阿里云陳雪秀:云安全標準實踐
責編:rhliu |2016-11-10 13:38:39陳雪秀(阿里云高級安全專家):
主題:云安全標準實踐
各位專家、各位同仁,大家下午好!因為前面在高院長的演講和陳興蜀老師的演講中,更多的都給大家講到了關于云計算的網絡安全審查,我們作為三家通過審查的單位之一,阿里云計算有限公司,我們的電子政務云通過審查,我們作為企業,如何通過這個審查,以及對審查工作的心得體會和我們在標準應用實踐過程中的心得體會跟大家一起來分享。
剛才陳院長講的里面已經提到,我們的電子政務云已經通過了審查,在我們通過審查過程中,我們是一朵社區云,這朵社區云是可以為電子政務行業提供行業服務,它與政務云是完全獨立的,我們通過了增強級的安全審查,根據31168這個標準,在增強型的時候是有562條指標,比一般級多了112條指標。在這個過程中我們作為一個企業經過近兩年的實踐,還是付出了很多的努力。
整個阿里云我們是從09年進行成立,我們成立之初為了保障我們企業內部安全,為阿里巴巴集團提供基礎設施服務,包括為淘寶、天貓。2010年的時候,在我們的業界有一些好的認為我們整個基礎設施,因為我們最初提出了HLE的戰略,有這樣的應用和實踐,我們開始為社會提供服務。
到了2012年的時候,我們在安全領域形成了非常大的突破,我們作為公有云突破了CSA的C—STAR的認證。單點我們達到5000K的集群,去年我們達到1.2萬K,今年就更多了,我們的資源調度能力和協調能力,在世界大賽排名中我們的調度和排序能力也取得了世界級第一的能力。
2014到2015年,基于云計算的基礎設施,我們推出了機遇大數據的服務,我們稱為云數據大計算,把IT作為基礎設施,更多強調它的計算能力。
2016年我們提到要從IT到DT時代的轉變,我們阿里云的云標都換了,原來是一個桔色的,是一個云,現在變成了中括號里面一個省略號,這個省略號代表了無限的想象空間,讓大數據成為數據時代的基礎資源、基礎能力。
同時,我們把我們在云計算和大數據的能力賦予黨政企業和黨政機關。我們為黨政機關提供服務,包括我們在各個地方建立我們的政務云平臺。是一種交互的形式。2015年建立了阿里云電子政務云平臺,這朵云是阿里云自己運營的,也是我們通過了安全審查的云平臺,同時我們還跟一些國家級的政府部委機關,公安、海關、稅務、人社等等進行合作,把我們政務云平臺輸出到用戶的場景下,真正讓用戶在私有云的環境下,或者在自己的場景下去運營和維護。
我們在今年公布通過審查的是我們2015年建的,原來叫北京市海淀政務云,目前叫阿里云電子政務云平臺,中國信息研究院研究員左小棟說,通過審查代表了一種可信的能力,它的安全平臺承載了非涉秘的敏感信息和非涉秘政務信息。我們做到增強級是希望為黨政用戶提供更安全的數據的安全保護能力和業務聯系性的保障能力。
黨政機關使用云計算服務是面臨困境的,我使用的時候,就把我的數據、應用放到了云平臺上,我和云服務商之間的責任是怎么劃分的,IaaS、PaaS模式不同,資源池化、多租戶隔離、按需分配等等特點也會有威脅和挑戰,我們2013年公布9大安全風險和套占,2014年公布了12大的威脅和挑戰。
對于這樣一些安全的問題,對于我們在跟云服務商和信息的服務上面都帶來了很大的問題,比如說客戶和安全的責任如何界定、如何劃分,雖然31167給了一定的指導,但是我們到底怎么落實?我們如何進行安全的防護,如何進行安全的監管,我們都是需要有一些標準來做抓手、來做依據的。31167和31168這個標準給了我們這樣一個指導。
首先在31167這個標準中,他是從政府用戶角度出發,他在規劃階段到選擇云服務商,到部署云中,怎么樣簽訂安全合同,保障雙方SLA的旅行。
31168這個標準是對云服務商的要求角度出發,提出了能力的要求,通過安全審查來達到提升你的安全能力的要求,作為企業來說,我們認為這一次的安全審查工作是非常客觀公正權威的,因為這一次的審查工作是需要企業自證、第三方審查和專家評審三方結合的方式。
對于企業自證,在整個的31167中,貫穿了整個客戶上云,以及在云上業務安全運營的生命周期的活動,31168涵蓋了十個大方面的562條指標,我在企業自證過程中,我勢必要梳理我所有的人員組織的關系,我要梳理我的安全管理體系,梳理我的安全服務體系,梳理我的安全保障機制、安全解決方案、梳理我的各種運行機制。
