ECS的安全责任共担模型

云服务器ECS的云上安全性是阿里云和客户的共同责任。本文介绍云服务器ECS(Elastic Compute Service)与客户在安全性方面各自应该承担的责任。

云上安全的重要性

随着互联网的快速发展,在过去几十年,我国持续不断地完善并推出了两百多部网络与数据安全相关的法律法规,包括网络安全治理的国家基本法《网络安全法》、数据安全的国家基本法《数据安全法》等,对企业的业务安全和数据安全都提出了严格的要求与规范。同时,随着云计算应用的日益普及,客户不再仅仅考虑如何上云,而更关注如何在云上持续安全地进行业务运营,既保障自身业务本身的安全性,又保障业务所服务的用户的信息安全。由此可见,云上的安全合规越来越受到企业的重视。

云上安全通常指的是通过采取一系列策略、控制手段和技术手段,确保基础设施、数据存储、数据访问和应用本身的安全性,保障云上业务免受内部和外部安全威胁的影响。云上业务的安全合规构建是阿里云和客户的共同责任,云上客户必须了解云上业务所涉及的风险,并主动设计和实现充分的安全控制,这样可以减轻运营负担,并减少可能因安全事件造成的资产损失。

ECS的安全责任共担模型

云服务器ECS是阿里云提供的IaaS(Infrastructure as a Service)服务。云服务器ECS上的安全性需要阿里云和客户共同承担,双方的责任边界如下:

  • 阿里云负责“云本身”的安全性:阿里云负责保障ECS运行的底层基础设施与服务的安全性,包括运行ECS的物理硬件设备、软件服务、网络设备和管理控制服务等。

  • 客户负责“云上”的安全性:客户负责保障ECS内的安全性,包括客户需要及时进行操作系统升级和补丁更新、确保ECS内运行的应用软件或工具的安全性、以安全的方式配置和访问ECS本身及其上面的服务(比如遵循安全原则进行ECS的网络等参数配置、遵循权限最小化原则配置ECS的管理权限等),以及ECS上数据和流量的安全。这些ECS上的安全性管理与配置是客户在履行安全责任时必须完成的工作。

ECS的安全责任共担模型概览图如下所示。

image

阿里云的责任:保障云本身的安全性

阿里云主要从以下四个层面来保障云本身的安全性,自底向上分别为:

  • 数据中心安全:阿里云的数据中心建设满足GB 50174《电子信息机房设计规范》A类和TIA 942《数据中心机房通信基础设施标准》中的T3+标准。

    • 机房容灾:火灾和烟雾传感器检测、双路市电电源和冗余的电力系统、热备冗余模式的精密空调保持恒温恒湿。

    • 人员管理:机房包间、测电区域、库房间分离的门禁身份指纹等双因素认证,特定区域采用铁笼进行物理隔离,严谨的账号管理、身份认证、授权管理、职责分离、访问管理。

    • 运维审计:机房各区域设有安防监控系统,生产系统只能通过堡垒机进行运维操作,所有操作记录会被完整地记录在日志中,并保存在日志平台。

  • 物理基础设施安全:物理基础设施包括物理服务器、网络设备、存储设备等。物理基础设施的安全主要依赖云数据中心本身的安全,同时还会针对公有云的服务模式提供额外的安全保障,包括:

    • 数据销毁:参考NIST SP800-88的安全擦除标准建立了存储介质数据安全擦除的机制,在终止客户云服务时,及时删除数据资产,严格执行对存储介质上的数据进行多次清除以完成数据销毁。

    • 存储设备资产管理:资产管理精细到以存储部件为最小单位,并分配有唯一的硬件设备识别信息以精准定位到该存储介质或包含存储介质的最小单元设备。存储介质在未按标准安全擦除或物理销毁的情况下,不允许离开机房或安全控制区域。

    • 网络隔离:生产网络与非生产网络进行了安全隔离,通过网络ACL确保云服务网络无法访问物理网络,并在生产网络边界部署了堡垒机,办公网内的运维人员只能通过堡垒机使用域账号密码加动态口令方式进行多因素认证进入生产网进行运维管理。

  • 虚拟化系统安全:虚拟化技术是云计算的主要技术支撑,通过计算虚拟化、存储虚拟化、网络虚拟化实现云计算环境下的多租户资源隔离。阿里云的虚拟化安全技术主要包括租户隔离、安全加固、逃逸检测修复、补丁热修复、数据擦除等五大基础安全部分,以保障阿里云虚拟化层的安全。

    • 热补丁修复:虚拟化平台支持热补丁修复技术,修复过程不需要用户重启系统,不影响用户的业务。

    • 数据擦除:实例服务器释放后,其原有的存储介质将会被可靠地执行数据擦除操作,以保障用户数据的安全。

    • 租户隔离:基于硬件虚拟化技术将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问彼此未授权的系统资源。

      • 计算隔离:管理系统与客户虚拟机,以及客户虚拟机之间相互隔离。

      • 网络隔离:每个虚拟网络与其他网络之间相互隔离。

      • 存储隔离:计算与存储分离,虚拟机只能访问分配好的物理磁盘空间。

    • 安全加固:虚拟化管理程序和宿主机OS/内核级别进行相应的安全加固,并且虚拟化软件必须编译和运行在一个可信的执行环境中,以保障整个链路的安全性。

    • 逃逸检测修复:通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上,虚拟机无法主动探测自身所处的物理主机环境,并且会对虚拟机异常行为进行检测,发现漏洞后进行热补丁修复。

  • 云服务平台的安全:云平台主要提供云上账号的管理能力和云服务的访问服务,包括但不限于云平台主子账号管理、登录的多因素认证机制、细粒度的访问授权能力,以及通过安全方式访问云平台的服务等。

客户的责任:保障ECS上的安全性

客户需要对ECS上的安全性负责,包括及时更新ECS操作系统的系统补丁提升系统安全性,为ECS实例设置合适的安全组规则避免非法访问,通过数据加密保障ECS上的数据安全等。

为了进一步降低客户进行安全配置的门槛,阿里云提供了一系列安全管理与配置工具,用户可以根据业务需要,选择合适的工具进行配置,保障ECS上的业务安全性。具体说明如下: