摘要:2019杭州雲栖大會雲安全峰會專場,由阿裡雲智能架構總監黃瑞瑞帶來以“雲上全棧資料安全保護體系建設”為題的演講。本文首先對雲上安全架構和雲上資料安全架構進行了介紹;其次對資料安全生命周期進行了介紹;再次對雲上資料安全的可靠、可控、可見三大要素進行了介紹;最後介紹了阿裡雲提供的業界領先的全面合規機制。
視訊直播回顧(請點選“9.27.PM——雲安全峰會”觀看)
以下為精彩視訊内容整理:
阿裡雲安全-雲安全上司者
阿裡雲的資料安全保護體系和資料安全保護能力是市場上的上司者,一些資料能夠證明這一點。第一是40%,即阿裡雲保護了中國超過40%的網站;第二是50億次,每天阿裡雲成功抵禦50億次的攻擊;第三個是50%,阿裡雲成功的防禦了全中國超過一半的DDoS攻擊;第四是100萬,阿裡雲每天為超過100萬的企業客戶提供安全服務。阿裡雲幫助使用者修複了超過833萬次的安全漏洞,同時全年做了79次的整體應急響應。這些數字的背後展現了雲安全整體的安全能力,這些安全能力造就了分析師和分析機構認同阿裡雲是中國公有雲服務商安全評估的上司者,也是全球公有雲服務商安全評估的卓越表現者。
雲上安全架構
接下來,介紹一下整個雲上的資料安全保護體系,首先看一下整體的雲上安全架構,這個雲上安全架構分了7個次元。架構最左邊是雲上使用者側的賬戶安全,還有雲平台側的安全管理。最右側是使用者側的安全監控和營運,還有雲平台本身的安全監控和營運。接下來介紹一下架構的中間區域,中間區域包含了虛拟化安全,也包含了雲産品安全。阿裡雲希望人人都能夠享受到最進階的安全保護,隻要你是阿裡雲的使用者,本身就享受到了實體安全、硬體安全、虛拟化安全和雲産品提供的安全。接着往上是使用者的4個次元,包含了使用者的業務安全、應用安全、資料安全和基礎安全。另外,使用者側不代表這些次元都需要使用者來搞定,如果是阿裡雲的使用者,當你用整體的雲平台時,你的技術安全、業務安全等都可以用阿裡雲本身的雲産品的能力、安全服務、安全産品來提供全面的保護。那麼為什麼說這些是使用者側的雲上安全架構體系呢?是因為當阿裡雲提供了這些不同的能力、不同的産品、不同的服務的時候,是需要使用者來遵循企業上雲的最佳實踐,包括白皮書上所描述的安全能力。
整個架構的焦點是使用者資料安全,使用者資料安全整體而言是分三個大的架構子產品,第一是資料保護;第二是全鍊路加密;第三是密鑰管理。在雲上安全架構圖中,無論是從橫向看還是縱向看,使用者的資料安全都是在最中間的,這個并不是巧合。為什麼使用者的資料安全是在使用者的技術安全之上但是又在使用者的應用安全之下呢?是因為需要用到使用者基礎的安全能力,也需要用到使用者應用側的安全能力,用這些能力進而保護雲上資料,同時也需要利用賬戶安全,包括安全監控和營運能力。
資料安全生命周期
資料有自己的生命周期,在生命周期的各個節點中,我們對它的安全能力的要求到底是什麼呢?首先當一個公司資料産生的時候,它必然要收集自己的資料,這個資料可能是雲下的,也有可能是雲上的。那需要什麼樣的安全能力呢?答案是需要對資料識别的安全能力。因為每一個人資料的敏感度,甚至每一行資料的敏感度都是不一樣的,進而需要的保護也不一樣。是以在一開始生成資料的時候,需要對資料進行識别,才能知道資料是否需要高等級增強的安全保護還是正常預設的安全保護。
第二個節點就是當有了資料之後,無論是在雲上的點到點之間,還是從雲下傳輸到雲上,一定要有資料傳輸中的安全保護,這個安全保護能力是落在安全加密上,必須要有SSL證書服務,同時還可以用網關去建構一個安全的隧道,來實作對傳輸加密能力的要求。對于第三個節點和第四個節點而言,一個是資料處理,一個是資料交換。在這兩個節點之中資料都得到了運算,都是被計算處理的,同時需要處理之後的結果,包括中間需要進行的交換。在這兩個節點中,資料處理的節點需要的能力是什麼呢?當然是資料的隔離。對資料進行隔離需要做到三點,一是從硬體的角度提供一些資料隔離能力,包括用到的神龍SGX執行個體;二是進行權限管控,權限管控就是為了資料保護而存在的;三是資料脫敏。第四個節點是資料交換,在權限管控和資料脫敏外,還需要資料洩露檢測能力。第五個節點是資料存儲,就是把資料放到雲上來進行存儲,需要全面的資料存儲加密能力和密鑰管控能力。第六個節點是資料銷毀,資料銷毀這個節點需要可靠的實體和數字手段做實體上的銷毀和邏輯上的、數字上的清理。