在這個過程中,企業自證是對自己安全的梳理、安全的自查、自省、安全提升的過程,也是提升企業內部人員安全意識的過程。在整個過程中我們內部舉辦大小的溝通會有一百多次,在整個過程中,是對全員的安全意識的提升,也體現了企業的誠信度,因為我要提供證據,這些證據要由第三方審核,你提供的證據是不是合理的、是不是真實的。包括第三方單位還采用現代化的工具、測試的方法、測試的手段,包括工藝測試、深度測試等等,在自查的基礎上提升、驗證,來更加權威和公正的驗證你的能力。
專家評審更體現了客觀性和公正性。通過這樣嚴格的審查,我們認為在一定程度上可以打消政府用戶來使用云服務的困惑和困擾。解決云服務過程中一直受到安全可信質疑的問題。
31167這個標準制訂界定了服務模式和部署模式,阿里云對應的標準是公有云,金融云和政務云是社區云,我們輸出給用戶場景下的海關、公安、稅務等等一些云屬于私有云,阿里云在政務云的過程中屬于一種社區云,我們還分為場內社區云和場外社區云,場外社區云是阿里云為主體的,是電子政務云。寧夏、河南、貴陽經信委屬于他們場內的社區云。
31167標準中明確了安全的原則,對于用戶,你在選擇云服務商的時候,尤其對于政府用戶,一定是先審后用的原則,政府用戶在上云的時候,一定要通過審查的云服務商作為你選擇的主體,你上云的過程中你的安全責任是不變的,對安全的管理權限是不變的。四不變原則你應該遵循,你更應該慎重選擇安全的云服務商上云。
同時根據自己選擇的云服務的模式和安全的不同,你應該增強自身的安全保障措施。同時,對云服務商來說,這個標準我們首先應該經過審查,平均我們應該通過與用戶之間的合同的履行,接受用戶對我們持續的監管,包括未來會有持續監管,以及我們自身企業要不斷通過這些標準來自我自查、自我完善,達到我的安全能力能夠持續提升。
同時,也應該給政府用戶足夠的空間,他們能上能下。在這一點上,信標委也推出了云計算服務的兩項關于接口的標準。只要云服務商按照通用的國家的標準來做,至少你在可一致性上、互操作性上能夠達到這樣的要求。
31167標準中明確給出了責任界定模型,給出了不同服務模式上云服務商和云客戶之間的安全邊界在哪里,不同責任邊界代表了雙方不同責任的界定,代表了雙方應該滿足的責任。這個模型對于我們現在可能提出來的不只是IaaS、PaaS、SaaS,以及DaaS,你是不同的產品,是數據庫、是中間件等等,不同情況下,我們結合標準到底如何界定安全責任。
我們認為是由安全管理權限決定的安全責任。對于一個Iaas服務而言,你對虛機的操作系統,云服務商不具有管理權限,對于這樣而言,他對虛機操作系統的安全配置、安全加固應該是在云客戶一方,對于底層平臺的硬件,云客戶沒有安全的管理權限以及安全處置的權限,這樣的責任一定是在云服務商一方。
無論是什么樣的服務模式,什么樣的產品,一旦決定產品權限,就確定了責任。阿里確定了一個權限模型,我們把基礎設施、物理IT的資源以及生成資源的飛天操作系統和服務,我們把它定義為我們的云平臺,基于我們的云平臺我們可以提供不同的服務。在這樣的服務上面,我們與用戶去劃分安全責任,由安全主體來界定。
對于安全責任劃分,我作為一個云服務商,我要保障我自己平臺的安全、平臺的合規,并且平臺對于關鍵技術、關鍵應用的自主可控的能力,并且保障在互操作和可一致性上,保證用戶的需求。同時,大家也會提到,對于云上客戶的安全,云服務商雖然責任在客戶,我們認為云服務商也應該能夠提供一種能力,這種能力就是幫助用戶合規,幫助用戶來滿足自己業務的安全和需求。我們會從后面來介紹這樣一個責任分擔模型。對于云平臺安全,31168這個標準是不斷提升政務云平臺安全能力上的,其他云在自查過程中也借鑒的,是一個非常好的抓手和依據。
首先保障人員的可信可控,去年我給大家介紹的時候,還說我是阿里巴巴集團的,就是因為云安全服務審查,我們作為阿里巴巴集團的基礎安全部,我們全部變成了阿里云的安全事業部,因為當時在審查的過程中,雖然基礎安全部也是為阿里云的安全提供一個安全保障、這樣的工作能力,但是在整個管理的權限上面,不是由阿里云的總裁進行直接管理的,勢必在一些重大事件的應急、調度、保障能力上的時候會有一些影響。由于這樣的問題,阿里巴巴集團基礎安全部全部做組織結構調整,劃分為阿里云的事業部,就是我們這些安全部的同學,今天成為阿里云的員工。通過這樣的嚴格審查,是保障我們每個人員的背景是可信可控和可管。
安全最重要的問題還是人員的問題,阿里巴巴在供應鏈和系統開發過程中,阿里云的飛天操作系統是中國863計劃中一期的成果。在整個過程中,飛天是有自主知識產權的,我們核心的代碼是自主掌握和可控的,我們也是有軟件的著作權的。
