AI 助理
备案控制台
文档
输入文档关键字查找
首页无影云电脑企业版安全合规EDS的安全责任共担模型

EDS的安全责任共担模型

更新时间:2025-03-24 02:38:51
产品详情
我的收藏

无影云电脑企业版EDS(Elastic Desktop Service)的云上安全性是阿里云和客户的共同责任。本文介绍EDS与客户在安全性方面各自应该承担的责任。

云上安全的重要性

随着互联网的快速发展,在过去几十年,我国持续不断地完善并推出了两百多部网络与数据安全相关的法律法规,包括网络安全治理的国家基本法《网络安全法》、数据安全的国家基本法《数据安全法》等,对企业的业务安全和数据安全都提出了严格的要求与规范。同时,随着云计算应用的日益普及,客户不再仅仅考虑如何上云,而更关注如何在云上持续安全地进行业务运营,既保障自身业务本身的安全性,又保障业务所服务的用户的信息安全。由此可见,云上的安全合规越来越受到企业的重视。

云上安全通常指的是通过采取一系列策略、控制手段和技术手段,确保基础设施、数据存储、数据访问和应用本身的安全性,保障云上业务免受内部和外部安全威胁的影响。云上业务的安全合规构建是阿里云和客户的共同责任,云上客户必须了解云上业务所涉及的风险,并主动设计和实现充分的安全控制,这样可以减轻运营负担,并减少可能因安全事件造成的资产损失。

EDS的安全责任共担模型

EDS是阿里云提供的端云一体综合解决方案。EDS上的安全性需要阿里云和客户共同承担,双方的责任边界如下:

  • 阿里云负责提供“安全的云”:阿里云负责保障EDS运行的底层基础设施与服务的安全性,包括运行EDS的物理硬件设备、软件服务、网络通信传输和管理控制服务等。

  • 客户负责“安全用云”:客户负责保障EDS内的安全性,包括客户需要遵循权限最小化原则配置子管理员和终端用户账号的权限、配置合理的云电脑策略来管控云电脑内的文件传输权限和网站访问权限、及时备份云电脑数据等。这些EDS上的安全性管理与配置是客户在履行安全责任时必须完成的工作。

EDS遵循阿里云的安全责任共担模型。为方便您更清晰地了解对应的责任实施工作,细化责任概览图如下所示。

dg_eds_security_responsibility_shared_model

阿里云负责提供“安全的云”

阿里云主要从以下几个层面来确保提供“安全的云”,自底向上分别为:

  • 物理安全

    • 人员管理:机房包间、测电区域、库房间分离的门禁身份指纹等双因素认证,特定区域采用铁笼进行物理隔离,严谨的账号管理、身份认证、授权管理、职责分离、访问管理。

    • 机房容灾:火灾和烟雾传感器检测、双路市电电源和冗余的电力系统、热备冗余模式的精密空调保持恒温恒湿。

    • 运维审计:机房各区域设有安防监控系统,生产系统只能通过堡垒机进行运维操作,所有操作记录会被完整地记录在日志中,并保存在日志平台。

    • 存储设备资产管理:资产管理精细到以存储部件为最小单位,并分配有唯一的硬件设备识别信息以精准定位到该存储介质或包含存储介质的最小单元设备。存储介质在未按标准安全擦除或物理销毁的情况下,不允许离开机房或安全控制区域。

    • 数据销毁:参考NIST SP800-88的安全擦除标准建立了存储介质数据安全擦除的机制,在终止客户云服务时,及时删除数据资产,严格执行对存储介质上的数据进行多次清除以完成数据销毁。

    • 网络隔离:生产网络与非生产网络进行了安全隔离,通过网络ACL确保云服务网络无法访问物理网络,并在生产网络边界部署了堡垒机,办公网内的运维人员只能通过堡垒机使用域账号密码加动态口令方式进行多因素认证进入生产网进行运维管理。

  • 硬件安全

    • 硬件固件安全:无影硬件终端具备安全启动以及系统镜像升级的能力。升级镜像包会经过TLS加密传输,并在终端侧进行签名校验和完整性校验,保证硬件重点设备的固件安全。

