1、导论如何保障云上业务的应用安全和数据安全,是每一个上云的企业和用户关注的重点。云上安全建设是一个体系化工程,需要用户主动进行多方面的考虑和实施,包括制定完善的安全策略和规范,如身份认证、访问控制、漏洞管理、安全审计、数据备份、数据加密等;建立安全监控与防御机制,当出现安������全攻击时业�����务能快速止损等。安全用云是用好云的第一步,也是最为关键的一步。在这个背景下,阿里云弹性计算技术公开课在 2024 年开年全新推出新一季【ECS安全季】,由阿里云八位产品&技术专家组成讲师团,通过分享云上安全体系相关产品与最佳实践,让用户快速上手构建业务的安全防护能力。本书内容整理自 ECS 安全季中的全部课程,供各位开
2、发者&用户阅览。目录页阿里云产品专家教你如何全方位构建 ECS ����安全体系.5九大提升 ECS 实例操作系统安全性的技巧.23干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源.52来上课!一文掌握守住 ECS 网络安全的最佳方法.78万字干货教你如何保证业务数据全流程安全.104云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环.137一文教你如何从零构建机密计算平台解决方案.163阿里云产品专家教你如何全方位构建 ECS 安全体系5阿里云产品专家教你如何全方位构建 ECS 安全体系2024 开年伊始,阿里云弹性计算团队全新推出新一季【ECS 安全季】,通过分享云上安全体系
3、相关产品与最佳实践,让用户快速上手构建业务的安全防护能力。首节课����程 如何全方位构建 ECS 的安全体系 由阿里云弹性计算高级产品专家马小婷带来,课程涵盖了“云上安全的重要性、云安全责任模型、ECS 安全能力大图解读”等内容,本系列全部课程也将在阿里云官网、阿里云官方微信视频号、阿里云官方钉钉视频号、阿里云开发者微信视频号同步播出。以下内容根据课程整理而成,供各位开发者阅读:对于安全问题,很多用户的直接反应就是操作是否太难?没有安全背景和基础能否快速上手?又或是云上业务规模很小,是否需要知道并了解这些安全措施呢?结合以上的种种问题,今天的分享希望带给大家两个收获:第一点是让大家对 ECS 的安全
4、责任边界和作为 ECS的用户所肩负的安全责任有基本的认知,第二点是让大家能够掌握一些解决 ECS 常见问题的一些安全技巧,通过本节课程的学习,大家可以立马用起来,毕竟安全无小事。阿里云产品专家教你如何全方位构建 ECS 安全体系6本次的分享主要分为以上四个方面。一、云上安全的重要性首先我们来关注一下云上安全的重要性,一直以来安全问题都是用户上云最关心的问题,我们得到的调研报告显示 96%的�������受访者其实非常关注云上安全问题,同时有 70%及以上的用户对云上的安全状态信心是不足的。阿里云产品专家教你如何全方位构建 ECS 安全体系7想要告诉大家的是,这种担心并�����不是可有可无。随着全球信息化浪潮的不断推
5、进,我们发现针对数据安全的风险也在不断上升,甚至愈演愈烈,这一部分的风险也来源于攻击者不断进化的攻击手段和日�������趋增加的安全�������事件。根据 cyberattacks-2022 年的数据统计显示,2022 年全球网络攻击事件相比增加了 38%,而网络攻击带来的后果一般都非常严重,不仅会导致我们的业务中断不可用,而且会导致敏感数据泄露,以致带来严重的经济损失,比如病毒勒索等。根据 IBM 调查报告显示,2023年因为数据泄露导致的平均损失高达 445 万美元,而数据泄露的平均周期是 277 天,这也意味着企业在遭遇了数据泄露以后,平均需要花费 277 天来识别并控制一个活跃的数据泄露,时间成本和经济成本非
6、常高。那么除�����了日趋复杂和严峻的安全环境之外,我们来看看 ECS 的用户们经常遇到的威胁都有哪些。其实很多用户上云购买的第一个云产品就是云服务器 ECS。我们发现很多用户在使用 ECS的过程中存在着一个误解,那就是购买了 ECS 之后就可以“安全无患、高枕无忧”,其实阿里云产品专家教你如何全方位构建 ECS 安全体系8不然。上图列举了目前 ECS 面临的一些典型的安全威胁,相信各位开发者可能也遭遇过。比如各位的实例遭遇 DDos 攻击,导致整个应用拒绝服务,或者 ECS 中了勒索病毒,导��������致数据无法被找回,又或者实例登陆密钥被泄露,导致数据被删除无法找回等等。其实大家遇到的问题只是 ECS 安全问
7、题的冰山一角,在阿里云后台,我们每天默默处理掉的 ECS 的各种安全问题数量也非常惊人。阿里云每天发现并发出以上的漏洞病毒告警超过10 万次,每天帮助用户清理的 DDos 攻击流量高达 2.08 Tdps,而我们每天扫描出来的操作系统这种安全漏斗高达 3 亿个,每天帮助客户清理的�������黑客工具高达 700 万个,这些问题每天依然在发生,那么导致以上问题的根因是什么呢?当前云计算安全建设的主要驱动力其实是合规性要求,我们对安全攻击和防护的重视度是远远不够的,而安全的本质其实是对抗,要抵御各种威胁才是提高安全的最终目标。随着云计算得到了广泛的应用,聚焦于云计算的攻击者其实会搜集网络上各种云服务,进而去发
8、现脆弱性并且加以利用。这些脆弱性主要来源于上图展示的五个方面。根据 2023 年 cloud security Alliance 的 top cloud security challenges 我们可以看到,首当其冲的是用户配置不当导致;其次是因为客户��������在云计算的技能不足导致;第三是多云阿里云产品专家教你如何全方位构建 ECS 安全体系9环境下的能见度不足导致的。根据 Gartner 预测,到 2025 年������,由于用户配置不当导致的安全问题的比例可以高达 99%。由此我们可以看到很多安全问题最终的根因其实归结为两点,第一个其实就是安全意识的不足,第二个是我们安全实践技能相关的缺失。安全意识的不足这
9、一点大家有目共睹,尤其是在我们 DoveOps 这种开发模式下,为了提升我们的开发效率,我们的开发运维团队会大量使用三方开源工具或者一些软件库,甚至是一些公开的容器镜像。这些开源软件或者是镜像中如果存在了一些安全漏洞,或者说遭遇了恶意污染,但我们的开发运维同学并不会去做严格的安全风控。最终如果用户使用了这些软件,那么接下来大家的业务则会面临着一些安全的风险,同时我们也注意到有很多人在无疑是的把业务中的一些敏感代码或者数据在互联网上进行托管,这种操作其实也会存在着一些数据泄露的安全风险。另一个调查可以显示,23%的����企业承认自身的业务其������实对网络攻击的准备是不足的,而 50%的企业承认自身的网络安全
10、水平其实是落后于起初规划的。其中一方面是因为大家自身技能的确实,另一方面也是大家不得不考量的成本问题,所以我希望�����今天的分享能够给大家做到安全方面的基础的科普,以及安全尝试,帮助大家尽量做到尽量避免因为配置不当或者意识不足导致的业务风险问题。阿里云产品专家教你如何全方位构建 ECS 安全体系10二、安全责任共担模型介绍第二部分将为大家详细介绍 ECS 的安全责任共担模型。这个责任模型是我们进行云上安全实践的重要基础,也是主要依据之一。在介绍模型之前,先为介绍一下 ECS 的底层架构,因为这也是我们对 ECS 的安全性进行配置的一个基础。在传统的云下应用架构下,搭建一个信息系统,需要自行负责信息系
11、统所以来的所有底层软硬件的资源和服务搭建。如果把信息系统的搭建比作为一������个房子,那在我们的传统服务模式下,我们则需要自行准备搭建一个房子所需要的全部资源。其实这里可以类比为我们在乡下宅基地自建房,需要选址打地基,设计房屋构造和布局,拉上水电煤等技术服务,最后做内部装潢,可能还需要判断房子外围是否需要加盖院子和围墙,来保障房子的安全。所以我们可以看到,在传统架构下,所有的任务和服务都需要我们自行设计、自行管理和自行维护。而在 infrastructure as service 基础设施及服务这种的服务模式下,我们可以看到云服务提供商就像房地产开发商一样,每一个基础且重要的“建房步骤”都由云服务提供
12、商来负责管理和维护,同时他们还需要保障不同的用户或者不同房子之间的资源隔离问题,需要做到互不影响。而我们作为用户,只需要根据业务需要以及当前的属性去做一些选择和配置即可。那我们来看一下选购一个 ECS 和选购一个“房子”有哪些重要的参考参数呢?首先就是选择地域和可用区,ECS 的地域和可用区类似于房子地段的情况,地段������由城市和县市决定。在地域和可用区的选择上,主要交由用户选择。建议大家选择在更靠近业务服务的目标用户的区���域,这样整个网络延迟相对更低。其次选择对应的 VPC 和交换机。VPC 是用户自定义的一种私有网络,而不同的 VPC 之间在逻辑上是完全隔离的,但同一个 VPC 中子网又是默认互通
13、的,交换机则是将一个 VPC 划分成一个或多个子网,所以从这个概念上来说我们可以把 VPC 理解为一个小区,同一个小区阿里云产品专家教你如何全方位构建 ECS 安全体系11中的房子在不出小区的情况下就能够互通,如果我们在一个小区中有多套房子,就可以通过交换机操作类似单元楼的方式进行划分,方便管理。所以在某种程度上,我们选择 ECS的 VPC 和交换机,其实就相当于我们在选择房子所在的一个小区和单元楼。然后我们要选择 ECS 镜像。ECS 镜像我们也叫操作������系统,其实我们在选择镜像的时候,可以分不同的类型和版本,比如我们选择 Windows server 2023 这个版本。这就相当于我们去选择这
14、个房子的户型究竟是三室两厅还是两室����两厅。下一步选择对应的 ECS 安全组。安全组其实是一个虚拟的防火墙,主要用来控制安全组内的 ECS 实例的入出方向的流量,相当于我们设置的一个“规则”来允许什么人可以进出单元楼,所以我们可以把安全组类比做门禁卡,可以通过设置门禁卡的规则来限定什么样的人能够进入我们的小区,进入我们的房子。最后则是选择实例的用户名和密码,也就相当于“房子钥匙”,不同的人可以用钥匙打开我们的门,进入到房子中去,所以如果我们的用户名和密码没有得到很好的保障,则相当于我们的钥匙也没有得到很好的保管,那么我们整个 ECS 其实是可以任由大家访问的。理解了整个 ECS 架构,我们就可以看
15、到作为 ECS 用户,我们就相当于一个房子的租客一样,需要我们作为租客(用户),对房子中所有的基础设施的配置来负责,包括对应的 ECS 有没有设置对应的网络隔离,整个实例操作系统的安全性有没有得到保障等等,以及有没有设置对应的访问策略,以及在里面跑的这些应用是否安全。这意味着整个 ECS 内部的������这一部分是由我们作为用户,需要自己管理并负责的。而云服务提供商其实就和房地产开发商一样,主要负责两部分的安全,第一部分其实��������负责对整个地域和可用区里面的基础设施进行和管理和维护,第二部分其实对于我们这个虚拟化服务和云产品的管理和服务进行负责。阿里云产品专家教你如何全方位构建 ECS 安全体系12在了解底层
16、架构之后,我们再来讨论 ECS 的安全责任共担模型,其实就会发现,这个模型会更清晰。上图右侧列举了云服务提供商和我们的用户之间的责任边界,可以看到�����云服务提供商对云本身的安全性负责,而云本身的安全性分成了两个维度,第一个就是基础设施的安全性,第二个是云服务的安全性。基础设施的安全性主要包括底层硬件的主机安全,以及一些虚拟化的安全。要提供一个安全、合规、可靠的基础设施,这也类似于我们房子的地基,房子的地基是否安全,房体所使用的钢筋水泥�������土是否符合国家建筑安全的规定。云厂商的第二个安全责任就是需要对云服务的安全性负责,主要是云服务本身是否安全。而在这个基础上,用户侧需要围绕云上安全性需要做哪些事情呢?
17、上文介绍到了 ECS 一些重要的参数和组件,其实也是我们在提升 ECS 安全性方面所需要考虑的几个维度,目前我们可以分为四个维度。最底层GuestOs安全其实是我们ECS所有安全的基础,相当于房子����的门窗和钥匙是否安全。其次是访问安全,本质上来说,主要控制有哪些用户能够访问我们的实例。第三块是网络安全,主要通过网络隔离和网络控制手段提升整个网络的安全性。最后一部分是数据安全,也是云上安全的最终目标,当然其中也存在着不同的维度,比如我们可以用快照做数据备份,也可以对存储的数据进行加密,甚至可以通过机密计算的������方式保证数据在计算过程中阿里云产品专家教你如何全方位构建 ECS 安全体系13的安全性,这里
18、预告一下,数据安全在后续章节也会有讲师为大家做深入的开展。整体来说,ECS 的安全责任共担模型明确了云厂商和用户大家的责任边界,以及在每个维度上用户能够做的提升 ECS 安全性的一些事情。前面介绍的安全责任共担模型其实是一个整体大原则,根据中华人民共和国网络安全法以及互联网信息服务管理办法等相关法律规定,他们对厂商和云平台其实提出了更多的法律监管的要求,也意味着云平台除了前面提到������的需要对云本身的安全性负责意外,还需要根据国家的法律法规对以下的两类违法行为进行主动管控。第一点要强调的就是 ECS 上的一些违法行为,第二个则是 ECS 上的一些违法信息。第一类是违法行为,包括我们在 ECS 上对其
19、他云产品发起攻击,或者说我们对云产品进行一些扫描、渗透、测试等探测行为,或者我们使用云产品去搭建 DDos 的防御服务,还����包括我们使用云产品从事一些虚拟货币相关的工作活动,比如挖矿等,均属于违规行为。第二类是违法信息,指的则是我们在 ECS 上搭建一些网站服务,提供色情低俗的内容,或者有欺骗、赌博等非法行为,以及出现危害国家安全,破坏政治社会稳定的信息。在这种情况下,云平台������有权依照相关的法律采取相应的封禁措施。阿里云产品专家教你如何全方位构建 ECS 安全体系14对于存在一般违法行为的 ECS,阿里云会对 ECS 上的 url 和域名采取一些阻断动作。如果出现账号被封禁,用户可以申请免费解禁,
20、或者申请主动解禁。但对于严重的违法行为,我们除了阻断 url 和域名访问意外,还会禁止用户解禁,除非用户把数据完全删除/完全释放,才会解禁。对于情节严重的违法违规行为,我们会对 ECS 采取关停甚至限制对应账号访问的行为。当然如果用户在使用 ECS 过程中,因为上述问题被阿里云采取了封禁措施,用户也会收到对应的 ������ECS 系统事件以及对应的短信、邮件、站内信的通知。大家可以根据对应的通知来采取相关的措施进行及时清理。如果没有及时清理,接下来 ECS 可能就没有办法正常使用。三、ECS 安全能力大图解读第三部分我将为大家进行 ECS 安全能力的全貌解读。上文安全责任共担模型中提到,云厂商负责云本身
21、的安全性,而用户需要对云上的安全性负责。那在云上安全性这个维度上,阿里云也提供了一系列的安全能力和云产品和功能,来帮助大家快速的完成对应的安全能力的构建。在这里我们将 ECS 的�����安全能力主要分阿里云产品专家教你如何全方位构建 ECS 安全体系15成了以下五个维度。第一个是 GuestOS 安全的安全。GuestOS 安全的安����全前面提到其实就是 ECS 对应的实例操作系统贵的安全性。操作系统的安全性其实是 ECS 安全性的基础,主要也包含了两部分的安全,即操作系统本身的安全和登录安全。这两点类比的话,相当于房子的门窗是否紧锁,以及钥匙和门禁卡是否安全。第二个是网络安全。网络安全是最容易忽略的。因
22、为上云之后,�����所有的资源都在网络上,意味着人人都可以看到,如果设置不当,也可能会导致人人都能够访问。在这种情况下,如何能够进行安全保障呢?类比过来就相当于我们在地图上能够看到房子,但并不是所有人都能够进入到房内,因为单元楼和小区起到了物理的访问隔离的作用,加之门禁卡,就在访问隔离和访问安全控制下,更好的保障了房子的安全性。在网络上也是一样,可以通过设置对应的访问隔离,比如 VPC 的隔离策略来保证某些网络没有办法被其他网络访问,同时还可通过设置对应的安全组访问策略来限制“进去的人”和“出去的人”,进而提升 ECS 的网络访问安全性。第三部分是身份与访问控制。这就不是从单个资源角度出发,而是从一个
23、组织/公司中很多人在共同使用资源的角度出发。相当于一个公司有很多房子,分布在多个小�����区和单元楼,公司中什么样的人能够访问什么样的资源,对于核心资源的使用过程需要多次验证,临时来访用户需要临时授权等等,需要能进行精细化管理,同时还需要定时 review 过去一段时间内,有什么样的人通过什么样的方式访问了“房子”。所以某种程度上,身份与访问控制更多的是从一个组织������的角度出发,对整个组织下面的多种角色以及访问行为进行全面的控制,同时还可以做审计,这样可以保证我们云上的资源访问能够可追溯且可授权。阿里云产品专家教你如何全方位构建 ECS 安全体系16第四部分是应用安全。顾名思义,应用主要指的是 Web 应
24、用,或者说一些 APP 应用,主要作用其实是对外提供服务,并不是所有用户买了 ECS 都一定会对外提供服务,但一旦我们会外提供服务,最重要的就是保障服务��������的可用性。那么如何保障我们服务的可用性?阿里云提供了非常多的工具和产品,比如 Web 应用防火墙,它可以抵御各种常见的外部攻击。对于网站式 APP 的业务流量进行恶意特征识别,然后对流量进行清洗和过滤,能够把正常的流量返回给服务器,来避免网站服务器被恶意入侵,从而保证整个网络的业务安全。最后一点数据安全。数据安全是所有安全防护的终极目标,数据安全也是一个端到端的安全保障机制。因为数据本身存在三种状态:静止态、传输态、使用态。静止态指数����据存放在某
25、种地方,可能存在被误删/被删除的风险,可以通过定期数据备份保障对应的数据安全。同时,还可以通过数据加密的方式保证静止态数据安全。数据��������加密可以防止数据泄露,保证数据在传输过程中的安全性。使用态的数据使用安全,一般指的是在内存中读写的数据安全性,而机密计算其实是通过一种基于硬件的可信执行环境来达成在计算中保障数据安全的目的。所以数据安全更多的是一种端到端的安全保障机制,如果大家的业务对数据安全有更高的要求,则可以选择性的采取必要的措施来保障数据安全。为了进一步降低用户使用以上各种工具的门槛,我们提供了 ECS 使用成熟度评估与洞察这个产品,它基于云上的最佳实践和在其中提到的云上基础和安全保障能力,
26、为用户做更多的风险识别,并且能够为大家提供对应的修复建议,最终提升整个 ECS 安全性。阿里云产品专家教你如何全方位构建 ECS 安全体系17下面将为大家介绍两个最佳实践,让大家有更直接的体感。第一个是最佳�������实践是围绕 Guest OS 安全性提升的。前面提到了,Guest OS 的安全性是整个云上安全的基础。它分为两个维度的安全,首先是登陆安全,第二个是操作系统的安全。那如何从这两个维度上去提升我们 Guest OS 的安全性呢?围绕着登陆安全这个维度我们有几个简单的 tips。首先当然是使用非 root 账号登录。我们常见的比如阿里云侧我们会推荐大家使用 ECS uesr账号登录,而不是默认
27、的 root 账号。如果大家的能力更高阶,我们会推荐用户使用 Linux系统,使用 ssh 密钥对进行登����录,无需密码,安全性更高。但不管我们使用非 root 账号的登录,还是使用 ssh 密钥对登录,都需要定期更新登陆凭证,避免密码泄露带来的风险。如果我们对 ECS 的登陆安全有更高的要求,则可以使用我们提供的云助手提供的会话管理功能。它类似于堡垒机的功能,在不需要密码的情况下能够安全的登录到 ECS 的实例上,同时也可以通过会话管理或是 workbench 对所有的登陆操作进行追溯。阿里云产品专家教你如何全方位构建 ECS 安全体系18关于操作系统安全,上文我们也提到操作系统的安全相当于整个
28、房子的门窗是否安全,所以在这部分,我们首先推荐用户开启镜像加固,使用������免费版的云安全中心对操作系统中存在的安全漏洞进行扫描并定期修复。同时,云安全中心的收费版不仅可以对系统漏洞进行修复,同时还能够对操作系统中存在的木������马和病毒进行扫描和修复。当然如果我们有足够的能力且没有付费意愿,还可以通过系统运维管理的补丁管理去自动设置对应的补丁扫描,并且设置对应的修复策略。系统补丁管理程序则会根据设置自动扫描对应的操作系统中的补丁情况,并根据指定的修复策略自动完成对应的补丁修复,并且帮助我们去重启实例,保证补丁得到最新的修复。此外,如果我们对安全等保这个地方有要求,也可以使用阿里云提供的原生操作系统Aliba
29、ba Cloud Linux 等保 2.0 的镜像来提升整个操作系统的安全合规要求。上图中展示的灰色部分是基础能力,也意味着我们推荐所有用户都采用这样的�������策略,黄色部分是高阶能力,推荐大家按需使用。第二个最佳实践实际为一个综合性解决方案。我们发现很多用户在安全维度面临的问题是,阿里云产品专家教你如何全方位构建 ECS 安全体系19用户无法判断当前自身业务是否存在安全隐患,所以也无法进行优化/改进。同时,有些用户想要做一些安全性的改造,却不知道从哪里可以入手且快速看到效果。正如我们前面介绍的,绝大多�������数安全性问题其实是由于用户配置不当或者意识不足导致的,所以对绝大多数用户而言,我们提升安全性的第一步
30、是要识别我们当前的安全风险。那如何能够快速识别我们业务中常见的通用安全风险,进而防患于未然呢?在这里,ECS Insight 是我们推荐的一款一站式解决方案,它能够帮助用户快速发现问题,并且识别问题的严重程度,同时推荐对应的解决方案。对于没有太多安全基础,但想要提升安全性的用户来说,不清楚第一步如何“落脚”,那么 ECS Insight 是一个快速上手的好选择。ECS I�����nsight 是一款免费的风险识别类产品,当我们开通服务以后,会自动对我们 ECS �����和关联资源的分布、使用、配置等信息做分析,并结合机器学习算法进行建模,最终结合云上的最佳实践和最佳方案,给用户最终提供两个输出。第一个输出是使
31、用成熟度整体评估,它会从 ECS 的基础能力、成本、自动化、可靠性、弹性、安全性六大维度对当前业务进行一个整体评估,每个维度 100 分。如果该维度存在风险,则会进行扣分。第二个输出是对应的风险应对优化推荐方案。对于每个维度的失分项,ECS Insight 都会根据该问题的严重程度来进行区分。对于高危项,我们推荐用户立刻采取行动进行修复,对于告警,我们推荐用户选择合适的时间及时进行修复。对于提示项、不适用项和健康项,��������我们只是作为参考。所以在以上的几种情况下,我们借助 ECS 能够快速、一键式的识别当前业务存在的安全风险,并及时修复,防范于未然。阿里云产品专家教你如何全方位构建 ECS 安全体系
32、20下面为大家介绍一下 ECS Insight 的简单的 demo。大家登录 ECS 的控制台,在导览页里面就会有一个 ECS Insight 使用成熟度评估与洞察这样的一个入口,用户则需要先申请开通这个服务,开通之后需要花费 t+1 ������的时间对当前账号下所有资源的分布、使用、��������配置等信息去做一些数据的采集,建模分析,最终就会为大家产出一个分析报告。其实我们可以看到它主要分为了六个维度,也是从这六个维度的角度上做了评分。每个维度的分值以及对应的总分,这些都可以看到。对于没有得分的项,ECS insight 会根据对应问题的严重程度归类。对于高危项和警告项,是需要用户立即采取行动的。而对于不适用项和
33、提示项,其实是 nice to have 的能力,用户可以适当做一些参考。在安全能力维度上,我们可以�����看到 ECS Insight 目前提供的是通用的安全评估能力,主要包含网络安全能力、实例访问安全能力和实例数据安全能力三个维度,每个维度都提供了详细的安全风险评估标准。对于未得分项,都可以����点开具体看到评分规则,以及对应的受影响的资源是什么,以及对应的修复建议和对应的最佳实践。最后我们可以参考最佳实践和对应的修复建议来完成相关的配置修改,就能够完成相关的风险修复,也欢迎大家到 ECS Insight 页面上体验我们的产品,从而达到 ECS 安全性的提升。阿里云产品专家教你如何全方位构建 ECS 安
34、全体系21四、云上安全的展望最后为大家分享我们对云上安全的展望。第一个是机密计算。上文提到的,网络安全很大一部分其实是为了保障数据安全,而数据根据其情况我们可以分为静止、传输和使用中三个状态。而存储的数据属于静止态数据,在网络中属于传输态,而正在处理的数据则属于使用中的状态。前面�����提到的加密技术主要用于提高数据的机密性,进而防止一些未授权的访问和保障数据完整性,也就是防止未经授权的修改,它主要用户保护传输中和静止状态的数据。那么数据在内存中使用时如何保证其安全性呢?这其实就是机密计算的目标场景了。机密计算通过在基于硬件������的可信执行环境中执行计算的方式来保证使用中的数据的安全性。而可信执行环境则通常
35、被定义成能够提������供一定程度的数据的完整������性、机密性和代码完整性来保护环境。而基于硬件这样一个可信执行环境,主要使用我们芯片中的一些硬件支持的技术,为代码的执行和环境中的数据提供保护,从而提供一个更强的安全性的保证,进而有效预防基于内存的攻击手段,比如 target 的安全事件和 CPU 的侧通道攻击,它能够防御一些恶意软件入侵的攻击手法,比如乌克兰的电网攻击。对于机密计算感兴趣的同学可阿里云产品专家教你如何全方位构建 ECS 安全体系22以听我们后续的其他讲师的一个专题的分享,在这里面我可能就不做详述了。第二个是零信任安全。零信任安全其实是一种安全理念,它的基本原则其实是不信任任何设备和用户,除非
36、验证其可信。同时,用户和设备在经过验证之后还会持续监控设备的安全状态和用户行为,一旦发现信用等级下降,则需要动态的调整访问级别,并在需要的时候去切断对应的访问会话。所以,零信任本质上来说是一种更安全的������云上设备和身份的验证。在传统的网络安全保障机制中,主要通过子网划分、安全域划分、网络控制等手段去实现网络管控。随着网络设备和云计算被广泛使用,也让企业员工在任何时间、任何地点、都能够使用任何设备来访问企业资源这是一种常态的趋势,在这种趋势下,我们认为零信任的安全则是一种更安全、更有效的安全防护机制。最后想和大家分享的一点是“当安全性遇到 AI”。其实 Gartner 早在 2016 年就提出了AI
37、Ops 的概念,并在 2017 年把它明确定义为需要借助人工智能的算法提供具有一些动态性、预测性的一个洞察能力,最终实现 IT 运维自动化的能力。在 AIOps 中,我们可以看到 Gartner 主要强调了三个关键点。第一要使用 AI 算法,第二要能够发现并识别一些异常信息,第三是要能够完成一些自动化的运维执行。所以,虽然AIOps 很多时候强调的是智能化运维,但是我认为在安全领域下,这三个关键点依然是有效的。所以当安全性与 AI 相碰之后,我们����认为 AIOps 在安全这个领域维度上也应该能够实现,能够借助我们 AI 算法去识别一些危险的洞察,并且能够去归纳其攻击行为和攻击意图,并且能����够自动化
