阿里云安全白皮书数据安全

阿里云管理的数据资产,包括客户和企业自身在安全政策下管理的数据资产。所有阿里云员工在处理数据资产时,必须遵守数据分类原则下的数据处理流程和准则。阿里云的数据分类不同于传统 IT 环境下基于数据密级的分类模式,不但在分类对象方面覆盖数据资产和包含数据的对象,而且在数据类型方面也通过明确定义数据处理权限、管理者的区域、前后关系、法律上的约束条件、合同的上的限定条件、第三方的义务来防止数据未经授权的披露或滥用。
阿里云的云服务运行在一个多租户、分布式的环境,而不是将每个客户的数据隔离到一台机器或一组机器。这个环境是由阿里云自主研发的大规模分布式操作系统“飞天”将成千上万台分布在各个数据中心、拥有相同体系结构的机器连接而成。
1 访问与隔离:
阿里云用户用过 https 协议登陆官网注册用户账号来选购云服务,同时阿里云通过 AccessId 和 AccessKey 安全加密对来对云服务用户进行身份验证;阿里云运维工程师对运维生产环境的访问则需经过集中的组和角色管理系统来定义和控制其访问生产服务的权限, 每个运维工程师都有自己的唯一身份(EmployeeID),经过数字证书和动态令牌双因素认证后通过 SSH 连接到安全代理后进行操作,所有登陆、操作过程均被实时审计。
阿里云通过安全组实现不同用户间的隔离需求,安全组通过一系列数据链路层、网络层访问控制技术实现对不同用户虚拟化实例的隔离以及对 ARP 攻击和以太网畸形协议访问的隔离。
2 存储与销毁:
阿里云的云服务将客户数据存储在“飞天”平台提供的多种存储系统中,“飞天”存储栈支持多种非结构化和结构化数据的存储管理,比如“盘古”分布式文件系统,以及由“盘古”演化出的“有巢”分布式文件系统。从阿里云的云服务到“飞天”存储栈,每一层收到的来自其它模块的访问请求都需要认证和授权。内部服务之间的相互认证是基于 Kerberos 安全协议来实现的,而对内部服务的访问授权是基于 capability 的访问控制机制来实现的。内部服务之间的认证和授权功能由“飞天”平台内置的安全服务来提供的。
拿 ODPS 服务为例,当服务前端(Web Server)收到终端用户的数据处理请求时(比如收到一个 SQL 语句),首先会检查请求者身份和消息请求的真实性,然后通过远程过程调用将请求发送到服务后端。服务后端在处理请求之前,会检查调用者(服务前端)的身份和访问权限。如果检查通过,服务后端会产生一个执行计划,并通过远程过程调用将执行计划发送到“飞天”的作业调度系统。作业调度系统在处理请求之前,会检查调用者(服务后端)的身份和访问权限。检查通过之后,作业就会被调度运行。作业在运行时会通过远程过程调用来访问存储层上的数据,那么存储系统在处理请求之前,依然会检查调用者(作业的运行实例)的身份和访问权限。

阿里云ODPS数据安全架构图

在上面的例子中,从云服务到“飞天”存储栈,每一层上的访问授权是支持最小权限原则的,每一个访问请求都只会使用刚好满足需要的权限,而不会使用过大的权限。比如,用户提交的SQL语句只需要读取某个表,那么相应的作业通过远程过程调用来访问存储层上的数据时,该作业的权限是只能访问该表所对应的数据文件,而不会更多。

阿里云采用碎片化分布式离散存储技术存储用户的结构化和非结构化数据,每一份在云端的数据都会被文件分片(chunk),每个chunk会存三份副本,分布于不同机架上。针对用户云服务期满后的数据销毁问题,阿里云的云服务生产系统会自动虚消除原有物理服务器上磁盘和内存数据,使得原用户数据无法恢复。对于所有委外维修的物理磁盘均采用消磁操作,消磁过程全程视频监控并长期保留相关记录。阿里云定期审计磁盘擦除记录和视频证据以满足监控合规要求。

阿里云安全白皮书数据安全:等您发表观点呢!

发表评论


快捷键:Ctrl+Enter