阿里云安全白皮書（2024版）

（2024版）編寫組成員（以下按姓氏拼音首字母排序）敏清、聶百川、彭玉軒、錢巖、瞿孝志、孫戴博、童杰文、屠勵杰、王燦鵬、殷慷、于國瑞、張崇臻、張祺、張仕卿、張威、張?zhí)貏e鳴謝（以下按姓氏拼音首字母排序）黃少青、黃正艷、季凡、劉佳良、劉珂、劉煜堃、馬樂樂、馬慶棟、歐陽欣、魏朝龍、吳德新、楊杜卿、楊永、尹哲、張曉丹、鄭原斌、鐘丹、祝建躍cloud_product_security_team@C-安全白皮書AlibabaCloudSecurityWhitePaper目錄CONTENT-數(shù)智技術(shù)驅(qū)動產(chǎn)業(yè)加快轉(zhuǎn)型升級03-數(shù)智化發(fā)展帶來的隱患與挑戰(zhàn)0502公共云安全治理愿景與框架9-治理理念：云上安全共同體10-治理目標：更強安全性與更低成本13-治理框架1503云上安全重要支柱19-1.全流程產(chǎn)品安全保障建設20-2.全方位紅藍對抗反向校驗29-3.堅守數(shù)據(jù)主權(quán)的數(shù)據(jù)安全保護37-4.全鏈路身份管控與精細化授權(quán)47-5.安全防護能力高效彈性可擴展56-6.面向線上威脅的快速響應與恢復61-7.面向攻擊的安全高可用69-8.全球化背景下的合規(guī)支撐7504云上安全建設最佳實踐81-全面上云：淘寶云上安全建設實踐82-助力發(fā)展：關(guān)鍵行業(yè)云上安全最佳實踐87-迎接未來：AI大模型云上安全最佳實踐9605總結(jié)與展望104-總結(jié)與展望105數(shù)智化技術(shù)的快速發(fā)展與廣泛應用顯著加快了業(yè)升級變革的浪潮。伴隨這一轉(zhuǎn)型進程的推進數(shù)智化價值日益凸顯也吸引來更多的惡意攻擊安全風險與日俱增，為數(shù)字化業(yè)務運營者帶來了應對核心數(shù)據(jù)安全的嚴峻考驗，如何有效抵御日益復雜的網(wǎng)絡攻擊，以及如何在追求業(yè)務高效穩(wěn)定運行的同時確保安全合規(guī)性，已成為當前亟待解決的關(guān)鍵阿里云作為全球領(lǐng)先的云計算服務提供商，始終將安全置于戰(zhàn)略高度，將云上客戶的安全視為阿里云發(fā)展的基石。我們致力于不斷強化云平臺自身的安全防也提供了全方位、多層次的安全保障。依托云上安全八大支柱框架，我們專注于安全機制與安全能力的建設，為云平臺及云BenefitsandSecurityRisksintheTrendofDigitalIntelligence02數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)031.數(shù)智技術(shù)驅(qū)動當今世界，新一輪科技革命和產(chǎn)業(yè)變革方興未艾，新一代數(shù)智技術(shù)得到蓬勃發(fā)展和深度應用，人數(shù)智技術(shù)自身的產(chǎn)業(yè)化發(fā)展以及與實體經(jīng)濟的深度融合，形成了數(shù)字的新質(zhì)生產(chǎn)力，不斷提高生產(chǎn)、協(xié)同、交易、消費當前，數(shù)智技術(shù)已經(jīng)與各行業(yè)深度融合，加速企業(yè)組織協(xié)同及研發(fā)設計、管理、生產(chǎn)制造、供應鏈管理、市場營銷、客戶服務等產(chǎn)業(yè)鏈各環(huán)節(jié)的數(shù)在互聯(lián)網(wǎng)領(lǐng)域，電商企業(yè)通過對歷史銷售數(shù)據(jù)和市場趨勢的深度學習，智能客服系統(tǒng)利用自然語言處理和機器學習技術(shù)，能夠自動識別并回在金融領(lǐng)域，銀行通過大數(shù)據(jù)平臺與智能風控平臺進行數(shù)據(jù)整合加工與型決策，打造普惠金融服務，提升了小微企業(yè)和個體工商戶的金融服務可和服務質(zhì)量；保險公司通過對海量數(shù)據(jù)的挖掘和分析，能夠識別出不同客在制造業(yè)領(lǐng)域，汽車制造商可以通過部署數(shù)字工廠解決方案，實現(xiàn)對生實時監(jiān)控與智能化調(diào)度，傳感器收集的海量數(shù)據(jù)被上傳至云端，借助大數(shù)數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)除了制造、零售、電商等各個行業(yè)的滲透和普及，數(shù)智國計民生的關(guān)鍵領(lǐng)域。2023年3月，國家能源局發(fā)布《關(guān)于加快推進能源數(shù)2024年4月，財政部、交通運輸部聯(lián)合發(fā)布《關(guān)于支持引導公路水路交通基造，建設數(shù)字化感知網(wǎng)絡、智能化管控系統(tǒng)和網(wǎng)絡化服務體系；更加注重數(shù)據(jù)要素價值釋放，以數(shù)字手段推動交通基礎(chǔ)設施管理服務水平明顯改進；更隨著AI大模型技術(shù)的興起，生成式人工智能的自主生成創(chuàng)造和推理能力，為內(nèi)容創(chuàng)作、圖片設計、軟件開發(fā)等任務場景帶來強有力的工具更新，極大升了生產(chǎn)效率。生成式人工智能也逐步滲透進各個產(chǎn)業(yè)領(lǐng)域，指數(shù)級擴用邊界、加速了數(shù)智化轉(zhuǎn)型進程，助力企業(yè)經(jīng)營提效、業(yè)務創(chuàng)新、客戶體在業(yè)務的數(shù)智化轉(zhuǎn)型中，云計算在其中起到了重要的底座支撐作用，并當前發(fā)展階段的更高要求。經(jīng)過十幾年的發(fā)展，云計算已經(jīng)演變成體系化層次的技術(shù)和服務架構(gòu)，覆蓋更多傳統(tǒng)行業(yè)，并向更多行業(yè)的核心生產(chǎn)這里特別需要指出的是，得益于人工智能技術(shù)，尤其是深度學習等領(lǐng)域發(fā)展，算力需求呈現(xiàn)出指數(shù)級增長，而公共云作為應對這一挑戰(zhàn)的關(guān)鍵平正推動“云計算”向“云智算”轉(zhuǎn)變。它不僅提供基礎(chǔ)的計算、存儲和網(wǎng)絡資源，更整合了模型生態(tài)、數(shù)據(jù)治理和源，更整合了模型生態(tài)、數(shù)據(jù)治理和AI工具等與智能化發(fā)展密切相關(guān)的全方位服務。這種轉(zhuǎn)變意味著公共云不僅滿足基礎(chǔ)IT需求，更成為支撐大規(guī)模人04數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)052.數(shù)智化發(fā)展帶來的2.1信息系統(tǒng)安全性影響經(jīng)濟社會的穩(wěn)定運行2014年中央網(wǎng)絡安全和信息化領(lǐng)導小組第一次會議上，習近平總書記提出“努力把我國建設成為網(wǎng)絡強國”的目標愿景，指出“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。2015年黨的十八屆五中全會明確提出要實施網(wǎng)絡強國戰(zhàn)略。2023年7月，習近平總書記對網(wǎng)絡安全和信息化工作作出重要指示，明確“十個堅持”，強調(diào)“堅持筑牢國家網(wǎng)絡安全屏障”。切政府管理與公共服務方面，政府信息系統(tǒng)承載著大量的政務數(shù)據(jù)和公共服能。如果政務信息系統(tǒng)受到攻擊或泄露，可能導致政府決策失誤、公共服斷，甚至引發(fā)社會恐慌和不穩(wěn)定。其中類似稅務系統(tǒng)、社保系統(tǒng)、公安系關(guān)鍵政務信息系統(tǒng)的安全一旦受到威脅，將對政府的公信力及民眾的生數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)06其它關(guān)鍵信息基礎(chǔ)設施，能源、交通、通信、醫(yī)統(tǒng)安全也至關(guān)重要。這些系統(tǒng)的穩(wěn)定運行是社會經(jīng)濟活動的基礎(chǔ)。一旦這就像硬幣的兩面，數(shù)智技術(shù)走進千行百業(yè)，與社會、與行業(yè)深度融合的同時，整體的數(shù)字系統(tǒng)的安全性也直接影響到國家、社會和企業(yè)的穩(wěn)定，這是數(shù)智化發(fā)展到一定階段的必然挑戰(zhàn)。