38、的给出执行建议,同时自动化的辅助/帮助用户完成对应的安全������措施。以上就是本次课程的全部内容。https:/ ECS 实例操作系统安全性的技巧23九大提升 ECS 实例操作系统安全性的技巧引言:【弹性计算技术公开课ECS 安全季】第二节课程由阿里云弹性计算技术专家陈怀可带来,本文内容整理自他的课程,供各位阅览。一、安全事件案例回顾与操作系统安全概念介绍在介绍操作系统安全概念前,我们先来看一下国际上曾经发生过的几个真实的安全事件。第一个安������全事件:国外某政务官员,他是一非常喜欢发推特的人,可能不知道的是,他在就任期间,他的推特账号曾经被人盗用过。像这类知名的公众人物,他们的一言一行都会对社会产生重大的
39、影响,可想而知,他们的账号被盗用的影响会有多大。整个安全事件的过程比较简单,简单梳理一下。在 2012 年 LinkedIn 网������站被攻击,2016 年,相关的数据库被泄露出去,泄露的数据库中有包含这位官员的账号和密码,通过这个账号密码,攻击者攻击了他的推特账号。九大提升 ECS 实例操作系统安全性的技巧24这就是典型的撞库攻击,因为在大多数人的行为习惯中,习�����惯性的会在所有的产品中长期使用一个或几个固定的密码。而不会特意去修改。这位官员同大多数人一样,使用同一套密码,最终导致了他的推特账号被入侵。回过头看整个安全事件,导致这一起事件的根本原因在于长期使用一套固定的密码,而且没有进行修改。九大提升
40、 ECS 实例操作系统安全性的技巧25再来看另外一个安全案例,去年九月,斯里兰卡国家政务云被黑,同时丢失了四个月的重要数据。详细看一下这个事件的前后因果,斯里兰卡国家政务云中使用一款软件叫做 Microsoftexchange 2013 版本,这款软件其实已经过期不再被维护,并且软件中存在着致命的安全漏洞,因为财政方面的问题,没有得到及时升级维护,攻击者通过这软件漏洞发起了勒索软件攻击,最终导致近四个月数据的永久丢失。可以清晰的知道,导致这一起安全事件的根本原因在于使用了停服的软件,软件没有得到及时����的升级更新安全补丁。回顾刚刚的两个安全案例,在案例 1 中,用户用于登录系统的账密泄露�����了以后,攻
41、击者利用泄露的账密攻击系统,导致系统被入侵,如果访问操作系统常用的账密泄露了,攻击者能够很轻易的登录到操作系统,部署勒索键,导起关键数据信息等等危害。案例 2 中,系统未及时������更新安全补丁,导致攻击者利用漏洞进行入侵并部署勒索软件,攻击者经常使用操作系统内未及时修复的安全漏洞实施入侵攻击。那么该如何保护我们的操作系统呢?九大提升 ECS 实例操作系统安全性的技巧26我们来将操作系统的安全分为三个部分,第一部分是访问操作系统的安全性,它定义了谁能够来访问操作系统,用怎样的方式来访问。第二部分操作系统内部的安全性,包括安全补丁以及技术的安全能力等等。第三部分是涉及到法律法规的一些�������要求,比如审计、合规
42、要求等等,提升操作系统安全性的办法,我们根据上述的操作系统安全性的三个组成部分,分别是提升访问操作系统的安全性、安全加固操作系统以及操作系统安全进阶这个三部分。二、快速提升访问操作系统安全性接下来针对如何提升操作系统安全性,分三部分详细展开。在提升�������访问操作系统安全性上,快速提升访问 ECS 实例操作系统的安全性。内容主要分三个部分,使用密钥对登录实例、使用会话管理免密登录实例以及避免�����端口 0.0.0.0/0 的授权。如何使用密钥对登录实例,可能这里会有部分的同学存在疑问,什叫做密钥对?密钥对实现的原理是什么?使用密钥对登陆实力有什么样的优势?九大提升 ECS 实例操作系统安全性的技巧27阿里云
43、的密钥对默认采用的是 RSA 2048 位的加密算法生成了包括公钥和私钥,使用公钥和私钥认证的方式进行登录,是一种安全便捷的登录方式。由用户生成一组密钥对将公钥推 送 到 目 标 服 务 器 中 的 公 钥 默 认 存 储 路 径 下,阿 里 云 默 认 公 钥 存 储 路 径 是/.ssh/authorized_keys 文件。它的����登录实现原理如右图所示,用户发起登录请求,服务器端生成一串随机数,使用公钥进行加密,返回用户端加密的信息,用户端使用私钥本地进行解密,并发送服务器端解密后的信息,服务器端对比解密后的信息,对比验证信息������有效才允许用户登录。这种方式相对于传统的账密的登录方式的优点,它
44、的优点主要有两个,一是相对于常规的����用户口令容易被爆破的风险,密钥对杜绝了暴力破解的危险,另外一个是密钥对登录方式更加简便,一次配置,后续再也不需要输入密码。但是也要求需要保护好私钥不被丢失泄露,因为拥有您的私钥的任何人可以解密的登录信息。需要注意的是,阿里云不会存储私钥文件,也就是在创建密钥对时仅有一次下载密钥对的机会。常用密钥对登录 ECS 实例的方法,主要有四种,第一种是使用 ECS 提供的 Workbench,在 Workbench 中导入私钥连接 ECS ���实例,若您的私钥在本地是加密的,如图所示的Workbench 还可以支持传入私钥口令的方式解密访问。九大提升 ECS 实例操作系统安
45、全性的技巧28第二种是使用第��������三方的密钥对工具,使用第三方密钥对登录工具时,需要遵循该工具的使用规则,比如 PuTTYgen 需要转化私钥文件的格式。第三种是需要支持密钥对的控制台命令的环境,需要 SSH 命令的方式进行����连接实例。第四种同样是需要支持密钥对控制台命令环境,如右图所示的需要配置 config 文件的 ECS 别名以及一些比如端口号,登录账号,以及私钥地址、还有公网信息等等这信息,这种方式适合多台实例登录的场景,这里需要注意的是以上四种常规的密钥对登录方法,后面三种都是需要用户开启公网的 IP 才能够进行访问的。对需要使用密钥对的用户,如何更好更安全的使用密钥对,我们有两方面的建议,
46、第一是保护好本地私钥,第二是可以优化密钥对的服务配置。如何保护好本地私钥?常规方案会推荐用户使用密码的方式进行保护私钥。需要保证持有正确的密码的人才能够访问到私钥。在使用私钥时,每次都是需要输入密码。一是控制台 Workbench 也是支持输入口令密码的方式访问到您的私钥。另外,尽可能的不使用默认的密钥对的存储位置,将私钥保存在自定义的目录中。在保存私钥的目录中设置正确的访问权限,只允许特定的用户能够访问。在保存私钥的系统上,还需要及时的安九大提升 ECS 实例操作系统安全性的技巧29装最新的补丁和安全更新,以保护系统不受知名漏洞的影响。同时,为了防止私钥的丢失和误�������操作删除,还可以定期备份私钥
47、。在使用密钥对服务配置时,我们建议可以修改连接端口为非标准端口,密钥对的默认连接端口为 22 端口,很多黑客工具会针对 22 端口进行扫描攻击,修改端口为非标端口可�������以提高安全攻击的门槛,非标端口一般为 102465535。使用密钥对登录.建议使用非 root 的账号登录,根据权限最小原则,对登录 ECS 实例的用户应该做到权限控制,避免受益过大的权限。建议您在新购实例时选择使用 ecs-user 的普通账号,并且在密钥对服务中配置禁止root 的账号身份的登录。另外,在启用密钥对登录 ECS 实例��������的时候,建议及时关闭 ECS 是实例,通过密码方式的登录,以进一步提高安全性。ECS 生产密钥对默
48、认采用的是 RSA2048 的加密方式。如果需要修改加密算法,可以使用自定义的密钥对导入的方式,在您的本地环境使用密钥对生成器生成以再导入到 ECS 中。目前支持的加密算法涵盖了大部分主流的密钥对算法,如右图所示的,比如 RSA、DSA、DSS 等等。九大提升 ECS 实例操作系统安全性的技巧30需要注意的是,在您的本地环境密钥对生成之�������后,需要导入 ECS 是公对,请注意检查,避免导入私钥。要使用密钥对登录 ECS 实例目前也存在一些限制,比如当前仅支持 Linux 实例,不支持 Windows 实例,使用密钥对登录时,通常还需要开启操作系统的 22 端口,并允许指定端口在本地客户端公网 IP
49、 进行访问连接。除了使用密钥对登录 ECS 是实例外,还可以使用会话管理免密登录实例,使用会话管理登录时具有更高的安全性。接下来我将详细介绍会话管理。会话管�����理是由云助手提供的功能,相比于密钥对、VNC 等方式,可以更便捷的远程连接 ECS实例,且兼具安全性。从一开始的安全升级案例中,使用常规账密的登录对密码的复杂度要求比较高,并且需要定期进行修改,防止密码泄露后的风险,很难进行管理。或许大家可能会想到使用密钥对登录一些实例不就解决问题了?九大提升 ECS 实例操作系统安全性的技巧31答案是肯定的。不过使用密钥对登录实例的时候也会存在一些因素限制,比如常用的密钥对登录实例,通常需要开放公网 IP
50、,并且开放 22 端口。一旦公网 IP 开放之后,允许更多的人访问的 ECS 也就增加了对应的攻击面。另外,无论是使用密钥对还是使用�����账密登录,都不能做到记录和审计,很难发现攻击者的入侵行为。相比于传统账密的登录方式,云助手登录它有几个优点,第一它是不需要分配公网 IP 的就可以直接访问,避免了 EC��������S 实例暴露到公网环境,第二也不需要设置管理密码,直接免密登录,避免了账密泄露的风险。它还可以通过管理授权,可以比较灵活的分配和回收权限。另外它可以记录、审计,通过订阅对应的审计日志进行定期的安全分析,能够及时发现一些非易侵内的访问行为。会话管理登录实例是如何做到这些,会话管理建立链接的原理。如图所
51、示,首先,会话管理客户端发起会话,云助手服务端通过 RAM 访问控制权限进行健全,健全通过后会生成用于发起链接的 WebSocket URL 以及 10 分钟内有效的 token,返回给会话管理客户端。会话管理客户端通过 web socket URL 以及 token 与云助手的服务端建立了 web socket 的链接,云助手的服务端控制 ECS 实例内部的云助手 agent 建立web socket 连接。云助手的 agent 和云助手的服务端建立了 Web Socket 的链接。在建立 Web Socket 链接后,可以在会话管理客户������端输入命令,该命令以流式传输的方式输入到 ECS 并执
52、行,最终在会话管理客户端显示执行的结果。会话管理的安全性主要在于会话管理客户端与云助手服务端的 agent 间的通信是使用Web Socket 协议建立的。九大提升 ECS 实例操作系统安全性的技巧32Web Socket 的连接使用了 SSO 加密的方式保障数据的安全,使用会话管理能够远程连接指令,不需要密码,也没有泄露密码的风险,能够通过 RAM 权限安全策略进行管理,云助手与云助手服务器端通过 Web Socket 连接,不需要通过 SSH VNC 等方式登录������实例,所以也就不需要打开入防线端口,进一步提高了 ECS 安全性。常用的会话管理链接方式主要有四种,最常用的是直接使用会话管理连接
53、实例,另外也支持了使用会话管理端口转发����连接实例。例如 ECS 实例中部署了不对外开放的 web 服务,可以通过端口转发指的方式直接连接外部服务,还有一些客户希望在使用会话管理的基础上再次进行鉴权 ECS 也支持使用会话管理,以密钥对以及临时密钥对方式进行连接实例。如表格所示的,各自都存在一些优�������势以及不足,优点是使用会话管理都不需要用户开启公网 IP、会话管理、端口转发以及直连和临时密钥对都不需要再管理密钥以及密码。端口转发以及直连也不需要开放端口,不足的地方是其中使用会话管理密钥对以及临时密钥对连接实例的时候,都是需要开放 22 端口的,使用会话管理密钥对连接实例的场景,同时用户还需要自己保存
54、对应的私钥。九大提升 ECS 实例操作系统安全性的技巧33使用会话管理还可以很灵活的管理权限,通过权限的 RAM 权限策略配置,可以允许子账号连接所有的实例,也可以允许子账号连接指定的一个或者多个实例,或者使用绑定的实例标签进行筛选,只允许子账号访问到指定标签的实例,也可以限制通过指定的 IP 进行连接实例。如图所展示的 RAM 权限配置的案例,配����置也比较方便简单,对于大规模的企业产品,强烈建议使用标签的方式进行批量管理权限,便于权限的回收以及收予����。会话管理也存在一些权 限 的 限 制,比 如 需 要 一 些 授 权 StartTerminalSession 的 方 式,以 及Describe
55、UserBusinessBehavior 等等权限。会话管理的使用还存在一些限制,必须要授予一些权限,比如StartTerminalSession以及DescribeUserBusinessBehavior等等权限。除了使用密钥对登录实例以及使用会话管理免密登录实例外,还需要避免端口 0.0.0 授权对象的访问。九大提升 ECS 实例操作系统安全性的技巧34众所周知,Linu�����x 操作系统使用了 SSH 终端连接,默认使用 22 端口,Windows 操作系统使用的是 RPD 远程桌面,默认使用的是 3389 端口。通常场景下,未限制端口访问允许任意来源的访问可能导致黑客或者攻击者�������在未经过您的授
56、权的情况下,通过这些端口登录到操作系统中。如何限制这些访问?阿里云免费为您提供了实例级别的虚拟化防火墙,也就是安全组�����,它可以设置单台或者多台 ECS 实例网络访问控制,它是重要的安全隔离手段,但是它也需要经过一些简单的配置。如右图所示的,在创建 ECS 实例时将使用默认的安全组,默认安全组将放行 22 3389 80 443 等端口,开放给 0.0.0.0,默认允许所有 IP 都可以访问。默认安全组的配置并不安全,需要经过一些简单的配置。九大提升 ECS 实例操作�������系统安全性的技巧35安全组的配置应该遵循以下几个基本原则,安全组应该作为白名单使用,而不是黑名单。安全组出入规则时应该遵循最小权限原
57、则,避免受予过大的权限。不需要公网访问的资源不应该提供公网 IP,公网 IP 将暴露增加您的 ECS 实例的攻击面,������先拒绝所有的端口对外开放。若您需要开放端口,应尽量避免 0.0.0.0 的授权,并需要开放的端口授权指定的 IP 或者 IP段访问。如右图所示的案例,安全组配置了仅允许来源 IP 为 192.168.1.100 网段通过 TCP协议访问到 22 端口,经过安全配置之后,192.168.1.100 端口可以进行访问,但是192.168.0.100 端口所有的请求将会被拒绝。我们强烈建议您按照上述的原则,仅开放必要的端口提供给有限的 IP 进行访问,修改您的默认安全组规则配置。上面讲
58、了快速提升访问 ECS �������是操作系统安全的三方案,包括使用密钥对登录,使用会话管理登录实例,避免了端口所有 IP 的对象访问授权。作为操作系统的另外一重要的部分,操作系统内部安全也是至关重要的。三、如何安全加固您的操作系统接下来介绍一下如何安全加固操作系统。本章节主要包括三部分,使用 OOS 补丁基线自动更新安全补丁、Alibaba Cloud Linux 操作系统内核热补丁以及使用������免费的基础安全服务。首先来看一下 OOS 补丁基线自动更新安全补丁。九大提升 ECS 实例操作系统安全性的技巧36为什么需要更新安全补丁,回顾安全事件案例二,斯里兰卡国家政务云正是因为使用了存在漏洞的软件,导致操作系
59、统被入侵,丢失了将近四个月的重要数据。如图所示的一些官方渠道经常会发布一些安全漏洞的公告以及修复漏洞的安全补丁。黑客常常利用网上已经公布的安全漏洞,并且特定的工具进行扫描、攻击、入侵。�������您若未及时更新操作系统,时间越久,您就面临的安全风险越高。安全攻防常常是攻击方、防守方时间上的竞速,实际上不存在完美的系统,但只要修复的比攻击的更快,系统永远是安全的。另外一方面,许多行业标准、法律法规都要求企业定期更新软件或操作系统,并及时安装最新的安全补丁,以满足合规性的一些要求。既安全补丁的更新重要,如何尽快知道操作系统中存在安全漏洞,以及如何快速找到对应的安全补丁,并且安装补丁快速修复安全漏洞。九大提升
60、ECS 实例操作系统安全性的�����技巧37阿里云系统管理与运维服务,也就是 OOS 是阿里云提供的云上自动化运维服务,能够自动化管理和执行任务。OOS 的补丁基线支持用户根据默认或者自定义的补丁基线对 ECS 实例的补丁进行扫描和安装。在这个过程中,用户可以选择安全相关或者其他类型的更新,自动修复相应的 ECS 实例。它能够支持主流的 Windows、Linux 多达 31 种操作系统,包括CentOS、Red Hat、Ubuntu、Windows Service 等等。九大提升 ECS 实例操作系统安全性的技巧38不同的操作系统版本补丁基线实现的原理因为使用不同的包管理工具,扫描与安装补丁的原理都
61、会有所差异。如图所示的 CentOS7 使用的 yum、CentOS8 使用的是 dnf,Ubuntu使用的是 apt,yum 包管理工具为例,存在更新通知的概念,在软件仓库存储者名为updateinfo.xml 的一个文件来存储软件的更新通知。根据updateinfo中的更新通知如图CentOS公共安全基线规则配置所示的补丁基线配置了���包括更新通知的类型以及严重等级,包括了 SecurityBugfix.对应的更新通知的类型以及严重等级为 CriticalImportant.。配置后它工作流等效的命令相当于执行了严重重要等级的安全补丁以及漏洞补丁,执行 yum upda�����te 的命令。可以配置只
62、升级严重以及重要等级的安全补丁。常用补丁存在以下几种场景,比如操作系统以及应用程序的安全补丁的应用,Windows 安装 ServicePack 以及 Linux 小版本的升级,按照操作系统类型,同时对多台 ECS 实例进行批量的漏洞修复,查看缺失的补丁报告,自动安装缺失的补丁以及跨账号跨地域补丁修复,对于跨账号跨地域的补丁修复的场景,对规模比较大的一些企业,不同的部门 ECS 实例可能会存在多个账号,多个账号的一些是的补丁集中管理是比较重要的一个问题。九大提升 ECS 实例操作系统安全性的技巧39在����跨账号的补丁修复的产品中,阿里云的角色主要分为两个,一个是管理账号,另外一个是资源账号,其中资
63、源账号可以是一个也可以是多个,管理员账号本身其实也是一个资源账号,如右图所示的可以通过所有资源账号下创建一个管理账号,账号可以分别扮演对应的 RAM 角色的方式授予补丁修复的所需要的相关的权限,从而达到管理账号内账号跨地补丁修复的效果。操作系统内严重的安全漏洞修复是刻不容缓的,但是修复通常需要重启操作系统才能够进行生效,重启又会影响线上业务的运行,接下来看一下什么是 Alibaba Clo����ud Linux 操作系统内核热补丁。Alibaba Cloud Linux 操作系统为内核热补丁的高危安全漏洞,也就是 CVE 以及重要的错误修复 Bugfix 提供了热补丁支持,内核热补丁可以在保证服务的
64、安全性以及稳定性的情况下,平滑且快速的为内核更新高危安全漏洞以及重要的错误修复的补丁。它有以下的几个优点,第一是不需要重启服务器以及任何业务相关的任务进程,也不需要等待长时间运行的任务完成,也不需要用户注销登录,不需要进行业务进行迁移。九大提升 ECS 实例操作系统安全性的技巧40不过它也存在一些限制,它仅仅适用于 Alibaba Cloud Linux 的操作系统,而且要求是指定内核版本以上,并不是所有的安全漏洞以及 Bugfix 都是支持热补丁。热补丁主要的修复范围是严重级别以上的 CVE 以及严重级别的错误修复。在更新补丁的过�����程以及补丁生效之后,不能对补丁的函数进行测试以及跟踪。采用热补
65、丁的升级方法主要有两种:一种是手动的查看 Alibaba Cloud Linux CVE 公告平台,获取热补丁升级的 RPM 包,使用yum 安装的一个指定操作系统内核版本的热补丁,但是这种方式是比较繁琐的,推荐使用第二种方式,安装使用阿里云提供的内核热布定管理工具 livepatch-mgr,它能够极大的简化流程,只要一个命令就能够实现,支持热补丁的查看、安装、卸载等等能力。除了使用 OOS 补丁基线以及内核热补丁外,ECS 实例还为您提供了免费的基础安全服务。九大提升 ECS 实例操作系统安全性的技巧41在使用公共镜像新购 ECS 实例时,阿里云默认会为您提供较为丰富的基础安全����服务,也就是
66、云安全中心免费版。也可以选择取消该能力,但是强烈建议您开启该能力,它能够为您提供基础的安全加固能力,包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK 异常调用、合规检查等等。云安全中心免费版是完全免费的服务,不收取任何费用。如果有更多的一些需求,可以购买相应的高级版、企业版以及旗舰版。九大提升 ECS 实例操作系统安全性的技巧42我们的云安全中心免费版免费为您提供了漏洞扫描的能力,支持 Linux Windows������� 系统的漏洞,也支持 web-CMS 等常见的漏洞一些扫描,还能针对近期互联网上爆发的高危漏洞做应急漏洞检查,帮助您及时发现系统中存在的重大漏洞。建议您定期检查与管
67、理您的漏洞,以帮助您更全面的了解您资产中存在的漏洞风险,降低系统被入侵的风险。云安全中心免费版还为您提供异常登录检查的能力。异常登录检查的原理是云安全中心agent 通过定时收集服务器上的一些登录日志并上传到云端,在云端进行分析和匹配。如果发现非常用登陆地或者非常用登录的 IP 在非常用的登录时间、非常用登录账号登录成功的时间将会触发告警。如何判定不同的 IP 的具体登录行为,当云安全中心首次应用在您的服务器上时,由于您服务器未设置常用登录地点,这段期间内登录行为不会触罚告警。当某公网 IP 第一次成功登录到的服务器后,云安全中心将会该 IP 地址的位置标记为常用登陆地。并且从这个时间开��������始往顺
68、延 24 小时内,所有的公网登录地址将会被记录为常用登陆地,超过 24 小时,所有不在上述常用登陆地的行为被视为异常登录告警,当某 IP 判定为异常登录行为时,只有第一次登录行为会进行短信告警,如果 IP 成功登录六次或者六次九大提升 ECS 实例操作系统安全性的技巧43以上,云安全中心默认将 I�������P 地址记录为常用登录地址,异常登录只对公网 IP 有效,云安全中心会对某异常 IP 进行第一处理。如果使用的云安全中心高级版,企业版或者旗舰版。可以针对服务器进行设置常用登录地、常用登录 IP、采用登录时间、采用登录账号以及对上述的登陆地 IP、登录时间登录账号之外的均设置为提示告警。除了漏洞扫描、
69、异常登录检查外,云安全中心还支持提供 AK 泄露检查��������。AK 泄露检查会实时检查 GitHub 等平台公开源代码中是否包含阿里云的账号 AK,以鉴定您的 AK 泄露风险。通常支持的通知方式如下几种方式,一种是 AK 泄露检查异变的告警,只要检测到 AK 泄露,无论 AK 是否有效都会提供告警。另外是控制台弹窗的提示,只有检测到泄露的 SK 信息有效时,在访问阿里云控制台上海品茶或者多数云产品的控制台时才会提示,根据通知设置发送告警通知,只有检测到泄露的 SK 信息有效时,才会根据您设置通知方式,比如站内信、邮件、短信等发送通知。建议您定�������期做 AK 的轮转,以避免 AK 泄露造成的严重安全问题。九大提
70、升 ECS 实例操作系统安全性的技巧44四、进阶提升操作系统的安全性除了访问操作系统安全以及操作系统安全加固外,一些等保合规、�����审计场景都会有更多的一些安全要求。接下来看一下进阶提升操作系统安全主要包括的几个内容,一个是日志审计,另外一个是等保合规两类型。首先是日志审计,我们为什么需要做日志审计。根据 FireEye M-Trends 2018 报告,企业安全防护管理能力比较薄弱。尤其是亚太地区,全球范围内企业组织的攻�������击从发生到发现的时间需要 101 天。而亚太地区平均需要 498 天,企业需要长期可靠、无篡改的日志和审计支持来持续缩短这时间。同时,日资审计也是法律的刚性需求,无论是在中国境内还
71、是在海外,企业落实日志审计也越来越迫切,尤其是中国内地在 2017 年实施了网络安全法,以及 2019 年之后实施的 网络安全等保 2.0 标准。九大提升 ECS 实例操作系统安全性的技巧45我们建议启用会话管理登录实例。在您启用会话管理登录您的实例时,我们建议您同时启用会话管理操作记录投递能力,它允许用户将会话管理操作记录投递到您的存储对象或者日志服务中进行持久化存储,以便以续对操作记录进行进一步的查询、分析、审计。如图所示它能够记录到哪账号对哪实例做了什么样的������操作,操作命令以对应的输出分别是什么,这对后续的安全分析是非常有意义的。九大提升 �����ECS 实例操作系统安全性的技巧46另外,我们还强
72、烈建议客户开启操作审计服务。操作审计服务可以帮助您监控记录到云账号对产品服务的访问以及使用行为,您可以根据这些行为进行安全分析,以监控未授权的访问,识别潜在�������的安全配置错误、威胁和意外行为。或满足某些合规审计的一些操作。除了登录审计以及操作审计外,我们建议您开启日志审计服务。日志审计服务在继承现有日志服务的功能之外,还支持多账号下实时自动化、中心化采集云产品的日志进行审计,同时还支持审计所需要的存储、查询以及信息汇总。日志审计覆盖了多种技术产品,包括存储、网络、数据库、安全等产品,您也可以将您的应用日志接入到日志审计服务中,支持自由对接其他生态产品或者是自由的授课中心。很多企业自身有成熟的法规条
73、件以及合规审计团队,对账号、设备的操作、网络行为资质进行审计,客户可以直接消费原生的一些日志,也可以使用日志审计服务的审计功能,构建并输出合规的一个审计信息。日志审计中有开启登录审计、操作审计日志审计服务,以满足相关的法律法规要求。对于等保合规,我们还提供了更多的安全能力。�������九大提升 ECS 实例操作系统安全性的技巧47说到等保合规不得不提到堡垒机。什么是堡垒机?阿里云运维安全中心,也就是堡垒机。堡垒机用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维的身份可以鉴别、权限可以控制、操作可以审计。解决了众多资产管理难、运维职责权限不清晰以及运维事件难追溯等��������等问题,阿里云为您在W
74、orkbench 连接 ECS 实例时提供了便捷的堡垒�������机访问方案。九大提升 ECS 实例操作系统安全性的技巧48什么场景下需要使用堡垒机?首先是国家在不断加强对网络数据安全的管控要求,纵观整运维的过程,种种的数据运维安全风险,运维安全行为的管控势在必行,国家也在多个安全保护规则中增加了对相关安全需求。什么样的场景下需要使用堡垒机?首先是国家在不断加强对网络数据安全的管控要求,比如等保二级,等保三级,也就是过国内的等保合规使用堡�����垒机就可以。另外企业自身的运维风险开始不断的增加,有一些客户需要确定来源,身份定位,操作过程回溯,以及账号密码的管理,运维的管控等等,可以使用堡垒机。堡垒机能够做些什么?
