ECS的安全责任共担模型

云服务器ECS的云上安全性是阿里云和客户的共同责任。本文介绍云服务器ECS(Elastic Compute Service)与客户在安全性方面各自应该承担的责任。

云上安全的重要性

随着互联网的快速发展,在过去几十年,我国持续不断地完善并推出了两百多部网络与数据安全相关的法律法规,包括网络安全治理的国家基本法《网络安全法》、数据安全的国家基本法《数据安全法》等,对企业的业务安全和数据安全都提出了严格的要求与规范。同时,随着云计算应用的日益普及,客户不再仅仅考虑如何上云,而更关注如何在云上持续安全地进行业务运营,既保障自身业务本身的安全性,又保障业务所服务的用户的信息安全。由此可见,云上的安全合规越来越受到企业的重视。

云上安全通常指的是通过采取一系列策略、控制手段和技术手段,确保基础设施、数据存储、数据访问和应用本身的安全性,保障云上业务免受内部和外部安全威胁的影响。云上业务的安全合规构建是阿里云和客户的共同责任,云上客户必须了解云上业务所涉及的风险,并主动设计和实现充分的安全控制,这样可以减轻运营负担,并减少可能因安全事件造成的资产损失。

ECS的安全责任共担模型

云服务器ECS是阿里云提供的IaaS(Infrastructure as a Service)服务。云服务器ECS上的安全性需要阿里云和客户共同承担,双方的责任边界如下:

  • 阿里云负责“云本身”的安全性:阿里云负责保障ECS运行的底层基础设施与服务的安全性,包括运行ECS的物理硬件设备、软件服务、网络设备和管理控制服务等。

  • 客户负责“云上”的安全性:客户负责保障ECS内的安全性,包括客户需要及时进行操作系统升级和补丁更新、确保ECS内运行的应用软件或工具的安全性、以安全的方式配置和访问ECS本身及其上面的服务(比如遵循安全原则进行ECS的网络等参数配置、遵循权限最小化原则配置ECS的管理权限等),以及ECS上数据和流量的安全。这些ECS上的安全性管理与配置是客户在履行安全责任时必须完成的工作。

ECS的安全责任共担模型概览图如下所示。

image

阿里云的责任:保障云本身的安全性

阿里云主要从以下四个层面来保障云本身的安全性,自底向上分别为:

  • 数据中心安全:阿里云的数据中心建设满足GB 50174《电子信息机房设计规范》A类和TIA 942《数据中心机房通信基础设施标准》中的T3+标准。

    • 机房容灾:火灾和烟雾传感器检测、双路市电电源和冗余的电力系统、热备冗余模式的精密空调保持恒温恒湿。

    • 人员管理:机房包间、测电区域、库房间分离的门禁身份指纹等双因素认证,特定区域采用铁笼进行物理隔离,严谨的账号管理、身份认证、授权管理、职责分离、访问管理。

    • 运维审计:机房各区域设有安防监控系统,生产系统只能通过堡垒机进行运维操作,所有操作记录会被完整地记录在日志中,并保存在日志平台。

  • 物理基础设施安全:物理基础设施包括物理服务器、网络设备、存储设备等。物理基础设施的安全主要依赖云数据中心本身的安全,同时还会针对公有云的服务模式提供额外的安全保障,包括:

    • 数据销毁:参考NIST SP800-88的安全擦除标准建立了存储介质数据安全擦除的机制,在终止客户云服务时,及时删除数据资产,严格执行对存储介质上的数据进行多次清除以完成数据销毁。

    • 存储设备资产管理:资产管理精细到以存储部件为最小单位,并分配有唯一的硬件设备识别信息以精准定位到该存储介质或包含存储介质的最小单元设备。存储介质在未按标准安全擦除或物理销毁的情况下,不允许离开机房或安全控制区域。

    • 网络隔离:生产网络与非生产网络进行了安全隔离,通过网络ACL确保云服务网络无法访问物理网络,并在生产网络边界部署了堡垒机,办公网内的运维人员只能通过堡垒机使用域账号密码加动态口令方式进行多因素认证进入生产网进行运维管理。

  • 虚拟化系统安全:虚拟化技术是云计算的主要技术支撑,通过计算虚拟化、存储虚拟化、网络虚拟化实现云计算环境下的多租户资源隔离。阿里云的虚拟化安全技术主要包括租户隔离、安全加固、逃逸检测修复、补丁热修复、数据擦除等五大基础安全部分,以保障阿里云虚拟化层的安全。