隨著我們面臨的安全挑戰(zhàn)日益增多且變得更加復雜，我們需要不斷提升安全防護、鞏固安全機制、強化2.2數(shù)據(jù)逐漸成為組織的命脈，但數(shù)據(jù)安全隱患愈發(fā)凸顯數(shù)字化轉(zhuǎn)型已經(jīng)成為企業(yè)及組織發(fā)展的“新動能”，數(shù)據(jù)作為核心資產(chǎn)，已經(jīng)成為組織的新型生產(chǎn)力，在戰(zhàn)略決策、產(chǎn)品創(chuàng)新、運營效率提升、客戶管理等方面都起到了重要作用。但隨著跨行業(yè)、跨部門、跨層級、跨地域、跨系統(tǒng)、跨業(yè)務的數(shù)據(jù)采集、存儲、傳輸、使用等場景的與日俱增，數(shù)據(jù)在發(fā)揮更大作用、創(chuàng)造更大價值的同時，重要數(shù)據(jù)和個人隱私信息遭篡改、泄露等問題也越發(fā)突出，數(shù)據(jù)濫用、暗網(wǎng)交易等黑灰產(chǎn)活動日益猖獗，對企業(yè)和組織及社會公共利益帶來了嚴重威脅。全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。根據(jù)Forrest加強數(shù)據(jù)治理、保護數(shù)據(jù)安全，為數(shù)字經(jīng)濟持續(xù)健康發(fā)展筑牢安全屏障，這是時代發(fā)展的客觀需要。應加快建設全流程、全環(huán)節(jié)、全場景的數(shù)據(jù)安全系，重視數(shù)據(jù)分級分類、數(shù)據(jù)角色授權(quán)、數(shù)據(jù)安全過程場景化管理，推數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)072.3網(wǎng)絡空間安全威脅日趨嚴峻數(shù)智化趨勢下，網(wǎng)絡空間安全威脅的態(tài)勢愈發(fā)嚴峻，網(wǎng)絡安全已然成為數(shù)字時代國家安全戰(zhàn)略的基石。當前，全球網(wǎng)絡空間正面臨著多方面的挑戰(zhàn)，包括但不限于網(wǎng)絡攻擊規(guī)模不斷擴大、新型二是新型網(wǎng)絡攻擊手段不斷涌現(xiàn)。人工智能等新技術(shù)的發(fā)展同時擊成本進一步降低，勒索軟件、APT攻擊等高級威脅正在經(jīng)歷一次“網(wǎng)絡犯罪技術(shù)革命”，人工智能技術(shù)的惡意使用也成為2024年最主一，攻擊者通過使用惡意的大模型工具（如FraudGPT、WormGPT），可以自動創(chuàng)建網(wǎng)絡釣魚電子郵件和惡意軟件，使得小語種惡意軟件威脅不斷增加，使用Go、Nim和Rust等小語種編程語言開發(fā)的惡意軟件增加，相應的安全分析工具較少，難以被檢測和攔截，造成另外，國家級網(wǎng)絡安全對抗日趨明顯。俄烏沖突爆發(fā)以來，國際網(wǎng)威脅不僅影響沖突的進程和走勢，也對未來網(wǎng)絡空間國際秩序的走勢產(chǎn)生遠的影響。一方面是網(wǎng)絡戰(zhàn)和信息戰(zhàn)的對抗增加了網(wǎng)絡空間的緊張局勢，雙方利用網(wǎng)絡進行攻擊，包括黑客攻擊、關(guān)鍵信息基礎(chǔ)設施打擊等動態(tài)效以及運用輿論手段巧妙影響公眾心理效應。其次俄烏沖突也揭示出網(wǎng)絡空這種趨勢對國際網(wǎng)絡安全構(gòu)成了嚴重威脅，破壞了互聯(lián)網(wǎng)底層的信任基礎(chǔ)強了網(wǎng)絡空間碎片化趨勢，并可能加劇網(wǎng)絡空間的軍備競賽。在俄烏沖突非國家行為體如黑客組織等也參與其中，發(fā)起大規(guī)模的網(wǎng)絡攻擊。這些非行為體的參與使得網(wǎng)絡空間的對抗態(tài)勢更加復雜化，給國際網(wǎng)絡安全帶來數(shù)智化趨勢下的發(fā)展機遇與安全挑戰(zhàn)綜上所述，數(shù)智化轉(zhuǎn)型加速推進，深刻改變了社會經(jīng)濟的運作模式，為企業(yè)發(fā)展和人民生活帶來了前所未有的便捷和效率提升。然而，這種變革同樣催生了一系列新的安全問題，使得系統(tǒng)安全、網(wǎng)絡安全和數(shù)據(jù)保護成為數(shù)字時代必須直面的重大挑戰(zhàn)。各行各業(yè)2.4數(shù)智化發(fā)展對安全提出更高要求數(shù)智化發(fā)展不斷加速，相較以往產(chǎn)生了一系列變化。日益增長的價值催生了更多的攻擊，愈發(fā)深入的場景，增加了安全防護的復雜性。愈發(fā)白熱化的競爭先進普惠的安全技術(shù)：嚴峻的安全威脅需要先進的安全攻防技術(shù)來保障，同時應當降低使用這些并在業(yè)務的不同階段支持高效地完成安全治理工作，維持業(yè)務的敏態(tài)。同時在業(yè)務的敏態(tài)下，保豐富全面的解決方案：場景的不斷豐富和深入，要求安全防護能力也能夠不斷進化，適應不同的0808VisionandFrameworkforAlibabaCloudSecurityGovernance0203公共云安全治理愿景與框架隨著數(shù)智技術(shù)的產(chǎn)業(yè)化發(fā)展及其與實體經(jīng)濟的深度融合，企業(yè)對云計算的需求日益增長。數(shù)字化轉(zhuǎn)型的加速推動了企業(yè)上云用云的比例顯著提升?！叭嫔显啤崩顺庇萦?，“深度用云”特云上安全的建設，需要企業(yè)和云服務商之間秉承一致的安全理念。恰當?shù)陌踩砟?，能夠促成上云企業(yè)與云服務商之間快速建立對云安全的理解和共識，解決云上業(yè)務流程與線下IT流程相異的安全管理問題；也能夠幫助深度用云企業(yè)解決云上復雜生態(tài)系阿里云基于多年集中的安全技術(shù)投入、豐富的風險應機構(gòu)、靈活規(guī)范的安全措施落地機制，和為客戶云上安全提供支持，為社全穩(wěn)定貢獻力量的不移決心，正式提出“云上安全共同體”這一安全理念，體”理念的引導下，阿里云不僅會堅守安全責任共擔模式云服務商的責任建和提供“安全的云”，如基礎(chǔ)設施、物理設備、分布式云操作系統(tǒng)及云服務產(chǎn)品安全，保障云平臺基座的安全。與此同時，阿里云也會幫助客戶“安公共云安全治理愿景與框架“云上安全共同體”的安全理念，以實現(xiàn)保護云環(huán)境中數(shù)據(jù)和資產(chǎn)安全目標，云平臺發(fā)揮主觀能動性，提供更多可供客戶采取的安全保障措施，相互協(xié)作的安全保障體系，促成深度用云安全，從而進一步造就云平臺的安全。以云產(chǎn)品安全配置為例，客戶需要根據(jù)上云數(shù)據(jù)、系統(tǒng)的定級決定策略，根據(jù)安全策略自行開啟安全配置。在安全共同體理念的方向引導下里云主動為客戶提供了更多默認的安全配置與風險提示，支持客戶實現(xiàn)配全。阿里云深知，如果我們的客戶不安全，那么阿里云作為云平臺就無法“云上安全共同體”理念的提出，標志著阿里云作為領(lǐng)先的云平臺，不僅勤勉盡責地履行承擔本職的安全責任，更致力于提供一系列切實可行的安全保障措施，這些措施旨在幫助客戶更深入地思考、制定、理解安全策略，并支持這些安全策略阿里云致力于從打造“安全的云”和賦能“安全使用云平臺安全性持續(xù)演進成為客戶更緊密的安全伙伴公共云安全治理愿景與框架安全使用云?；谄脚_經(jīng)驗和能力的沉淀，阿里云圍繞云租戶的安全管提供進一步的強化安全保障服務，致力于成為客戶更緊密的安全伙伴。云產(chǎn)品設置更高的初始安全水位，提高云產(chǎn)品使用的安全性；通過提供的安全能力，促成更低的用云安全成本；通過增強多方位的安全檢測和力，實現(xiàn)安全事件的主動響應，通過提供全面而易于理解的安全指南和踐，推動安全科普與安全意識的培育，使用戶能夠清晰地了解云服務的阿里云希望能通過這些安全保障措施建設工作，展現(xiàn)我們對云上安全的堅定承諾，以及為客戶提阿里云會就構(gòu)建平臺核心安全保障的八大支柱進行呈現(xiàn)。如希望查閱更多關(guān)于安全共同體理念的公共云安全治理愿景與框架32.治理目標：在當今數(shù)智化時代，云計算正以前所未有的速度改變著企業(yè)的算力建設模式、IT運營流程與業(yè)務支撐方式。其不僅為企業(yè)提供了前所未有的靈活性和可擴展性，更在安全性與成本效益方面展現(xiàn)出了顯著優(yōu)勢。