75、九大提升 ECS 实例操作系统安全性的技巧49堡垒机常用的安全能力包括账密的一些托管,堡垒机支持资产运维免登录,对账号密码进行统一托管,无需用户进行输入账号和密码。另外运维的身份鉴别,在仿冒用户登录防范上,堡垒机支持双因子认证功能。另外运维权限管控的收敛,堡垒机具有细粒度的权限管控能力,可以根据用户����组进行划分资产访��������问权限,另外还具有高危行为拦截能力。在恶意访问行为上,云盾堡垒机可以对敏感的高危操作,比如删库(rm-rf/*)等行为进行自动的阻断拦截。另外一个比较重要的是审计的溯源,云盾暴力机支持可视化审计记录,通过直观录播的方式,更真实的还原了全行为场景。除了堡垒机之外,还提供了符合国家等保
76、2.0 三级版本的镜像,您可以在新购 ECS 实例时选择公共镜像,会自动提示满足等保合规的镜像,这些镜像天然符合三级等保合规的要求,包括了身份鉴别、访问控制、入侵防御、恶意代码防范等等对应的一些要求。九大提升 ECS 实例操作系统安全性的技巧50另外,在云安全中心中还支持了合规检查的功能,合规检查功能提供了等保合规检查以及ISO 27������001 合规检查认证,您可以使用该功能检查系统中是否符合等保合规要求,以及 ISO27001 国际信息安全管理体系的一认证标准。五、总结前面提供了很多提升操作系统安全性的一些建议,包括提升访问操作系统安全性方�����案中的使用密钥对连接实力,杜绝暴力破解的一些威胁,使用会
77、话管理、免密连接实例,免公网、免跳板机、免密码提升访问操作系统安全性,以及避免了端口的 0.0.0 的授权,仅开放必要端口提供给有限的 IP 访问,以减少攻击面。也有操作系统安全加固相关的方案,使 OOS 补丁基线自动更新安全补丁,避免了高危安全漏洞导致的系统安全风险,使用 Alibaba cloud Linux 操作系统的内核�������热补丁的能力,能够快速平稳的升级的操作系统安全补丁,使用免费的基础安全服务,比如定期漏洞扫描、异常登录检查、AK 泄露检查等等,提高对应的安全性。九大提升 ECS 实例操作系统安全性的技巧51对安全有更高要求的客户,我们还提供了进阶提升操作系统安全性的方案,开启登录审计
78、日志、操作审计日志、日志审计服务,对日志进行定期的审计分析,缩短攻击发生到发现的时间,降低企业安全损失。使用堡垒机,在满足等保合规������的场景下管理运维,控制权限、身份鉴别、账密托管、高危行为阻断、审计溯源,以进������一步提升操作系统安全。使用三级等保合规形象,以基础安全服务中的合规检查能力,以帮助您更快速、高效、持续的实现等保合规制度。系统从来不是一个点的安全,需要更多维度的终身安全防疫。以上就是本次课程的全部内容。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源52干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS资源引言:本文整理自【弹性计算技术公开课ECS 安全季】系列课程中,
79、阿里云弹性计算高级技术专家张振华带来的课程如何安全访问和管理 ECS 资源一节。������一、身份与访问控制的基本概念首先给大家介绍一下关于身份与访问控制的一些基本概念。身份与访问控制是为了实现集中管理阿里云上的用户身份,只有通过这个身份的认证,并且满足了特定权限授权条件下的用户才能够�������访问或者操作您所指定的阿里云资源,避免您的云资源被未经授权的用户恶意访问,所以这里会涉及到三个管理系统,分别是身份管理、权限管理以及资源管理。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源53所谓身份管理,就是您如何管理您的企业员工或者应用的身份。权限管理是您要怎样分配权限,比如管理员可以拥有全部的访问权限
80、,而研发人员根据自己的职责范围,只能在特定的网络环境下操作有限的云资源,一般建议遵循最小够用的原则来给员工进行授权。资源管理是您要怎样管理云上的������资源,建立的管理方式是按照部门或者是业务线划分到不同的资源组,只有被授权可以访问资源组的用户身份,才可以操作对应的云资源。这里的云资源,不仅仅是 ECS 的资源,也包括网络资�������源,比如 VPC,也包括存储资源,比如 OSS、对象存储以及日志服务,同样也包括像数据库、云原生的容器等各种各样的云资源。在阿里云上面,我们统一负责用户身份管理和访问控制的服务,称为 RAM,它的全称是Resource Access Manager,即资源访问控制。干货长文快收藏!
81、阿里云专家教你如何安全访问和管理 ECS 资源54RAM 有主账号和子用户 RAM 账号这两个概念�����,这两种账号,都可以通过用户名、密码登录到阿里云的控制台,并对其云上的资源进行操作。用户在访问阿里云账号时,使用的是主账号,主账号的密码规范、登录安��全的风险控制策略是由阿里云统一管理的。在主账号下的子用户,即通常所说的 RAM 用户,它的密码策略则可以由客户自己设定,比如密码字符的组合规范、重试登录次数、密码轮转周期等策略。管理员可以通过 RAM 控制台为 RAM 用户创建密码策略,来保证各个子用户都可以使用定期轮转的强密码,从而提高整体账户的安全性。RAM 服务使得一个阿里云主账号可以拥有多个独
82、立的 RAM 用户,从而避免与其他用户共享云账号的密钥,并可以根据最小权限的原则为不同用户分配最小的工作权限,从而降低用户的信息安全的管理风险。RAM 的策略可以细化到针对某一个 API、Action 或者 Resource ID 等最细粒度的授权,还可以支持多种的限制条件,比如像限制来源 IP 的访问范围,安全访问的通道,比如必须要通过 SSL 或者 TLS,还有访问的时间段或者是 MFA 的多因素的认证等等。������RAM 是阿里云账号安全管理和安全运维的基础,通过 RAM 可以为每个 RAM 用户分配不同的密码或 API 访问密钥(Access Key),消除云账号共享带来的安全风险;同时可为不
83、同干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源55的 RAM �������用户分配不同的工作权限,大大降低了因用户权限过大带来的风险。一般�������来说,企业的管理者或者运维主管往往会成为阿里云上的主账号拥有者,也就是超级管理员。我们建议由超级管理员根据组织实体或业务场景,创建不同的 RAM 用户、RAM 用户组,并为每个用户分配唯一的安全凭证 AK。控制授予每个用户、用户组对 ECS 资源授予不同的操作权限,根据最小权限原则,分权管理不同的资源,降低信息泄露风险。更进一步,可以将 RAM 角色关联到 ECS 实例上,不同的实例赋予不同授权策略,这样就无需在实例中保存 Access Key,使它们
84、对不同的云资源具有不同的访问权限,实现更精细粒度的权限控制。接下来展开介绍一下 ECS 的身份管理、权限管理以及如何避免显示的 AK 配置的一个最佳实践。二、身份管理的安全治理原则与验证手段首先介绍一下身份管理中的安全治理原则和验证手�����段,以及基本概念,并且分别介绍 RAM用户和 RAM 角色的相同点和不同点,接下来是关于身份管理安全的治理原则,还有安全的验证手段。什么是身份认证?身份认证指的是通过凭证信息来认证用户的真实身份。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源56它通常是指通过登陆密码或访问密钥,也就是 AccessKey 机制来进行身份认�������证。请注意,用于身份认证的
85、凭证信息对于用户来说是敏感的秘密信息,用户必须妥善保护好身份凭证信息的安全。阿里云提供多种多样的身份认证能力,总体上可以分成是面向用户或企业员工�����的认证手段,还有面向应用程序的认证手段这两大类。第一大类是面向用户的认证方式有,账号密码认证、SSH 密码认证、基����于 MFA 验证码的认证(比如人脸、短信、短时口令等)和 SSO 单点登录认证。账号密码认证相信大家都不陌生:用户可以使用其云账号(即主账号)或其云账号下 RAM用户的密码登录阿里云控制台并对其云上资源进行操作。阿里云的账号密码规范、登录安全风控策略由阿里云统一管理。云账号下子用户(RAM 用户)的密码策略则可以由客户自己设定,如密码字符组
86、合规范、重试登录次数、密码轮转周期等策略。例�������如,用户可以通过 RAM 控制台为 RAM 用户创建密码策略,以保证各个子用户都使用定期轮转的强密码从而提高整体账户的安全性。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源57SSH 密码认证也是常用的非对称密钥认证机制。针对 ECS Linux 实例,如果用户已经将 SSH公钥配置在 Linux 实例中,那么在本地或者另外一个实例中,用户可以使用 SSH 私钥通过SSH 命令或相关工具登录之前有公钥配置的实例,而不需要输入密码。SSH 密钥对默认采用 RSA 2048 位的加密方式,相较于传统的用户名和密码认证方式,SSH 密钥对登
87、录认证更为安全可靠,同时便于远程登录大量 Linux 实例。同时,阿里云容器服务也支持通过 SSH密钥对的方式远程登录集群。MFA 是一种简单有效的最����佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其 MFA 设备的可变验证码(第二安全要素)。这些多重要素结合起来将为用户的账户提供更高的安全保护。阿里云可以支持基于软件的虚拟 MFA 设备。虚拟 MFA设备是产生一个 6 位数字认证码的应用程序,它遵循基于时间的一次性密码(TOTP)标准(RFC6238)。同时,阿里云也支持基于 SA
88、ML 2.0 的单点登录(Single Sign On,简称 SSO),可以支持企业客户使用企业自有身份系统的登录服务登录访问阿里云。为了满足不同企业客户的登录场景需求,阿里云提供了以下两种基于 SAML 2.0 协议的 SSO 机制:用户 SSO:阿里云通过身份提供商 IdP 颁发的 SAML 断言(SAML Assertion)确定企业用户与阿里云 RAM 用户的对应关系。企业用户登录后,使用该 RAM 用户访问阿里云资源,对应的访问权限由 RAM 用户的授权策略所限制。角色 SSO:阿里云通过身份提供�������商 IdP 颁发的 SAML 断言(SAML Assertion)确定企业用户在阿里云上
89、可以使用的 RAM 角色。企业用户登录后,使用 SAML 断言中指定的RAM 角色访问阿里云资源,对应的访问权限由 RAM 角色的授权策略所限制。第二大类是面向应用程序的认证方式,主要有 AccessKey 认证和 STS 认证两种。其中AccessKey 是用户调用云服务 API 的身份凭证,用于在用户通过 API 访问阿里云资源时对用户身份进行认证。API 凭证相当于登录密码,只是使用场景不同。前者用于程序方式调干货长文快�������收藏!阿里云专家教你如何安全访问和管理 ECS 资源58用云服务 API,而后者用于登录控制台。Access Key 包括访问密钥 ID(AK ID)和秘密访问密钥(AK
90、 Secret)。AK ID 用于标识用户,而 AK Secret 用来验证用户身份的合法性。用户在调用资源时会传入 AK ID,并使用AK Secret 对请求进行签名(HMAC-SHA1 算法)。用户可以登录阿里云用户中心或 RAM控制台来管理 Access Key,包括创建、冻结、激活和删除操作。Access Key 是可以长期使用的 API 访问密钥,建议用户在使用时要考虑对 Access Key 的周期性轮转。请注意,出于有效权限分割和降低风险的考虑,云上最佳安全实践中不建议用户为其云账号(即主账号)创建 AK 凭证,而������建议为其下属的 RAM 用户各自创建 AK 凭证。建议 RAM用
91、户更多的使用 STS 临时 token,而不是使用长期使用的永久 AK。阿里云 Security Token Service(STS)是为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证的云服务。有时存在一些用户(人或应用程序),他们并不经常访问客户云账号下的云资源,����只是偶尔需要访问一次,这些用户可以被称为“临时用户”;还有些用户,例如运行在不可信移动设备上的 App,由于自身安全性不可控,不适合颁发长期有效的访问密钥。这些情况下,可以通过 STS 来为这些用户颁发临时权限凭证。颁发令牌时,管理员可以根据需要来定义令牌的权限和自动过期时间(默认为 1 小时过期)。ST
92、S 访问令牌是一个三元组,它包括一个安全令牌(Security Token)、一个访问密钥 ID(Access Key ID)和一个秘密访问密钥(Access Key Secret)。用户在调用资源 API时传入安全令牌和访问密钥 ID,并使用秘密访问密钥对请求进行签名(和上述 AK 签名机制相同)。在通过身份认证后,RAM 实际上会生成两类的身份,一�������类是实体身份,比如 RAM 用户、RAM 用户组,另一类是虚拟身份,也就是 RAM 角色,那这两者有什么相同和不同点呢?干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源59首先,RAM 用户和 RAM 角色都是 RAM 中定义的身份
93、,前者是实体身份,代表人或者程序,而后者是一种虚拟身份,往往需要被实体用户扮演才能生效。无论是 RAM 用户和 RAM 角色在被授予权限后都可以直接访问资源,也可以通过 SSO 和企业 IdP 互联。不同点在于:RAM 用户有确定的登录密码和访问密钥,可以支持控制台登�������录,享有登录凭证;RAM 用户可以被加入 RAM 用户组,从而继承用户组的权限,RAM 用户组就是用来划分一组职责相同的 RAM 用户,因此可以被赋予一组同样的权限策略;RAM 用户可以对应企业内的人员、应用等,在需要协同使用资源的场景中,避免直接共享阿里云账号的密码等机密信息,缩小机密信息的可见范围,并为 RAM 用户和 RAM
94、用户组赋予最小权限,即使不慎泄露机密信息,也不会危及阿里云账号下的所有资源。而 RAM 角色虽然有确定的虚拟身份,也可以被赋予一组权限策略,但是没有确定的登录密码或访问密钥。RAM 角色需要由一个受信的�����实体扮演,该实体在扮演 RAM 角色时即获得RAM 角色的权限。在云产品通信的场景中,为受信的实体(例如 ECS 实例)绑定 RAM 角色后,该��������实体可以基于 STS(Security Token Service)临时凭证访问其他云产品的 API,干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源60避免将 AccessKey 写在配置文件中等高危操作,保证 AccessKey 的安全
95、。企业在云上的身份和 AK 的管理中,常见的风险往往是因为账号或者是 AK 的管理或使用不善,会导致 AK������� 的安全的风险敞口会变大,甚至是 AK������ 的泄露,从而导致了一些安全的隐患,因为用户名的密码的泄露或者是 AK 泄露所造成的危害,也备受企业的关注,这里列举了一些常见的安全风险,这里可以分成两类。第一类是人员管理上的风险,第二类是 AK 管理上的风险。在人员的管理上常见的风险,第一是使用了主账号进行日常运维和管理的操作,第二是存在多人共享一个 RAM 用户,这样会影响审计信息,第三是控制台的用户,没有和企业的账号打通,由于员工的离职之后,一些数据没有和企业内部账号的信息进行同步,第四种是高权
96、限的用户且没有配置好 MFA,登录的 IP 的白名单等安全�����的设置,会有一些高危的用户登录的风险,最后一种,是存在长期不使用的僵尸用户,扩大了风��险的敞口。AK 管理的风险主要有,一般是经常会使用主账号的 AK,在主账号 AK 如果一旦泄露了,止血的成本就非常的高昂。第二类是在代码中的硬编码的 AK,从而容易从 ECS 的镜像 OSS文件或者是一些外部的公开的渠道上面把 AK 泄露出去,第三种是存在的人和程序混用干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源61RAM 用户而造成了 AK 被误删的这种场景,第四种是存在 AK 长期不轮转,造成了风险的累积。还有一种是客户端的代码中包
97、含了永久 AK,这也是非常容易泄露的。为此我们给出了五个身份安全治理的原则和建议:原则一是不推荐您使用主账号的 AK。因为主账号 AK 拥����有的是超级权限,一旦泄漏后的风险极高,而且主账号 AK 不支持精细化的授权,也不支持临时授权和�������白名单控制。我们推荐您开启主账号 MFA 的多因子认证来增强主账号的安全性,通过云安全中心提供的 AK 泄漏扫描能力来检查自身环境是否使用了主账号 AK。原则二是区分人员和程序的 RAM 身份。人员不应启用 AK,控制台子用户不应该拿到AK,可以使用 SSO 实现统一认证登录。而程序应该与子 AK 一一对应,并且关闭程序子 AK 的控制台登录能力。原则三是合理的授权
98、,比如客户端或测试开发环境使用临时 Token,而不是永久 AK,定期清理长期不使用 RAM 子用户。原则四是安全合理的使用永久 AK,至少可以定期巡检&报警,开启 AK 白名单、限制白名单访问来源 IP,避免明文编码 AK,避免将 AK 暴露到外部公共平台上,以及实现 AK干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源62加密和集中化管��������理。原则五是尽可能的实现无 AK 的使用,比如我们可以定义 ECS 实例的 RAM 角色,授权给某个 ECS,实现权限精细化控��������制和管理,并且过程中无需明文的保存 AK 信息。RAM 访问控制服务允许企业对主账号内的身份安全做整体性的安全控制,比
99、如密码强度的设置策略会对主账号下所有的 RAM 用户生效,�������用户的安全设置也允许设置 MFA 的多因素的认证与设置允许控制台登录的来源的 IP 的掩码,以及是否允许 R��������AM 用户自主管理密码和 MFA 的设备等等。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源63这里推荐您免费开通 RAM 访问控制服务提供的身份权限治理服务,当您开通了身份权限治理服务功能之后,RAM 会持续的检测阿里云账号及其下的 RAM 用户是否存在身份权限的安全风险,帮助您及时发现治理上的缺失,并提供友好的治理引导,帮助您完善云上身份权限治理的配置,身份权限治理服务的检测项,包含了 AccessKey 管理
100、检测,RAM 用户管理检测,密码强度和 MFA 管理检测,安全使用的建议,以及高危权限的管理,还有细粒度的权限管理和授权效率的建议等等。具体来说,您需要使用阿里云的账号或者是具有管理权限的 RAM 用户登录到 RAM 的控制台,在左侧的导航栏中点击概览,在概览页的标签页下面选择治���������理检测,可以查看身份权限��������的治理的检测数据。单击下载报告,可以下载检测的数据到本地进行查看,可以按照报告中介绍的治理方案,在控制台完成身份权限的治理。小结:在身份管理这一部分,我们介绍了什么是身份认证,阿里云提供了多种多样的面向用户和应用程序的认证手段,在通过身份认证之后,RAM 其实会生成两类的身份,一类是实体身份,我
101、们称为 RAM 用户,另一类的是虚拟身份,也就是 RAM 角色。我们对比了两者的相同点和不同点,介绍了在身份管理��������里面的一些安全的风险,安全治理干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源64的原则以及阿里�������云建议的一些最佳实践。您通过 RAM 访问控制服务来设置企业用户整体的安全性是最常见的治理手段,另外也建议您开通免费的身份权限治理服务,阿里云可以帮助您及时发现治理缺失的漏洞,并提供友好的治理引导,帮助您完善云上的身份权限治理的配置。三、权限管理的策略与授权案例接下来介绍关于权限管理的策略和授权案例。首先先介绍一下访问控制的实现原理,介绍如何给身份进行授权,特别是关于 ECS
102、 授权的一些基本的案例。接下来会介绍一些��������高阶的授权能力,比如可以基于资源组进行访问控制和资源的管理,也可以使用标签进行资源管理,最后介绍操作审计。访问控制是管理资源访问权限的服务。它不仅提供了多种满足日常运维人员职责所需要的系统权限策略。也允许您通过图形化工具快速地创建自定义的用户权限策略。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源65它可以根据请求特征,比如请求源 IP 地址、日期时间、资源标签等条件属性匹配精细的资源访问控制策略。也支持根据 RAM 用户或 RAM 角色的身份特征,判断其是否在资源维度和操作维度是否有访问权限。也支持根据资源特征,比如资源是否在指定资�������源组
103、中,判断 RAM 用户或 RAM 角色是否有访问权限。当您的企业存在多用户协同操作资源的场景时,RAM 可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。RAM 访问控制支持控制台、SDK、OpenAPI、阿里云 CLI 命令�������行等多种方式的调用,因此也是非常方便的。如何给身份进行授权?默认情况下,阿里云的主账号控制了资源的所有权限,主账号创建出来的 RAM 用户是默认没有任何权限的,因此需要通过授权的方式给 RAM 用户赋予权限,干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源66用户的授权会分为两个步骤。首先需要新建一组权限的策略,给
104、 RAM 主体绑定权限的策略。权限策略也叫做 policy,就是用一组语法结构去描述一组权限的集合,目前支持两种的权限策略,分别是阿里云维护的系统策略和用户自定义的权限策略,系统策略,用户是只能使用而不能够修改,是由阿里云来进行维护。用户的自定义策略,用户就可以通过可见化可视化的编辑器,包括权限策���略的脚本编辑器,以及权限策略的模板等多种方式,进行自主的创建,更新和删除。第二步是为 RAM 的主体进行授权,也就叫做 attach policy,attach policy 是给 RAM 用户或者用户组或者角色,绑定一个或者是多个的权限策略,他的授权范围可以是整个云账号的资源也可以是指在云账号下指定
105、的一个资源组内的资源,绑定的权限策略,可以�����是系统策略,也可以是自定义的策略,如果绑定的权限策略被更新了,更新之后的权限策略就会自动生效,而无需要再重新绑定这个权限策略。为了方便您使用,ECS 已经预定了一些系统策略来方便您在日常的管理中快速的为 RAM 用户,RAM 用户组�����或者是 RAM 角色去添加这些权限的策略。这里面包含了 ECS 管理员的权限,ECS 只读的权限,管理弹性网卡的权限,下发云助手命令或者是只读云助手信息导入导出 ECS 实例镜像等权限。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源67这里我们举一个在企业内部控制员工资源使用权限的案例。首先,企业的管理员可以
106、按需创建和管理资源的职位,来创建一个 SysAdmins 的用户组,添加权限策略,并授予执行所有操作的权限,管理员需要严格的控制高权限的人数,并且给管理员去开启 MFA 登录。管理员可以为需要使用的资源的职位创建 Developers 用户组,为开发人员创建相应的RAM 用户,并按照各自用各自的职位加入到不同的用户组,根据研发的自定义,管理员可以根据最小够用的权限策略的原则去授予开发人员,去调用 StarInstance、StopInstance、DescribeInstan�����cestar 等 ECS 最基本的功能接口的权限,如果为了加强网络的安全控制,管理员可以添加这网络相关的权限策略,规定比
107、如组内的用户的 IP 如果不是来自于企业网络内部,则拒绝其访问资源。如果某一个开发人员的职位,变更为系统管理员,就可以将其 RAM 的用户从 Developers用户组移动到 SysAdmins 用户组,如果 Developers 用户组的 RAM 用户,需要更大的权限,修改用户组的权限策略就可以应用到用�������户组里面所有的 RAM 用户。对于云产品,比如 ECS 实例,可以给特定的 ECS 实例绑定 RAM 角色,基于 STS 临时访问干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源68凭证去访问其他的云产品,在阿里云上是可以实现这样一组策略。再来举另外一个例子,也是为不同的职责的�������人