    • 热补丁修复:虚拟化平台支持热补丁修复技术,修复过程不需要用户重启系统,不影响用户的业务。

    • 数据擦除:实例服务器释放后,其原有的存储介质将会被可靠地执行数据擦除操作,以保障用户数据的安全。

    • 租户隔离:基于硬件虚拟化技术将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问彼此未授权的系统资源。

      • 计算隔离:管理系统与客户虚拟机,以及客户虚拟机之间相互隔离。

      • 网络隔离:每个虚拟网络与其他网络之间相互隔离。

      • 存储隔离:计算与存储分离,虚拟机只能访问分配好的物理磁盘空间。

    • 安全加固:虚拟化管理程序和宿主机OS/内核级别进行相应的安全加固,并且虚拟化软件必须编译和运行在一个可信的执行环境中,以保障整个链路的安全性。

    • 逃逸检测修复:通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上,虚拟机无法主动探测自身所处的物理主机环境,并且会对虚拟机异常行为进行检测,发现漏洞后进行热补丁修复。

  • 云服务平台的安全:云平台主要提供云上账号的管理能力和云服务的访问服务,包括但不限于云平台主子账号管理、登录的多因素认证机制、细粒度的访问授权能力,以及通过安全方式访问云平台的服务等。

客户的责任:保障ECS上的安全性

客户需要对ECS上的安全性负责,包括及时更新ECS操作系统的系统补丁提升系统安全性,为ECS实例设置合适的安全组规则避免非法访问,通过数据加密保障ECS上的数据安全等。

为了进一步降低客户进行安全配置的门槛,阿里云提供了一系列安全管理与配置工具,用户可以根据业务需要,选择合适的工具进行配置,保障ECS上的业务安全性。

阿里云提供的产品

产品简介

产品文档

操作系统安全

可信计算

可信实例底层物理服务器搭载可信平台模块TPM(Trusted Platform Module)/可信密码模块TCM(Trusted Cryptography Module)作为硬件可信根TCB(Trusted Computing Base),实现服务器的可信启动,确保零篡改。在虚拟化层面,支持虚拟可信能力vTPM,提供实例启动过程核心组件的校验能力。

可信计算能力

机密计算

机密计算是指通过CPU硬件加密及隔离能力,提供可信执行环境,保护数据不受未授权第三方的修改。此外,您还可以通过远程证明等方式验证云平台、实例是否处于预期的安全状态。

机密计算能力

云安全中心

云安全中心提供云上资产管理、配置核查、主动防御、安全加固、云产品配置评估和安全可视化等核心能力,同时结合云上海量日志、分析模型和超强算力,构建了云上强大的安全态势感知的综合能力平台,可有效发现和阻止病毒传播、黑客攻击、勒索加密、漏洞利用、AK泄露、挖矿等风险事件,帮助客户实现一体化、自动化的安全运营闭环,保护多云环境下的主机、容器、虚拟机等工作负载的安全,同时满足监管合规要求。

什么是云安全中心

ECS身份与访问安全

SSH密钥对

SSH密钥对,简称密钥对,是一种安全便捷的登录认证云服务器的方式,由公钥和私钥组成,仅支持Linux实例。将公钥配置在Linux实例中,在本地或者另外一台实例中,就可以使用私钥通过SSH命令或相关工具登录目标实例,便于远程登录大量Linux实例,方便管理。

SSH密钥对概述

会话管理

会话管理(Session Manager)是由阿里云的云助手提供的功能,客户在无需打开ECS实例入方向端口的情况下,利用会话管理客户端实现实例的免密安全登录。会话管理客户端与云助手进行通信时,会通过WSS(Web Socket Secure)协议建立WebSocket长连接,WSS使用SSL(Secure Socket Layer)加密WebSocket长连接,可以保障全链路数据的安全。

会话管理概述

安全组

安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态监测和数据包过滤能力,客户可以基于安全组的特性和安全组规则的配置在云端划分安全域。

安全组概述

访问控制RAM

访问控制RAM(Resource Access Management)用于为人员、云服务等指定身份并基于身份授予资源访问权限,从而控制对阿里云资源的访问。客户可以使用RAM创建并管理子用户和用户组,并通过权限管理,管控他们对云资源的访问。