而全球頭部云計算廠商通常具備絕對的規(guī)模優(yōu)勢和長期的運營經(jīng)驗，憑借深厚的技術(shù)積累、嚴格的安全標準遵循、以及持續(xù)的安全研發(fā)投入，構(gòu)建了更加堅固的安全防護體系，2.1云安全提升更強的安全性保障阿里云不僅遵循國際/國家安全標準以及安全合規(guī)要求，還通過多層防御策略、數(shù)據(jù)加密、訪問控制、安全審計與監(jiān)控、以及實時的威脅檢測與響應機制等方式，全方位保護客戶系統(tǒng)與業(yè)務免受各類安全威脅，讓云計算尤其是公共云成為企業(yè)-全球頂級的安全團隊阿里云擁有專業(yè)的安全團隊，這些團隊具備行業(yè)領(lǐng)先的行業(yè)經(jīng)驗，不斷地夯實云基礎(chǔ)設施的安全防御能力，以“零信任”“縱御”的先進安全架構(gòu)，應對層出不窮的安全威脅，并基于自身攻防對抗經(jīng)-原生安全能力支撐原生安全是云計算安全性的重要組成部分，它強調(diào)從設計之入應用程序和服務的每一個環(huán)節(jié)中。在一些核心攻堅類技術(shù)領(lǐng)公共云安全治理愿景與框架2.2云安全保持更低的成本消耗在不犧牲安全性的前提下，云計算可以有效降低安全成本和時間成本。企業(yè)無需自行構(gòu)建和維護復雜的安全體系，也無需擔心因資源閑置或過度安全配置而造成的浪費，從而能夠更加專注于業(yè)務創(chuàng)新和發(fā)展，正因如此，云計算尤其是公共云以其卓越的安全性和顯著的成本優(yōu)勢，正成為越-經(jīng)濟成本優(yōu)化顯著降低了企業(yè)的安全成本。相比傳統(tǒng)IT環(huán)境，云計算服務商能夠利用先進的安全技術(shù)和專業(yè)團隊來保護其龐大的數(shù)據(jù)中心，這種集中化的安全管理-時間成本節(jié)約阿里云通過提供即時可用的安全產(chǎn)品服務和自動化管在安全加固上的時間成本。企業(yè)無需從零開始構(gòu)建和維護復雜的安全體是可以直接利用云服務商提供的成熟安全解決方案，快速響應安全威脅公共云安全治理愿景與框架53.治理框架從云上安全共同體的角度出發(fā)，為達成云上更強安全性、更低成本的目標，阿里云在安全機制、安全能力上做出了一系列設計與建設，共同構(gòu)成了云上安全八大支柱，以保障云平臺自身具備足3.1安全機制保障云平臺基座的安全，是云上安全的基礎(chǔ)，為確保萬無一失，阿里云建設了全生命周期的安全保障-全流程產(chǎn)品安全保障建設阿里云在產(chǎn)品全生命周期中，通過多環(huán)節(jié)干預，以縱理念為指導，并通過自動化、數(shù)字化安全分度量機制，切實保障安全要求-全方位紅藍對抗反向校驗安全水位需在攻防對抗過程中不斷提升，阿里云在內(nèi)部建設了紅藍對藍軍團隊采用APT級強度對云平臺開展?jié)B透測試，從內(nèi)部視角查漏補缺。另一方面，阿里云擁有完善的外部白帽生態(tài)及漏洞懸賞機制，邀請第三方公共云安全治理愿景與框架3.2安全能力支撐云上安全需要云平臺和云上客戶的共同安全，在云平臺安全基座的基礎(chǔ)上，阿里云還將“保障客-堅守數(shù)據(jù)主權(quán)的數(shù)據(jù)安全保護在客戶數(shù)據(jù)主權(quán)及機密性保護方面，阿里云從機制、技術(shù)架構(gòu)角度，保障的云上數(shù)據(jù)僅用于符合客戶自身意圖的場景，不會挪作他用。同時，阿里具備各類數(shù)據(jù)安全保護機制，可默認提供比絕大多數(shù)自建環(huán)境更安全的數(shù)-全鏈路身份管控與精細化授權(quán)在信息技術(shù)高速發(fā)展的今天，進行高效、靈活的數(shù)據(jù)流動、網(wǎng)絡聯(lián)通是云的優(yōu)勢所在。為了安全地達成這一目的，身份權(quán)限管理至關(guān)重要。阿里云了全鏈路身份授權(quán)與權(quán)限管控體系，支持客戶按照“最小夠用”原則，細-安全防護能力高效彈性可擴展作為云原生時代的基礎(chǔ)設施，阿里云所提供的安全防護能力，可隨著基的彈性伸縮而靈活調(diào)整，實現(xiàn)了安全防護能力的高效彈性，有助于降低護的時間成本。阿里云在基礎(chǔ)產(chǎn)品之上開放可擴展能力，便于三方安全成云上基礎(chǔ)產(chǎn)品，并發(fā)揮出更好的性能與穩(wěn)定性，提升云上客戶安全防公共云安全治理愿景與框架-面向線上威脅的快速響應與恢復安全是持續(xù)對抗的過程，阿里云提供了風險感知、數(shù)據(jù)備份等服務，即因外部入侵導致服務受損，對應的產(chǎn)品能力也能幫助-面向攻擊的安全高可用阿里云建設了完整的安全高可用架構(gòu)，如租戶隔離、嚴密的監(jiān)控發(fā)現(xiàn)能力、服務快速恢復能力，以保障云服務在面對安全攻擊-全球化背景下的合規(guī)支撐阿里云積極擁抱監(jiān)管合規(guī)，持續(xù)推動云平臺與云產(chǎn)品監(jiān)管合規(guī)要求，并將共性合規(guī)要求融入到云安全產(chǎn)品功能設計中，以阿里云堅定地與客戶一起，迎接日益嚴峻的云上安全挑戰(zhàn)，幫助客戶以更低的成本具備更強的安全性。在后續(xù)章節(jié)，將詳細展開阿里云安全治理框架，以幫助客戶更好地理解ImportantSecurityCapabilitiesofAlibabaCloud02030405060708全流程產(chǎn)品安全保障建設全方位紅藍對抗反向校驗02030405060708全球化背景下的合規(guī)支撐云上安全重要支柱1.全流程產(chǎn)品安全保障建設將豐富的安全工具和安全管控流程無縫集成至產(chǎn)品研發(fā)的各個階段。通過多環(huán)節(jié)協(xié)同合作，共同負責風險控制，從而確保安全效果不再依賴于任意單一環(huán)節(jié)。在傳統(tǒng)的軟件開發(fā)生命周期中，安全檢測和修復通常集中在發(fā)布階段，式容易導致工作積壓，存在效率低下的弊端。阿里云通過“安全左移”和全右移”的設計，有效控制了安全治理成本，并提升了線上產(chǎn)品對外部新興0day漏洞的免疫、防御、攔截能力，從而使安全治理流程更加高效、可在與全球頂級黑客團隊對抗的過程中，阿里云貫徹縱深防御和零信任架計理念，建設了世界領(lǐng)先的安全架構(gòu)，這一架構(gòu)通過多層次防御機制，不障了云平臺自身安全，還保障了客戶數(shù)據(jù)及資產(chǎn)的安全性，不讓任何一安全架構(gòu)設計和安全流程的關(guān)鍵在于實際執(zhí)行，阿里云不僅在理論上分規(guī)劃，還通過建設內(nèi)部度量機制，確保安全流程在各個團隊中得到嚴和執(zhí)行，通過對流程的監(jiān)控和評估，阿里云切實履行了其在安全保障方面20阿里云通過將安全管控要素嵌入產(chǎn)品研發(fā)流程，實現(xiàn)了安全管控與產(chǎn)品研發(fā)的同步啟動、同步實運維&監(jiān)控。阿里云在整個產(chǎn)品研發(fā)過程中內(nèi)置標準化的審核流程和自動化安全工具，旨在品研發(fā)過程中的潛在風險扼殺在上線前，并在產(chǎn)品上線后及時發(fā)現(xiàn)和響應新的安全風險，這一全流程的安全管控機制，使得安全不再是最后的補丁，而是貫穿產(chǎn)研團隊職責產(chǎn)研團隊職責安全團隊職責明確、整理、闡述業(yè)務需求、業(yè)務形態(tài)和交付方式，完成培訓任務并通過考試完成威脅建模問卷填寫基于風險設計解決方案按期完成安全要求的整改更新、推送項目成員所需要的安全培訓材料根據(jù)業(yè)務形態(tài)設計威脅建模問卷針對安全風險協(xié)助設計解決方案評估整改方案合理性提供安全編碼方面的專家建議及規(guī)范提供輔助安全編碼的工具（安全SDK、安全IDE插件）遵守安全編碼規(guī)范接入安全SDK使用安全IDE插件 確保編譯、發(fā)布流程接入SPLC安全流程測試環(huán)境安裝IAST灰色掃描工具完成黑盒工具掃描完成白盒工具掃描完成鏡像安全工具掃描完成供應鏈安全工具掃描安全團隊職責明確、整理、闡述業(yè)務需求、業(yè)務形態(tài)和交付方式，完成培訓任務并通過考試完成威脅建模問卷填寫基于風險設計解決方案按期完成安全要求的整改更新、推送項目成員所需要的安全培訓材料根據(jù)業(yè)務形態(tài)設計威脅建模問卷針對安全風險協(xié)助設計解決方案評估整改方案合理性提供安全編碼方面的專家建議及規(guī)范提供輔助安全編碼的工具（安全SDK、安全IDE插件）遵守安全編碼規(guī)范接入安全SDK使用安全IDE插件 確保編譯、發(fā)布流程接入SPLC安全流程測試環(huán)境安裝IAST灰色掃描工具完成黑盒工具掃描完成白盒工具掃描完成鏡像安全工具掃描完成供應鏈安全工具掃描監(jiān)督編譯、發(fā)布流程接入SPLC安全流程提供黑盒、白盒、灰盒、鏡像安全、供應鏈安全掃描工具幫助產(chǎn)研側(cè)基于產(chǎn)研特殊情況編寫定制化規(guī)則修復審查過程中發(fā)現(xiàn)的安全漏洞完成CheckList審查核查過程中的CheckList是否完成針對重點隱患進行人工審核基于審核結(jié)果拒絕發(fā)布或允許發(fā)布通過基線巡檢、黑盒掃描、供應鏈安全監(jiān)控周期性發(fā)現(xiàn)線上風險推送安全漏洞給研發(fā)側(cè)基于人工滲透、ASRC、紅藍對抗機制發(fā)現(xiàn)線上系統(tǒng)的深層風險對入侵情報進行排查跟進遵守安全運維規(guī)范響應工作修復安全側(cè)推送的漏洞，配合應急22在產(chǎn)品立項環(huán)節(jié)，產(chǎn)品研發(fā)團隊和安全團隊將充分溝通，明確業(yè)務需求、業(yè)務形態(tài)和交付方式，確認雙方可接受的風險程度，并明確安全責任邊界。