108、员去授予不同的权限,其实可以根据企业的实际情况,给更多的角色分配更多的更细粒度的权限策�������略,这里既可以是系统的策略,也可以根据实际情况去自定义一些访问的策略,比如这里分成了云管理员,系统管理员,网络管理员,安全管理员,财务还有开发人员等各种各样的角色。他们的角色的访问策略就可以由您自己去管理。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源69接下来学习一些权限控制的高阶用法。首先是基于资源组的细粒度资源管理和访问控制,资源组其实是根据资源的用途,权限,归属等维度,对您所拥有的云资源可以进行分组,从而实现企业内部多用户、多项目的资源的分级管理,每个云资源目前只能属于一个资源组,加入
109、到资源组,它不会改变云资源间的关联关系,比如可以按照云资源的用途来进行分组,将生产环�������境的实例和测试环境的实例,分别放入到生产环境和测试环境的两个资源组中。在产品测试的时候,只对测试环境内的资源组进行实际的操作,从而避免对生产环境的实例发生误操作,在产品需要上线的时候,再选择生产环境的资源组装的实例进行操作,也可以按公司不同的部门使用的资源放入到多个不同的资源组中,并且设置相应的管理员,从而实现分部门的管理实例。这里举某个游戏公司项目开发的真实案例,某个游戏公司在并行开发三个游戏项目,每个项目都会���������用到多种云资源,公司是要求项目要能够独立管理,项目的人员也只能访问到它所在项目的资源,这时候就可以基
110、于资源组来实现 RAM 的访问控制。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源70基于资源组的访问控制具体应该怎么做?首先可以由企业的管理员分别给三个项目创建三个不同的资源组,并且把每个项目所用的独立资源放入到对应的资源组中。在资源管理页找到资源组,创建出资源组,点击资源组内,再点击转入资源,就可以将云产品对应的资源转入到资源组内。第二步是企业的管理员给项目人员创建 RAM 用户,给 RAM 用户在资源组内授予 ECS 的相关的一些权��������限,这样 RAM 用户就可以访问本项目内的 ECS 资源,但无法访问其他项目的ECS 资源。除了使用资源组外,也可以使用标签来划分不同的资源,
111、相比于资源组,标签是一种更加灵活的资源划分�����维度或者工具,比如可以按照地区、部门、环境分别给资源打上多个标签,同一个资源可以支持多个标签。如果从资源视角来看,可以把资源分成各个云产品,比如有 ECS 计算资源,有 OSS 存储资源,有 VPC 网络资源,从标签的视角,就可以更加贴近于用户的视角,可以把资源按照地区或者是部门或者是环境等多个维度来进行区分,在此基础上,可以基于标签来实现访问的控制。干货长文快收藏!阿里云专家教你如何安全访问和管�������理 ECS 资源71通过标签来进行 RAM 用户的健全的访问控制的原理如图所示。首先是由云管理员使用阿里云的主账号新建一个自定义的策略,在策略中,可以指定带有
112、特定的 RequestTag,或者是特定的 ResourceTag,RequestTag 是意味着 RAM 用户在发起请������求的时候必须要传入特定的 Request 标签,比如在创建资源时传入这个标签,就会给ECS 实例自动打上 Request 的标签,而 ResourceTag 标签就意味着 RAM 用户要访问的资源本身必须包含特定的 Resource 的标签。在阿里云的主账号创建好自定义策略之后,将自定义策略授予给 RAM 用户,预期的结果就是 RAM 用户只能按照标签匹配的条件来访问 ECS 资源,而操作未绑定标签的 ECS 资源时会报错。干货长文快收藏!阿里云专家教你如何安全访问和管理 E
113、CS 资源72再来看一个真实的客户案例,某公司希望根据不同的角色对资源进行管理,要求在 API 层面和控制台都可以用,这里分别有四个 RAM 角色,分别是资源的生产者,资源授权的管理者,还有两类的用户,一类是 datacenter 用户组里的用户,一类是 bizcenter 用户组里的用户。资源的生产者负责资源的生产和调度,资源的授权者是负责管理资源标签的策略和授权的关系,前两者一般可以是用户公司的财务人员和运维人员,而 datacenter 的�������用户组的成员和 bizcenter 用户组的成员往往是公司的研发人员。运维人员可以按照ResourceTag去创建出包含自定义的标签策略的策略,授予d
114、atacente�������r成员去访问带有这个 datacenter tag 的 ECS 资源;授权 bizcenter 的成员,可以访问带有这个 bizcenter ECS tag 的资源。这里资源的授权就相当于对资源进行打标签,需要资源上有标签,在 ECS 上面添加相应的标签就可以。如果希望用户无法访问当前资源,只要把这个标签删除掉就可以,而不需要再去修改这个标签的权限策略,这样对于权限的管理就转化成了对于标签的管理,这样是一种更加灵活的使用权限控制的策略。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源73我们强烈建议您开启操作审计的服务,操作审计的服务称为 ActionTra�����il,
115、它可以帮助您去监控记录云账号对于产品服务的访问和使用的行为,您可以根据这些行为进行事后的行为分析、安全分析,来监控未授权的访问,或者识别潜在的安全配置错误,威胁或者是意外行为,也可以满足行为合规审计的一些要求。小结:刚刚在权限管理中,我们介绍了 ECS 几个产品的安全能力,介绍了访问控制的实现干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源74原理,如何给身份授权以及给 ECS 授权的案例,建议您基于身份授予访问 ECS 资源的权限,对于有更细粒度的 ECS 资源访问控制的需求,建议您可以使用资源组或者是标签 tag 进行批量授权,最后还是建������议您能够开启操作审计来监控云账号对于操
116、作的行为进一步监控和控制。四、避免显示 AK 配置的最佳实践总结接下来为大家介绍如何避免显示 AK 配置的最佳实践。前面提到了 RAM 角色是一�����种虚拟的角色,ECS 里面的 RAM 角色,它其实就是 RAM 角色的一种,他是使 ECS 的实例可以扮演某一种特定权限的角色,可以通过临时访问凭证 STS去访问指定的云服务,比如 ECS 可以临时访问 OSS 的对象存储、访问数据库,这样最大的好处是您不需要在 ECS 内去保存用于访问云服务的明文 AK 信息,而且是由 ECS 的云服务通过角色扮演的方式来实现了与 ECS 实例和其他阿里云服务间的一安全通信。为了实现这个效果,您可以在 RAM 的控制
117、台上去创建一个 RAM 角色,指定的可信的实体类型是阿里云的服务,角色的类型是普通服务角色,授信的服务是 ECS 云服务器,为 RAM角色进行授权,比如是可以只读的访问对象存储,在 ECS 的控制台上,选择指定的 ECS 实干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源75例,授予 ECS 实例的 RAM 角色就可以了。接下来,我们通过给 ECS 关联的 RAM 角色������来解决一个实际的安全隐患。在很多用户的业务服务当中,经常会使用到 MSE 配置中心来管理日常、或者预发、或者线上各种环境的配置信息,由于配置项中往往存在敏感的数据,明文保存在配置中心是不安全的,但如果把配置项加密保
118、存在 MSE 配置中心之后,又需要把加密之后的配置传给 KMS进行解密,在过程中�������会使用到密钥等敏感的配置项,这些配置项如果在使用过程中落盘,比如落到了 ECS 实例里面,就会容易产生安全的风险。这时候就可以通过给 ECS 的实例去关联一个 RAM 的角色,来无密钥的访问 MSE 的配置中心和 KMS。通过给 ECS 的实例关联 RAM 角色,授予一个临时访问的权限,这时候就可以避免开发人员和用户,拥有解密配置项的能力。这里 ECS 实例去访问 MSE 的配置管理的时候,使用的是 MSE 的 SDK,在获取到了配置项,实际上这时候还是一个���������加密的配置项,这个加密配置项是封装在 MSE 的 SDK
119、当中的,这时候应用程序再拿加密的配置项,调用 KMS 的 SDK,调用 KMS 的�������� SDK 之后返回的结果也是在 KMS 的 SDK 中,这里面全过程中所有的敏感配置项都不会落盘,都是在内存当中。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源76好处就是用户无论是 KMS 的密�������钥的管理员,还是 MSE 的配置的管理员,他们都获取不到敏感的信息。五、总结最后我们对本次分享做一个总结:本次分享一共有三大部分,分别是身份认证、访问控制和一些进阶的安全方案。如何提升身份认证的安全性?建议您开启主账号 MFA 的多因素多因子认证来增强主账号的安全性,不建议使用主账号的 AK,而是给应用颁
12��������0、发子 AK,避免将明文的 AK 暴露到外部的开发平台上,同时定期的去清理长期不使用的 RAM 用户。尽可能的使用具�����有时效性的临时的 STS token。提升访问控制安全性方面,建议您可以利用 ECS 已经预定义好的系统策略和自定义的 RAM策略,为不同职责的人员授予权限,可以基于资源组,按照云资源的用途、部门结构等不同的维度来管理资源,授予不同用户访问不同资源组的权限,也可以使用标签对云资源进行细粒度的资源管理和控制。干货长文快收藏!阿里云专家教你如何安全访问和管理 ECS 资源77在进阶方面,建议您可以使用 ECS 实例的 RAM 角色,将 RAM 角色关联到某个具体的 ECS实例上,这样就
121、可以避免将显示的 AK 配置落到 ECS 的本地,同时建�����议您能够启用操作审计 ActionTrail,可以进行事后的行为分析和安全跟踪,来识别潜在的安全风险,满足合规审计的需求,建议您也开通免费的身份权限治理服务来定期检测身份和权限上的安全风险,及时完善云上身份和权限配置的安全性。以上就是本次分享的全部内容。希望通过这个分享,能为您在阿里云上安全的使用 ECS,提供一些的帮助������和建议,谢谢大家。来上课!一文掌握守住 ECS 网络安全的最佳方法78来上课!一文掌握守住 ECS 网络安全的最佳方法引言:本文整理自【弹性计算技术公开课ECS 安全季】系列课程中,阿里云弹性计算技术专家刘明带来了如何守住
122、 ECS 的第一道防线网络安全一节。一、网络安全中常见问题概览我们在网络环境中常见的安全问题非常多,在此挑选了几个与网络安全高度相关的场景,带大家简单了解一下。来上课!一文掌握守住 ECS 网络安全的最佳方法79首先是网络系统安全,举几个例子:第一:路由器、交换机等网络设备存在配置错误,极可能导致恶意入侵,这种是网络设备安全。第二:Web 服务器设计缺陷或者配置不当导致数据泄露,这种是服务器和应用安全、网络信息安全。�����我们常听说/电影情节中见到黑客对网络请求进行拦截的行为,甚至是直接篡改信息,给用户带来损失。还有一种是在同一个公司中,大家在同一个局域网内部,由于没有细分权限,发生敏感信息的泄露,
123、比如财务部门的数据被泄露,给用户给公司带来损失。第三:云安全,云环境中的应用没有正确配置安全组、防火墙规则等。第四:服务器被攻击,由恶意用户发起的 DDOS 攻击,导致整个服务不可用,以上是网络安全问题的一些常�������见场景,这些都会给用户带来难以估量的损失。网络安全是一个非常重要的课题,做好防护是阿里云和用户共同的责任。来上课!一文掌握守住 ECS 网络安全的最佳方法80上图是解决网络安全问题的一个整体思路:首先做好网络隔离,如果您的服务不能被外部访问,甚至是不能够被内部访问,它一定是安全的。第二是做好阻断,通过使用云上提供的防火墙能力阻断不安全的访问,或������者是仅允许指定端口 IP 访问。第三个是对流
124、量进行监控和分析,如果发现了非预期的流量或者是访问,可以第一时间介入,进行相应的处置。第四个是做好安全防护,可能您的服务是面向公网用户的,攻击没办法����完全避免,做好安全防护可以有效的降低安全问��������题带来的损失。二、做好网络隔离按照刚才提到的,讨论一下如何做好网络隔离,把“坏人”挡在门外,就不用担心他会伤害到您。来上课!一文掌握守住 ECS 网络安全的最佳方法81那么我们如何做好网络隔离?第一:阿里云提供的云上虚拟的局域网专有网络,专有网络相互之间在逻辑上是完全隔离,无法通信的,利用这个特性,可以构建自己的局域网,在每一个专有网络里,用户可以根据自己的需求创建多个交换机,交换机可以绑定网络 ACL 进
125、行流量的控制。第二:建议用户把自己的网络设备按照重要程度、部署服务类型、安全等级等进行划������分,根据他们的不同把相应的服务部署到不同的交换机下。第三:尽量使用内网通信,非必要情况下不要使用公网。例如当想进行跨专有网络的通信时,优先使用阿里云提供的终端节点进行服务,终端节点是通过内网进行通信的,以上就是阿里云网络隔离的三大建议,下面会详细的介绍相关的产品。首先,学习一下专有网络。专有网络是专有的云上私有网络,用户可以根据自己的需求在云上创建多个专有网络,在专有网络中,用户可以完全掌控自己的网络,例如可以选择地址 IP 的范围,阿里云提供来上课!一文掌握守住 ECS 网络安全的最佳方法82ABC 三个
126、网段的地址段,例如 10.0.0.0 掩码是 8 的 A 类地址段和 192.16 8.0.0 掩码是 16是 B 类地址段。用户可以在专有网络中������配置路由表和网关,可以在自己定义的专有网络中使用阿里云的一些资源,如云服务器 ECS,云数据库 RDS 和负载均衡 SLB 等等,专有网络还有非常多其他高级的功能,在此不再详细介绍,大家可以根据官网文档进行了解。重点介绍安全相关的内容,专有网络提供了丰富的隔离能力:在专有网络之间在逻辑上是彻底隔离的,相互之间默认无法通信。专�������有网络内的 ECS 可以通过内网进行通信减少,这样就可以减少公网的暴露。每个专业网络内它可以建立多个交换机,可以有利于这种网络的
127、网络和网段的划分,不同交换之间也可以设置一些隔离。这是对专有网络的一些介绍,下面一起了解一下虚拟交换机。接下来,了解虚拟交换机的概念。来上课!一文掌握守住 ECS 网络安全的最佳方法83交换机是组成专有网络的基础网络设备,用来连接不同的语音资源实例,每个专有网络下,用户可以很方便的�������管理多个虚拟交换机,根据自己的需求进行创建、删除、配置虚拟交换机。左边图中交换机的一些概念,第一,当前的专有网络中有三个交换机,其中的两个位于可用区 A,另外一个位于可用区 B。每一个交换机都必须会有一个可用区中。专有网络交换机提供的安全能力主要有两点:第一,服务隔离,可以根据服务的安全等级、服务的类型进行网站的划分
128、。第二是流量控制,专业网络,提供了网络 ACL 的功能,网络 ACL 可以绑定到交换机上,对流经交换机的流量进行访问的控制。这就是交换机的整体概念,继续看一下关于网络隔离的一些其他建议。第一个建议是用户权限分级,设置一个网络的管理员统一来管理网安������全组,网络 ACL 以及来上课!一文掌握守住 ECS 网络安全的最佳方法84流量��������日志这些高危的权限,避免高危权限的泄露,同时出现问题时也更容易排查;普通用户无法变更网络 ACL 和安全组的 ACL。第二个建议是隐藏私密的内容,通过阿里云提供了网络 ACL,安全组和云防火墙,限制不易公开的内容访问权限,避免数据泄露。第三个建议是要做服务隔离。图中可以看到
129、,有两个集群,第一个是 Mysql 服务集群,第二个是 web 服务集群。把 Mysql的服务集群,都放在安全组 A 里,Web 的服务集群都放在安全组 B 里。在大多数的应用场景下,只需要为安全组 A 配置一条允许内网进 10.0.0.0 掩码是 8 访问 3306 端口的规则,而安全组 B 配置一条允许公网及 0.0.0.0 且掩码是零的访问八零端口的规则,这样不同的服务它有不同的隔离级别。并且每一个服务的访问权限都是最小的。第四个建议是�������优先使用内网而不是公网进行通信,一个典型的场景是跨 VPC 的通信,第一种方案,两个 VPC 都引入公网。第二个方案是为每一个 VPC 建立一个终端节点,
130、通过终端节点使用内网进行通信,推荐第二种方案,这样可以减少公网暴露,降低安全的风险,这就是讲解的网络隔离的内容。下一个章节会讲解如何通过网络 ACL 和安全组进行流量的控制。三、控制网络流量首先,学习一下什么是网络 ACL,设想一个典型的场景,交换机 A 中 ECS 部署着重要的服务,不希望被其他����交换机下的 ECS 访问到,这就引入了阿里云专有网络的产品能力,网络ACL,只需要给交换机 A 绑定一个网络 ACL,同时设置网络 ACL 的规则,阻断其他交换机的访问,即可满足自己的需求。来上课!一文掌握守住 ECS 网络安全的最佳方法85再来介绍一下网络 ACL 的概念,网络 ACL 是专有网络中
131、的网络放置、网络访问控制功能,网络 ACL 的作用范围是专有网络下的虚拟交换机上,您可以自定义设置网络 ACL 规则,并将网络 ACL 与交������换机进行绑定,实现对交换机中云服务器 ECS 实例流量的访问控制。网络 ACL 的几点特性:第一是无状态,设置入方向规则的允许请求后,必须要同时设置出方向的规则,否则就可能导致请求出去了回不来,或者是能进来回不去。第二点是网络 ACL 内没有任何规则时,会拒绝所有出入方向�����的访问,默认是拒绝所有访问的。第三点也是需要注意的,从交换机下的 ECS 流量不受网络 ACL 的限制,左图中大概描述了网络 ACL 的作用原理,需要说明的是,本节只讲解网络 ACL,没有
132、考虑安全组的影响。整个图片分为两部分,左侧表示所有交换机没有绑定网络 ACL 的场景,在这种场景下,整个专有网络的 ECS 都不受网������络 ACL 的限制,是可以互相访问的。图片的右侧,表示两个交换机都绑定了网络 ACL,左侧交换机内的 ECS 可以彼此互相访问,不受网络 AC 的控制,右右侧交换机访问左侧交换机需要受到网络 ACL 规则的限制。来上课!一文掌握守住 �������ECS 网络安全的最佳方法86本节讲解了网络 ACL 的基本概念,下面深入学习一下网络 ACL 的规则。ACL 规则由以下要素构成,生效顺序、策略、协议类型、源地址、目的地址、目的端口范围等。生效顺序表示生效的优先级,值越小,规则的优
133、先级越高。系统从生效顺序为一的规则开����始判断,只要有一条规则与流量匹配及应用该规则,并忽略其他规则。例如,交换机 B 中的 IP 为 172.16.0.1 的 ECS。通过 TCP 协议访问交换机 C 中的 ECS,再经过如表所示的 ACL 规则配置后,172.16.0.1 的匹配生效顺序 2 和生效顺序 3中规则的源地址。由于生效顺序 2 的优先级高于生效顺序 3,所以会根据生效顺序 2 的规则拒绝该请求。策略,针对特定流量选择允许或拒绝。协议类型,指定数据流的协议类型,阿里云的 ACL 协议支持 ALL、ICMP、GRE、TCP、UDP 五种。第一种是 ALL,即所有协议,当选择所有协议类型
134、时,端口的范围是没办法设置的,必须为-1/-1,表示不限制端口,ICMP 协议,网络控制报文协议,当选择该协议类型时。来上课!一文掌握守住 ECS 网络安全的最佳方法87端口范围无法设置,为-1/-1,表示无限制端口,GRE 通用路由封装协议,当选择该封装协议������时,端口范围无法设置,为-1/-1,表示不限制端口,TCP 传输控制协议,当选择该协议类时,端口范围为 165535,设置格式可以为 1/200 或 80/80,并且不能设置为-1/-1,UDP 是用户数据报协议,当选择该协议类型时,端口范围为 165535,设置格式为 1/200或 80/80,且不能设置为-1/-1。源地址,是用于限制
135、入方向的规则,数据流的源地址,目的地址,是用于限制出方向的规������则,表示数据流的目的地址,目的端口的范围,是用于限制入方向规则作用的端口范围,这个就是 ACL 构成要素的一些详解。通过网络 ACL 限制流量,主要分为三步:第一步是创建网络 ACL;第二步是将创建的网络 ACL 关联到交换机;第三是设置网络 ACL 的规则。来上课!一文掌握守住 ECS 网络安全的最佳方法88设置后所有的规则会自动对交换机下的 ECS 的生效,创建网络 ACL 是首先在的控制台专有网络 ACL 的页面点击创建网络 ACL,也可以通过 OpenAPI CreateNetworkAcl 创建 ACL,第二步是关联交换机,
136、可以在 VPC 的控制台、专有网络、网络 ACL、网络 ACL 详情的页面点击关联交换机,也可以通过 OpenAPI AssociateNetworkAcl 绑定 A�����CL 到交换机。第三是设置规则,在 VPC 的控制台,选择专有网络、网络 ACL、网络 ACL 详情及出入方向的规则进行设置,也可以通过 OpenAPI UpdateNetworkAclEntries 更新网络 ACL 规则,注 意 第 二 步 中 的 OpenAPI是 一 个 义 务 的 操 作,可 以 通 过 OpenAPIDescribeNetworkAclAttributes 查询网络 ACL 的规则的更新状态,更新结果,
137、这就是������要讲解的网络 ACL 详情,下面我们会重点讲解一下,阿里云 ECS 安全组。什么是安全组,设想几个常见的安全场景:有一个 Mysql 集群,并且只想对内网放开 3306 端口的访问有一个 web 集群,只想放 80/443 端口的外部访问有一个 AB 两个服务集群,彼此之间不希望他们进行通信来上课!一文掌握守住 ECS 网络安全的最佳方法89同交换机下的两台 ECS 不允许彼此访问前三条都可以通过网络 ACL 实现,但是最后一个场景不行,只能用安全组实现,因为前文提到过,同交换机下的 ECS 是不受网络 ACL 的限制的。安全组的概念:安全组是一种网卡粒度的虚拟防火墙,能够控制 ECS
138、实例的出入站流量。安全组的入方向规则控制 ECS 实力的入站流量,出方向规则控制 ECS 实力的出站流量。通俗的讲,就像是一个小区的门卫,只放行允许的访问,对于不允许访问会拒绝掉。上个章节讲解了网络 ACL,安全组和它有什么不同?首先是作用范围,网络 ACL 的作用范围是交换机下的所有 ECS,而安全组的生效范围是安全组中的所有 ECS。安全组是有状态的����,网络 ACL 没有状态,举个例子,源端的 ECS 出方向的安全组规则允许访问目的端的 ECS,即使源端入方向的不允许目地端的 ECS 放外,出方向的返回请求也不会被拦截。简单概括是安全组能出去就一定能回来,能进去也一定能回来。需要注意的是,由
139、目的端主动发起的对源端的访问会被拦截掉。而网络 ACL 则是无状态的,出入方向必须同时配置允许方向的规则才可以放行允许访问。第三点是同交换机下的 ECS 受安全组规则的限制,但是不受网络 ACL 的限制。第四点是同安组的 ECS 可以允许互相访问,也可以关闭互相访问的功能。�������第五是安全组支持组组授权,并且也支持跨账号的数据授权,这一点在功能上是非常强大的,下一节会重点介绍安全组的作用原理。来上课!一文掌握守住 ECS 网络安全的最佳方法90本节主要介绍安全�������组的作用原理,要想安全组生效,需要进行如下操作:创建安全组;根据自己的需求设置安全组的规则;将 ECS 或者弹性网卡加入安全组。当一台 ECS
140、 加入安全组后,该安全组的所有规则会自动对该 ECS 生效,流入或者流出 ECS 所有流量都要受到这些规则的限制。例如,图中下方的 ECS,加入一个安全组,该安全组配置了一条规则,允许来源 IP 为192.168.1.100 的访问,访问 22 端口,对于来自于 192.168.0.100 的流量,就是不允许访问的,来自 192.168.1.100 的流量,对于 22 个端口的访问会被放行,这就是安全组的作用原理。下一节会重点讲解一下安全组 ACL 的一个规则。来上课!一文掌握守住 ECS 网络安全的最佳方法91首先是单条自定义的安全组规��������则由�������以下的组成元素,第一是协议类型,第二是端口范围,第三
