網絡世界不斷誕生、跳動的資料位元組們
他們随着業務遊走虛拟世界
在應用間穿梭
複雜環境裡資料安全
應處于精細設計的系統中
資料的一生
應當被這樣保護
一、雲的實體機房:資料的「金鐘罩、鐵布衫」
雲對資料的保護,從這裡就開始了。
我們來看下,阿裡雲堪稱“森嚴”的實體防護:
實體中心:
作為“基建狂魔”的阿裡雲,在全球24個地域開通了78個可用區,為遍布全球的資料提供多個靈活可掌控的“容身之所”;
安防裝置:
從實體中心的選址、内部分區劃分,到火災報警系統的防誤報功能,再到覆寫人員、車輛、儀器、運維管控等等,全球最進階别的實體安防制度;
内部管控:
通過分類分級管控、工單驅動授權、行為資料化分析等建立了内部管控體系,嚴控内外部任何可能發生的威脅;
維護保障:
定期進行維護檢查,對實體設施、雲服務平台進行定期更新,【永不當機】不是一句口号。
(圖:阿裡雲資料中心安防體系)
二、雲平台:收斂資料風險
什麼叫安全融入基礎設施?
不喊口号,從資料保護次元看一下是怎麼實作的。
如果說實體機房為雲上資料打好了堅硬的地基,那由虛拟化的存儲、網絡、計算等共同建構的雲平台,則是為資料提供居住、傳輸、計算的場所。
- 存儲:主流的存儲類型(例如OSS、檔案存儲、表格存儲等)和資料庫服務,阿裡雲均支援落盤加密,在資料寫入的一刻,即保護其安全;
- 網絡:阿裡雲全球部署的3000餘個POP節點,在每個節點中都融入了諸如IP隔離、DNS防護、單節點60000QPS能力以抵禦DDoS攻擊,此外還有單獨的SCDN能力,提供加密網絡傳輸,交織起一張安全的防護網絡;
- 計算:虛拟化ECS執行個體,既要保證其本身的高可用,也要具備從底層透穿而上的可信環境,讓資料在此環境中可以安全地流動,并創造價值。阿裡雲在可信環境上,基于TPM\VTPM技術,建構了基于晶片的雲平台可信鍊,形成“一級加載一級,一級檢查一級”的邏輯鍊條,為雲上資料提供安全可信的處理環境。在機密計算側,通過虛拟化Enclave技術,在ECS執行個體内部建立可信隔離空間,實作資料可用不可見,讓資料能夠高效流動起來,進而産生價值。
(圖:阿裡雲全鍊路可信環境)
容災備份:資料的“兜底”保障
孤品,應該如何保護?
備份,似乎是個不錯的選擇。
資料,道理也是共通的。資料的備份容災,可以很好地幫其避免丢失、勒索的命運,是安全的“兜底”保障。而雲,随用随取的海量彈性資源,簡單易用的計算、存儲、網絡、資料庫、大資料服務,讓它成為了天然的備份容災中心。
勒索頑疾,迎刃而解
勒索軟體正在成為資料的頭号威脅,報告顯示,以資料加密為主要攻擊手段的勒索軟體在2021上半年比去年同期平均增長了93%,受害者在2020年所支付的贖金比2019年增長了171%。
阿裡雲上,「無處不在」的資料備份讓勒索病毒無用武之地。
塊存儲、檔案存儲、對象存儲、資料庫、HBR等等等等,都設計了備援資料存儲機制,可預設/手動開啟的多副本備援存儲,例如,OSS存儲即采用多可用區(AZ)機制,将客戶的資料分散存放在同一地域(Region)的3個可用區内。當某個區不可用時,仍然能夠保障資料的正常通路,極大降低資料丢失率。
容災=永不當機?
阿裡雲一直緻力于提供“永不當機”的雲服務。
全球範圍内最高标準的基礎設施容災:對雲下資料中心設定電力、溫度、災難等應急預案,哪怕遭遇極端情況,實體中心遭到了斷水、斷電、火災,甚至實體破壞,也能在雙路備用電源、火災檢測系統等機制下,支援通路服務,并發出維修警報。
極其複雜的容災體系:針對雲基礎産品以及存儲在雲上的資料,阿裡雲均建立了備援體系,實作業務資料跨地域、跨可用區部署,建構同城應用雙活、異地資料災備、異地多活和兩地三中心等容災體系。當災難發生時可實作秒級切換,對于金融、證券等監管部門有明确要求的行業,每年例行進行周期性容災演練,提供高SLA使用承諾。
周密設計的容災體系落地的好,是保障永不當機的基礎,才是真正的資料高可用。
(圖:阿裡雲雲上容災體系)
三、雲上,資料保護如此天然
雲的價值之一,是資料的線上。
雲被長期質疑的聚焦之一,是資料的安全性。
沖突如此的對立統一。
當真正了解雲之後,會發現它對資料的保護是一種天然直覺。
資料在雲上誕生的那一刻
在它一生的旅行中,
會經曆
落盤(位元組級)加密
資料識别
資料審計
可信計算
機密計算
密鑰管理
資料防洩漏
資料脫敏
資料記錄檔管理
資料通路權限控制
可控的銷毀
等等環節
覆寫着
采集
傳輸
存儲
處理
交換
銷毀
全流程
在一個基于可信硬體的安全雲環境裡,
確定合規基礎上,
以精密設計的天級的密鑰輪轉,
形成主動自發的行為,
建構“天書級”破解難度,
保護每一個資料“發光發熱”。
(圖:資料的上雲之旅)
具體到一些細粒度的技術點,比如:資料血緣保證流轉時的安全,記錄資料之間的複雜鍊路;敏感資料在存儲、使用時加了機器可以看到而肉眼無法識别的盲水印;基于深度神經網絡和機器學習的資料識别,以提升資料發現和分類分級的能力;API隐身提升資料通路時的安全...相比起雲下,雲上各安全産品有統一OpenAPI接口和強大的威脅情報庫的加持,可以實作多産品間的關聯、全網預警、政策秒級下發等能力。利用這些工具可以提升客戶對雲上資料的可見度和操作自動化,可見度可以讓我們對威脅看的更清楚,自動化可以減少因人為造成的錯誤,二者結合,可以打造比IDC更安全的雲上資料處理流程。
(圖:雲上資料權限管控體系)
四、打破黑盒,看見信任
在上一段提到的沖突對立統一中,我們發現割裂的地方之一是:“資料放在雲上,怎麼保證雲廠商不會擅自使用、操作?”