這種產(chǎn)品立項環(huán)節(jié)的目標是厘清該產(chǎn)品業(yè)務背景下云平臺需實現(xiàn)的防護效果，產(chǎn)品經(jīng)理、項目經(jīng)理、研發(fā)、運維、交付等相關(guān)人員必須完成安全培訓考阿里云平均每年完成線上安全培訓和考試數(shù)萬人次，并具備配套的數(shù)百份安全規(guī)范文檔，覆蓋產(chǎn)品研發(fā)全流程和全部崗位類覆蓋人群目標覆蓋人群目標PDPD231.1.2設計環(huán)節(jié)安全團隊會在設計環(huán)節(jié)介入，輔助產(chǎn)品線完成安全架構(gòu)的設計與評審工作。對產(chǎn)品的部署架構(gòu)、網(wǎng)絡架構(gòu)、應用架構(gòu)、接口交互邏輯和租戶隔離架構(gòu)進行完整的威脅建模，事前識別出產(chǎn)品的安安全是阿里云的生命線。因此在產(chǎn)品管理流程中，安全團隊具備產(chǎn)品設計方案的一票否決權(quán)，并阿里云產(chǎn)品的架構(gòu)評審完成率均達100%，威脅建模標準庫中累積數(shù)百條風險判斷規(guī)則，以全面針對云計算的特殊場景，阿里云重點關(guān)注租戶隔離方面的風險治理，在不同層級實施了不同強度針對云場景下的租戶隔離問題，阿里云在虛擬化層、網(wǎng)絡層、網(wǎng)關(guān)層、應用層、主機層架設了不在虛擬化層，阿里云自研了ECS沙箱隔離、袋鼠安全容器技術(shù)，從架構(gòu)角度解決云上資源共享及調(diào)度帶來的租戶隔離影響，并在容器集群內(nèi)統(tǒng)一配的NetworkPolicy、WebHook攔截能力，攔截集群內(nèi)的異常訪問請求。在網(wǎng)關(guān)層，阿里云實施動態(tài)智能的流控策略，避免A客戶的異常操作影響到B客戶，并支持業(yè)務在網(wǎng)關(guān)層配置接口鑒權(quán)，避免因內(nèi)部研發(fā)過失導致客戶間24在應用層，阿里云除了通過產(chǎn)品安全研發(fā)全生命周期管控，最大化規(guī)避碼失誤導致租戶隔離被突破以外，還針對0day漏洞導致租戶隔離被攻破的場景，提前部署了Web應用防火墻、運行時應用自我保護RASP工具，使應不同層級的安全架構(gòu)設計，共同組成了阿里云的縱深防御體系。阿里云的安全防護不僅僅依賴于單層的防御機制，而是永遠在“單層防御已被攻破”的假設下，設計更深的防御機制。阿里云也基于“零信任”的理念，結(jié)合自身與頂級黑客團隊的對抗經(jīng)驗，實施建設了一體化的零信任安全1.1.3編碼環(huán)節(jié)所有產(chǎn)品研發(fā)人員在編碼時，必須嚴格遵守安全編碼規(guī)范，主動接入安全團隊設計并封裝的安全SDK，使用統(tǒng)一、標準化的安全修復方案，安裝安全IDE插件，在測試及預發(fā)環(huán)境安裝IAST灰針對潛在漏洞治理，通過編碼規(guī)范、IDE安全編碼插件的方式，將諸如SQL注入、命令執(zhí)行等基本漏洞，盡量在編碼環(huán)節(jié)規(guī)避;針對越權(quán)風險設計及實施鑒權(quán)切面機制，通過代碼層切面的方式，控制碼失誤導致的鑒權(quán)失效問題;針對代碼層0day風險，在編碼環(huán)節(jié)內(nèi)置運行時應用自我保護工具RASP，使應用具備對0day漏洞的默認防御能力;25針對編碼過程中極易出現(xiàn)的憑證泄露風險，阿里云提供了自研的零信任轉(zhuǎn)解決方案、動態(tài)輪轉(zhuǎn)代碼中關(guān)鍵憑據(jù)(如AccessKey)。與此同時，限制1.1.4測試環(huán)節(jié)阿里云自研了黑、白、灰盒安全掃描工具，并通過SPLC安全運營平臺嵌入整個研發(fā)流程，對產(chǎn)進入白盒掃描，覆蓋100%常見漏洞類型，這一過程對產(chǎn)品整體研發(fā)進度幾產(chǎn)品部署到測試環(huán)境后，會默認強制接受灰盒掃描，通過動態(tài)Fuzz、模擬攻阿里云在產(chǎn)品上線前會對測試環(huán)境完成黑盒掃描，主要排查弱口令、1day漏1.1.5發(fā)布環(huán)節(jié)產(chǎn)品發(fā)布前，會進行默認配置檢測，以保障產(chǎn)品遵循最小權(quán)限、最小暴露面、賬號合理授權(quán)等基線要求;同時進行敏感信息檢測，規(guī)避口令、AK等泄露風原則上，所有產(chǎn)品都需要接入運行時應用自我保護工具RASP、Web應用防針對產(chǎn)品上線前依然存在的疑似安全風險，由阿里云權(quán)威安全專家進行云上安全重要支柱基于零信任可信的架構(gòu)設計，在運維環(huán)節(jié)，對流量、資源配置、外部人行為數(shù)據(jù)進行收集，并分析審計出潛在風險，按照相關(guān)規(guī)范制度規(guī)定的時進行日常運維和風險監(jiān)控，一旦出現(xiàn)安全風險，立即啟動應急響應。敏感在傳輸、存儲過程中均為密態(tài)。若與客戶業(yè)務相關(guān)，僅在獲得客戶授權(quán)的通過紅藍對抗、產(chǎn)品眾測、攻防比賽等形式，反向驗證產(chǎn)品的安全性，主1.2安全架構(gòu)：阿里云零信任體系零信任的核心理念是不單純依賴網(wǎng)絡請求來源和單一身份憑證，而是通過各層、各場景的信息，綜合分析潛在的風險，從而攔截可疑的攻擊者，實現(xiàn)動態(tài)安全。對于云廠商而言，保護客戶數(shù)據(jù)安全是其核心要務。從設計層面實現(xiàn)這一目標，需要從全鏈路的角度識別哪個環(huán)節(jié)對客戶數(shù)據(jù)執(zhí)行了操作，不僅要防止外部攻擊者的滲透攻擊，還需要預防內(nèi)2627云上安全重要支柱覆蓋范圍ABAC可信調(diào)用RBAC云原生安全應用層網(wǎng)絡層+TPM主機層覆蓋范圍ABAC可信調(diào)用RBAC云原生安全應用層網(wǎng)絡層+TPM主機層風險控制0day可信校驗風險控制0day云原生身份體系與客戶業(yè)務體系無縫對接，通過硬件可信根、四層元數(shù)據(jù)、七層元數(shù)據(jù)限制數(shù)據(jù)僅在可信范圍內(nèi)使用和傳遞，應用間調(diào)用權(quán)限可限制到接口級。攻擊者無法通過單一漏洞，一招鮮滲透應用環(huán)境僅運行可信組件，且對運行時狀態(tài)持續(xù)監(jiān)控，攔截0day攻擊，緩解持續(xù)校驗請求流量是否可信安全，操作有審計抵御硬件、固件級別供應鏈風險提供硬件級加密、輪轉(zhuǎn)能力支撐使云平臺、用戶、芯片廠商形成三權(quán)分立關(guān)系，根本解決用戶上云的信任問題阿里云平臺將身份數(shù)據(jù)在全鏈路進行傳遞，包括主機層、網(wǎng)絡層、應用層及業(yè)務層。其中主機層記錄和傳遞主機硬件身份信息，網(wǎng)絡層記錄和傳遞網(wǎng)絡全鏈路風險控制：阿里云將云原生身份體系與客戶業(yè)務體系無縫對接，通應用間調(diào)用權(quán)限限制到接口級別。攻擊者無法通過單一漏洞完成對云平防御0day漏洞：阿里云平臺的應用環(huán)境僅可運行可信組件，且持續(xù)監(jiān)控運行時狀態(tài)，從而大大緩解了0day漏洞與供應防止內(nèi)部誤操作：阿里云通過持續(xù)校驗請求流量是否可281.3安全制度：安全分機制在安全實踐中，“三分技術(shù)、七分管理”的理念至關(guān)重要。