141、是授权对象,第四是授权策略,第五是优先级,第六是规则方向,第七是规则 ID。详细的介绍一下各个元素,首先是协议类型,匹配流量的协议类型,支持 TCP、UDP、ICMP(IPv4)、ICMP(IPv6)和 GRE,端口的范围,匹配流量的目的端口,对于 TCP 和 UDP协议,可以指定一个斜线(/)分隔的端口范围,比如 8000/9000,或 22/22。对其他协议,该字段取值-1/-1 表示所有端口。授权对象:入方向规则中匹配流量的源地�����址,出方向规则中匹配流量的目的地址。支持 CIDR地址块(或 IP 地址)、安全组、前缀列表三种类型。具体如下,举个例子,IPv4 地址:例如 192.168.0
142、.100,IPv4 CIDR 地址块:例如192.168.0.0/24,掩码是 24 位的地段,IPV6 地址和 IPV6 地址段就不再去详细的介绍,还有一个是安全组的 ID。支持当前账号下的安全组,或者是跨账号的安全组,还有前缀列表的 ID,前缀列表是一些网络前缀。比如 CIDR 地址块的一些集合,授权对象为前缀列表时,注意该条规则����会占用安全组规则的配额数,该条规则占用安全组规则的配额数量,为前缀列表最大条目数,与前缀列表中已有条目数量无关。这一点是需要注意的,下一个是授权策略,可以是允许或者是拒绝,优先级后面会重点去介绍。来上课!一文掌握守住 ECS 网络安全的最佳方法92下一个是规则的方
143、向,就是出方向或者是入方向,还有规则的 ID 是表示是唯一组件,安全组规则基于协议类型、端口范围、授权对象来匹配流量,并基于授权策略来允许或拒绝放通流量。对于一般的入方向规则,授权对象匹配流量的来源地址、端口范围、匹配流量的目的地址,对于一般的出方向规则,授权对象匹配流量的目的是端口范围,匹配流量的目的端口,这一点是需要好好的去理解一下。本节重点讲解了安全组 ACL 的一个构成。������下一节会讲解�������规则的排序策略。安全组规则的排序依据,可以归纳成两点,第一点是考虑规则的优先级,优先级数值越小的规则,优先级越高,而高优先级的规则总是排在低优先级规则的前面;第二是考虑授权的策略,遵循拒绝规则优先的原则,在
144、两条规则优先级行同时,授权策略的不拒绝的规则是排在授权策略允许的规则之前。来举一个例子,直观理解一下,上面的图中,是有一个 ECS 加入了安全组 A 和安全组 B,安全组 A 和 B 分别有两条入方向的规则,安全组 A 和安全 B 的规则都对该 ECS 生效,所以访问 ECS 流量都会受到这些规则的约束,A 和 B 的两个�����安全组的规则排序后的结果。来上课!一文掌握守住 ECS 网络安全的最佳方法93首先,是按照优先级进行排序,所以是优先级为 1 的规则,sgr-4 排在最前面,优先级为100 的规则,sgr-2 排在最后面,由于 sgr-2 和 sgr-3 的优先级都是二,所以是按照策略进行排
145、序,即拒绝优先,策略为拒绝的排在策略为允许的前面,由于 sgr-3 是拒绝,所以 sgr-3它排在了 sgr-2 前面,100.0.0.0/8 中 100.0.1.0/24 的顶端不允许访问该 ECS 的 22 端口,该断定的其他地址段可以访问该 ECS 的 22 端口,也就是右侧图中蓝色线�������条中这个橙色的部分不允许访问,不允许访问该 ECS,其他的部分都是允许的,本节讲解了安全组规则的排序策略,下一节讲解安全组规则的授权对象前缀列表。�������有一种特殊的需求场景,比如,您在线下的 IDC 有大量的物理机通过公网 IP 访问服务,左图,最左边框里代表一个线下 IDC 的服务集群,这里面可能有 100 多
146、个公网 IP,他们通过官网访问云上的两个集群,这两个集群分别位于安全组 A 和安全组 B,������安全组和 A和 B 都需要放行这 100 多个公网 IP。现在有两种方案,第一种方案,不使用��������前缀列表的方案,要做的操作是为安全组 A 和 B,分别添加允许线下 100 多个公共 ID 访问的入方向规则,这种方案的缺点是,第一运维成本高,需要做 IP 数乘以安全组数的次操作,也就是 100 乘以 2,200 多次操作。第二个是每新增一个 IP,需要维护每个安全组的规则,每新增一个 IP 需要有两次操作。来上课!一文掌握守住 ECS 网络安全的最佳方法94第二种方案,是使用前缀列表,使用前缀列表需要做如下操作
147、:创建前缀列表。将线下 IDC 的 100 个 IP 加入到前缀列表中为安全组 A 和 ������B 分别添加一条入方向允许访问的规则,规则的授权对象是在 1 中创建的集用列表第二个方案极大的降低了运维成本,运维操作数就等于 IP 的数量,只需要去操作 100 次。并且攻击事件发生时,可以快速封禁恶意 IP。举个例子,假设线下 IDC 的这些公网 IP 是一些恶意的 IP,对它进行封禁,发现一个恶意 IP,只需要维护一下前缀列表就可以,它就会对所有的 IP 组都会生效,可以达到快速平定的目的。这就是使用安全组使用前缀列表的场景和介绍。在云上的实践中,逐渐总结出来一套设置安全组规则的最佳实践,接下来会进行
148、一下分享。第一点规划,您可以为安全组设置名�����称描述,也可以设置安全组的标签资源组,便于进行来上课!一文掌握守住 ECS 网络安全的最佳方法95分类运维,建议您合理设置这些信息,方便快速识别安全组用途,在管理较多安全组时,更加清晰。第二点是以白名单的方式访问安全组,即默认拒绝所有访问,添加允许规则来放通指定的端口范围或者是授权对象。第三是最小授权的原则,避免设置 0.0.0.0 的全通对象,第二是仅开放允许放开的 IP 段端口协议,开放 Linux 实例的 22 端口用于远程登录时,建议仅允许特定的 IP(如跳板机IP)访问,而非所有 IP(0.0.0.0/0),减少被非法侵入风险。按照用途将规则
149、维护在多个安全组中,并将实例关联到这些安全组。单个安全组的��������规则数量越多,会增加管理的复杂度,第四点做好隔离,不同类型应用的实例,加入到不同的安全组,分别维护安全组的规则,例如将允许公网访问的实例关联到同一个安全组,仅放通对外提供服务端口,例如 80/443,默认拒绝其他的所有访问,避免在允许公网访问的实例上提供一些微信的服务。内部比如MySQL、Redis 等,建议将这些内部的服务部署在不允许公网������访问的实例上,并关联其他的安全组。来上课!一文掌握守住 ECS 网络安全的最佳方法96第五点避免直接修改线上环境使用的安全组,可以先克隆一个安全组在测试环境调试,能确保修改后流量是正常的,在对安全组的
150、线上规则去进行变更。第六点是利用组内互通,同一个安全组的 ECS 默认是可以互相访问的,可以将需要互相通信的������ ECS 实例加入到同一个安全组,避免复杂的 ACL 维护。第七点是利用组组授权,以安全组为授权对象添加规则,安全组规则中五元组中的来源和目的,都可以使用安全组,用户可以把部署相同服务的 ECS 统一放入到同一个安全组 A 中,将安全组 A 作为另外一个安全组规则 B 的来源并设置放行,安全组 A 中的 ECS 都可以访问B 中的 ECS,这样可以非常便捷的做好服务的隔离。第八是使用前缀列表,正如上一节提到的,安全组规则,元素来源和目的都可以使用前缀列表,这样能够极大的降低运维成本,当攻
151、击来临时,运维的越快,风险和损失就越小,讲解完原理和建议,接下来是一个实践环节。来上课!一文掌握守住 ECS 网络安全的最佳方法97可以通过控制台管理安全组的规则和成员:第一是管理安全组规则,在 ECS 控制台安全组列表页选择具体的�������安全组,点击安全组详情,设置安全组的规则;第二是管理安全组内的 ECS 或者弹性网卡。在����� ECS 控制台,安全组列表页,选择具体的安全组,在实际列表页或者是网卡列表 tab 页面上管理安全组页的成员;第三是更换 ECS 安全组,可以在 ECS 控制台实例列表页面选择具体的实例,有一个安全组的 tab,点击修改安全组就可以更换 ECS 安全组,也可以使用 OpenAP
152、I 管理安全组的规则和成员,下一节会讲解。阿里云提供了管理安全组规则合成的六个核心 API,他们可以添加安全组入方规则,添加安全组出方向规则,删除安全组入方规则,删除安全组出发规则,ECS 或弹�������性网卡加入到安全组中,ECS 或弹性网卡点击开安全组,右侧是一个请求的实例,可以通过 commonrequest 或者是阿里云提供的 SDK,对这些 API 进行调用,这就是流量控制的完整内容。来上课!一文掌握守住 ECS 网络安全的最佳方法98四、网络流�����量监控和安全防护图中是一个非常简单的网络架构,介绍一下两个安全和分析的场景需求,第一个是安全追踪 ECS4 部署了公司的重要私密服务,存储了商业机密资
153、料。正常情况下,两个的请求量都是非常小的,有一天运维发现该服务来了一些不明的请求,公司重要资料面临泄露的风险,到底是谁在访问,另外一个是流量分析的场景需求,ECS3是一台测试机研发,从 ECS2 上访������问进行测试,需要对 ECS2 的流量进行分析。以上两个场景都可以使用阿里云专有网络提供的流日志功能来实现。流日志的概念,专有网络流日志功能可以记录专用网络中弹性网卡传入和传输的流量信息,帮助您检查访问控制规则,监控网络流量和排查网络故障。流日志支持捕获网卡的流量,也可以指定捕获专有网络虚拟交换机这种更高维度的流量。例如用户配置捕获交换机的流量,交换机下所有已有和新建网卡的流量都会被捕获。流日志会记
154、录流量信息,包括流量来源,账户信息,VPC 交换机,以及其他的五元组等等信息会保存到用户设置的 SLS LogStore 中,用户可以很方便的通过上述属性在在 SLS 中通过进行过滤分析,这就是流日志的一个整体介绍,下面介绍一个实践应用。来上课!一文掌握守住 ECS 网络安全的最佳方法99使用流日志分析两个 ECS 之间的带宽,第一步是登录专有网络管理控制台,在左侧导航栏选择运维与监控流日志功能,首次使用流日志功能时,您需要进行授权,并且开通流日志的功能,第四是在顶部菜单栏处选择�������需要创建流日志的地域,在流日志的页面单击创建流日志,在创建流日志对话框,根据左侧信息配置流日志,单击确定,完成上述所
155、有操作以后,您可以在流日志的列表页面,发现一条新创建的流日志,点击相应的日志服务,可以进行下一步的分析。来上课!�����一文掌握守住 ECS 网络安全的最佳方法100配置好 LogStore 以后,就可以在 SLS 中配置如下查询,该 SQL 语句,定义的时间、带宽,目的地址的三个参数,时间和目的地址作为聚合列,并且按照时间从小到大进行排序,取1000 条日志,其中参数明如下,EI 网卡 ID 表示 ECS2 的弹性网卡 ID,目的地址表示 ECS4的私网 IP 地址,其余字段您可以按照示例进行输入,配置完成以后,点击查询就可以看������到ECS2 到 ECS4 之间的带宽信息,这就是流日志的相关介绍。接下来
156、介绍一下流量镜像。还是跟之前一样,构建两个安全和审计的场景。第一个安全场景,研发人员发现服务遭到了入侵,需要对流量进行分析,由于被入侵的服务是在线上生产环境中,不适合直接操作。第二个是审计场景,生产环境里有重要的服务,所有的访问都需要对流量进行分析�������记录,但是由于该服务负载较高,不适合在内�������部部署分析的应用。以上两个场景,可以使用阿里云提供的流量镜像功能。来上课!一文掌握守住 ECS 网络安全的最佳方法101首先介绍一下流量镜像的概念,专有网络中流量镜像功能可以镜像经过弹性网卡且符合筛选条件的报文,例如您可以复制专用网络中 ECS 实例网络流量,并将复制后的网络流量转发给指定的弹性网卡或者是负载均
157、衡 CLB 的设备,该功能可以用于内容检查、威胁监控和问题排查等场景,介绍一下整体的概念。第一,筛选条件,包含入方向的规则和出方向的规则,用于筛选在镜像会话中镜像的网络流量。入方向流量表示弹性网卡接收的流量,出方向流量表示从弹性网卡发出的流量,镜像源,需要镜像网络流量的弹性网卡实例,镜像目的,接收镜像的网络流量的弹性网卡实例或私网 CLB 实��������例,镜像会话,通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。关于流量镜像,就讲解这些内容,更详细的信息,您可以�������在阿里云官网的产品文档进一步学习。这一章节讲解阿里云安全防护基础产品,为什么要做安全防护?互联网的产品并不总是面向内部的,一定有需要
158、提供公网服务的需求,而网络上的访问也不总是善意的,恶意的流量无法完全避免,在攻击到来时,做好安全措施可以有效的降低损失。接下来,介绍三个阿里云安全防护的基础产品。来上课!一文掌握守住 ECS 网络安全的最佳方法102第一个是云防火墙,它定位是 ECS 安全组的防护边界,主要是 ECS。而云防火墙,可以作用更广的范围,包括互联网���边界,专有网络的边界等,功能第一是控制所有公网的接入规则,还有控制云企业网高速通道的通信等等,第二个产品是 DDoS 防护,它的定位是在 DDoS 流量抵达 ECS 主机前进行清洗,它的功能是可以防止恶意攻击流量导致的一些业务延迟,访问中断等等。第三个是 web 应用防火
159、墙 WAF,它的定位是在 web 应用层七层协议进行拦截恶意流量,功能是 Web 应用防火墙对网站或 APP 的业务流量进行一些恶意特征的识别,并且能够对服务进行适当的保护。由于安全的防护,会在后续的章节有其他讲�������师来进行更加详细的了解,在此只是做一个简单的介绍。五、总结首先,做好网络的安全,首先要做好隔离,使用专有网络、虚拟交换机、终端节点,做好组网和内网的访问,避免不必要的网络暴露。来上课!一文掌握守住 ����ECS 网络安全的最佳方法103其次,进行网络流量的控制,通过网络 ACL 安全组、云防火墙等等,只放行必要的网络访问。最后,进行必要的流量监控与安全防护,使用流日志和流量镜像对网络流量进行
160、监控和分析,第一时间发现非预期的流量。利用阿里云提供的安全防护能力做好云上安全防护,攻击是无法避免的,但是完全可以做到攻击来临时保护好自己的服务不受损。以上就是本节课程的全部内容。万字干货教你如何保证业务数据全流程安全104万字干货教你如何保证业务数据全流程安全引言:本文内容整理自【弹性计算技术公开课ECS 安全季】中阿里云弹性计算技术专家陈怀可带来的课程如何保证业务数据的全流程安全。一、数据安全的基本概念首先,来看一下数据安全的基本概念。用户的云上数据安全是用户的生命线,也是云上安全整体能力最重要的表现,平台有责任和义务帮助客户保障数据的安全性。数据的安全性,数据安全��������的要求可以用信息安全基本
161、三要素机密性、完整性、可用性来概括。机密性是指受保护数据只可以被合法的用户访问,主要实现手段包括数据的访问控制,数据加密和密钥管理手段。完整性是保证只有合法的用户才能够修改数据,主要通过访问控万�����字干货教你如何保证业务数据全流程安全105制实现,同时在数据的传输和存储中可以通过校验算法来保证用户数据的完整性。可用性主������要体现在数据的容灾备份能上。访问权限相关的内容,在之前的章节已经做过相关的分享,这里就不过多介绍。本次主要从完整性、可用性、机密性三个维度介绍阿里云是如何实现数据安全的。数据的完整性上,通过云盘多副本技术实现了 ECS 数据 9 个 9 的可靠性,数据安全擦除机制实现数据擦除的完整性
162、,并且提供了全链路的数据校验 CRC 的功能,以确保数据在传输和存储过程中数据的可靠性需求。数据的可用性上,ECS 在产品基础安全能力上提供了快照、镜像备份恢复能力,同时在架构上支持了多可用区部署架构,保证数据的可用性。数据的机密性上,ECS 对于数据机密性提供了全链路的数据加密保护产品安全能力,包括了存储加密、传输加密以及运行态数据加密计算环境等等。万字干货教你如何保证业务数据全流程安全106二、云平台自身保证数据的完整性接下来详细了解云平台如何保证自身数据��的完整性。ECS 在保证自身数据完整性上做了很多努力,比如云盘在数据传输和数据存储的层面上覆盖了全链路的数据校验功能,在数据写入和读取数
163、据的过程中,有全链路的 CRC 校验,确保网络传输数据持久化的过程中数据完整,没有损坏。也会定期对持久化介质中的数据进行 CRC 校验和冗余一致性校验扫描,确保介质中的数据完整,没有损坏。另外,除了数据全链路的 CRC 功能之外,在数据擦除上使用了数据擦除机制,保证数据擦除的完整性。具体的实现原理是云盘底层基于顺序追加写实现删除云盘逻辑空间的时候,操作元数据记录,逻辑空������间读操作的时候,存储系统会返回全部零,从物理磁盘上底层前置永久删除。云盘释放的时候,物理存储空间被释放,再次分配数据是清零过的,并且在首次使用写数据之前,云盘读取全部返回是零。万字干货教你如何保证业务数据全流程安全107另外,云
164、盘三副本技术通过分布式文件系统为 ECS 提供了稳定、高效、可靠的数据随机访问能力,为 ECS 实例实现了 9����� 个 9 的数据可靠性保证。当数据节点损坏或者某个数据节点上的部分硬盘发生故障的时候,会自动发起数据复制的同步任务。具体的实现原理是,数据存储平台中有三类角色,Master、Chunk Server、Client,Client在收到写请求之后,计算出三个副本存放的数据节点,Client 向三个副本存放的数据节点发出写操作,只有三个节点的数据都写成功的时候才能够返回成功。同时,为了防止一个机架上的故障导致数据不可用,������Master 会保证三个副本分布在不同的机架下。不过需要注意的是,云盘三
165、副本技术无法防止数据由于病毒感染、人为误删除��������、黑客入侵、软故障等原因造成的数据丢失问题。下面来看一个真实的国外安全事件。去年的九月份,斯里兰卡国家政务云被黑了,而且还丢失了四个月的重要数据。万字干货教你如何保证业务数据全流程安全108详细来看一下事件的前因后果。斯里兰卡国家政务云使用了一款软件,这款软件已经过时并且不再维护,并且漏洞中存在一个致命的安全漏洞,攻击者通过这个软件漏洞发起了勒索攻击,最终导致了近四个月数据的永久丢失。从这个安全事件中我们可以看出问题,对于关键的业务数据缺失备份计划,导致数据一旦被黑客攻击或者误删除,无法及时的恢复数据。我们该如何避免这一类的问题?在后面的关键业务数据
166、可用性的备份与恢复方案上会给出详细的介绍。三、关键业务数据的可用性备份与恢复方案ECS 在数据的备份与恢复上提供了较为丰富的������产品安全能力,以保证用户对数据可用性的诉求。产品安全能力方案包括使用快照备份以恢复数据,使用镜像备份以恢复数据,数据盘分区数据丢失恢复方案,多可用区部署架构实现数据容灾与恢复。首先来看一下快照备份与恢复。万字干货教你如何保证业务数据全流程安全109什么是快照,云上快照指的是云盘数据在某个时间的完整拷贝或镜像。阿里云的快照服务是一种无代理的数据备份方式,��������可以为单个云盘或者云盘组上的数据块创建某一个时刻或者多个时刻的完整拷贝。云盘创建的第一份快照是所有数据快的全量快照,后续创
167、建的快照是增量快照。快照是一种重要的容灾手段,当云盘数据丢失或者异常的时候,可以通过快������照将云盘数据完整的恢复到某一个时间点。万字干货教你如何保证业务数据全流程安全110快照是云盘在某个或者多个时间点的数据备份。快照分为全量快照和增量快照。全量快照和增量快照的元信息中都会存储全量的数据块信息,所以使用任意一个快照回滚云盘的时候,都可以恢复对应时间点之前的所有数据。快照的创建原理如图所示的第一次创建快照是云盘的全量快照,后续每次创建的快照都是增量快照,不管云盘新增数据还是删除数据,增量快照只记录以最近一次快照对比云盘新增的数据。和创建快照相反的是,删除快照需要根据快照包含数据块以及云盘数据块的引用
168、关系来进行释放。快照的删除原理如图所示,第一份全量快照删除以后,全量快照的属性会顺延到后面的第一个增量快照,同时该全量快照只保留当前有磁盘引用关系的数据。云盘历史������已删除的数据不会在最新的全量快照中。快照通常有以下几种使用场景。快照回滚云盘,当云盘它因为误删除、误修改或者因为勒索病毒的原因造成数据丢失的事故的时候,使用云盘的历史快照可以对云盘进行回滚操作,从而使云盘的数据恢复到创建快照的时候的状态。万字干货教你如何保证业务数据全流程安全111������另外,快照也可以创建新盘,使用快照创建一个新盘,新的云盘的数据块和原来的硬盘完全一样,可以实现硬盘的快速复制,以便于在不同场景中使用。另外,快照还支持拷贝,
169、同地域或者跨地域的复制快照,可以实现同地域或者跨地域的数据备份。快照共享,将您已经创建好的系统盘或者数据盘的快照,可以共享给其他域名账号或者基于资源目录在企业组织内进行共享。快照创建自定义镜像,即已有的快照创建自定义镜像,可以将一台 ECS 操作系统数据制作成环境副本,再通过自定义镜像创建多台 ECS 实例,快速复制系统环������境。快照也有一些使用限制。快照无法导出,但系统盘�����创建的快照可以使用快照创建自定义镜像,用户可以导出自定义镜像。不过要注意的是,数据盘快照是无法创建自定义镜像的。另外,历史系统盘快照也不能用于回滚新的系统盘。还有本地盘无法支持创建快照。使用快照备份关键业务数据是非常有意义的。但
170、是通过手工打快照的方式,是很容易造成数据遗漏、不及时等等问题,这时就需要使用自动快照策略。自动快照功能通过自动快照策略实现,自动快照可以在预设的时间点周期性的创建快照,保护系统盘和数据盘的数�����据。万字干货教你如何保证业务数据全流程安全112合理的使用自动快照功能可以提高系统数据安全和操作容错率。自动快照和手动快照的主要区别在于创建方式、快照来源以及快照的命名方式上差别。比如自动快照以 auto2.0 开头命名,而手动快照是自定义命名����的。自动快照可以通过四种方式进行释放,包括手动释放、随云盘释放、到期自动释放以及超过配额释放。我们强烈建议您使用自动快照策略对关键业务数据的云盘进行定期数据备份,应对
171、因误删除、勒索病毒造成的数据丢失或者应用系统故障,需要时可以快速找回云盘数据,以保证业务的连续性。除了使用快照备份数据之外,也可以使用镜像。镜像是 ECS 实例的装机盘,为 ECS 实例提供了操作系统初始化的应用数据、预装软件。创建 ECS 实例时必须选择镜像,镜像相当于副本文件,副本文件中可以包含一块或者多块硬盘的所有数据,通过云盘可以是单块系统盘,也可以是系统盘和数据盘的组合。镜像����按照来源去区分,主要是分公共镜像,自定义镜像、共享镜像、云市场镜像、社区镜像这五种,公共镜像是阿里云官方提供的操作系统镜像,都有正版的授权,而且提供了阿万字干货教你如何保证业务数据全流程安全113里云官方的安全与
172、稳定性测试。�������自定义镜像,顾名思义就是您自己创建管理的镜像,来源可以通过实例快照创建或者使用 OSS 导入,也可以从本地导入。共享镜像是其他账号共享给的镜像,云市场镜像是阿里云或者第三方 ISV 提供的,镜像中会包含一些预安装的一些软件,社区镜像是任意的阿里云用户在镜像社区发布的公开镜像。自定义镜像可以包括系统盘和数据盘的所有数据,比如实例的配置、操作系统、安装的软件以及全量的数据的备份,所以可以通过自定义镜像对 ECS 实例数据进行备份。需要注意的是,镜像备份只能通过手动触发。镜像备份完成以后,可以使用备份�����的镜像创建新的 ECS实例,快速部署相同的操作系统和数据环境的 ECS 实例,以达到数据
173、恢复的效果。同时,快照和镜像也支持跨地域、跨用户的数������据备份效果,使用快照以镜像拷贝能力,可以支持数据的跨定义备份与恢复能力,使用快照和镜像的共享能力,可以支持数据的跨账号备份与恢复能力。除了使用快照镜像备份恢复数据之外,也支持数据盘分区数据丢失的恢复方案。万字干货教你如何保证业务数据全流程安全114在处理磁盘相关问题时,您可能会碰到操作系统中数据盘分区丢失的情况。Linux 实例下可以使用 fdisk 等对应的一些工具,有些是 Linux 系统会默认安装的,有些是您��������可以自己安装。像 fdisk、partprobe 工具主要用于恢复 Linux 系统的磁盘分区和数据,Linux 系统不会默认安装
174、,需要自己安装。像 Windows 实例可以使用系统自带的磁盘管理以及一些商业化的数据恢复软件。数据盘分区恢复以及数据的恢复是处理数据丢失问题的最后一道防线,但未必能够恢复数据。我们强烈建议您对数据创建快照,可以通过手动或者自动的方式进行备份,以最大程度的保护数据安全。像使用快照、使用镜像、数据盘分区数据恢复的方案,都是数据在丢失之后事后的恢复方案,也可以通过多可用区部署架构,实现在事中的数据容灾恢复。以同城两个可用区机房����部署 ECS 机型为例,ECS 实例通过多可用区部����署架构实现应用的高可用性和容错能力。通过在应用前端购买的 SLB 产品部署多台 ECS 服务器,使用弹性伸缩技术,您可以实现
