操作和移动进行全面的审计;
数据共享原则:识别数据共享途径和方式,如通过API、SDK等途径在线获取和共享数据,通过离线共享数据,这些共享访问需要进行识别和建立相关的保护措施;
数据合规性原则:应重视数据合规,拆解满足合规要求所需要的技术控制措施和管理措施,并纳入到企业数据安全体系建设的规划中。
合规性原则
企业在中国内地地区,中国香港、中国澳门和中国台湾地区以及海外地区基于阿里云基础设施构建的业务系统和对外提供的服务,应充分考虑当地的法律法规要求。在安全架构设计过程中,应充分分析和理解法规要求,并标记能够满足法规要求的相关技术控制措施,和管理控制措施。以便在安全能力建设时,清楚的认识和明确云厂商能够提供什么样的产品及服务来为企业满足合规要求。