為持續(xù)性保障各個產(chǎn)線的安全水位，安全分覆蓋了阿里云產(chǎn)品安全基線條例的大部分內(nèi)容，如“公網(wǎng)服務未接入WAF”“ECS實例未經(jīng)安全審核開放公網(wǎng)”，其目的在于揭示隱藏于各類產(chǎn)品配置中的潛在安全弱點，使之顯而易見。并且分數(shù)權(quán)重能夠清晰地呈現(xiàn)出治安全分的計分邏輯是從阿里云整體安全建設角度出發(fā)，綜合考慮不同理ROI。這些邏輯由具備豐富實戰(zhàn)經(jīng)驗的安全專家進行設置，并經(jīng)過安全團隊與產(chǎn)品線評審通過后正式確定。此外，在實際運行中，安全分會不斷優(yōu)安全分的計算基于平臺自動機制完成。在云資源安全配置、安全防御域，可以通過自動化巡檢能力發(fā)現(xiàn)和清洗需要進行治理的數(shù)據(jù)表，并在成后自動刷新數(shù)據(jù)。對于無法進行自動計算的部分，比如產(chǎn)品架構(gòu)設計，品安全接口人上報后并通過安全團隊審核完成后計分。這兩部分數(shù)據(jù)源設定的權(quán)重相加來得出每個產(chǎn)品的最終分數(shù)。所有關(guān)于安全分的動態(tài)變通過內(nèi)部的安全分平臺，產(chǎn)線可以清晰感知到安全風險以及安全風險治先級。此外，安全分平臺還與內(nèi)部流程平臺聯(lián)動，不僅提供了風險治理的性解決方案，而且還提供了治理入口和工單，從而極大地降低了產(chǎn)線內(nèi)部產(chǎn)線和安全團隊間的協(xié)作成本。這也提高了安全運營的效率，確保了安全通過內(nèi)部的安全分平臺，產(chǎn)線可清晰感知到安全風險以及安全風險治理級。并且，安全分平臺還與內(nèi)部流程平臺聯(lián)動，在提供風險治理的針對性方案的同時，也會給出治理入口和工單，極大地降低了產(chǎn)線內(nèi)部以及產(chǎn)云上安全重要支柱292.全方位紅藍對抗反向校驗盡管阿里云已建立起一套系統(tǒng)化、立體化的全方位安全防護體系，但我們深知安全是一個動態(tài)對抗的過程。若僅從單一視角進行防御建設，可能會因單一參與方的盲區(qū)而在真實的對抗場景下被為了防止可能發(fā)生的“安全策略失效”等問題，阿里云平臺的持在線狀態(tài)，在動態(tài)對抗中持續(xù)提升安全水位，我們相信只有讓“紅藍對抗”藍軍團隊不斷研究新技術(shù)，保持與業(yè)內(nèi)頂尖團隊的交流，時常以“APT級”的強度對云平臺發(fā)起滲透測試。另一方面，阿里云擁有完善的“外部白帽及“漏洞懸賞機制”，定期邀請高水平的第三方“安全服務商”針對云平2.1內(nèi)部定向APT模擬實戰(zhàn)APT（高級持續(xù)性威脅）攻擊在全球范圍內(nèi)對國家安全、經(jīng)濟穩(wěn)定、基礎(chǔ)設施安全以及個人隱私構(gòu)成了重大威脅。這類攻擊以其高度的技術(shù)復雜性、長時間的潛伏期和精準的目標選擇為特點，對政府、大型企業(yè)和個人造成了深遠的影響。從國家戰(zhàn)略層面的機密泄露到關(guān)鍵信息基礎(chǔ)設施的癱瘓，再到經(jīng)濟領(lǐng)域的商業(yè)機密被盜，APT攻擊已成為一個不容忽視的全球性問題。PB級流量、數(shù)萬名員工、上百個全球辦公場景、數(shù)萬量級域名。如果僅以防守方思維去構(gòu)建安全，難以面面俱到。由此，阿里云基于攻防對抗思了內(nèi)部紅藍對抗體系，常態(tài)化模擬最接近真實場景的攻防對抗，最大云上安全重要支柱30不限時間不限范圍不限手段績效掛鉤常態(tài)化不限時間不限范圍不限手段績效掛鉤常態(tài)化威脅感知，攻擊溯源貼近黑客·滲透SDL·安全運營·響應攻擊路徑攻擊戰(zhàn)術(shù)模式ATT&CK/WASC/OWASPCVE&CWS/漏洞威脅/安全社區(qū)每年高危風險發(fā)現(xiàn)阿里云攻防體系主要以“定向APT攻擊”作為核心主旨，完成內(nèi)部的攻防演練。攻擊團隊（以下簡稱阿里云藍軍）會以MITREATT&CK框架作為指導，系統(tǒng)地模擬外部攻擊者的行為，而-攻擊規(guī)劃階段：將以某個阿里云產(chǎn)品或內(nèi)部系統(tǒng)系統(tǒng)作為演練靶標對象，進行定向目標的信息收集，包括但不限于OSINT、網(wǎng)絡掃描等?；谑占降那閳?，分析目標的潛在攻擊點和薄弱環(huán)節(jié)，選擇攻擊手法，構(gòu)建由APT演練的項目負責人完成整體攻擊方案的確認，編排攻擊資源，包括但不限于定向挖掘0day漏洞、可控攻擊鏈投毒、特定性遠程控制攻擊工具的編-攻擊執(zhí)行階段：阿里云藍軍成員將嚴格按照攻擊鏈路圖進行模擬定向APT攻擊的實施工作，當獲得穩(wěn)定駐留點后，會根據(jù)當前收集到的目標信息，嘗試訪問目標系統(tǒng)，并使用預先構(gòu)建的武器化攻擊工具定向攻擊演練靶標系統(tǒng)，從獲取系統(tǒng)普到獲取系統(tǒng)管理權(quán)限再到獲取該系統(tǒng)主機權(quán)限，完成靶標系統(tǒng)的完全掌到預先定型APT攻擊的目的。-復盤修復階段：收集整理攻擊反饋數(shù)據(jù)，包括成功和失敗的攻擊嘗試、定向APT攻擊目標的阿里云藍軍與阿里云紅軍，將共同完成最后的演練過程中所發(fā)現(xiàn)的漏洞及防御體系薄弱點，將由阿里云紅軍負責人帶回，供圖3.2.2：紅藍攻防演練流程2.2自動化紅藍對抗平臺為應對日益嚴峻的網(wǎng)絡安全挑戰(zhàn)，確保安全防御能力始終處于最優(yōu)狀態(tài)。阿里云構(gòu)建了一套平臺通過深度整合內(nèi)部和外部的攻防案例，將多種攻擊手法進行隨機打散與重組，在阿里云全域內(nèi)開展高頻次、自動化的演練。該平臺不僅提升了阿里云對復雜攻擊的應對能力，還確保了安全云上安全重要支柱32圖3.2.3：自動化紅藍對抗平臺流程2.2.1常態(tài)化安全對抗1.全自動化演練機制：通過深度整合外部APT事件、MITREATT&CK框架和內(nèi)部自編寫攻擊案例，平臺能夠?qū)崿F(xiàn)全自動的在指定演練范圍內(nèi)進行2.隨機性與多樣化：演練目標的生成過程是隨機化的，結(jié)合歷史安全攻防事件和公開工具攻擊手法的隨機組合，提升了對抗環(huán)境的多樣性和真實感3.可視化輸出與風險同步：每次演練后，平臺會自動生成詳細的攻擊路徑以332.2.2防守過程穩(wěn)定性1.節(jié)點負載智能控制：在多節(jié)點并行演練的過程中，系統(tǒng)會根據(jù)節(jié)點的負載情況自動調(diào)整演練規(guī)模，避免對生產(chǎn)環(huán)境造成過度影響，同時保證業(yè)務2.日志追蹤與審計：平臺具備全流程日志記錄功能，任何演練操作都可以被詳細追溯，確保事件的透明性和可審計性，以防止誤操作或者不合理3.應急場景秒級熔斷：當演練過程中出現(xiàn)異常情況時，系統(tǒng)能夠在秒級響應2.2.3復盤推修1.發(fā)現(xiàn)與問題反饋：演練結(jié)束后，平臺會自動檢測發(fā)現(xiàn)的安全問題，通過查2.3外部三方驗證為了進一步加固安全防線，阿里云積極引入國內(nèi)外優(yōu)秀的第三方滲透測試服務提供商，通過專業(yè)外部三方驗證：是指聘請獨立的安全專家團隊，運用專業(yè)的滲透測試技術(shù)具，模擬黑客攻擊行為，對目標系統(tǒng)進行深度安全檢查的過程。這一過程識別和評估系統(tǒng)安全控制的有效性，揭示潛在的安全弱點和威脅，最終342.3.1合作伙伴甄選與認證阿里云在全球范圍內(nèi)精選具備深厚安全背景、技術(shù)實力與良好市場口碑的第三方滲透測試服務提供商。合作廠商需滿足嚴格的資質(zhì)要求，包括但不限于ISO27001信息安全管理體系認證、CMMI成熟度模型集成認證等，相關(guān)服務人員需要具備CISP-PTE/PTS、CISM、OSCP等專業(yè)認證，并通過阿里云內(nèi)部的安全能力評估與認證流2.3.2測試范圍與深度第三方驗證范圍覆蓋阿里云的全系列產(chǎn)品與服務，從基礎(chǔ)設施層（如服務器、網(wǎng)絡設備）到平臺服務（如數(shù)據(jù)庫服務、容器服務）、再到軟件應用層（如Web應用、移動應用）。測試內(nèi)容深入至黑白盒代碼審計、網(wǎng)絡滲透、邏輯漏洞挖掘等多個維……CISMOSCPISOCISMOSCPISO27001信息安全管理體系認證CISP-PTE/PTSCMMICISP-PTE/PTSCMMI成熟度模型集成認證…………Web應用Web應用………………圖3.2.4：外部三方驗證云上安全重要支柱352.4外部安全生態(tài)建設我們深知只靠阿里云安全團隊自己的力量無法保障絕對的安全。