175、 ECS �����的容灾恢复。即使其中一台 ECS 服务器故障或者因为资源利用率超负荷,服务器仍可以对外持续提供�����服务,从而保障业务的连续性和可用性。万字干货教你如何保证业务数据全流程安全115负载均衡设备通过多可用区级别的 SLB 做首层流量的接入,当用户请求到达时,负载均衡首先接收流量并且智能的路由到不同的可用区的 ECS 集群中,之后由每个可用区内部署的ECS 集群来处理负载均衡分配的用户请求,这样可以增加系统的容灾的能力。ECS 集群分布在不同的可用区的机房内,每个 ECS 节点都配置有相同的能力,以确保在单个节点发生故障的时候整体服务不受影响。这些对等的节点共同支撑着数据层的应用和服务器管理的
176、一些功能。如果某个 ECS 节点出现故障,系统将自动执行热迁移,将受影响节点上的业务无缝迁移到其他健康的 ECS 节点上。这个过程确保业务访问的持续性,且最大化的减少了单点故障或者热迁移过程中可能出现的故障对�������业务的影响。如果热迁移失败,系统会有事件记录并通知故障。您可以通过系统事件或知故障原因并步入新的 ECS 节点来替换受影响的节点,以此维护服务的正常运行和业务的连续性。通过这种自动化的和监控机制,确保系统的高可用性和业务的稳定性。万字干货教你如何保证业务数据全流程安全116数据层可以使用对象的 OSS 存储,在第一级别部署对象的存储 OSS,不同可用器机房的ECS 节点可以直接访问存储在对
177、象存储的文件,提高数据访问速度和可靠性。另外,数据库应用可以推荐使用支持多可能区服务器部署的。在选择多可用区部署时,主节点支持多可用区的读写操作,可与应用层的数据流量无冲突����������的操作。同时被节点也会在多个可用区进行部署,并具备多可用区的读能力。这样在主节点发生故障的时候,ECS 节点仍可以从被节点读数据,以确保数据的可用性和业务的连续性。四、如何保证数据在存储、传输、计算三大环节的机密性前面介绍了通过快照、镜像备份、数据盘分区数据恢复方案、多可用区部署架构实现容灾备份的几个方案,实现对数据可用性的保证。除了数据可用性之外,数据安全另外一个至关重要的点是数据的机密性,如何去保证数据的机密性,ECS
178、在存储、传输以及运行态计算环境在全链路环节上提供了丰富的产品安全能力和方案,以保证用户对数据机密性的������诉求。接下来会从以下三个方面进行介绍,数据存储的机密性方案,数据网络传输的机密性方案,数据运行态�����计算环境的机密性方案。数据存储的机密性方案,通过以下两个维度详细展开,使用加密云盘、使用 KMS 自选密钥创建加密云盘。首先我们来看一下使用加密云盘。万字干货教你如何保证业务数据全流程安全117什么是加密云盘?云盘加密是指在创建 ECS 实例的时候,或者创建单独的数据盘的时候,用户为云盘勾选加密选项,ECS 采用行业标准的 AES-256 加密算法对云盘进行加密。创建完加密盘后,系统将会从 ECS 实
179、例传输到硬盘的数据在宿主机上的存储进行自动的加密,并且在读取数据的时候自动进行解密。用户对�����这系列的行为在 GuestOS 内数据是否加密是无感的,用户无需自建和维护密钥管理的基础设施,就可以保护数据的隐私性和自主性,为业务数据提供了安全边界。ECS 使用了对应的阿里云密钥管理服务 KMS 密钥管理。所以使用加密云盘前,用户需要先开通 KMS 密钥管理服务,才能使用 ECS 云盘加密功能,ECS����� 默认使用服务密钥为用户数据进行加密,也支持用户在 KMS 上自选密钥为用户数据进行加密。万字干货教你如何保证业务数据全流程安全118云盘加密中,密钥主要分为两层,并通过信封加密的机制实现对数据的加密,第
180、一层为客户的主密钥,第二层为根据主密钥生成的数据密钥。其中,主密钥是对数据密钥进行加解密的操作����和保护,数据密钥对真实数据进行加解密操作和保护。在数据密钥落盘存储时,ECS 将数据密钥明文在写入数据的时候以明文数据一同写入到存储介质中。在读取加密数据时,数据密钥的明文也会一同被读取,并先于数据进行解密。只有在数据密钥被解密之后,加密数据才能够被正常的读取。在信封加密机制中,客户主密钥受阿里云 KMS 提供的密钥管理基础设施的保护,实施强逻辑和物理安全控制,以防止未经授权的访问。整个信封加密过程中,主密钥的明文不会在 KMS 托管的密码机之外进行存储和使用。同时,数�������据密钥明文仅会在用户使用的服务实
181、例所在宿主机的内存中进行使用�������,永远不会以明文形式存储在任何存储介质上。万字干货教你如何保证业务数据全流程安全119ECS 的云盘加密功能为用户当前使用地域在 KMS 上自动创建一个用户主密钥,也就是服务密钥。服务密钥的生命周期由 ECS 管理,用户可以查询到该密钥,但不能删除,不能禁用,也不能进管理操作。存储加密的常规使用场景包括创建加密的数据盘,随实例创建加密数据盘和系统盘。如右图所示的用户创盘或者创实例时,可以选择加密密钥,也可以直接使用快照或者镜像中自带的密钥创建加密盘。需要注意的是,以快照方式创建数据盘或者创建系统盘的时候,磁盘的类型是约束限制的,并不是所有的云盘类型都支持,用户可以优
182、先选择使用 ESSD 类型云盘。另外,也支持更换加密系统盘,快照、镜像的加密拷贝,加密快照与镜像的共享,在 ECS全生命周期内都支持加密能力。对于部分高安全合规要求的企业或者客户,针对企业账号下所有子账号可能要求必须要使用加密以保护数据的机密性,可以使用账号云盘默认加密的能力,或者使用 RAM Policy的策略方案,限制子账号、RAM 角色必须创建加密云盘,账号云盘默认加密的能力目前��������还在灰度阶段,可以联系产品开启试用。万字干货教你如何保证业务数据全流程安全120接下来来详细了解一下 RAM Policy 强制创建�����加密云盘的方案的一些细节。账号配置 RAM Policy 策略,强制子账号或者
183、RAM 角色创建加密云盘的具体实现原理。首先,用户需要在事前为子账号或 RAM 角色配置 policy 策略。该 policy 策略的逻辑需要明确定������义接口的一些行为,如右图所示的 RunInstances、CreateInstance、CreateDisk 接口请求参数中系统盘、数据盘存在非加密云盘时,policy 策略配置返回 deny。配置 RAM Policy 策略以后,用户在 ECS 新购实例以及新购云盘的时候,由 ECS 后台判断当前新购系统盘或者数据盘是否为加密云盘,并把判断结果返回 RAM 平台进行鉴权。如图所示的会将系统盘、数据盘是否加密的结果返回 RAM 平台进行鉴权。ECS
184、 根据������ RAM平台返回的结果进行判断,若权限通过,允许继续执行,若 RAM 返回权限鉴权失败,终止创建流程。通过配�������置 RAM Policy 的权限策略可以限制子账号、RAM 角色创建云盘时必须创建加密云盘,以满足企业的安全合规要求。万字干货教你如何保证业务数据全流程安全121需要注意的是,加密云盘也存在一些限制。首先,加密行为不可逆,一旦创建为加密云盘,无法转化为非加密云盘。加密属性也是继承的,加密云盘创建的快照、镜像将自动继承云盘的加密属性。加密密钥一旦删除,关联的加密云盘、加密快照、加密镜像都不可恢复,数据无法找回。另外,本地盘目前还不支持加密能力。到这里可能有一部分同学会有一个疑问,平台
185、怎么证明用户的数据在落盘的时候是加密的?云盘的加密机制中,系统将会从 ECS 实例传输到宿主机的数据在磁盘 IO 上写数据时自动进行加密,并且在读�����数据时自动进行解密,用户在操作系统内读写数据时,对数据是否加密是无感的,所以会有这个疑问。我们推荐用户在创建加密云盘的时候使用 KMS 自选密钥,创建加密盘成功之后,可以禁用KMS 自选密钥并重启 ECS 实例,这个时候 ECS 会提示您因为您的加密云盘关联的 KMS 加密密钥失效,导致 ECS 实例无法重启。这时磁盘的数据无法正常的读写,侧面证明了用户数据在落盘的时候是加密的。可能这里也有同学会问什么是 KMS 自选密钥,接下来我们详细展开了解一下
186、使用 KMS 自选密钥创建加密云盘。万字干货教你如何保证业务数据全流程安全122用户首次使用 ECS 创建加密盘时,会为用户在 KMS 创建一个服务密钥,每个用户在每个地域的服务密钥是唯一的,用户无法管理服务密钥的生命周期。服务密钥可以帮助用户获得最基本的数据保护能力。但是对有高安全要求级别的客户,��������还有可能存在一些密钥管理上的一些短板,例如不能自主管理密钥的生命周期,不能设定自动轮转,保护级别仅仅为软件密钥等等。因此,用户可以选择自己创建或者上传主密钥到 KMS,并且直接管理自选密������钥的生命周期。使用自选密钥,用户可以获得更多的安全能力。用户可以禁用或者启用密钥控制 ECS 加解密数据能力,用户
187、可以配置授权策略控制 ECS 加解密数据能力,用户可以通过 KMS 导入自带的密钥,进一步增强了密钥生命周期管理能力和控制 ECS 数据加解密的能力。对于 KMS 自选密钥,用户还可以选择将密钥托管在硬件安全模块中,利用硬件机制保护密钥的明文材料不会离开安全边界,密码计算过程也会在硬件中进行,为用户的主密钥提高了更高层次的保护,从而保护用户密钥的机������密性。万字干货教你如何保证业务数据全流程安全123因为用户自选密钥是用户的资产,ECS 必须得到用户的 RAM 角色授权才可以使用数据进行加解密,用户也可以随时取消相应的自选密钥的授权,达到对数据加解密操作的可控。请注意,当选择自选密钥和上述安全能力
188、的时候,也意味着用户需要有更多的考虑己方的责任,管理好密钥的授权以及生命周期。KMS 自选密钥还支持密钥轮转的能力,建议客户开启密钥轮转能力。密钥轮转加强密钥使用的安全性,以提升业务数据的安全性。密钥轮转有很多优点,减少每一个密钥加密的数据量,降低密码分析的攻击的风险。一个密钥的安全性以它被加密的数据量呈负相关关系。数据量通常是指一个密钥加密的数据总质结束。通过定期轮转密钥,可以使每个密钥具有更小的密码分析攻击面,使加密方案整体具有更高的安全性,提前具备响应安全事件能力。在系统设计和实����现时,引入密钥的轮转功能,使密钥轮转作为常规的系统安全管理事务,这样可以使系统在特定安全事件发生的时候具备实际
189、执������行能力,减小破坏密钥的时间窗口。如果在定期轮转密钥的基础上,在旧密钥加密的密文数据用新密钥重新加密。则轮转周期即为一个密钥的一个破解的窗口,这意味着恶意者只能在两次密钥轮转之间完成破解才能万字干货教你如何保证业务数据全流程安全124拿到数据,对保护数据不受密码分析攻击风险具�������有很强的实际意义。另外,满足合规要求密钥的周期性轮转功能可以方便企业符合各种合规规范。密钥轮转的实现原理是密钥支持多个密钥版本。同一个密钥下,多个密钥版本在密码学上互不相关。KMS 通过生成一个新的密钥版本来实现密钥的轮转。密钥创建后,KMS 生成初始密钥版本,并将其设置为主版本,轮转后会生成一个新的密钥版本,并将新的版本
190、设置为主版本。密钥轮转仅新增密钥版本,密钥 ID、密钥 ARN、别名等属性不会改变。KMS 不会删除任何密钥版本,密钥版本紧随密钥的删除而删除。使用 KMS 自选密钥创建加密云盘时也存在一些限制。�������创建自选密钥����时,KMS 加密密钥必须为对称密钥,比如 AES-256、SM4。使用自选密钥的时候,仅对称密钥支持密钥轮转的能力。使用自选密钥的时候,必须授予 ECS 云资源 KMS 加密密钥相关访问权限。KMS 加密密钥必须是有效状态的,禁用、过期、计划、删除等状态无法正常使用,失效状态下密钥关联的加密 ECS 资源无法保证可靠性。万字干货教你如何保证业务数据全流程安全125除了数据存储机密性之外,一
191、些是在数据传输机密性上也提供了很多产品安全能力,会从以下三个维度详细展开,使用安�����全加固模式访问实例元数据,使用 VPN 网关安全访问,使用 HTTPS 访问 ECS 资源。首先来看一下加固模式访问实例元数据。什么是实例元数据,ECS 实例元数据是指在 ECS 内部通过访问元数据服务 MetadataService 获取实例的属性信息。实例元数据可以用来配置或者管理正在运行的 ECS 实例,ECS 实例的 IP 地址、网卡、Mac 地址、操作系统属性�������等等都是属于元数据信息。普通模式访问与加固模式访问有什么区别,在普通模式访问 Metadata Service 查看实例元数据时没有任何身份验证。如
192、果实例或者实例元数据中包含敏感信息,容易在传输链路中遭到窃听或者泄露。如果 ECS 的服务存在 SSRF 漏洞,攻击者可以利用 Metaserver 的数据获取 STS token,导致类似 AK 泄露的风险。相比于普通模式,加固模式基于 token 的鉴权访问实例数据对 SS�����RF 攻击有更好的防范效果。万字干货教你如何保证业务数据全流程安全126加固模式具有三个特点:一是短时效性,访问凭证有效期最短为一秒,最长为六个小时,超过有效期将自动失效,需要进行重新获取;第二是绑定实例,仅适用于一台实例,如果将凭证复制到其他实例中使用,会被拒绝访问;第三是不接受代理访问,请求图中包含 X-Forwar
193、ded-For 元数据访问服务器信息会拒绝签发访问凭证。因此,强烈建议用户使用加固模式来访问 Metaserver 获取元数据信息。这里访问 Metaserver 需要分两步,第一步是获取元数据服务访问凭证,可以通过传递参数来设置 token 的访问有效期,例子中为 30 秒钟,超过有效期后需要重新颁发凭证�����,否则无法获取实例元数据。第二步使用访问凭证获取 ECS 实例元数据。开启加固模式访问 ECS 实例数据的方法也很简单,可以通过 Open API 开启加固模式访问元数据。后续也可以通过控制台开启仅加固模式。对于新创建实例可以通过 RunInstances万字干货教你如何保证业务数据全流程安
194、全127接 口 指 定 HttpTokens 参 数 为 required 进 行 开 启,对 已 有 实 例 也 可 以ModifyInstanceMetadataOptions 接口指定 HttpTokens 参数为 required 开启。不过需要注意的是,使用仅加固模式也存在一些限制,仅加固模式访问实例元数据要求镜像支持 cloud-init 23.2.2 以上版本。当前支持仅加固模式的镜像版�����本,像 Alma Linux8/9、Centos Stream8/9、Rocky8/9、Debian12、Fedora38 等等。对于不支持镜像版本开启仅加�������固模式,可能导致 cloud-init
195、�����初始阶段初始化内容失败、实例启动失败、修改密码失败等等问题。除了加固模式访问实例元数据之外,还可以使用 VPN 保证数据传输的机密性。什么是 VPN 网关?VPN 网关可以通过建立加密隧道的方式实现企业本地数据、企业办公网络、互联网客户端,以阿里云专有网络 VPC 之间的一个安全可靠的私网连接。VPN 使用网络密钥交互和 IP 协议层安全结构 IPsec 协议对传输数据进行加密,从合保护数据的安全可信。万字干货教你如何保证业务数据全流程安全128VPN 网关主要提供两种网络连接方式,IPsec-VPN 和 SSL-VPN,IPsec-VPN 主要用于��������本地数据中心和阿里云之间的流量加密,SSL-
196、VPN 主要用于客户端与阿里云之间的流量。它们分别实现的原理是什么。IPsec-VPN 常在本地数据中心与阿里云之间传输,进行加密。它的实现原理是每一个待传输的数据包在传输数据之前都使用 IPsec 协议对数据进行加密、数据认证,确保数据的完整性。数据的加密算法采用了是 AES、DES 等国际行业标准的加密算法,使用 SHA、MD5等等国际�����行业标准的哈希函数进行身份认证。也可以选择指定的加密算法以及认证算法。SSL-VPN 通常是在客户端与阿里云之间进行传输加密的,它的实现原理是通过客户端安装SSL 证书实现客户端 VPN 网关之间建立。链接通过 SSL 链接传输的流量会使用 SSL 协议加密
197、,最终达到数据加密、身份认证、确保数据完整性的目的。SSL-VPN 连接默认支持AES-�������128-CBC 加密算法,也可以选择 AES-192-CBC 和 AES-2������56-CBC 加密算法。数据传输机密性上,刚刚讲了使用加固模式访问实例元数据、使用 VPN 网关安全访问,另外一个重要的点是使用 HTTPS 访问 ECS 资源。HTTP 协议无法加密数据,数据传输时可能产生泄露、篡改、钓鱼攻击等等问题。使用 HTTPS万字干货教你如何保证业务数据全流程安全129协议加密连接可以为您的网站进行安全加锁,保证数据安全传输,同时满足对应 APP 市场或者应用生态安全合规要求。ECS 控制台使用 HTTP
198、S 进行加密传输,并������且支持 HTTPS 的 API 访问点,并提供 256 �����位密钥的传输加密强度,满足敏感信息加密的传输要求。使用 ECS 会话管理登录实例会使用 SSH密钥对登录实例,使用云助手对实例进行远程访问均已使用 TLS 加密。您需要负责使用传输层、安全性等加密协议在客户端与 ECS 实例之间传输的敏感信息进行加密。阿里云提供了 acs:SecureTransport 配置方案,开启配置后,用户只允许通过 HTTPS访问 ECS。如图所示的通过配置 RAM Policy 策略,您可以限制子账号或 RAM 角色只能通过 HTTPS访问 ECS 资源,我们强烈建议您开启 acs:Secu
199、reTransport 限制子账号只允许 HTTPS 访问,并且建议您使用 TLS1.2 以上版本与 ECS 资源进行通信。万字干货教你如何保证业务数据全流程安全130阿里云还提供了 SSL 证书服务,由权威机构颁������发的可信证书,具备网站身份认证、加密传输双重功能。阿里云的 SSL 证书服务支持包括 SSL 证书的协助部署、SSL 证书部署到阿里云产品以及第三方平台 SSL 证书管理、域名监控、多年期 SSL 证书订阅模式等等功能。除了数据存储的机密性、数据传输的机密性之外,数据运行态计算环境的机密性也是������至关重要的。万字干货教你如何保证业务数据全流程安全131ECS 计算安全实例通过技术手段,包
200、括硬件加密、隔离、用户审计能力,提供安全可靠的隔离技术环境,并且在这个基础上提供了不同等级的安全保护能力。当前 ECS 的计算安全实例主要提供了默认内存加密的规格实例、可信计算规格的规格实例、机密计算的规格实例这三种。默认内存加密规格实例,内存加密可以加强内存数据的抗物理攻击能力,进一������步提升 ECS数据的安全性。您无需对操作系统以及应用进�������行任何改动,即可享受更高一级等级的安全防护。可信计算规格实例,可信实例底层物理服务器搭载可信平台模块 TPM 作为硬件可信跟实现服务器的可信启动确保零篡改,并且在虚拟化层面支持虚拟可信的 vTPM,提供实例可信启动核心组件的校验能力。机密计算能力:通过 CPU
201、 硬件加密及隔离能力,机密计算规格可以通过 CPU 硬件加密及隔离的能力,提供了可����信执行环境,保护数据不受未授权第三方的修改。此外,您还可以通过远程证明服务等方式验证云平台实例是否处于预期的安全状态。机密计算规格实例,主要包括两种安全能力������,Enclave 安全能力以及机密虚拟机安全能力。阿里云基于 Intel SGX 2.0 与阿里云的虚拟化业务提供了机密计算能力,这个能力可以将可信根大大减小,降低业务可能受攻击的影响范围,可支持用户打造更高安全等级的一个机密计算环境。机密虚拟机安全能力,机密虚拟机可以在没有任何应用代码更改的情况下,将原有的敏感业务以加密预算的方式运行在云上,可以满足对敏感信
202、息保护的要求。当前阿里云是基于英特尔 TDX、AMD SEV 和海光 CSV 的机密虚拟机能力。可信计算用于实现云租户计算环境的底层高等����级安全的主要功能之一,通过在硬件平台上引入可信平台模块 TPM,构建涵������盖了系统启动和用户指定应用的信任链,并实现远程证明机制,为用户提供了针对环境启动阶段和运行阶段的全方位可信保证,在系统和应用中加万字干货教你如何保证业务数据全流程安全132入可信验证,能够减少由于使用未知或遭到篡改的系统软件攻击的可能性。可信计算实现的原理如右图所示的,可信实例基于硬件的 TPM 可信根,通过 UEFI 安全固件,软件层面实现了虚拟可行平台的 vTPM 远程证明服务实例,实现
203、启动度量和完整性校验,从而保证了实例的安全可信。可信计算为您的 ECS 实例提供了可验证的完整性,以确保实例未受到启动级或内核级恶意软件或 Rootkit 的侵害。万字干货教你如何保证业务数据全流程安全133除了可信计算规格实例外,我们还提供了丰富的机密计算实力规格,包含 Intel SGX、IntelTDX、AMD SEV、海光 CSV 虚拟化技术以及虚拟化 Enclave 技����术的安全增强实力规格。Intel SGX 与硬件安全保障信息安全,不依赖固件软件的安全动态为用户提供物理级的机密计算环境。SGX 通过新的指令级扩展和访问控制机制,实现 SGX 程序的隔离运行,保证关键代码和数据的机密
204、性与完整性不受恶意软件的破坏。不同于其他安全技术,SGX 的可信根仅包括硬件,避免了基于软件的可信根可能自身存在的安全漏洞的缺陷,极大的提升了系统安全保障能力。Intel TDX 是一项基于 CPU 硬件的 ECS 保护技术。TDX 实现的是 CPU 寄存器、内存数据中断处理等经受 CPU ��������硬件的保护,云厂商和外部攻击无法监控和篡改 TDX 实例内的运行状态,包括运行的进程、计算中的敏感数据。海光安全加密虚拟化 CSV 是一项基于海光国产 CPU 硬件的 ECS 保护技术。CSV 实例的运行状态,如内存数据均受 CPU 硬件的机密保护,云厂商和外部攻击者均无法监控和定向篡改 CSV 实例的内部
205、运行状态,包括运行的进程、计算中的敏感数据。虚拟化 Enclave 在 ECS 实例内部提供了一个可信的隔离环境,将合法软件的安全操作分装在 Enclave 中,保护您的代码和数据的机密性和完整性,不受恶意攻击者的攻击。虚拟化Enclave 提供的安全性有多个方面组成,底层基于带有 TPM 芯片的第三代神农架构,且为EVM 提供了 vTPM 设备带来的增强安全性、可信能力,上层提供了高兼容性的 SDK,方便您快速搭建 Enclav������e 环境并使用。在可信证明能力方面,您可以对运行的机密计算环境的代�������码进行验证,例如借助 SDK 机密应用在运行生成证明材料,再通过远程证明服务验证证明材料的有效性。当
206、主 VM 切分资源给 E�����VM 边时,并且 EVM 开始运行时,底层会执行资源访问隔离。确保主 VM 无法访问这些已经分出去的为 CPU 和内存资源,保护 EVM 的正常运行和私密性。万字干货教你如何保证业������务数据全流程安全134刚刚提到了远程证明服务,什么是远程证明服务?阿里云远程证明服务是以背调模型为基础,可以验证阿里云安全增强型 ECS 实例的安全状态和可信。具体证明如右图所示的,证明者在 ECS 实例中收集和生成证据。证明者将证据传递给依赖方,依赖方将其直接转发给验证方,验证方将证据与其评估策略进行比较,验证方将证明结果返回给依赖方,依赖方将证明结果与自己的评估策略进行比较。在验证过程中,
207、证明结果由可信的验证方通过安全性到传递给依赖方,因此安全性较高。在基于背调模型的阿里云远程证明服务设计中,除了支持依赖方中转证据以外,还支持证明服务者直接将证据传递给证明服务,依赖方可以随时向远程证明服务查询特定的实体的证明结果。这种方式可以大大降低依赖方的负载,并有利于管理员集中管理所有实体的状态。介绍了数据运行态机密计算环境,包括了内存加密、可信计算、机密计算、远程证明服务。如果您对数据运行态机密计算环境的感兴趣,在后续的安全 topic 中,会由我的其他同事进行专项分享。万字干货教你如何保������证业务数据全流程安全135五、总结前面从信息安全的三要素完整性、可用性、机密性展开,介绍了很多数据安