什么是访问控制

堡垒机

运维安全中心(堡垒机)是阿里云提供的运维和安全审计管控平台,可集中管理运维权限,全程管控操作行为,实时还原运维场景,保障运维行为身份可鉴别、权限可管控、操作可审计,解决资产管理困难、运维职责权限不清晰以及运维事件难追溯等问题, 助力企业满足等保合规需求。

基础版和企业双擎版简介

特权访问管理中心(PAM)

阿里云特权访问管理中心(PAM)为ECS服务器提供账号和密码安全托管,实现您无需通过口令即可安全登录ECS服务器。

云资源因直接对互联网暴露,以及存在大量弱口令问题,面临被暴力破解的风险。此外,云资产的登录账号密码被多次分享和不适当的权限管理,也会导致数据泄露风险上升。 阿里云特权访问管理中心通过免密登录、RAM权限托管、RDP/SSH代理、安全审计和风控能力,提供有效的运维会话审计功能,实现事前和事中智能风控。

什么是特权访问管理中心

网络安全

专有网络VPC

专有网络VPC(Virtual Private Cloud)是客户基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。专有网络由逻辑网络设备(如虚拟路由器,虚拟交换机)组成,可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境。

什么是专有网络

网络ACL

网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。客户可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。

网络ACL概述

应用安全

云防火墙

云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对客户云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是客户业务上云的第一道网络防线。互联网边界、主机边界防火墙和VPC边界防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

什么是云防火墙

Web应用防火墙

Web应用防火墙WAF(Web Application Firewall)对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。

WAF概述

DDos防护

DDoS原生防护直接为阿里云公网IP资产提升DDoS攻击防御能力,主要提供针对三层和四层流量型攻击的防御服务。当流量超出DDoS原生防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,在攻击持续状态下,保证被防护云产品仍可以正常对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统,采用旁路部署方式。阿里云DDoS原生防护可在较小接入成本的情况下提升DDoS防护能力,降低DDoS攻击对业务带来的潜在风险。

什么是DDoS攻击

VPN网关

VPN网关是一款网络连接服务,通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。

什么是VPN网关

数字证书管理服务

阿里云SSL证书,是经WebTrust认证的知名CA(Certificate Authority)机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。

数字证书管理服务(Certificate Management Service)是阿里云提供的证书颁发和管理平台,为您提供一站式的SSL证书全生命周期管理、私有证书管理、私有证书应用仓库等服务,帮助您实现不同场景下证书的部署与管理。

什么是数字证书管理服务

数据安全

快照服务

阿里云快照服务是一种无代理的数据备份方式,可以为所有类型的云盘创建崩溃一致性快照,用于备份或者恢复整个云盘。它是一种便捷高效的数据容灾手段,常用于数据备份、制作镜像、应用容灾等。

快照概述

加密云盘

使用加密云盘,您无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性,为业务数据提供安全边界。ECS实例的系统盘和数据盘均可被加密。

加密云盘

密钥管理服务(KMS)

阿里云密钥管理系统KMS(Key Management Service)是一款安全管理类产品,可保护证书密钥的数据安全性、完整性和可用性,满足您多应用、多业务的密钥管理需求,同时符合监管和等保合规要求。

密钥管理服务KMS是您的一站式密钥管理和数据加密服务平台,提供简单、可靠、安全、合规的数据加密保护能力。KMS帮助您降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,以便您只需关注业务本身。

什么是密钥管理服务

安全审计

操作审计ActionTrail

操作审计(ActionTrail)帮助客户监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。客户可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

什么是操作审计

日志服务SLS

ECS实例的操作日志记录了实例的操作历史,包括操作类型、操作者、影响等级等信息。如果ECS实例遭遇了非预期的操作,比如关机或非法命令执行,可以通过查看ECS实例的操作记录追溯可能的原因,并对此采取更合适的资源管理控制策略。

查看ECS实例的操作记录

云身份服务IDaaS

云身份服务IDaaS(Alibaba Cloud Identity as a Service)是阿里云为企业用户提供的云原生的、经济的、便捷的、标准的身份、权限管理体系。对管理者而言,IDaaS提供一站式组织架构、账户全生命周期管理、应用接入实现单点登录(SSO),并控制账号所具备的权限等能力。对客户而言,IDaaS提供应用访问门户、独立登录体系、账号自服务能力。

什么是IDaaS EIAM?