唯有阿里云安全團隊與白帽社區(qū)彌補短板、拓寬思路的關(guān)鍵支撐。通過鼓勵白帽挖掘漏洞，刺激內(nèi)部紅軍團隊補齊短板，阿里云基于上述考慮，阿里云在2013年創(chuàng)立了阿里安全響應中心（ASRC），通過高額的賞金激勵行業(yè)精英白帽，持續(xù)不斷幫助阿里云發(fā)現(xiàn)安全防御中的薄弱環(huán)節(jié)，全面提升業(yè)務整體安全水位。為進一步幫助云上用戶提升安全性，繼而又在2015年創(chuàng)建了先知平臺，通過安全眾測等形式，方阿里安全響應中心（ASRC）阿里安全響應中心（ASRC）針對阿里云及阿里集團其他所有業(yè)務的外部風險，通過提供漏洞賞金計劃、開展安全眾測項目，提前發(fā)現(xiàn)潛在的安全風險，避免阿里云業(yè)務漏洞被外先知平臺服務于阿里云客戶，一方面為客戶提供針對企業(yè)特定產(chǎn)品的公開或私密的安全眾測項目，另一方面通過通用漏洞收集計劃，及時感知云上用戶大量使用的通用軟件產(chǎn)品的0Day安全風險，進而將兩者轉(zhuǎn)化為安全能力服務客戶。為了更好的服務阿里云及云上用戶，ASRC和先知平臺進行了重大升級，整拓展服務類目、共享安全技術(shù)為宗旨，與時共進，打造新一代互聯(lián)網(wǎng)安全云上安全重要支柱10余年間，先知累計發(fā)布超過1800個項目，吸引了全球30多個國家的17000余名白帽黑客參與其中，一起保障了阿里云上億用戶和企業(yè)的安全。阿里云對白帽社群的價值高度認可，作為對安全社區(qū)的回饋，發(fā)放了超過8000多萬賞金，單個白帽子最高獲得了500多萬。隨著阿里云業(yè)務規(guī)模不斷壯大和業(yè)務形態(tài)持續(xù)多元化，“先知”不僅成為吸納各安全細分領(lǐng)域才的平臺，還通過舉辦眾測活動、安全競賽、行業(yè)沙龍等，將最前沿的攻術(shù)和研究成果融入阿里云的安全體系。在國際上，“先知”也積極參與各互助的安全社區(qū)，深化與高校、專業(yè)團隊的合作，借助線下沙龍、阿里云CTF賽事、36云上安全重要支柱373.堅守數(shù)據(jù)主權(quán)的數(shù)據(jù)安全保護從成立第一天起，“保障客戶數(shù)據(jù)安全”就被阿里云列為最重要的事情。阿里云在數(shù)據(jù)安全保障客戶掌權(quán)：客戶完全擁有自身數(shù)據(jù)主權(quán)；未經(jīng)授權(quán)，阿里云除執(zhí)行客戶的服務要求外不會訪問、先進的數(shù)據(jù)安全保護技術(shù)：云上提供各維度行業(yè)領(lǐng)先的安3.1客戶數(shù)據(jù)主權(quán)保障原則與態(tài)度3.1.1數(shù)據(jù)是客戶資產(chǎn)，阿里云不會移作他用阿里云用戶對自身數(shù)據(jù)具有完全的知情權(quán)和控制權(quán)。用戶可自行選擇其生產(chǎn)數(shù)據(jù)部署或存放的云阿里云設計并實施了嚴格的租戶隔離架構(gòu)，不同用戶在阿里云的零信任架構(gòu)中，為防止在內(nèi)部員工被惡意攻擊者釣魚情況下通過設置嚴格的客戶數(shù)據(jù)訪問控制策略，確保僅在客戶明確授權(quán)的必要云上安全重要支柱383.1.2夯實數(shù)據(jù)安全保障體系，全面保障客戶數(shù)據(jù)安全在云平臺自身數(shù)據(jù)安全保護方面，阿里云嚴格遵守《數(shù)據(jù)安全法》《個人信息保護法》《一般數(shù)據(jù)保護條例》（GDPR）以及行業(yè)相關(guān)法律法規(guī)要求，構(gòu)建數(shù)據(jù)安全和個人信息保護管理和建立總綱、規(guī)范、指南和流程四級制度體系，覆蓋數(shù)據(jù)采集、用和銷毀的生命周期各個環(huán)節(jié)，明確數(shù)據(jù)生命周期安全管理要求，確保建立數(shù)據(jù)安全風險運營機制，從人員管控、行為防護、安全監(jiān)測和風險建立數(shù)據(jù)安全事件應急響應機制，制定數(shù)據(jù)安全事件分類分級標準，組3.1.3踐行數(shù)據(jù)合規(guī)要求，驗證數(shù)據(jù)主權(quán)與數(shù)據(jù)保護機制阿里云嚴格遵循業(yè)務運營所在國家和地區(qū)的個人信息保護相關(guān)法律法規(guī)，尊重用戶數(shù)據(jù)的歸屬權(quán)和控制權(quán)，嚴格保障用戶隱私安全，未經(jīng)用戶授權(quán)，不會訪問為進一步驗證阿里云在數(shù)據(jù)安全與個人信息保護方面的高標準和專業(yè)能力，阿里云通過了多項國內(nèi)及國際權(quán)威機構(gòu)的認證。阿里云先后通過了中國網(wǎng)絡安全審查認證和市場監(jiān)管大數(shù)據(jù)中心(CCRC)的數(shù)據(jù)安全管理認證、韓國互聯(lián)網(wǎng)與安全局的信息安全管理體系認證（K-ISMS）、新加坡網(wǎng)絡安全局的網(wǎng)絡安全最高級別認證（CyberTrustmark）、歐盟獨立監(jiān)督機構(gòu)SCOPEEurope的EUCloudCodeofConduct二級認證（符合GDPR要求）、英國標準協(xié)會BSI頒發(fā)的可信數(shù)字云最高級別鈦金獎及其他全球性的數(shù)據(jù)安全管理體系認證，包括ISO/IEC27001:2022、ISO/IEC37301:2021、39ISO/IEC27040:2015、ISO/IEC27701:2019、ISO/IEC29151:2017、ISO/IEC27018:2019、ISO/IEC27799:2016、BS10012:2017和TRUSTe等。阿里云已經(jīng)獲得包括ISO/IEC27701：2019、ISO/IEC29151：2017、ISO/IEC27018：2014、BS10012：2017在內(nèi)的所有關(guān)于這些權(quán)威的三方認證和審計報告，驗證了阿里云在數(shù)據(jù)獲取、傳輸、存儲3.2客戶數(shù)據(jù)安全保護技術(shù)能力阿里云提供多樣的數(shù)據(jù)安全控制措施，如數(shù)據(jù)操作審計、加解密、細粒度訪問控制策略、可信計算和機密計算、數(shù)據(jù)本地化存儲等，為客戶提3.2.1數(shù)據(jù)操作可審計操作審計服務（ActionTrail）能夠幫助記錄用戶的云賬號資源操作，包括通過阿里云控制臺、OpenAPI、開發(fā)者工具，記錄云上產(chǎn)品和服務的訪問和使用行為。用戶可以將這些行為事件下載或保存到指定的日志服務Logstore或OSSBucket，然后進行安全分析、資源變更追蹤和合阿里云數(shù)據(jù)安全中心（DSC）在云賬號資源操作之外，還提供了面向數(shù)據(jù)實例內(nèi)部操作的安全審計能力。例如面向數(shù)據(jù)庫產(chǎn)品，該能力可針對數(shù)據(jù)庫SQL注入、風險操作等數(shù)據(jù)庫風險行為進行記錄與告警。除云上數(shù)據(jù)庫產(chǎn)品實例外，數(shù)據(jù)安全中心還可覆蓋客戶自建數(shù)據(jù)庫實例。通過數(shù)據(jù)安全中心幫助客戶記錄、分析、追蹤數(shù)據(jù)庫安全事件，發(fā)現(xiàn)不安全操作并拋出告警403.2.2全鏈路數(shù)據(jù)加解密數(shù)據(jù)加密是關(guān)鍵的數(shù)據(jù)安全保障技術(shù)，若數(shù)據(jù)在傳輸、存儲、計算過程中以明文形式存在，將導協(xié)議與云產(chǎn)品進行交互，從而保證用戶請求數(shù)據(jù)在數(shù)據(jù)存儲環(huán)節(jié)，阿里云的數(shù)據(jù)存儲類產(chǎn)品提供了可選的數(shù)據(jù)加密能力鑰管理服務（KMS）協(xié)同保障靜態(tài)數(shù)據(jù)的安全；其中包括可一鍵開啟的磁盤加密，以規(guī)避物理磁盤被竊取時可能導致的數(shù)據(jù)泄露風險，磁盤加密不影數(shù)據(jù)的正常讀取使用。也包括覆蓋使用鏈路的數(shù)據(jù)加密，可確保只有同時云上數(shù)據(jù)加密可基于KMS生成各類強度的密鑰，若客戶對于自身數(shù)據(jù)主權(quán)具備更高要求，可以使用BYOK能力，將自己生成的密鑰導入到KMS、數(shù)據(jù)類產(chǎn)品中，完成加密操作。