208、全的产品、安全能力以及建议。数据完整性上,介绍了云平台自身如何保证数据的完整性,包括了数据安全擦除机制。数据安全擦除机制中,分布式快速组系统中已删除的数据一定会被完全擦除,保证数据擦除的完整性,数据全链路的 CRC 完整性校验,且会定期对存储介质中的数据进行完整性的扫描,以保证数据全链路的完整性,通过云盘三副本技术实现在部分物理硬件故障时,ECS实例依旧保持九个九的数据可靠性。数据可用性������上,我们建议客户对关键业务数据备份以恢复以保证数据的可用性。具体方案是使用快照、自动快照策略、主动备份硬盘数据,并利用快照回滚硬盘、快照创建新盘的方式恢复数据,使用自定义镜像对整机数据包括操作系统、预装软件、云
209、盘数据等进行备份,并通过镜像创建新的 ECS 实例以达到恢复数据的目的。使用数据盘分区数据丢失恢复方案,恢复分区以及恢复数据。但是这是处理�������数据丢失问题的最后一道防线,并不能保证万字干货教你如何保证业务数据全流程安全136一定能够找回。使用多可能区部署架构与确保在单个节点发生故障时整体服务依旧不受影响,达到容灾恢复的一个效果。数据机密性上,建议客户数据�����在存储、传输、计算前链路进行加密,以保证数据的机密性。具体的方案是使用加密云盘以保证数据的隐私性和自主性,为业务数据提供安全边界,使用 KMS 自选密钥实现自主管理密钥的生命周期,密钥自动轮转以及提高密钥保护级别,使用加固模式访问实例元数据,防止被
210、 SSRF 攻击后实例元数据被获取的风险。使用 VPN 网关对企业����本地数据中心、企业办公网络、互联网客户端与阿里云的 VPC 之间数据进行加密,保证数据的安全可信。另外,启用 Secur�������eTransport 配置,并使用可信的 HTTPS 协议连接访问的 ECS 资源,保证数据的安全传输。使用基于硬件 TPM/TCM 可信根的可信规格实例,实现实例启动度量和完整性校验,从而保障实例的安全可信,使用基于 CPU 硬件加密及隔离能力的机密计算实例规格,提供可信计算环境,保护数据不受未授权第三方的修改,使用远程服务证明平台的可信度和平台中运行代码的完整性。数据安全从来不是一个点的安全,需要多维度的纵
211、深安全防御。以上就是本节课程的全部内容。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环137云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环导语:本篇文章整理自【弹性�������计算技术公开课ECS 安全季】中,阿里云安全专家于国瑞带来的如何实现一体化、自动化的安全审计、运营闭环一节。一、云安全中心安全纵深防护体系当前时代是一个高度信息化的时代,网络安全攻击无孔不入,安全攻击手段和方案也都不断发生着变化。因此,我们需要在不同层级维度上共同防御,才能取得更好的效果。因此,阿构建了安全纵深防护体系,来保障用户的安全。在当前高度信息化的时代,安全攻击无孔不入。所谓兵无常事,水无常情,安全攻
212、击的手段和方案也都在发生着变化,因此,我们一般需要在各个层级维度上共同防御,才能取得最好的效果,对此,阿里云构建了安全纵深防护体系保障用户的安全。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环138基本介绍云安全中心是一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台。不同于传统的撒谎毒软件/软件防御系统,两者之间最主要区别在于阿里云安全中心是基于云原生的架构优势,多年的云上安全防护实践经验,以及云上海量日志分析模型和超强算力,�����共同构建了云上强大的安全态势感知和防御能力的综合平台。快速响应和防御的关键在于足够多和可靠的风险数据,这得益于阿里云的海量用户群体。类
213、比于人体,阿里云就像是一个见多识广的“免疫系统”,对于其他个体而言较新的攻击,对于阿里云而言则是司空见惯,如同针对抑制病毒接种的疫苗,这是阿里云安全中心的核心优势。阿里云安全中心还具备云上资产管理、配置核查、主动防御、安全加固、云产品配置评估等云原生安全核心能力�������,可以帮助用户实现一体化、自动化的安全运营闭环,保护多云环境下的主机、虚拟机、容器等各类工作负担的安全,同时满足监管合规的需求。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环139体系详解首先,阿里云安全中心提供了“一个平台”,在该运营平台上,用户可以完成一站式�������的安全运维以及自动化的管理。如果用户的系统较为复杂,则要在各个子
214、系统之间进行安全管理,这是不切实际的。因此,阿里云安全中心提供的统一运营平台可以帮助用户完成端到端的闭环运维。其次,阿里云安全中心包含了两大核心安全能力,即主机安全和容器安全,这都是十分常见的应用,也是各类数据承载的计算核心能力。通过这两大核心能力,我们可以帮助用户实现安全防御、运维管理,以及对应的风�������险检测和保障能力。同时,我们根植于三类核心场景:第一,持续合规。它指的并不仅仅是满足国家的战略强制性需求,还需要满足用户内部的人员控制措施,以及对应的最佳安全实践。如设置主机不能启动密码登录,或�������主机不默认对外开放所有的端口等基本持续性安全基线检查能力,它将对应的防御和加固置于产品的前期,而非在安全
215、��������事件之后再做应对,以保证云上资产时刻处于安全状态。第二,支持态势感知。可以帮助用户进行入侵检测、用户凭证泄露检测等。第三,支持多种云架构实现统一防御能力。云安全中心构建了涵盖网络层、主机曾和应用层的安全纵深防护体系,主要包括网络入侵防护������、主机入侵防护、Web 应用防护、Web 漏洞检测等完整的安全防护能力。在网络层,主要是云环境的网络边界上,通过流量镜像的方式,对出入云平台的所有网络流量进行逐包检测分析;在主机层,通过对主机资产的实时检测,及时发现异常进程、异常端口、异常网络连接云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环140行为,并定期扫描主机漏洞及配置风险项,全面防护主机资
216、产。下面将从主机、Web 应用和网络三个维度介绍阿里云的安全防护能力。二、主机安全主机安全可以说是信息安全攻防战中的病假必争之地,由于大家几乎所有的业务都离不开各种类型的主机来提供计算能力,并且主机也是各类 Web 应用、数据库、OSS 等各类云上服务交�����汇贯通的样核心按钮,因此,如何保护主机安全成为云上安全绕不开的话题。下面,将从介绍主机安全面临的威胁出发,针对各类风险依次介绍对应的安全解决��������方案。主机安全威胁及根因(1)威胁概览:根据三方 2023 年的研究报告,僵尸网络、挖矿病毒、后门程序等都是 Linux系统面临的最主要威胁。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环141
217、(2)威胁根因,导致这些原因主要分为三类:第一,也是最主要的原因,即未能及时安装各类系统以及应用的漏洞补丁,导致被恶意攻击者入侵。这里有一个典型的思维误区,即应用在部署完成后并非万事大吉,其仍旧需要持续地进行漏洞修补和漏洞运维,否则其安全属性就像暴露在空气中的铁一�������样,会慢慢锈蚀。随着时间的推移,系统会愈加不安全,因此,作为维护者或开发者,一定要持续关注系统的安全状态,并及时安装各类安全补丁来实现对应的安全防护。后面会通过 Demo 演示的方式介绍阿里云漏洞管理功能,进而帮助用户管控此类风险。第二,弱口令被爆破。这是最为典型的一些场景,如系统对外暴露了一些弱密码的服务,如密码为 123 的样 X
218、SH 服务等,攻击者就可以直接通过本地的弱口令库(如 123 或 qw12等),用户云上的资产就会时刻处于被恶意供应者扫描的过程中。因此,要保证云上资产的安全,首先要保证密码的安全,或是直接进入到密码登录。后面也会介绍阿里云基线扫描能力,以帮助用户应�������对此类危险。第三,用户安装了不明来源的软件,且主机上未安装反病毒的防护程序。这里的“不明来源”一方面是指用户直接在网上下载的不明来源的软件,另一方面是指用户的软件受到了攻击,在这样情况下,用户也会被非预期的软件攻击。因此,在主机上安装反病毒防护程序非常必要。安全防护功能(1)漏洞管理功能云安全中心漏洞管理支持发现和识别操作系统、Web 内容管理系统
219、、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以帮助用户缩小系统的攻击面。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环142上图中是漏洞管理功能页面相关的截图,该页面中包含了漏洞影响的资产范围、漏洞编号,以及对应修复在云上使用的次数和安全成功正常修复�����的次数。后面也会以 DEMO 功能演示的方式帮助大家理解阿里云的样漏洞管理功能。1付费情况免费版默认每两天会自动������针对 Linux 软件漏洞、Windows 系统漏洞、和 Web-CMS 进行周期性漏洞扫描,并可手动应急漏洞的扫描;付费版云安全中心还支持 Linux 软件漏洞、Windows 系统漏洞、
220、�������Web-CMS 等漏洞的自动更新修复。2漏洞修复优先级当用户的资产被扫描出多个漏洞时,用户无法确认优先修复哪个漏洞,且修复���漏洞不可以简单地一键修复,甚至有可能影响业务的正常运转。针对此场景,云安全中心提供的漏洞脆弱性评分系统能够评估漏洞修复的优先顺序,帮助用户作出漏洞修复优先级的决策。阿里云漏洞脆弱性评分系统在使用 CVSS 确定漏洞修复优先级和严重性的基础上,根据云云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环143上实际攻防状态和漏洞攻击在云上利用的难度以及严重性级别,结合互联网上现有的程序状态,以及云原生中心入侵数据检测数据模型中的利用成熟度,对漏洞进行评分,以帮助企业提高资
221、产可利用风险漏洞的补救效率和有效性。其中一个典型的场景是,当我们修复漏洞时需要重启系统,则会不可避免地面临短暂的系统不可用风险,但从另外一个角度,漏洞本身也是持续存在的风险,如果长时间不进行修补,又会导致被黑客攻击。基于此,用户可以根据阿里云提供的漏洞修复优先级能力帮助用户评估当天是否进行漏洞修复,是要立刻修复?或是在请求较少时再修复?漏洞的严重性级别一般由四个因素决定。技术影响,漏洞是否容易被利用,它影响的系统和范围;漏洞利用的成熟度(是处于 PoC 状态,只是被确认存在,但无法确定是否可以实现攻击,或者是而说已经被广泛的传播,已被黑客组织����列入武器库名单),即该漏洞是已经成为标准化的攻击利用
222、手段,或仍是非完全利用状态,这会极大地影响漏洞修复的严重性;第三,风险威胁,即漏洞会造成的风险利用结果,或导致系统的不可用,或导致信息泄露,及其他的风险;第四,受影响的数量级,即当前漏洞被黑客所关注的程度,若琪影响面很广,则会被黑客密切关注,因此对于此类漏洞,用户需�����要尽快修复。根据业务的不同,各类型系统修复漏洞的优先级需开发/维护人员自行评估,但高危漏洞一般需要立刻修复,以避免被黑客攻击的造成数据泄露或系统不可用的风险。下面通过一个案例来直观地介绍阿里云的漏洞管理功能。案�������例这里展示的只是一部分能力,更多的内容还需要用户参照阿里云原生中心的文档,以获取云安全专家教你如何实现一体化、自动化的云安全
223、审计,运营闭环144更准确的信息。https:/ 112 升级至122-26,阿里云安全中心的漏洞修复能力得到了验证。(2)基线检查功能病毒和黑客会利用服务器存在的安全配置缺陷,在服务器上植������入后门,除了前面提到的漏洞,不完全的配置也会导致操作系统 OS 被攻击。基线检查功能针对非漏洞、配置导致的安全漏洞检测和修复,基线检查功能可以针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮用户加固系统安全,降低入侵风险并满足安全合规要求。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环145基线检查功能可以通过配置不同的基线检查策略,帮助用户快速对服务器进行批量扫描,发现包括系统
224、、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。�����典型的基线检查项第一类,未授权访问,如未对 Redis、数据库等配置密码,直接允许用户通过未授权的方式进行访问;第二类,容器安全,基于阿里云容器最佳安全实践,检测各类 Master 和 Node 节点是否存在节点配置的风险项;第三类,最佳安全实践,基于阿里云最佳安全实践标准检测当前操作系统是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险;第四类,弱口令,使用 HASH 值与弱口令字典计算的 HASH 值进行对比来检查是否存在弱口令。云安全专家教你如何实现一体化、自动化的云安
225、全审计,运营闭环146下面简单介绍几个常见的基线检查项:首先,由于未正确设置用户权限,或密码复杂度较低,导致密码被爆破,系统被恶意攻击者攻击;其次,是一些与密码相关的基线检查项,如密码失效时间、密码最小间隔时间、密码是否可以重用�����(修改密码之后是否可以使用修改之前的密码)等;此外,系统是否允许空密码登录,以及 SSH 登录是否会限制当前登录的重试次数。上图中左下角展示了阿里云安全基线检查能力,以及对应的当前主机未通过的项,及其影响资产的范围。下面以一个 demo 的方式简单介绍阿里云基线检查能力。https:/ 案例展示在实例详情页面,点击“基线检查”查看实例未通过的详情,这里可以看到具体的检查
226、项,包括 SSH 空闲退出时间、是否空密码登录、是否允许非 root 账号登录实例等情况。点击“详情”还可以查看对应的风险下的具体情况。(3)病毒查杀功能云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,持久化的后门、木马程序、各类 shell 等,有效地保护服务器免受各�����类威胁的侵扰和破坏。云安全专�����家教你如何实现一体化、自动化的云安全审计,运营闭环147支持扫描及清理的病毒类型、扫描项在主机安全中提到的各类病毒,主要包括勒索病毒、挖矿程序、DDoS 木马、木马程序、各类后门程序、高危程序等扫描项,包括我们当前系统中的活动进程、隐藏进程、Docker
227、进程、内核模块、已安装程序、动态库劫持、服务、计划任务等需要密切关注�����的敏感项,还可以开启恶意主机行为防御功能。开启后,云安全中心会自动拦截主流木马病毒、勒索软件等常见安全威胁,并阻断其恶意行为。上图的底部是一些典型的漏洞扫描、病毒查杀过程中的提示,包括具体的文件路径、进程情况,以及对应的处置建议,可以识别对抗安全软件的行为,并做精准的阻断。后面会演示直接在 ECS 中执行攻防对抗的过程,使得大家对病毒查杀能力有更为直观的认识。案例https:/ shell,完成攻击流程。可�������以看到,在云安全中心详情页面,已经处理了对应的反弹 shell 攻击,类型是反弹 shell,还有对应的事件行为说明,父、
228、子进程的关系,以及黑客攻击者执行的具体代码。(4)防勒索功能1勒索病毒勒索����病毒是近几年中新出现的安全攻击形式,仅 2022 年上半年,全球就发生了 2.�������361 亿次的勒索攻击,如某国政务系统、某国自来水公司被勒索。勒索的最主要手段是将目标企业操作系统中所有的关键文件进行加密,再将原始数据清除,进而向被害者索要加密货币的赎金。从 2022 年第一季度到第二季度,勒索软件的攻击增加了 18%,全球近 1.3 次事件增加到约 1.06 亿次。2022 年,仅勒索软件一项就影响了全球 71%的企业,62.9%的勒索软件受害者支付了赎金。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环149勒
229、索病毒入侵会对用户的业务数据进行加密,导致用户业务中断、数据泄露和数据丢失,从而带来严重的业务风险。基于此,云安全中心针对勒索病毒提供了服务器防勒索和数据库防勒索两大功能,帮用户解决服务器、数据库被勒索病毒入侵的后顾之忧。2功能介绍针对勒索病毒,云������安全中心为用户提供逐层递进的纵深式防御体系。首先,最直接的是实时防御已知勒索病毒。借助云上海量的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,可以在服务器被病毒感染前实现拦截勒索病毒,避免因关键系统文件或数据文件被加密而被勒索的情况。其次,还可以通过诱捕、拦截新型未知勒索病毒。勒索病毒会加密一些简单的 Word、Excel 文件,或数据库文
230、件等,因此,可以通过在系统内放置一些假的诱捕项。当用户访问部分文件时不会造成恶意影响,但当勒索软件尝试遍历访问文件进行加密�������、删除原文件时,就会被诱捕的“蜜罐”捕获,进而实施勒索病毒捕获行为。一旦识别了对应的异常加密事件,就会立刻拦截对应的病毒,并通知用户进行排查清理,保护用户的数据安全。上图中底部即为开启的勒索功能的示意图。三、Web 应用安全Web 应用安全是云上典型的威胁空间向量,相当一部分威胁攻击都是通过对 Web 的攻击实现的,如 SQL 注入、DDos 攻击等都属于应用安全的范畴。威胁概览Web 应用攻击依然是互联网安全的最大威胁来源之一,除了传统的网页和 APP,API 和各种小程
231、序也作为了新的流量入口快速崛起,更多的流量入口和更易用的调用方式,对应的安全攻击形式����也随之增加。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环150威胁根因Web 应用安全面临威胁的根本原因在于传统 Web 攻击手段中,WebSh�����ell 上传/通信、SQL注入和命令执行依然是最常见的行为。Webshell 是恶意的攻击者通过上传恶意的执行代码,导致 Web 的攻击者可以通过一种类似后门的方式远程控制用户的主机;SQL 注入则是利用系统漏洞以混淆用户输入和预期执行 SQL 语句造成云上数据库中数据的泄露;命令执行也是因为输入校验不严,使得在接受用户输入时,把一部分用户输入当成了系统命
232、令执行,进而导致云上系统的数据泄露或系统不可用。应对方案作为云上用户,可以主动从以下两个方面去应对风险和挑战:云安全专家教你如何实现一体化、自动化����的云安全审计,运营闭环151第一,缩小攻击面。通过配置云防火墙等云上的安全产品或云安全组,统一梳理云环境对互联网的资产暴露情况,有效缩小网络攻击面,同时做好内部网络边界隔离,避免内部攻击的横向感染。这一点类似于交叉感染,或社区传播,我们可以通过云防火墙或安全组的配����置,保证即使在病毒入侵的情况下,它也只能在小范围之内实现攻击,而不会影响到整体。第二,保障应用的流量安全。我们需要选择有效的 Web 应用防火墙和对应的抗 DDos 产品,进而有效地避免来自
233、网络空间的攻击流量或漏洞攻击,避免因此造成业务中断。第一点更偏向于对内或对一些已经被攻击的资产的后续性攻击的缓解,第二段则倾向于是事前攻击的防御。从上图中的右侧,可以看到各类攻击的占比,可发现 DDos 攻击流量正呈现出不断上升的趋势。云防火墙这部分内容主要包括云防火墙的基本能力及其起到的安全作用。云安全专家教你如何实现一体化、自动�����������化的云安全审计,运营闭环152阿里云云防火墙是一款云平台 SaaS 化的产品,具备自己的运维和管控平台,可针对用户的云上网络资产的互联网边界、VPC 边界及主机边界,实现三位一体的统一安全隔离管控,是用户业务上云的第一道网络防线。用户可以根据网络边界配置对应的防火墙
234、,以便于用户进行逻辑分层,也方便后续的维护。有一些典型场景:第一,云上有各类的互联网基础点,主机自己本身有对外的公网 IP 及 EI,甚至还包括 SLB等类似于负载均衡的产品。因此,对于此类公网的入口,用户可以通过配置对应的 ECS 安全组进行防护,也可以通过统一的管控平台进行各类资产的统一接入,使它在安全组的范畴之外额外拥有一道安全防线。它最主要的优势在于可以实现企业内部整体防护水位的拉平,因为各个 region、各个多账户的场景下,要使各类资产具有相同的安全接入防护和水位非常困难,因此,我们需要分别设置不同产品、地域、账户下的安全组规则,来使之达到相同的防御效果。这�������种运维相对困������难,为实现更
235、高维度上的安全防御,阿里云安全中心提供了统一的公网防护能力,来保护 Web 流量在进入内部的云上 VPC 时整体的防御能力。第二,常规的主机防护需求。如果我们希望在云安全组的防控技术之上额外配置漏洞防御统一的数据流量准入和�����准出规则,就可以通过统一的平台配置对应的主机防护需求。第三,跨 VPC&云上云下防护需求。在一些企业上云过程中,会通过云企业网的方式将传统的 VPC 流动导入云上环境,此时,我们希望有一道防线去阻挡来自于线下 IDC 或其他外部的安全攻击导致的危险。此外,还存在一些其他的多账户之间的 VPC 互访场景,我们可以通过部署跨 VPC 的云防火墙能力,帮助用户抵御来自不同的维度的风
236、险流量的攻击。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环153WAF 防火墙即 Web 应用防火墙,它类似于传统的防火墙在 HP 流量或其他应用层流量上的延伸。它一般对应用业务的负载配漏具备感知能力,如�����精确识别 STB 请求或 MySQL 等连接方面的能力。Web 应用防火墙可以对网站或者 app 的业务流量对网站或者 App 的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正������常、安全的流量返回给服务器,避免网站服务器被已知的 SQL 注入、XSS 跨站等常见的安全攻击威胁,从而保障网站的业务安全和数据安全。(1)案例SQL 注入:前面提到,由于编程者未妥善校验来自用
237、户的输入,将用户的输入当作 SQL 语句执行,这样就有可能导致数据库中数据被篡改,或被泄露给攻击者;XSS 攻击:会导致受害者客户被另外的客户偷取登录凭证等危险,即会导致其他用户的权限被泄露;Webshell 上传:是指在网站被攻击之后,攻击者为了方便后续再次攻击和数据的爬取,就云安全专�������家教你如何实现一体化、自动化的云安全审计,运营闭环154会在上面放置 Webshell,后面的攻击与 Webshell 类似;命令注入:也是由于数据校验不严导致的,即把用户的输入当做 shell 命令执行,导致用户可以直接获取到系统的命令执行权限,用户攻击者后续再部署一些挖矿软件或僵尸网络等攻击程序,对用户的资
238、产进行攻击;核心文件的非授权访问:如攻击者会尝试获取用户的一些个人信息或密码等。(2)WAF 防护的原理首先,最下方是互联网的接入。对于正常用户和员工,其经过互联��������网连接到 WAF,再进行流量的转发,就可以把流量转发到对应的 ECS 或 SLB 或 IDC 之上。在这个过程中,WAF会进行恶意的流量的过滤和清洗,以保证正常用户的流量可以通过 WAF,并抵达业务服务器,进而保证业务的正常运行。但对于黑客或爬虫,它会在短时间之内发出大量流量,以机器的方式访问网站,导致信息泄露或系统性能的降低,还会有黄牛或者扫描器进行非正常的流量的访问。那么,针对这些流量,WAF 可以通过各类 MIP 的识别、接入应
239、用内容的识别,如典型的 Payroll 注入、HGP 流量或其他的特征方式识别对应的攻击,进行精准防御。下面会通过一个云上 WAF 案例详细说明云上 WAF 防卫的能力。(3)案例展示https:/ Web 应用部署,在完成了整个环境的搭建之后,通过 Dock compose 拉起整个环境,包括 MySQL 等。刷新页面,可以看到对应的业务被上传登录,请求也已经传入了服务端。此时,进行典型 Payroll 的注入,它是典型的 MySQL 利用技巧,通过分割单引号来分割数据和������� SQL 注入的数据,然后就可以看到对应�����的攻击流量已被 WAF 拦截。云安全专家教你如何实现一体化、自动化的云安全审计,运
240、营闭环155接下来切换到对应的业务方防火墙 WAF 的管理控制台查看情况,在 Web 应用服务的总览中能看到当前应用的访问量以及已经成功防御入侵防护数量,也可以看到具体的流量成分。此外,还可以看到攻击来源的具体 IP、攻击的网址 url、攻击者输入的攻击手段和日志、攻击的类型,案例中是 SQL 注入,即通过非完整的用户输入检查完成攻击。当然,这只是一个简单的演示,日常情况或实战中的攻击会更加复杂。通过日志服务,我们可以看��������到 Web用户�����访问的实际情况,包括用户是否被阻断、用户的来源及其他各方面的信息。在 WAF 中,用户可以批量地运维、应用保护。四、网络流量安全DDos 攻击云安全专家教你如何实