雲上資料安全架構
對于客戶來說資料本身就是多元度的,有的資料需要得到高等級保護,有的并不需要,這個時候就需要多元的資料架構,雲上資料安全架構這一塊有4個橫向的次元和4個縱向的次元。先說橫向的次元,從底往上看,底下是雲平台的資料安全,包含實體安全、硬體安全、虛拟化安全等。再往上一層是雲産品資料安全,也就是說當使用雲産品的時候,需要有可靠的手段、密鑰管理、全鍊路加密進行支撐,同時我們的資料本身是要可用的,而且還要是可靠的。再往上一層是雲上資料保護以及雲上環境保護。
縱向是認證和授權管理,通過認證和授權管理能夠提供通路控制。在這當中需要給出的是全面的日志監控和相對應的操作審計,需要有完整的帳号管理體系。
雲上資料安全核心三要素
雲上資料安全的核心三要素是可靠、可控、可見,接下來對這三要素進行詳細的介紹。
可靠—可靠的保護機制
阿裡雲預設高安全等級基礎設施
可靠其一是指可靠的資料安全保護機制,通過多元度來實作多元度的保護機制,第一個次元就是在阿裡雲上提供了預設的高安全等級基礎設施,這些預設的高安全等級基礎設施在硬體方面會做安全固件的檢測,會進行可信的度量;在CPU層面會提供SGX的加密結算;在Hypervisor層面會有相對應嚴格的監控和審計體制;在作業系統這一塊會基于安全度量,會有動态的應用白名單、量和響應;在應用服務這一塊會用到加密計算。
阿裡雲敏感資料保護服務
可靠其二是指阿裡雲的敏感資料保護能力,敏感資料保護能力需要具備三個能力,即敏感資料的識别、脫敏、防洩露檢測。首先說一下識别,識别是指當資料産生的時候就需要知道這個資料是高敏感等級的還是低敏感等級的。若是高敏感等級,接下來需要對高敏感等級的資料進行相對應的資料脫敏,最後在使用資料的時候可以通過敏感資料保護服務來進行防洩露的檢測。
阿裡雲資料全鍊路加密能力
可靠其三是指資料全鍊路的加密能力,當說到全鍊路時,一般來說業界提到的是在傳輸中和在存儲中。但是其實這并不是全鍊路,全鍊路還有在計算行為中,當做傳輸的時候會有傳輸加密,做計算行為的時候可以給使用者提供基于SGX的加密計算環境,最後當資料需要進行存儲的時候在對完整的落盤存儲中的資料加密保護。
資料加密實作的平衡選擇
數字加密聽起來還蠻高大上蠻複雜的,但是背後的原理非常的簡單,當有資料明文、加密算法、密鑰三者存在時,就能夠得到資料密文。實作資料加密機制,實際上需要平衡複雜度和高成本,而且最重要的是要考慮可控性。
首先先看一下複雜度和高成本,複雜度和高成本其實是可以看到,如果想要把資料加密的機制實作在用戶端或者雲下,那麼複雜度和成本就比較高的,如果想要在雲上做這個東西的話它的複雜度就比較低。是以當說到高複雜度、高成本的時候,其實并不僅僅指的是加密本身的實作,因為加密算法本身已經是對外的一個公開算法。是以,真正實作加密機制本身有一定的技術門檻,但是還達不到高複雜度和高成本,而這個高複雜度和成本實際上是在密鑰管理上。當線上下的時候每一個使用者都需要有妥善的加密機對密鑰進行管理,還需要有非常好的密鑰整體的生命周期管理機制和相對應的保證,這一切都是去實作加密機制。
可控—可控的密鑰管理
資料加密操作的可控性
可控指的是密鑰管理可控,為什麼這樣說呢?先看一下很簡單的公式,資料明文+加密算法+密鑰=資料密文。資料明文是客觀存在的,加密算法本身就是有相對應的标準、相對應的公開的算法的實作機制,最終就是密鑰,在這三個要素裡面必須要控制的就是密鑰,加密算法是一個保險箱,誰有這一把鑰匙就可以做操作,誰控制了這把鑰匙就控制了操作也就控制了被保護的資料,是以資料密鑰的保護非常的重要,這個控制權必須要交還給客戶。為什麼這樣說呢?因為使用者的資料隻歸屬于使用者,對于這個資料被保護後、被加密後的控制權也必須要交還給客戶,這個時候就必須要通過機制來控制密鑰。
雲産品支援BYOK加密