      • 安全启动

        无影终端系统支持ARMx86平台安全启动,安全启动(Secure Boot)是一种计算机安全功能,旨在确保设备在开机时只加载已知良好状态的固件和操作系统。这一过程从硬件层面开始,一直贯穿到操作系统加载,目的是防止恶意软件在启动过程中植入或修改系统组件。

      • 系统完整性校验

        针对安全启动可信范围只覆盖底层固件至操作系统(kernel)层级,无影通过IMA(Integrity Measurement Architecture)和DM-Verity,将可信链进一步扩展至system、vendor等只读分区,进一步保障系统完整性,防止恶意篡改。

      • 内核加固

        • KASLR(Kernel Address Space Layout Randomization):对内核的地址空间进行随机布局, 避免使用固定的内核的地址空间布局,提升代码重用攻击的难度,降低被许多复杂攻击的可能性。

        • 栈保护:栈保护(Stack Protection):是一种安全技术,用于防止缓冲区溢出攻击,这类攻击通常利用程序中栈上的缓冲区大小限制不当导致的漏洞。栈保护通过在栈帧中插入额外的安全检查来增强程序的安全性。

        • 数据执行防护:DEP(Data Execution Prevention):是一种计算机安全技术,旨在防止恶意代码通过溢出攻击在内存中执行。DEP的工作原理是区分数据和代码区域,不允许数据区域的内容被执行,从而降低某些类型的安全威胁。

    • 加密计算:无影硬件终端采用安全芯片(Secure Element, SE),这是一种专门设计用于存储和处理敏感信息安全的微控制器,广泛应用于金融及支付场景。SE封装在防篡改的硬件中,能够抵御物理攻击,如篡改、探测或分析,同时内置强大的加密引擎,支持各种加密算法,如AES、RSA、ECC等,用于数据加密和解密,以提供高级别的物理和逻辑安全防护。

    • 可信计算:

      • 可信平台模块(TPM):可信平台模块(Trusted Platform Module, TPM)是一种专用的微控制器,设计用于提供计算机系统的硬件级安全功能。TPM是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的标准(ISO/IEC 11889),它的主要目标是建立和维护计算设备的信任根(Root of Trust)。在无影系统中TPM参与系统的启动过程,生成和验证平台配置寄存器(PCR),记录系统启动时的软件和硬件状态,确保没有未经授权的改动。并且帮助验证引导加载程序和操作系统映像的完整性,防止恶意软件在启动过程中注入。

      • 可信执行环境(TEE/TrustZone):可信执行环境(Trusted Execution Environment, TEE)是一种硬件辅助的安全架构,它在通用计算环境(通常是CPU)之外创建了一个隔离的区域,用于执行受保护的应用和服务。与之相对的是非可信执行环境(通常称为REE,Rich Execution Environment),如操作系统和用户应用程序。

      • 设备管控:每一台无影终端出厂时均内置唯一的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性。基于唯一标识,无影云端对终端设备实行在线注册、在线管控及安全审计,防止未经授权的使用和接入,以及在设备丢失或被盗时启用黑名单禁止接入和远程安全擦除。

      • 系统完整性校验:针对安全启动可信范围只覆盖底层固件至操作系统(kernel)层级,无影通过IMA(Integrity Measurement Architecture)和DM-Verity,将可信链进一步扩展至system、vendor等只读分区,进一步保障系统完整性,防止恶意篡改。

  • 虚拟化安全

    • 租户隔离:基于硬件虚拟化技术将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问彼此未授权的系统资源。

      • 计算隔离:管理系统与客户虚拟机,以及客户虚拟机之间相互隔离。

      • 网络隔离:每个虚拟网络与其他网络之间相互隔离。

      • 存储隔离:计算与存储分离,虚拟机只能访问分配好的物理磁盘空间。

    • 安全加固:虚拟化管理程序和宿主机OS/内核级别进行相应的安全加固,并且虚拟化软件必须编译和运行在一个可信的执行环境中,以保障整个链路的安全性。

    • 逃逸检测:通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上,虚拟机无法主动探测自身所处的物理主机环境,并且会对虚拟机异常行为进行检测,发现漏洞后进行补丁热修复。