241、现一体化、自动化的云安全审计,运营闭环15����6(1)简介DDos 是公认的互联网公害,分布式拒绝服务(Distributed Denial of Service,简称 DDoS)是指将多台计算机设备联合起来作为攻击平台,通过远程连接,联合发起攻击,消耗��������目标服务器的计算资源,使得流量无法正常提供服务。这里的设备不单指计算机、手机,而是更泛的计算设备,更多的情况下是路由器、摄像头或其他的 IOC 设备。这类设备之所以容易被黑客攻击,是因为此类的设备缺乏常规的安全运维,其自身的安全更新也难以实现,一般的摄像头、路由器在出厂之后很难进行更新。此类设备在受到黑客攻击之后可能会长久地沦为黑客攻击的跳板。(2
242、)危害 对用户的服务重大经����济损失。在遭受 DDoS 攻击后,用户的源站服务器可能无法提供服务,导致业务无法访问,从而造成巨大的经济损失和品牌损失。如某电商平台在遭受 DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。此外,如 OSS 或其他服务按量收费,如果未妥善设置,会导致对应流量被大量恶意攻击者消耗,造成一定的经济损失。数据泄露。黑客在对用户的服务器进行 DDoS 攻击�����时,由于系统的资源不足,其他的攻击更容易侵入,窃取用户的业务核心数据,因为流量、数据量很多,恶意和善意的流量交织,导致用户无法百分之百拦截所有的恶意流量,使得攻击成功。恶意竞争。竞争对手可能
243、会通过 DDoS 攻击恶意攻击服务,从而在行业竞争中获取优势。如某游戏业务遭受了 DDoS 攻击,游戏玩家无法俸禄,数量锐减,进而导致该游戏业务几天内迅速彻底下线。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环157(3)判断业务是否遭受 DDos 攻击的方法一般情况������下,DDos 攻击很难通过用户自身的努力、操作和行为完全规避,因此,只能识别DDos 攻击并采用对应的策略缓解攻击,降低损失。由于 DDos 攻击一般不是持续的,因为此类攻击对攻击者也会产生成本,因此只要在攻防战中取得一定的优势,就会获得最终的胜利。若出现了以下情况,则说明业务可能已经受到了 DDos 攻击:1在网络和
244、设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况;2CPU 或内存出现明显增长,流量数量急剧增多,cpu 和内存不足以处理现有的流量;网络出方向或入方向流量出现激增。还有一些其他类似的迹象暗示服务器已经遭受了 DDos 攻击。云安全专家教����你如何实现一体化、自动化的云安全审计,运营闭环158(4)用户的 DDoS 攻击缓解方案其一,缩小攻击面,隔离资源和不相关的业务,降低被攻击的风险。我们可以通过配置安全组、使用专用网络 VPC 来隔离对外暴露的的端口,以降低 DDos 的攻击。因为并不是所有的 DDos 攻击都是 HP 流量,我们可以通过缩小对外暴露的端口或对外暴露的应����用接口
245、,缓解对外被 DDos 攻击影响的情况。其二,优化业务的架构,利用公共云的弹性伸缩和灾备切换的能力防御此类攻击对业务造成的影响。当攻击来临时,如果系统不能容纳流量,就可以进行横向的扩容,抵御 DDos攻击。其三,做好服务器安全加固,避免服务因为已知的漏洞被 DDos 攻击。如�������因为系统软件存在的漏洞,恶意攻击者发出精������心构造的流量,触发系统中的 bug,进而导致系统运行缓慢。在这种场景下,更新系统软件就可以缓解或避免被攻击时的效果。其四,选择合适的商业化安全方案。阿里云在提供免费的基础 DDos 防护之上,也提供了商业化的安全方案。阿里云DDos基础防护默认为ECS实例免费提供不超过5Gbps的D
246、Dos攻击防御能力。其防御的原理和框架图如上图右侧部分所示,它会根据云上数据定向拦截来自于 DDos 设备攻击带来的流量,保证正常业务流量顺利抵达后端的 SLB 或 ECS,实现完整的 DDos 攻击的防御。我们还推荐配合 WAF 保护对应的 Web 应用安全。因为此类 DDos 攻击一般也伴随着对应用层的安全攻击,与 WAF 结合之后,可以防御对应的 Web 安全攻击。五、操作审计当前章节主要介绍 Action �������Trail 的一些基础能力。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环159操作审计主要是为了满足用户对事后审计的需求,如它可以帮助用户记录云上��������阿里云账号的活动,无论
�����247、是通过阿里云控制台,或是 OpenAPI,或是手机及其他方面操作云上的一些业务和产品,这些事件都会被阿里云操作审计的服务记录,并将其传入 OSS 或 SSH 日志服务,可以进行后续的行为分析、安全分析、资源变更行为的追踪,以及合规能力的审计。云上操作行为主要是通过自动化运维、用户手动的能力进行对应的操作,针对不同类型事件,我们会进行分类,如获取当前的 ECS 数量是典型的读事件,ECS 实例创建等属于典型的写事件。我们把这些事件进行统一的风险分析、异常分析和行为分析,进行告警,可以为用户构建持续性的事件����审计及跟踪、安全分析的能力。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环160
248、典型使用场景 等保合规需求根据等保 2.0 条例要求,云上租户必须记录账户活动并至少������保存 180 天。通过操作审计可以将账号活动记录投递到日志服务或 OSS 存储空间并长久保存。安全分析操作审计会对用户操作进行详细的记录,通过这些事件,用户可以判断自身账号是否存在安全问题。例如,用户的安全凭证会被攻击者利用,攻击者会通过获取到的安全凭证创建大量的 ECS 计算资源,进行挖矿等一系列不合法的活动,用户就可以通过日志审计得到对应的 API 的调用以及相关的调用情况,如来源 IP、使用的 AK、登录的授权凭证等,帮助用户进行分析、排查危险。云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环1
249、61 资源变更和追踪当 ECS 由于未知原因关闭或释放,要想知道������ ECS 是被何人、在何时、以何种方式被停用,就可以通过操作审计能力明确对应的操作者或 API 账号、时间、上下文。企业内控和合规性审计当前已经通过各类 RAM 账号或子账号对企业内部的运维人员进行�����了合规规约,可以通过操作审计能力,审计操作者、运维者的行为是否符合预先设定的规则。需要提示的是,考虑到当前合规政策的趋紧,假设用户在国内外同时部署了服务,且各地都有核心需求,我们建议用户分别创建追踪不同国家地域之上的操作事件,并分别投递到当地的存储空间,避免对应的风险合规需求。风险只是一方面,典型的情况是,我们可以通过配置操作审计,创造
250、瞬间跟踪,把对应的API 操作日志投递到日志服务,且后续还可以通过 SQL 进行简单的查询,或通过设置告警的方式在敏感事件发生时进行处理和分析。六、总结云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环162做好主机安全:我们要选择有效的主机安全产品,以确保主机具备合格的反病青和威肋检测能力,从而有效预防病毒和黑客攻击造成的破坏。缩小攻击面:通过配置防火墙,我们可以统一梳理云环境对互联网的资产暴露情况。有效縮小的网络攻击面,同时把网路边界隔离做好避免内部攻击的横向感染。保障应用的网络安全:我们需要选择有效的 Web 应用防火墙和抗 DDoS 产品,可������以有效阳挡来自网��路的攻击流量或是漏洞
251、攻击,避免攻击造成的业务中断。做好漏洞管理:漏洞己经成为主要的入侵方式之一,用户需要选择有具备应用漏洞检测的安全产品,从而确保在第一时间发现漏洞井修复。如果无法修复,���也要确保有对应的缓解措施拦截漏洞利用的攻击,同时在主机上安装有效的安全产品及网页防篡改能力的产品,以保障被入侵后可以有效的阻断攻击链。进行定期的操作审计:回溯之前的所有的安全操作链条是否完备,是否有缺陷,再进行调整,进而保证云上处于安全状态。以上是本次分享的全部内容。一文教你如何从零构建机密计算平台解决方案163一文教你如何从零构建机密计算平台解决方案导语:本文整理自【弹性计算技术公开课ECS 安全季】中,阿里云弹性计算产品专家唐
252、湘华和阿里云弹性计算高级技术专家聂百川带来的收官课程从零构建机密计算平台的解决方案一节。一、ECS 产品安全体系及机密-计算介绍用户将数据放到云上,最担心的是数据安全的问题。��������一方面,担心云上的数据链路不够完整,或担心恶意攻击者的窃取,同时也会担心云服务商自己监守自盗,touch 用户的数据。接下几个����环节,将会看到阿里云为打消用户对数据安全的顾虑,在云上构建一个数据世界的保险柜,专门保护用户的关键数据,这个保险柜会从最底层的技术原理上锁死所有的潜在的数据威胁。一文教你如何从零构建机密计算平台解决方案164今天,数据已经成为和土地、劳动力、资本、技术并重的第 5 种生产要素,它的重要性不言而喻。如
253、何在合法合规的前提下检验数据价值最大化,已经成为每个企业关心的重点问题。国家���队也在各个层面全面推动促成,如国家最新的会计准则中明确,数据它可以作为企业资产的一部分进行相关的金融活动,如交易、质押融资等,这其实是为未来数据大规模的交易流动奠定基础。另一方面,随着 AIGC 大模型的兴起,数据的关键性更加凸显,大语言模型 AIGC 的它的关键要素,第一数据,第二算法,第三算力。算法,开源的算法几乎可以匹敌闭源的商业公司,比如拉玛这种开源大模型,它的精度、响应能力、准确度�����,都达到达到很好的程度,并且通过各种开源网站可以轻松获取。算力,只要有钱都可以得到,唯独数据是一家企业独有的,没有办法随意得到。目
254、前,全世界面临的这种数据安全的威胁愈加严峻,一方面数据持续的爆炸式增长,关键数据太多,来不及保护。另一方面恶意攻击者持续升级的攻击手段层出不穷,防不胜防。比如今年最大的数据泄露����事件,使用公司的产品和中勒索病毒公司,包括像 IBM、普华永道传统的数据保护中的强者。一文教你如何从零构建机密计算平台解决方案165客户对于要求的数据赎金最高达到 8000 万美金,所以可以看到数据的价值以及安全威胁的形式,可见一斑。数据的保护是所有企业的重中之重,在数据安全的保护中即使是最资深的安全专家,也不得不面临各种各样的问题。比如防数据泄露,除黑客、病毒这种手段窃取数据之外,企业内部的数据管理混乱,工作人员的安全
255、意识淡薄,都有可能导致数据泄露。其次是暗数据的存在。让数据想保护都不知道从哪开始,比如现在物理货运,如送货单或者上面的合同发票,这些数据其实都是以纸质的扫描件或者种纸�������质的文件存在,它是一种非结构化的数据,这里面往往包含大量的企业的、个人的隐私数据。这些数据的存在,企业往往是看不见,甚至是不知道。最后一方面是数据在交易也好或者共享,做联邦学习、同态加密、整个数据流动过程中,需要有严格的数据保护,需要保证多方在数据共享、共同建模的场景下的数据安�����全,要求做到数据的可用但不可见。一文教你如何从零构建机密计算平台解决方案166所有的阿里云基于对市场的理解以及用户在数据安全保护过程中遇到的痛点问题,阿里云
256、都是针对性的从数据安全�����、数据存储、数据计算全链路的过程构建数据安全保护网。首先是针对数据存储中的安全保护,云上的用户一般将数据放在云盘中,针对这一部分数据,提供云盘数据的加密能力,包括快照加密能力,在操作系统镜像上面���,也会提供镜像加密,镜像安全扫描等能力,全方位的保护用户数据存储在云上的安全。其次是针对数据传输中的安全保护,阿里云也构建全面的网络防攻击网,比如一个用户,从登录阿里云开始,从创建第一台云服务器开始,默认进入到阿里云防攻击网络的保护体系内,比如访问控制、安全组、网络隔离、网络的 ACL,包括防火墙等。更进一步的,阿里云会主动的对数据包进行进行入侵检测,如流量日志,深度包检测等能力,
257、让病毒和黑客无所遁形。最后针对数据计算过程中的安全保护,也是阿里云今年重点构建的能力,是补齐整个数据安全保护链路中的最后一环,数据计算过程中主要指应用程序它在运行期间相关的数据在内存、缓存,甚至包括寄存器中频繁读写的过程。阿里云主要采用 TEE 硬件机密计������算的能一文教你如何从零构建机密计算平台解决方案167力,比如 Intel SGX/TDX、AMD SEV、海光 CSV,对内存中频繁读写的更新数据,进行加密保护,确保运行中数据的安全。机密虚拟机是阿里云今年重点构建的数据安全保护的能力,整个能力覆盖 Intel、AMD、海关三大 CPU 平台,其中在 Intel 平台上,早在第 7 代时,在
258、2022 年的时候,推出 g7t 这款实例,它是实现基于 Intel SGX 的技术的机密虚拟机能力,今年全新推出 8 代的 Intel 基于 Sapphire rapid,后面演进到 EMR,这个实例称为 g8a。g8a 实例基于 Intel 最新的处理器,也是在行业内首发的实现基于 Intel TDX 技术的机密虚拟机,核心是解决上一代 SGX 使用门槛过高的问题,后面其实也会更进一步讲解两者的区别。在 AMD 平台�������上,今年全新推出 8 代 AMD 实力 g8a 和 g8ae,除本身在性能和性价比大幅度提升之外,在 8 代 AMD 实例产品上实现基于 AMD SEV 技术的机密虚拟机,用户
259、不需要对现有的业务进行任何代码级别的改造,只要在官网控制台购买,如 g8a 实例是勾选 SEV的能力,业务直接可以运行在 SEV 的机密虚拟机,它的数据在内存中默认是全部加密。一文教你如何从零构建机密计算平台解决方案168在海光平台系列上,最新推出基于海光 3 号的实例 g7h,g7h 实例搭配阿里云自研的 CIPU架构以及中国自主研发的海光处理器,在操作系统层面,兼容国产的像麒麟、统信操作系统。同时支持国密加入 CSV 机密虚拟机,同时还支持 VTPM ����可信计算,在 g7h 这段实例上,不管是从硬件还是到软件,全链路的做到满足数据安全的能力,可以满足国内关键基础设施,如政务类系统、关系民生的
260、系统。这些系统对极致稳定性、极致安全性的需求。下面所有基于 Intel、AMD、海光三大处理器平台的 ECS 实例,底层都是由阿里�������云自研的CIPU 架构驱动。在 CIPU 这一层也植入 VTPM 可信计算的能力,做到启动全过程的可度联,彻底堵住类似像 Rootkit、Bootkit 这种底层的恶意软件的攻击。所以 TEE 机密虚拟机加上 VTPM 可信计算,在云上构造一个厚重的保险柜,可以有效的保护用户关键数据的安全。阿里云构建的数据保险柜,它的安全级别是怎么样的,首先需要先了解可信计算机概念,这里的基指的是基础的基,不是机器的机,它和可信计算其实是两个概念,可信计算机专业的定义是指一个提供安
261、全执行的环境包含的所有的硬件、固件和软件的组合,它是一个组合,对云服务商的不信任,用最底层的技术实现。到底是解决用户对云服务商的不信任的问题,是机密虚拟机要做的�����事情。一文教你如何从零构建机密计算平台解决方案169比如一个租客,租下一个房子,在房子中间放一个保险柜,所有的机密重要的东西都放到保险柜里,这对所有潜在的想要恶意偷抢的人都形成防护。这些人甚至包括房东都没法看到在保险柜里面的东西,因为没有钥匙也不知道密码,所以阿里云机密虚拟机������的能力图谱,可以看到从左到右安全级别,是逐次在提高。理论上,目前阿里云提供的机密虚拟机中,g7t 也是基于 IntelSGX 技术的机密虚拟机,它的安全能力是最高的
262、,但同样有一点不好的地方是使用门槛是最高的,因为它的可信机最小可信的单元是 Enclave 级别。程序运行在虚拟机的操作系统中,它需要把把 STX 用起,需要在程序代码中细致的规定应用程序它的数据进出 Enclave 的行为,所以它的改动是代码级别 code 级别,所以它的是有一定的门槛。再其次,基于 IntelTD������X、AMDSEV,海光 CSV 这一类技术的机密虚拟机�������,这一层的特点是它的安全能力其实略低于 SGX,但用户使用门槛很低,用户几乎不需要做 Code 层的代码重新改写,直接可以运行,使用阿里云机密虚拟机的用户,基本都是在这一层。最基础的数据安全防护是基于 TM1 内存加密,也是最左
263、边的,基于 TM1 内存加密以及阿里云 Enclave 技术的机密�����虚拟机。这几层的能力图谱它并不是严格独立的,有些它是可以叠加的,如基础的 TM1 内存加密,它其实是跟 TDX 组合在一起,可以提供更为健全强大的数据安全保护能力。所有基于安全图谱所列出的虚拟机密虚拟机的分级,在创建实例过程中,怎么打开使能机密虚拟机的特性,在创建实例过程中,在官网控制台会有一个复选框,买的时候可以细致看一下,选择对应的实例之后,比如选择 g8i 这款实例,随便选个规格会看到只要勾选背后的 TDX,即对应的 TEE 技术,可以进入到对应的机密虚拟机环境中。一文教你如何从零构建机密计算平台解决方案170基于阿里云提
264、供的所有机密虚拟机的能力,用户可以获得媲美甚至超越线下的自建的数据安全的保护,可以轻松的构建自己的隐私计算平台,实际上现在有很多的客户,比如�����像数据服务商,提供像这种多方计算、联邦学习、同态加密、隐私求交的客户。已经在阿里云上方便快捷的构建隐私计算服务平台。除������此之外,阿里云除了可以提供最基础的 TEE 硬件机密计算的原子能力之外,这些数商客户在云上构建隐私计算平台或服务,还可以同时享受到云本身的便利。第一是算力资源的弹性,可以帮助节省成本,比如有项目需求时,打开云上机密虚拟机,一键可以完成隐私计算平台的搭建。项目结束之后,随时可以释放,可以极大的降低成本。第二是性能的提升,因为采用 TEE 它是
265、硬件机密虚拟机的技术,相比于传统的通过软件或者其他的实验方式,比如多方计算、联邦学习,也是计算平台的方案,TEE 的机密虚拟机技术,它在通用性和计算效率上,甚至包括通讯效率都远远的提升一大截。第三是便捷,可以提升���数商客户获客效率,针对自己新扩展的客户,可以通过云平台快速构建一个 POC 测试环境交付给他的客户,体验隐私计算平台的服务,以前对应的没有云平台,都会提供一套安全的一体机或者类似的东西,整个交付周期都是以月时间为单位的。一文教你如何从零构建机密计算平台解决方案171以上是关于阿里云 ECS 整体数据安全体系以及机密虚拟机的介绍。接下来为大家介绍机密计算的具体应用。机密计算是 CPU 内
266、部电路实现对内存内部数据进行加密,防止内存机密空间外部利用特权对机密内存区数据以及代码进行访问,保障了机密内存区内部代码和数据的完整性和机密性。因此在很多对数据保护要求很高的垂直领域有广泛的应用。今天���为大家介绍的是数据交易场景中的具体应用,其中涉及两个典型 case,一个是多方数据协作,另一个是数据产品交付。二、多方数据协作多方数据协作有多个数据参与方,各方拥有私有数据,各自的数据通过协作的计算获得一个更有意义的结果,比如联合模型训练、联合风控、联合营销等等,前提是不能够把自身隐私数据泄露出去。比如 A 作为一个参与方参与协作计算,不能把用户的身份标识、消费记录、信贷记录、联系方式、家庭住址等
267、泄露给其他参与方,但最终要去其他参与方数据一起计算出某人的信用等级等等,在协作期间各方数据要保持对他人可用不可见。一文教你如何从零构建机密计算平台解决方案172在这个场景下,机密计算可以提供良好的落地方案。在传统的协作中通常有一个可信第三方,参与方的数据交给第三方,由第三方按照约定处理数据,然后把结果返回各个对应方。这其中的问题是数据对于第三方是可见的,因此大家必须要信任第三方,并且可能因为管理问题、内部恶意等存在数据泄露的可能。针对这种问题的解法�����有两个思路:第一,利用隐私计算算法(如不经意传输、零知识证明等)解决,参与方不直接交换数据明文,而是将结果的计算变换成等价的分敏感数据参数的数学问题
268、。比如百万富翁的问题,双方不用把自己的实际财产告诉对方,而对比出谁财产更多。第二,基于利用机密硬件保护整个计算过程,使计算过程中的数据仅在芯片内部可见,不暴露给其他参与者或平台方。上图右侧展示了由机密计算构建的 clean ro����om 的一个结构参与方把自己的数据提交到 clean r�������oom 中,机密硬件保护整个计算过程中的代码可信性、数据和计算过程的机密性,公开的合约+可信的代码保证了计算过程的可预期性,最终保证协作过程的公开透明、可预期、数据不会泄露。一文教你如何从零构建机密计算平台解决方案173这里介绍一款信托帮,其是蚂蚁实现的数据写作的平台,平台已经入驻到计算巢中。在计算巢中可以很方便地
269、部署和数据协作,稍后给大家做演示。信托邦本质上是一个 spark集群,多个可信机密节点构成 spark 集群,数据提交到机密 worker 节点,程������序按照合约进行计算。它的特点是使用机密计算硬件平台包括计算过程,通过公开的合约计算数据,各方拿到结果是可预期的,信任是对等的。上图是它的内部结构,基于蚂蚁自研的 Occlum LibO��������S 系统,屏蔽了机密硬件对上层应用的细节,应用可以跑在 TDX、SGX、CSV 等机密硬件上。一文教你如何从零构建机密计算平台解决方案174https:/ 演示:信托帮计算隐私演示】三、数据产品交付接下来为大家介绍数据交易的第二类场景数据产品交付。一文教你如何从零构建
270、机密计算平台解决方案175数据产品交付通常只发生在甲乙����双方之间。甲方是数据消费者,乙方是数据拥有者,数据拥有者需要把数据打包成数据产品交付给数据使用者。通常有两种方式,一种是通过 API交付,怎么使用数据,通过 API 接口定义、封装好,API 通常是一种线上服务。另一种是离线的数据交付,通常离�����线的数据交付不需要线上运维,资源租赁,这种交付的资源使用和维护成本较低,但存在数据在流转过程中泄漏的可能性;数据被非法二次分发、扩散的可能性;数据处理不当泄露个人隐私数据的可能性等。这里提供一个参考方案,用于数据离线的交付场景,可以参考通过该方式把数据包装成数据产品交付使用。这里引入了一个机密隐私保护的
271、 SCQL 应用(蚂蚁开源应用)。SCQL 是在 MySQL、PSQL 等传统数据库之上封装了一个 SQL 分析引擎,根据 CCL 定义的表字段的授权要求,对 SQL 检查,避免敏感字段的数据对使用者泄露。同时,利用机密计算对软件本身、内存中的数据进行保护,从而避免数据(实际是通过保护软件)被二次分发、数据泄露、隐私数据泄露的风险。一文教你如何从零构建机密计算平台解决方案176SCQL 是一款安全,协作查������询语言,可以给数据库的数据源授予不同的用户访问。对不同的用户允许访问什么,不允许访问什么,什么条件下载访问什么,可以使用约束性的语言描述。允许多个相互不信任的参与方在不泄露各自隐私数据的条件下
272、进行联合分析,允许 A提供数据给 B 受限使用。基于 CCL 机制,CCL 能让 owner 定义数据的使用方式和披露的限制。SCQL 会拒绝不满�����足 CCL 要求的 Query 查询。CCL 并不复杂,用三元组表示什么属性,针对什么用户,使用限制是什么。比如某个属性针对某个用�������户可以是密文的,可以是明文的,或者在什么情况下允许是明文的。如果 SCQL的引擎判断 SCQL 查询不符合 CCL,或者有可能把具体的属性内容泄露出来,就返回相应错误。稍后会给大家演示一下具体使用。如何使用 SCAL 交付数据产品?这里有数据拥有者、数据消费者。数据拥有者希望通过离线的方式,把数据产品交付给消费者。数据拥有
273、者可以把自己的数据灌装到离线的数据文件(如 mysql、psq�������l 数据库文件)中,在灌装数据后,数据拥有者要根据隐私数据保护的需要,对敏感字段定义 CCL。然后把离线的数据文件进行加密,加密后的文件可以放心传播,如通过中介交付给消费者。文件的密钥(被目标用户公钥、云平台一文教你如何从零构建机密计算平台解决方案177公钥加密后)与 SCQL 一起打包成 TEE 的应用镜像。这保证 TEE 镜像只能在云平台运行,并限定目标用户使用。使用时,TEE 镜像在云上 TEE 硬件运行,文件秘钥被云平台和用户解密还原,文件中的数据可被数据库软件访问,秘钥和数据被 TEE 保护。用户使用 SCQL 接口访问数据,受 CCl的限制,无法得到保护字段的明文数据。https:/
sgpjbg002
工作日 8:30 - 17:30
报告分类
