編者按:
網路世界不斷誕生、跳動的資料位元組們,他們隨著業務遊走虛擬世界,在應用間穿梭。複雜環境裡資料安全應處於精細設計的系統中資料的一生應當被這樣保護。
一、雲的物理機房
資料的「金鐘罩、鐵布衫」
雲對資料的保護,從這裡就開始了。我們來看下,阿里雲堪稱“森嚴”的物理防護:
物理中心
作為“基建狂魔”的阿里雲,在全球24個地域開通了78個可用區,為遍佈全球的資料提供多個靈活可掌控的“容身之所”。
安防裝置
從物理中心的選址、內部分區劃分,到火災報警系統的防誤報功能,再到覆蓋人員、車輛、儀器、運維管控等等,執行全球最高級別的物理安防制度。
內部管控
透過分類分級管控、工單驅動授權、行為資料化分析等建立了內部管控體系,嚴控內外部任何可能發生的威脅。
維護保障
定期進行維護檢查,對物理設施、雲服務平臺進行定期更新,【永不宕機】不是一句口號。
(圖:阿里雲資料中心安防體系)
二、雲平臺
收斂資料風險
01什麼叫安全融入基礎設施?
不喊口號,從資料保護維度看一下是怎麼實現的。
如果說物理機房為雲上資料打好了堅硬的地基,那由虛擬化的儲存、網路、計算等共同構建的雲平臺,則是為資料提供居住、傳輸、計算的場所。
儲存:主流的儲存型別(例如OSS、檔案儲存、表格儲存等)和資料庫服務,阿里雲均支援落盤加密,在資料寫入的一刻,即保護其安全。
網路:阿里雲全球部署的3000餘個POP節點,在每個節點中都融入了諸如IP隔離、DNS防護、單節點60000QPS能力以抵禦DDoS攻擊,此外還有單獨的SCDN能力,提供加密網路傳輸,交織起一張安全的防護網路。
計算:虛擬化ECS例項,既要
保證其本身的高可用
,也要
具備從底層透穿而上的可信環境
,讓資料在此環境中可以安全地流動,並創造價值。阿里雲在可信環境上,基於TPM\VTPM技術,構建了基於晶片的雲平臺可信鏈,形成“
一級載入一級,一級檢查一級
”的邏輯鏈條,為雲上資料提供安全可信的處理環境。在機密計算側,透過虛擬化Enclave技術,在ECS例項內部建立可信隔離空間,實現資料可用不可見,讓資料能夠高效流動起來,從而產生價值。
(圖:阿里雲全鏈路可信環境)
02容災備份:資料的“兜底”保障
孤品,應該如何保護?備份,似乎是個不錯的選擇。資料,道理也是共通的。資料的備份容災,可以很好地幫其避免丟失、勒索的命運,是安全的“兜底”保障。而云,隨用隨取的海量彈性資源,簡單易用的計算、儲存、網路、資料庫、大資料服務,讓它成為了
天然的備份容災中心
。
勒索頑疾,迎刃而解
勒索軟體正在成為資料的頭號威脅,報告顯示,以資料加密為主要攻擊手段的勒索軟體在2021上半年比去年同期
平均增長了93%
,受害者在2020年所支付的贖金比2019年
增長了171%
。
阿里雲上,「無處不在」的資料備份讓勒索病毒無用武之地。
塊儲存、檔案儲存、物件儲存、資料庫、HBR等等等等,都設計了冗餘資料儲存機制,可預設/手動開啟的多副本冗餘儲存,例如,OSS儲存即採用多可用區(AZ)機制,將客戶的資料分散存放在同一地域(Region)的3個可用區內。當某個區不可用時,仍然能夠保障資料的正常訪問,極大降低資料丟失率。
容災=永不宕機?
阿里雲一直致力於提供
“永不宕機”
的雲服務。
全球範圍內最高標準的基礎設施容災
:對雲下資料中心設定電力、溫度、災難等應急預案,哪怕遭遇極端情況,物理中心遭到了斷水、斷電、火災,甚至物理破壞,也能在雙路備用電源、火災檢測系統等機制下,支援訪問服務,併發出維修警報。
極其複雜的容災體系:
針對雲基礎產品以及儲存在雲上的資料,阿里雲均建立了冗餘體系,實現業務資料跨地域、跨可用區部署,構建同城應用雙活、異地資料災備、異地多活和兩地三中心等容災體系。當災難發生時可實現秒級切換,對於金融、證券等監管部門有明確要求的行業,每年例行進行週期性容災演練,提供高SLA使用承諾。
周密設計的容災體系落地的好,是保障永不宕機的基礎,才是真正的資料高可用。
(圖:阿里云云上容災體系)
三、雲上
資料保護如此天然
雲的價值之一,
是資料的線上
。雲被長期質疑的聚焦之一,
是資料的安全性
。矛盾如此的對立統一。
當真正瞭解雲之後,會發現它對資料的保護
是一種天然直覺
。
資料在雲上誕生的那一刻在它一生的旅行中
在一個基於可信硬體的安全雲環境裡,確保合規基礎上,以精密設計的天級的金鑰輪轉,形成主動自發的行為,構建“天書級”破解難度,保護每一個數據“發光發熱”。
(圖:資料的上雲之旅)
具體到一些細粒度的技術點,比如:資料血緣保證流轉時的安全,記錄資料之間的複雜鏈路;敏感資料在儲存、使用時加了機器可以看到而肉眼無法識別的盲水印;基於深度神經網路和機器學習的資料識別,以提升資料發現和分類分級的能力;API隱身提升資料訪問時的安全。。。相比起雲下,
雲上各安全產品有統一OpenAPI介面和強大的威脅情報庫的加持
,可以實現多產品間的聯動、全網預警、策略秒級下發等能力。利用這些工具可以提升客戶對雲上資料的可見度和操作自動化,可見度可以讓我們對威脅看的更清楚,自動化可以減少因人為造成的錯誤,二者結合,可以打造
比IDC更安全的雲上資料處理流程
。
(圖:雲上資料許可權管控體系)
四、打破黑盒,看見信任
在上一段提到的矛盾對立統一中,我們發現割裂的地方之一是:“資料放在雲上,怎麼保證雲廠商不會擅自使用、操作?”
