备案控制台
首页 容器计算服务 安全合规 安全责任共担模型

安全责任共担模型

更新时间: 2024-03-22 13:15:20

在ACS集群托管架构下遵循责任共担原则,其中容器服务ACS产品负责集群管控面组件(包括Kubernetes控制平面组件和etcd)以及集群服务相关阿里云基础设施的默认安全性。本文介绍阿里云容器服务ACS的安全责任共担模型。

术语约定

文档内容将会不可避免的反复用到相同的名称、代码等,为了使文档内容简短、精要,所以在此对一些常用术语进行约定:

  • 平台:即指阿里云容器计算服务(ACS)产品

  • 客户:使用ACS的阿里云客户

容器计算服务ACS形态:阿里云与客户之间安全责任分界

阿里云负责

首先在管控面侧,阿里云会通过完备的平台安全能力负责管控侧基础设施(包括计算、存储、网络等云服务资源)的安全性;同时基于K8s安全基线等业界通用的安全标准基线,对ACS集群管控面组件配置和镜像进行符合标准定义的安全加固。针对集群节点OS或K8s组件层面的安全漏洞,阿里云会负责及时提供相关公告并发布对应的漏洞补丁或版本更新能力。同时阿里云会面向企业云原生应用生命周期中安全防护的典型场景,提供必要的安全体系概述

客户负责

客户的安全管理运维人员需要负责部署在云上的业务应用安全防护以及对云上资源的安全配置和更新,包含以下内容:

  • 基于阿里云公告和提供的补丁或版本升级方式,及时同意或执行客户集群侧组件漏洞的修复和版本更新。

  • 遵循安全原则进行ACS集群参数配置,避免因为不当的参数或权限配置给攻击者可乘之机。

  • 基于使用需求,遵循权限最小化原则进行应用或账号、角色的授权,凭据的管理,相关安全策略的部署实施以及应用自身参数配置安全。

  • 负责应用制品的供应链安全。

  • 负责应用敏感数据和应用运行时刻的安全。

理解责任共担模型

在您设计部署企业应用系统之前,请您充分理解企业自身和阿里云的安全责任边界。

当您选择使用ACS集群,阿里云承担管控面基础设施之外,还会负责Pod运行环境以及对应运行时组件的安全,下图为Serverless架构下使用ACS集群的安全责任共担模型。

阿里工作留存.jpg

图1 责任共担模型图示

职责划分依据

ACS作为典型的Serverless形式,具备了资源全托管特性,需要明确阿里云和客户之间的安全责任边界,各自守好各自的战场,一般责任划分的分界原则如下:

  • 阿里云的安全责任:阿里云的责任是保证Serverless平台的安全和可靠性,包括确保平台的基础设施安全、提供安全的数据存储和处理服务、保护客户数据的机密性等。阿里云需要确保其基础架构、管理、安全实践和合规性,以保护客户的应用程序不受攻击,同时保护客户数据的隐私性和完整性。

  • 客户的安全责任:客户需要确保他们的Serverless应用程序的安全性,这包括应用程序本身的安全性、应用程序的数据安全性和访问控制、安全的代码编写和审计,以及合适的认证和授权机制。客户需要确保他们的应用程序是安全的,并且只允许授权的个人或者团队进行访问。

安全本身是一个上下贯通的体系,阿里云和客户之间的安全责任需要做到分层明确又有机互动,阿里云需要提供基础设施的安全性和合规性保证,而客户需要采取相应的措施来确保他们的应用程序和数据的安全性,对于犬牙交错的灰色结合地带,平台方需要更进一步,做到心中有全局,风险不能留白,平台会努力向前一步,为客户提供可靠而安全的Serverless服务。

共管资源:按引入风险来源分担责任

某些资源无法做到单方面管理及使用,如客户Pod安全组,理想状态是全托管给阿里云,然而有一些客观需求,如客户需要参与管理(希望该资源更受控,或其客户其他应用也在共用),这里需要明晰

  • 谁引入风险谁兜底的原则:

  • 各方需要保证最小权限原则,如客户侧开放范围过大(如开放公网访问),那么从这个方向进来的攻击行为及后果,需要客户自行承担;阿里云保证,ACS范围内的Pod安全组,不会扩大访问范围,客户的应用运行不会逃逸出容器;

容器计算服务ACS安全职责分层责任划分

  • 客户业务架构安全:客户负责

  • 客户业务数据安全:涵盖Data In transit 及Data At rest,建议多租汇集点采用TDE全程加密落盘 【 客户负责,阿里云可在密钥管理等方面提供产品化能力】

  • 应用安全:POD内的客户应用运行安全保障,形式上可采用Sidecar机制引入云安全中心agent,主体采用云安全中心等安全类产品提供的应用级安全防控,能更及时发现潜在安全隐患。【客户负责,阿里云可参与技术推动与实施】

  • 客户侧管控的安全运维:负责客户业务所涉及资源的梳理和维护(如VIP/公网链路/VPC间tunnel等)正确使用与部署、aksk的严格管理和分发,减少泄露风险。【 客户负责,阿里云提供能力】

  • 云原生Serverless化架构维护:不同领域隔离,涵盖必要的K8s管控链路隔离、网络隔离(如VPC配置,VPC间隧道等)、存储隔离等。【主体及能力提供均由阿里云负责,客户通过可选组件及能力加固】

  • 云原生Serverless化架构安全运营:确保安全功能覆盖完全并正确使用,通过技术巡检机制,能按照不同场景对应的安全基线扫描安全水位,需要覆盖的节点或缺失组件会按需生成对应的工单,并告警提示直至修复完全。 【客户技术团队本身有诉求有能力,场景可由客户整体牵头负责;弱技术能力客户,可由阿里云提供技术支持但客户负责】

  • 集群与组件安全运维:确保 ACS k8s 控制面及产品扩展组件的生产部署层面的安全、且安全覆盖无遗漏。包括且不限于:集群鉴权及证书管理、集群内Secret凭据管理、对外暴露端口、VPC隔离及安全组配置的合理性等【阿里云负责】

  • 管控Infra安全:k8S持续升级、CVE漏洞【阿里云负责】

  • 节点安全:节点内核安全相关补丁地快速响应与补齐【阿里云负责】

  • 运行时安全:如沙箱容器等安全容器隔离技术。【阿里云负责】

文档推荐