    • 补丁热修复:虚拟化平台支持补丁热修复技术,修复过程不需要用户重启系统,不影响用户的业务。

    • 数据清零:实例服务器释放后,其原有的存储介质将会被可靠地执行数据擦除操作,以保障用户数据的安全。

    • 虚拟化系统安全:虚拟化技术是云计算的主要技术支撑,通过计算虚拟化、存储虚拟化、网络虚拟化实现云计算环境下的多租户资源隔离。

  • 云平台安全合规

    • 云平台合规资质:阿里云致力于满足云上高合规要求行业客户的需求,满足境内外多项合规资质的要求。更多关于阿里云的安全合规信息以及合规文档,可参见阿里云信任中心>阿里云合规

    • 云平台合规能力:阿里云基于完整的平台与产品管理机制,结合自身合规治理经验,推动内外部合规标准在云平台与产品中落地,确保云平台与产品在基础设施安全、网络安全、身份安全、主机安全、数据安全与个人信息保护、云产品安全等方面均符合海内外合规标准。

    • 云平台合规认证:阿里云致力于加强全球化业务布局的合规体系建设。作为全球安全合规水平领先的云服务商,阿里云通过独立第三方机构验证其安全合规的符合性,并在全球范围内通过了140多项安全合规认证。这些认证展现了阿里云在各体系标准下的全面安全能力。阿里云不断提升云平台安全合规水位,以此支持云上客户及组织高效满足所在地区和相关行业的安全合规要求。

  • 云产品自身安全

    • 全流程产品安全保障建设:阿里云在产品全生命周期中,通过多环节干预,以纵深防御、零信任架构设计理念为指导,并通过自动化、数字化安全分度量机制,切实保障安全要求的落地。最终,使云平台、云产品具备高安全水位。

    • 全方位红蓝对抗反向校验:安全水位需在攻防对抗过程中不断提升,阿里云在内部建设了红蓝对抗体系,蓝军团队采用 APT级强度对云平台开展渗透测试,从内部视角查漏补缺。另一方面,阿里云拥有完善的外部白帽生态及漏洞悬赏机制,邀请第三方服务商来进行渗透测试、漏洞挖掘,从外部视角验证云平台安全防御水位。

    • 终端硬件产品安全:无影针对硬件终端增加了设备、固件、系统等维度的安全防护:

      • 首先,硬件终端使用内置的不可复制且不可伪造的硬件信息保证终端设备真实性和唯一性。用户隐私数据采用一机一密进行加密存储,防止被盗用。在用户遇到问题时可以开启调试或诊断接口,且只有在用户授权情况下才可以开启,方便售后问题处理。部分无影硬件终端设备(例如无影魔方Pro AS06无影方舟Pro NS01)支持指纹、人脸识别等生物识别能力,借助增强的用户身份验证,保证登录用户的身份安全可靠。

      • 其次,硬件终端具备安全启动以及系统镜像升级的能力。升级镜像包会经过TLS加密传输,并在终端侧进行签名校验和完整性校验,保证硬件重点设备的固件安全。

      • 最后,终端系统支持高危漏洞扫描与修复,包括内核的高危漏洞、业务代码的漏洞。同时核心系统文件、服务具备防篡改能力和严格的权限管理机制。

客户负责“安全用云”

客户需要以安全的方式使用云产品。为了进一步降低客户进行安全配置的门槛,阿里云提供了一系列安全管理与配置工具,客户可以根据业务需要选择合适的工具进行配置,保障EDS上的业务安全性。具体说明如下:

上一篇:安全合规下一篇:身份与访问管理
  • 本页导读 (0)
  • 云上安全的重要性
  • EDS的安全责任共担模型
  • 阿里云负责提供“安全的云”
  • 客户负责“安全用云”