(圖:雲上資料安全管控體系)
如同銀行誕生之初,大家會思考現金攥在自己手裡安全,還是交給銀行拿回來一張紙更值得信任。
這種信任的構建過程,並不是單純的技術可以解決的,更需要制度和體系的保障。
阿里雲在內部人員操作許可權層面,設計了一系列管控制度,推進信任的建立。
01對內:不可觸碰的行為紅線?
內部人員訪問和許可權控制上,阿里雲做了兩件重要的事情:
其一,統。
阿里雲內部建立三個統一管理平臺。
賬號統一管理:
單個賬號發生任何變動,如離職、轉崗、業務變動等,許可權自動調整並同步。
運維統一管理:
對所有運維管控類API建立了認證、鑑權及管理機制。
統一客戶授權管理:
保障觸碰客戶雲上資源及資料的操作在發起前強制獲得客戶顯示授權,避免透過口頭、聊天等非正式方式進行授權。透過三合一統,掌控所有內部訪問、操作情況,並進行統一監管。
其二,控
。
賬號管理:
每個賬號明確持有者,並遵循最小許可權原則,授予員工有限的資源訪問許可權。
行為管理:
02對外透明是提升信任的有效手段
再嚴格的管控手段,深藏平臺之後,對使用者而言依舊是一個“黑盒”。
為進一步提升信任,阿里雲透過Inner-Action Trail服務將“黑盒”透明化。對使用者來說,這是一項永久免費的服務,可以接近實時地自動採集並存儲雲平臺側操作事件。
基於日誌服務輸出查詢分析、報表,雲平臺所有使用者都可以訂閱檢視,目前阿里雲10款重點產品開放了這項服務,
涵蓋伺服器、儲存、資料庫、金鑰管理
等,讓資料保護可見、可控。
五、資料隱私兩手抓
最合規雲平臺
資料和隱私常常會被放在一起討論,但這是兩個不同的概念。
在阿里雲的定義中:
業務資料
是客戶基於雲上應用開展業務所產生的資料,透過雲平臺提供的服務,加工、儲存、上傳、下載、分發以及透過其他方式處理的資料。
使用者資料
是客戶在使用雲服務或產品時,提供給雲平臺的企業資訊、賬戶資訊、聯絡資訊、身份資訊、裝置資訊、日誌資訊、服務記錄等,屬於客戶隱私。
對於雲上的隱私類資料,阿里雲同樣制定了一套管理體系,保證客戶對其所有權和控制權。
首先
包括人、物理、基礎設施、訪問控制等十幾個方面確保資料在雲上的安全性。
其次
設定個人資訊保護團隊,加強人員培訓與機制流程制定。
再次
產品規劃遵循預設隱私設計(Privacy by Design)理念,將安全融入到系統和產品設計中。所有新發布的雲產品上線之前,都必須透過安全+隱私設計的雙重評估,確保其合規性。
還有(one more thing)
阿里雲透過大量權威機構的認證,證明個人資訊保護能力/資料安全保護能力。已獲得:ISO/IEC27701:2019ISO/IEC29151:2017ISO/IEC 27018:2014、BS10012:2017在內的關於國際隱私保護標準認證的“全滿貫”。
(圖:阿里雲全球合規認證)
六、明確資料權利和義務
才能踐行保護
明確權利和義務,是法律得已踐行的基礎。資料的保護,同理可證。
在以上所有保障手段之上,阿里雲更近一步,明確了使用者對不同型別資料的權利與義務,並透過法律法規、資質認證等多種手段保障權利和義務的履行。
阿里雲鄭重承諾:
客戶的資料完全歸客戶所有。客戶對資料擁有控制權,可進行刪除、更改等操作。未經許可,阿里雲不會接觸、操作、更改客戶資料。
但同時,也強烈建議所有云上使用者,為了自身資料安全,應妥善管理存在雲上平臺的資料以及進入和管理雲平臺產品的服務口令、密碼等,並正確地配置並使用雲上安全工具,保護自身重要資料不洩露。
(圖:雲上儲存介質一生)
更多阿里雲研究院出品的關於阿里巴巴集團數字化實踐、雲計算、大資料、人工智慧、物聯網等前沿科技的最新趨勢研究報告,請您關注“阿里雲研究”微信公眾號。