(圖:雲上資料安全管控體系)
如同銀行誕生之初,大家會思考現金攥在自己手裡安全,還是交給銀行拿回來一張紙更值得信任。
這種信任的建構過程,并不是單純的技術可以解決的,更需要制度和體系的保障。
阿裡雲在内部人員操作權限層面,設計了一系列管控制度,推進信任的建立。
對内:不可觸碰的行為紅線
内部人員通路和權限控制上,阿裡雲做了兩件重要的事情:
其一,統。
阿裡雲内部建立三個統一管理平台。
- 賬号統一管理:
單個賬号發生任何變動,如離職、轉崗、業務變動等,權限自動調整并同步;
- 運維統一管理:
對所有運維管控類API建立了認證、鑒權及管理機制;
- 統一客戶授權管理:
保障觸碰客戶雲上資源及資料的操作在發起前強制獲得客戶顯示授權,避免通過口頭、聊天等非正式方式進行授權。
通過三合一統,掌控所有内部通路、操作情況,并進行統一監管。
其二,控。
- 賬号管理:
每個賬号明确持有者,并遵循最小權限原則,授予員工有限的資源通路權限;
- 行為管理:
設定運維操作紅線,所有遇到操作客戶雲上資源、觸碰客戶的雲上業務資料的業務場景,要求提前通過工單、服務單等形式獲得客戶明确授權,具體到資料庫API調用場景,紅線禁止繞過已有運維管控流程,做手工API調用。
通過管+控,将有限的權利賦予正确的人,保證雲上資料免受未經授權的通路。
對外:透明是提升信任的有效手段
再嚴格的管控手段,深藏平台之後,對使用者而言依舊是一個“黑盒”。
為進一步提升信任,阿裡雲通過Inner-Action Trail服務将“黑盒”透明化。對使用者來說,這是一項永久免費的服務,可以接近實時地自動采集并存儲雲平台側操作事件。
基于日志服務輸出查詢分析、報表,雲平台所有使用者都可以訂閱檢視,目前阿裡雲10款重點産品開放了這項服務,涵蓋伺服器、存儲、資料庫、密鑰管理等,讓資料保護可見、可控。
五、資料隐私兩手抓,最合規雲平台
資料和隐私常常會被放在一起讨論,但這是兩個不同的概念。
在阿裡雲的定義中:
- 業務資料:客戶基于雲上應用開展業務所産生的資料,通過雲平台提供的服務,加工、存儲、上傳、下載下傳、分發以及通過其他方式處理的資料;
- 使用者資料:客戶在使用雲服務或産品時,提供給雲平台的企業資訊、賬戶資訊、聯系資訊、身份資訊、裝置資訊、日志資訊、服務記錄等,屬于客戶隐私。
對于雲上的隐私類資料,阿裡雲同樣制定了一套管理體系,保證客戶對其所有權和控制權。
首先:包括人、實體、基礎設施、通路控制等十幾個方面確定資料在雲上的安全性;
其次:設定個人資訊保護團隊,加強人員教育訓練與機制流程制定;
再次:産品規劃遵循預設隐私設計(Privacy by Design)理念,将安全融入到系統和産品設計中。所有新釋出的雲産品上線之前,都必須通過安全+隐私設計的雙重評估,確定其合規性。
還有(one more thing):阿裡雲通過大量權威機構的認證,證明個人資訊保護能力/資料安全保護能力,已獲得:ISO/IEC 27701:2019、ISO/IEC 29151:2017、ISO/IEC 27018:2014、BS 10012:2017在内的關于國際隐私保護标準認證的“全滿貫”。
(圖:阿裡雲全球合規認證)
六、明确資料權利和義務,才能踐行保護
明确權利和義務,是法律得已踐行的基礎。
資料的保護,同理可證。
在以上所有保障手段之上,阿裡雲更近一步,明确了使用者對不同類型資料的權利與義務,并通過法律法規、資質認證等多種手段保障權利和義務的履行。
阿裡雲鄭重承諾:
- 客戶的資料完全歸客戶所有;
- 客戶對資料擁有控制權,可進行删除、更改等操作;
- 未經許可,阿裡雲不會接觸、操作、更改客戶資料;
但同時,也強烈建議所有雲上使用者,為了自身資料安全,應妥善管理存在雲上平台的資料以及進入和管理雲平台産品的服務密碼、密碼等,并正确地配置并使用雲上安全工具,保護自身重要資料不洩露。
(圖:雲上存儲媒體一生)
更多詳細資訊,參考阿裡雲最新釋出《資料安全和隐私保護白皮書》,阿裡雲将持續緻力于雲上資料和隐私保護建設,為客戶提供更安全的雲上服務。
長按識别下方二維碼即可免費領取,也可在“阿裡雲信任中心—資料庫”點選下載下傳。