在雲産品支援BYOK加密的圖中可以看到,使用者可以自己生成密鑰材料上傳到三方認證的托管硬體加密機中,當主密鑰一旦進入到加密機,加密機的設計就保證了硬體上這個密鑰的明文不會從加密機出來。同時這個使用者主密鑰是使用者的資源,任何的調用都需要通過使用者的授權。當要進行操作的時候,使用者是必須要先授權的。作為一個阿裡雲的使用者,一定會授權給阿裡雲的一些雲産品。那麼這個控制權最終展現在哪裡呢?展現在若授權給阿裡雲的雲産品A,雲産品B就不能夠觸碰到你的密鑰,就不能夠用你的密鑰去解密你的資料。另外,授權給阿裡的雲産品可以去處理資料,使用者随時可以把這個授權取消拿回來。當這個授權取消後,阿裡雲的雲産品就不能夠調用主密鑰,以及對已經加密的資料進行操作了。是以使用者的主密鑰是使用者的資源,就像使用者的資料一樣都是使用者的資源,任何的調用都必須通過使用者的授權。
密鑰管理服務KMS:支援BYOK+托管HSM
現在,密鑰管理服務KMS已經能夠支援BYOK了,而且也在多個地域已經支援托管的HSM,可以看到在中國大陸北京上海地域,硬體加密機是通過了國内認證的。在中國大陸之外的香港、新加坡、悉尼等地是通過了FIPS140-2三級的合規認證,更多海外的Region也會在最近去推出托管HSM的能力。
雲産品資料加密支援現狀
接下來分享一下雲産品對資料加密的支援現狀,可以看到左側雲産品有存儲的雲産品、資料庫的雲産品、大資料處理的雲産品,這張表上面有10個産品,17個不同的版本,也代表了阿裡雲具備支援全鍊路加密、全線加密的能力和決心。
可見—雲平台内部日志透明化告别黑盒子
日志審計現狀
可見是什麼?可見是說雲産品的内部操作能夠透明化,讓使用者知道雲平台側發生了什麼,徹底的告别黑盒子。首先看一下日志的現狀,可以看到日志更新的現狀已經有了非常多的雲産品能夠提供非常詳細的産品側的日志給到使用者。同時通過操作審計産品,可以看到使用者在控制台、指令行來做的所有的操作,幫助使用者來收集它的操作來應對合規審計的需求。
日志審計現狀限制
日志審計現狀有一個限制,限制就是使用者是無法感覺雲平台側的内部操作,雲平台的各類日志都可以給使用者,但是雲平台的運維的操作是不可見的。使用者一定會産生疑問就是我的資料上雲了,資料是不是會被雲平台觸碰到,還有就是本身購買的計算資源、存儲資源等,是否會因雲平台的操作而受到影響。使用者的疑問通過内部操作透明化就可以完全解決掉。
内部操作透明化
内部操作透明化會對使用者提供相對應的記錄檔包括三大類,第一類是CUSTOMER_INITIATED_SUPPORT,是阿裡雲内部人根據使用者授權的操作(如機關);第二類是ALIYUN_INITIATED_SERVICE,是阿裡雲内部發起的操作,如當機之後的恢複,還有叢集的遷移;第三類是ALIYUN_INITITED_PENALTY,即如果有違法違規的情況存在,阿裡雲會根據國家相關的法律法規來進行相對應的處置。
内部操作透明化産品支援
目前這個OSS對象存儲的内部操作透明化能力已經上線了,後續也會接入更多資料類的産品,比如說塊存儲等等。這個内部操作的透明化并沒有任何的法律法規和合規要求,阿裡雲是中國第一家這樣做的。打一個很簡單的比方,你進到一個包子店想要吃包子,看到牆上有衛生的檢測證沒有問題,相當于有第三方的背書告訴你這是安全的。但是你發現旁邊的包子鋪不但有這些檢測的證明,同時它的廚房是透明的是玻璃的,你能夠看到他在幹嘛,怎麼包,怎麼端到你的桌子上,此時你肯定會選擇第二家。這就是我們要做的内部操作透明化的初衷,阿裡雲自願的把我們的雲平台的内部操作告訴客戶,讓客戶知道在雲平台側發生了什麼,進而提升他對雲平台的安全感和信任感。
合規
ISO&CSA STAR證書
最後,必須要整個資料的保護是合規的,阿裡雲提供了業界領先的全面的合規的機制。
業内領先的全面合規資質
堅守資料隐私的保護是阿裡雲的第一原則,大家可以到阿裡雲的信任中心去看相對應的資質,下載下傳相對應的報告。
阿裡雲安全白皮書4.0正式釋出
阿裡的雲白皮書4.0版本在雲安全峰會上正式釋出,在這個4.0版本之中詳細的定義了五橫兩縱的雲上架構體系,總共有7個次元,7個次元下面有26個架構子產品,每個架構子產品下面又有不同的安全上的功能,一共有81個安全功能點。
企業上雲安全最佳實踐
基于阿裡的安全白皮書,也推出了企業上雲的安全指引概括,版本是1.0。主要是從使用者的視角出發,從使用者自身的特征來思考,讓使用者和阿裡雲團隊一起來思考如何上雲,如何去做,是一步一步的實操的操作書,希望通過依賴阿裡雲強大的原生的安全能力,來建構使用者自身的安全保護體系。