同時阿里云還支持客戶購買CloudHSM硬件加密機或者使用客戶自身擁有的加密機進行外部密鑰管理（HYOK以保障客戶對密鑰生成、訪問的絕對控制權(quán)。通過對密鑰的細粒度權(quán)限管控能力，客戶可以將需要重點保護的數(shù)據(jù)進行加密，并只將密鑰的訪問權(quán)限授予可信的調(diào)用方、可信的使用環(huán)境，以此來保障自身對這些關(guān)鍵數(shù)據(jù)的控制力。云上安全重要支柱3.2.3細粒度訪問控制策略當數(shù)據(jù)需要在云上環(huán)境進行流程和傳輸時，為保障客戶能夠掌控數(shù)據(jù)的訪問權(quán)與流動方向，阿里云提供了細粒度的權(quán)限管控策略、網(wǎng)絡訪問控制策略，并在核心數(shù)據(jù)存儲類產(chǎn)品上，提供了更為阿里云的權(quán)限管控基于RAM（ResourceAccessManagement）機制，用于幫助客戶管理身份和資源訪問權(quán)限。RAM機制同時具備基于角色的RBAC（基于角色的訪問控制）和ABAC（基于屬性的訪問控制）能力，能夠做到資源粒度的最小授權(quán)，并且可以為權(quán)限施加Condtio信網(wǎng)段來源的請求才允許訪問。除身份權(quán)限方面的限制外，對于ECS、RDS等資源，阿里云還提供了網(wǎng)絡安全組能力，可限制只有特定網(wǎng)段才能訪問資源，或限制ECS實例對外訪問以OSS為例，OSS提供了最細到Object粒度的訪問控制策略，并提供私在某個特定VPC內(nèi)訪問。云上安全重要支柱423.2.4可信計算與機密計算可信計算與機密計算是保障數(shù)據(jù)安全的高階能力，能夠保障客戶數(shù)據(jù)主權(quán)及數(shù)據(jù)機密性，客戶直接選用對應規(guī)格，并完成少量配置即可使用高階-可信計算可信計算是用于實現(xiàn)云租戶計算環(huán)境底層高等級安全的主要功能之一擬化層面的可信能力vTPM作為可信根，構(gòu)建涵蓋系統(tǒng)啟動和用戶指定應用的信任鏈并實現(xiàn)遠程證明機制，為用戶提供了針對環(huán)境啟動階段和運行全方位可信保障。在系統(tǒng)和應用中加入可信驗證，能夠減少由于使用未可信計算技術(shù)為用戶的ECS實例提供可驗證的完整性，以確保實例未受到啟虛擬可信平臺模塊（vTPM/vTCM）、遠程證明服務，實現(xiàn)實例啟動度量和-機密計算機密計算可為客戶提供物理級的安全計算環(huán)境，以虛擬化Enclave為例，阿里云虛擬化Enclave在ECS實例內(nèi)部提供一個可信的隔離空間，將合法軟件的安全操作封裝在一個Enclave中，保障客戶的代碼和數(shù)據(jù)的機密性與完整性，不受惡意軟件的攻擊。阿里云為適配不同企業(yè)的不同場景需求，同時支持Intel?SGX機密計算技術(shù)、Intel?TDX機密計算技術(shù)、海光安全加密虛擬化CSV（ChinaSecureVirtualization）技術(shù)，可供金融、醫(yī)療這類對敏感和機密數(shù)據(jù)有強保護需求433.2.5公共云形態(tài)下的敏感數(shù)據(jù)本地存儲對于敏感行業(yè)，既需要遵守數(shù)據(jù)本地機房存儲的監(jiān)管合規(guī)要求，同時又希望使用標準彈性的公共云產(chǎn)品。阿里云為滿足此類業(yè)務需要，提供了專屬區(qū)域、云盒兩種形態(tài)，分別支持將小型化Region、小型化AZ可用區(qū)部署到客戶機房。阿里云專屬區(qū)域是阿里云公共云的小型化部署形態(tài)，場景。專屬區(qū)域可以在阿里云數(shù)據(jù)中心的獨立物理區(qū)域或客戶數(shù)據(jù)中心提供與阿里云公共云相同的IaaS、PaaS云產(chǎn)品，并通過云服務方式為客戶阿里云IDCECSOSSVPCEMREBSNASRDS...ECSRDSEBSOSSVPC...ECSEBSOSSVPCRDS...阿里云IDCECSOSSVPCEMREBSNASRDS...ECSRDSEBSOSSVPC...ECSEBSOSSVPCRDS...客戶IDC云上安全重要支柱44云盒（CloudBox）是將阿里云公共云（下文也稱為中心云，以突出與云盒的位置關(guān)系）的計算、存儲、網(wǎng)絡等技術(shù)以軟硬一體方式部署到客戶本地機客戶可以根據(jù)需求選購具體的云產(chǎn)品，滿足數(shù)據(jù)安全、數(shù)據(jù)本地處理、低等業(yè)務需求的全托管云服務。云盒通過上云連接與中心云相連，復用中控基礎(chǔ)設施和遠程運維能力，允許云盒與中心云中的用戶VPC互通。用戶數(shù)據(jù)平面網(wǎng)絡（按需部署）企業(yè)域用戶數(shù)據(jù)平面網(wǎng)絡（按需部署）企業(yè)域數(shù)據(jù)平面數(shù)據(jù)平面管控平面上云連接用戶數(shù)據(jù)平面網(wǎng)絡數(shù)據(jù)平面管控平面圖3.3.2：云盒通過這兩種形態(tài)，客戶可將關(guān)鍵必要的數(shù)據(jù)保留在本地，通過物理層隔式符合合規(guī)性，同時又可以在合規(guī)的前提下，便捷地與云上資源互訪，云上安全重要支柱453.2.6從數(shù)據(jù)風險出發(fā)的數(shù)據(jù)安全解決方案阿里云數(shù)據(jù)安全中心，可為客戶提供一體化以數(shù)據(jù)為中心、風險為導向的數(shù)據(jù)風險全生命周期的安全解決方案。在滿足等保2.0安全審計及個人信息保護要求的基礎(chǔ)上，獲取用戶明確授權(quán)后，為客戶提供敏感數(shù)據(jù)保護和數(shù)據(jù)庫審計服務，提供敏感的數(shù)據(jù)資產(chǎn)安全的監(jiān)控保障。具備敏感數(shù)圖3.3.3：阿里云數(shù)據(jù)安全治理架構(gòu)圖敏感數(shù)據(jù)識別：從海量數(shù)據(jù)中發(fā)現(xiàn)和鎖定保護對象，通過內(nèi)置算法規(guī)則和自定義敏感數(shù)據(jù)識別規(guī)則，對其存儲的數(shù)據(jù)庫類型數(shù)據(jù)以及非數(shù)據(jù)庫類型文件細粒度數(shù)據(jù)審計：細粒度行為審計追溯的能力，可審計用戶終端信息、使用工具、數(shù)據(jù)信息、返回結(jié)果等詳細信息，全場景還原用戶行為軌跡，有效46云上安全重要支柱數(shù)據(jù)脫敏/列加密：支持通過靈活多樣的內(nèi)置或自定義脫敏算法或列加密，實現(xiàn)生產(chǎn)類敏感數(shù)據(jù)脫敏到開發(fā)測試等非生產(chǎn)環(huán)境使用的場景，并確數(shù)據(jù)泄露檢測與防護：通過智能化檢測模型分析內(nèi)外賬號對敏感文件的訪問行圖3.3.4：阿里云數(shù)據(jù)安全風險治理架構(gòu)圖云上安全重要支柱474.全鏈路身份管控與精細化授權(quán)隨著數(shù)智化發(fā)展的深入，企業(yè)需維護大量的資產(chǎn)和數(shù)據(jù)。這導致訪問和管理這些資產(chǎn)和數(shù)據(jù)的身阿里云提供了細粒度的權(quán)限管理能力以及完整的身份、憑證保護方案，覆蓋了阿里云全鏈路的產(chǎn)品品類，以滿足各種場景下、不同體量的客戶對數(shù)據(jù)資產(chǎn)訪問控制策略的需求，從而保護其數(shù)據(jù)同時云平臺具備標準性、可擴展性，同時云平臺具備標準性、可擴展性，能夠幫助企業(yè)將云上身份與企業(yè)內(nèi)部身份關(guān)聯(lián)起來，構(gòu)成一張身份網(wǎng)絡。在提升企業(yè)安全效率的同時，又減少了風險暴4.1云上身份與細粒度權(quán)限管理阿里云的身份體系中，云賬號為云上資源的載體，默認擁有賬號內(nèi)資源的所有管控權(quán)限，同時用戶可以通過為員工和程序應用創(chuàng)建RAM用戶、RAM角色身份，并分配不同的權(quán)限，來滿足不同場景的使用需要。身份與權(quán)限體系相當于云上資源的門鎖，若門鎖不安全，云上資源的安全性主賬號及RAM用戶支持通過用戶名密碼登錄阿里云管理控制臺，為避免賬號密碼泄露引入安全風險，用戶可以對賬號啟用多重身份驗證（MFA，Multi-factorAuthentication通過多因素核身的方式（如輸入短信驗證碼來幫助客戶控制賬號密碼泄露的風險。