基础设施安全

物理主机安全

阿里云数据中心建设满足GB 50174《电子信息机房设计规范》A类和TIA 942《数据中心 机房通信基础设施标准》中T3+标准。

• 机房容灾：火灾热和烟雾传感器检测、双路市电电源和冗余的电力系统、热备冗余模式的精密空调恒温恒湿。

• 人员管理：机房包间、测电区域、库房间分离的门禁身份指纹等双因素认证，特定区域采用铁笼进行物理隔离，严格的账号管理、身份认证、授权管理、职责分离、访问管理。

• 运维审计：机房各区域设有安防监控系统，生产系统只能通过堡垒机进行运维操作，所有操作记录会被完整地记录并保存至日志平台。

• 存储设备资产管理：资产管理精细到以存储部件为最小单位，并分配有唯一的硬件设备识别信息以精准定位到该存储介质或包含存储介质的最小单元设备，存储介质未按标准安全擦除或物理销毁不允许离开机房或安全控制区域。

• 数据销毁：参考NIST SP800-88的安全擦除标准建立了存储介质数据安全擦除的机制，在终止客户云服务时，及时删除数据资产，严格执行对存储介质上的数据进行多次清除以完成数据销毁。

• 网络隔离：生产网络与非生产网络进行了安全隔离，通过网络ACL确保云服务网络无法访问物理网络，并在生产网络边界部署了堡垒机，办公网内的运维人员只能通过堡垒机使用域账号密码加动态口令方式进行多因素认证进入生产网进行运维管理。

硬件安全

• 硬件安全加固：对底层硬件固件进行加固，其中包括硬件固件基线扫描、高性能GPU实例保护、设备固件验签、BMC固件保护。

• 机密计算：硬件可信执行环境，机密计算的信任根基于处理器芯片，而非基于底层软件，所有加密信息只能在可信执行环境中计算和运行，从而提供基于硬件的高等级数据保护能力。

• 可信计算：关键服务器上采用了基于TPM/TCM的可信计算技术，通过TPM/TCM以及vTPM/vTCM技术对物理机、虚拟机上基础软件栈的启动过程进行度量，以构建系统启动信任链，确保实例未受到启动级或内核级恶意软件或Rootkit的侵害。

虚拟化安全

虚拟化技术是云计算的主要技术支撑，通过计算虚拟化、存储虚拟化、网络虚拟化来保障云计算环境下的多租户隔离。阿里云虚拟化安全技术主要包括租户隔离、安全加固、逃逸检测修复、补丁热修复、数据擦除等五大基础安全部分，以保障阿里云虚拟化层的安全。

• 租户隔离：基于硬件虚拟化技术将多个计算节点的虚拟机在系统层面进行隔离，租户不能访问相互之间未授权的系统资源。

  • 计算隔离：管理系统与客户虚拟机，以及客户虚拟机之间互相隔离。

  • 网络隔离：每个虚拟网络与其他网络之间互相隔离。

  • 存储隔离：计算与存储分离，虚拟机只能访问分配好的物理磁盘空间。

• 安全加固：虚拟化管理程序和宿主机OS/内核级别进行相应安全加固，并且虚拟化软件必须编译和运行在一个可信的执行环境上以保障整个链路的安全。

• 逃逸检测修复：通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上，虚拟机无法主动探测自身所处的物理主机环境，并且会对虚拟机异常行为进行检测发现漏洞后进行热补丁修复。

• 热补丁修复：虚拟化平台支持热补丁修复技术，修复过程不需要用户重启系统，不影响用户业务。

• 数据擦除：实例服务器释放后，其原有的存储介质将会被可靠地执行数据擦除操作以保障用户数据的安全。