擁有RAM訪問控制權(quán)限的管理員還可以配置RAM用戶的密碼策略、MFA驗證規(guī)則，以及通過最小化權(quán)限授權(quán)，為進一步控制云上賬號被盜后產(chǎn)生的風險，阿里云將陸續(xù)為啟登錄時強制進行MFA多因素認證，有效地阻止用戶被盜用登錄。當有跡象表明用戶控制臺密碼存在泄露風險時，阿里云會對RAM用戶進行臨時限制登錄保護，客戶需要重置RAM用戶密碼后48AuthenticationAuthenticationRAM用戶和RAM角色的權(quán)限，可以通過訪問控制RAM來進行限制。訪問控制RAM（ResourceAccessManagement）是阿里云提供的管理用戶身份與資源訪問權(quán)限的服務?？蛻艨梢允褂肦AM訪問控制產(chǎn)品創(chuàng)建代表員工或應用程序的RAM用戶，并可以控制這些RAM用戶對資源的操作權(quán)限。阿里云支持客戶為不同場景、不同員工創(chuàng)建不同的RAM用戶，按需為用戶分配最小權(quán)限，從而降低企業(yè)的信息安全風險。RAM機制支持用戶組功能，以支持對職責相同的多個RAM用戶進行批量管理。AuthenticationAuthentication云資源IdentifyAccess云資源IdentifyAccess圖3.4.1：用戶可通過RAM服務管理資源訪問權(quán)限RAM機制同時具備RBAC和ABAC能力，RBAC支持客戶抽象出一些角色出來（比如運維角色），不需要再給每一個User來配置權(quán)限。ABAC支持客戶做到資源粒度的最小授權(quán)，并且可以為權(quán)限施加條件限制，如只在面對大量、繁雜的資源時，為了進一步提升客戶細粒度權(quán)限管理能力，各場景訪問控制策略需求，阿里云提供了ResourceGroup資源組和Tag標簽能力。ResourceGroup資源組適用于常規(guī)的資源分組管理場景，例如，企業(yè)將某一主賬號下的資源，分配給不同的項目組。Tag標簽能力則可以實現(xiàn)“多對多”的復雜管控需求，也即一個資源可打多個標簽，如資源同時項目標簽和環(huán)境標簽，通過標簽的組合，便可以定位到A項目的生產(chǎn)環(huán)境對49為了幫助客戶達到“最小授權(quán)”的目的，阿里云提供了訪問分析（AccessAnalyzer）服務，旨在幫助企業(yè)有效管理和持續(xù)檢測企業(yè)云上身份的權(quán)限及其使用情況，識別過度授權(quán)的身份，并推薦最佳實踐方案，幫助客戶踐行“最小授權(quán)”的原則。AccessAnalyzer服務可以幫助分析企業(yè)和賬號內(nèi)的所有RAM用戶和RAM角色，識別過度授予但未使用的權(quán)限，幫助企業(yè)優(yōu)化權(quán)限的分配。AccessAnalyzer還可以分析出企業(yè)內(nèi)擁有高風險權(quán)限的身份，幫助企業(yè)集中管理特權(quán)身份，加強特權(quán)身份的安全基于上述賬號風控及細粒度的權(quán)限管理能力，用戶可以根據(jù)自身使用4.2云上憑證保護訪問密鑰（AccessKey，后文統(tǒng)一稱作AK）與短期有效的STSToken。腳本應用服務瀏覽器，移動APPSSO單點登錄瀏覽器，移動APPSSO單點登錄MFA多因素認證SDK，CLI，編排服務APISDK，CLI，編排服務APIAccessKeySTSToken圖3.4.2：AK與STSToken云上安全重要支柱50-使用STSToken代替永久AK到期后將自動失效，無需定期輪換。因此推薦用戶使用STSToken作為程序當客戶的應用程序部署在阿里云ECS實例上，則可以通過“ECS實例角色”功能，讓ECS實例扮演具有某些權(quán)限的角色，獲取到STSToken訪問阿里云API。ECS實例角色功能允許客戶將一個角色關(guān)聯(lián)到ECS實例，在ECS當客戶的應用程序部署在阿里云ACK容器集群上，則可以基于RRSA（RAMRolesforServiceAccounts）功能，在容器集群內(nèi)實現(xiàn)應用隔離的RAM角色功能，各個應用可以扮演獨立的RAM角色，訪問阿里云API?；赗RSA功能，客戶可以在集群內(nèi)實現(xiàn)Pod級別隔離的應用關(guān)聯(lián)RAM角色功用戶應用STS用戶應用STS1、使用OIDCToken扮演RAM角色獲取STS臨時憑證(服務賬戶綁定的OIDCToken)RAMOIDCRAMOIDC圖3.4.3：用戶使用STSToken訪問云資源對于憑證方面的保護，用戶可以通過使用STSToken代替永久AK，實現(xiàn)“無永久AK”的效果，根本性解決云上憑證泄露問題。也可以將憑證托管到KMS中，以控制泄露風險，便于憑證泄露后到快速輪轉(zhuǎn)。-AK憑證加密托管盡管我們在先前的討論中提倡采用STSToken作為授權(quán)手段，但在某些獨特情境下，使用AK或許仍然在所難免。在此類情況下，云上客戶可以使用KMS密鑰管理服務管理及使用RAM憑據(jù)，以此來確保敏感憑證的安全保管。在客戶授予KMS管理RAM用戶AK的權(quán)限后，即可使用KMS提供的RAM憑據(jù)插件、阿里云SDK從KMS獲取RAM憑據(jù)值并緩存在應用程序選擇將憑證托管到KMS上，而不是硬編碼到代碼中，可以規(guī)避代碼傳播過程中產(chǎn)生的泄露風險。并且一旦某把憑證泄露，可通過KMS立刻進行輪轉(zhuǎn)。-AK憑證安全審計同時，阿里云也為客戶提供了AK審計功能。通過該的AK使用情況進行深度審查和管理。AK審計用于查詢AK的基本信息、訪問的云服務及相關(guān)IP地址和資源，幫助客戶追溯AK使用信息，以便快速應對AK泄露等異常事件，或者為輪換AK提供決策參考。-AK泄露風控長期不使用的訪問憑據(jù)容易發(fā)生泄露，且閑置時間越長，暴露風險助控制AK泄露后產(chǎn)生的實際損失，若識別到AK泄露，阿里云會對該AK進行限制性保護，泄露期間訪問阿里云指定高危API時會提示報錯，防止風險進一步擴大。并會及時通知賬號管理員，關(guān)注AK的AccessKey自動禁用使用。524.3企業(yè)多賬號管理當云上企業(yè)使用單賬號承載云上資源時，企業(yè)內(nèi)不同業(yè)務之間難以實現(xiàn)強隔離，且人員和權(quán)限管理復雜度極高。所以，企業(yè)通常會為每個獨立的業(yè)務單元對于持有大量云賬號的中大型組織，阿里云提供了資源目錄（ResourceDirectory）產(chǎn)品，支持企業(yè)管理員將企業(yè)的眾多賬號按業(yè)務的層級結(jié)構(gòu)有序地組織起來，形成組織的資源結(jié)構(gòu)目錄，進而以組織視角集中管理身份權(quán)限、安全、合規(guī)、策略等資源，滿足企業(yè)資源在安全、審計及合規(guī)方面的管控需要。通過資源目錄產(chǎn)品，企業(yè)可以利用賬號作為邏輯邊界提升資源安全狀態(tài)，更CoreOU共享服務賬號DMZVPCEIPCoreOU共享服務賬號DMZVPCEIPNAT網(wǎng)關(guān)SLBDMZVPCCoreOU-安全賬號CoreOU-日志賬號CoreOU-運維賬號統(tǒng)一監(jiān)控CICD堡壘機CloudSSORDApplicationsOU-業(yè)務1-測試賬號ApplicationsOU-業(yè)務1-生產(chǎn)賬號服務層-服務層-VPCEIPK8S...數(shù)據(jù)層-VPC圖3.4.4：多賬號環(huán)境最佳實踐源管控的痛點。為了支持中大型客戶解決此類痛點，阿里云基于資源目提供了ControlPolicy，可限制多云賬號內(nèi)的權(quán)限邊界，以確保企業(yè)安全基線ControlPolicy并不執(zhí)行權(quán)限的授予，而是在整個組織樹下，規(guī)劃制。即使云賬號管理員為某個子用戶分配了敏感的權(quán)限，該子用戶由云上安全重要支柱53要求強制使用TLS鏈路加密時，可以通過ControlPolicy進行限制。{{“Effect”:“Deny”,//當權(quán)限滿足該策略描述時，則拒絕訪問“Action”:“oss:*”,//針對OSS產(chǎn)品的所有OpenAPI“Resource”:“*”,“Condition”:{“Bool”:{“acs:SecureTransport”:[“false”//不使用TLS鏈路加密]}}}ControlPolicy還支持其它類似的場景，如禁止ECS開放公網(wǎng)、強制加密存儲、禁止修改ECS鏡像分享權(quán)限、禁止關(guān)閉ActionTrail日志審計。企業(yè)可以基于Co