對于政務云而言,我們在選擇硬件服務商和供應商的時候,也盡量的保障我們的服務商和供應商是可控的。保證生產環節是安全可控的,保證供應鏈是可持續的,打造了從硬件層到計算操作系統層以及上層的服務層整個供應鏈的安全能力。保障我們有一個服務化的模式和自主化的掌控的能力。在去年的時候,報出來了一個XEN的高危漏洞,這對世界所有的云服務商影響蠻大,那個時候公布出來,AWS都還影響到了多少比例的服務器需要進行重啟。
阿里云由于我們在供應鏈管理和保障過程中,我們在修復過程中做到對用戶完全無感知。這對我們整個的核心技術、代碼安全和軟硬件供應鏈安全里面比較重要的保障。
軟件開發過程中我們遵循了SDL的過程,把安全需求、安全評審、安全審核、安全開發、安全監測、安全上線,都是有安全的團隊和我們開發的團隊貫穿到整個生命周期過程中,在開發過程中保證使安全缺陷降到最低,一些代碼問題可以在初始的開發階段去解決。
在系統和通訊安全,我們在安全審計中打造了一個云平臺的整體安全防護能力,通過我們構建了基于這樣不同層次的縱深的安全防御體系,包括網絡層的網絡防護基礎以及基于虛擬網絡技術安全的隔離技術,租戶隔離技術,對于平臺的漏洞熱修復能力,逃逸入侵行為的大數據分析和監測的能力,以及對數據安全的保障能力,打造我們云平臺安全防護的技術體系。
同時在安全管理方面,實現三權分立,安全員、管理員、認證人員管理的時候必須撥VPN進行遠程管理和操作的,我們所有的數據不能出生產集群的。在管理過程中,2012年的時候就通過了C—Star的認證,今年我們還通過了20000信息安全服務的2013版。
為了保障我們的管理能力、業務連續性的執行能力,我們也通過了22301業務連續性的認證能力。之所以有這樣一些能力,才保證了我們在配置管理、運維管理、應急響應和事件處置方面,能夠在自身處置、體系上面達到了增強級的安全管理的要求。
在數據安全和安全審計,在技術上可以保障自動化的為云上用戶的數據提供多備份的存儲機制,可以通過與第三方合作提供加密服務,保障云上用戶加密存儲,通過加密協議,保障政務用戶在傳輸過程中的安全。2015年作為云服務,我們首家做出了數據安全的承諾。
作為一個云服務商是永遠都不會去碰用戶的數據的。2016年我們為了讓大家驗證我們的承諾有沒有旅行,我們通過了安永給我們做的數據審計,保證了我們在提供服務過程中確實履行了承諾。
阿里云除了自身平臺安全,我們在金融云平臺通過了等寶四級的測試認證。同時,也為我們云上用戶的合規做了儲備,我們通過了PCI DSS的認證,在金融云上面,很多支付類的用戶,他在接口和支付過程中,他必須要滿足支付行業的要求,從平臺角度,我們作為一個服務商,我們為了用戶的合規做了技術和機制的儲備。
同時,黑塔是對醫療行業合規的機制。我們也在云上通過了黑塔的審計。同時,還通過了SOC1、SOC2的統計,在新加坡還通過了MTCS T3級的審計,這個審計類似于中國的網絡安全審查,它在新加坡是相當于大型的國企、黨政機關,你在新加坡上云的時候必須通過MTCS的審計,就像我們政務云一樣,今天政府用戶要上云,你首先要通過安全審查的云平臺,把你的政務系統部署在這樣的云平臺上面。
對于責任分擔模型上面,我們首先是除了自己平臺合規安全,還要支持用戶安全。云盾就是對用戶的業務安全、網絡安全以及主機安全、內容安全提出來的整體的安全的解決方案和防護機制。我們今年也推出了態勢感知、先知計劃,在今年的云棲大會上公布了混合云法案。
我們的云平臺同時也為我們自己內部提供服務,為了保障他們的業務安全,我們把經驗輸出給云上的用戶。
我們云盾的安全防護,我們認為不能滿足云上的用戶合規和服務的需求,既然云服務商為政府提供服務、為各個行業用戶提供服務,最終目標是保障用戶安全、用戶業務系統可連續、用戶業務系統的安全,我們引入了一個非常龐大的合規生態體系,用來滿足我們用戶安全的需求,來助力用戶的安全。
大家在介紹過程中對于不同服務模式一直有一個誤區,剛才陳興蜀教授在介紹的時候說,在持續監管過程中,客戶應該根據你自己選擇的安全服務模式,要去了解你應該采取的安全機制和安全措施。這個我是非常贊同的。
我們的某一朵云已經具備了兩地三中心的架構,但是是不是云天然的用戶就具備兩地三中心的能力?不是,如果你買了單節點、單機房的虛機,這樣高架構的可用性的安全防護能力實際上對于你用戶并沒有真正的讓用戶得到。
因為用戶沒有天然的根據你的業務特點去部署、去選擇。云上用戶的安全生態真正去助力云上安全合規的保障機制。通過這樣一個安全審查過程中以及我們對31167和31168標準的理解,我們認為通過整個標準和審查工作,使我們的服務、產品和管理都得到了自身的提升和安全的改進,包括人員的安全意識。
通過客觀在第三方的安全審查工作,從外部、技術上、管理上、方方面面驗證了我們的安全防護能力,使我們的安全防護能力得到進一步安全的提升。我們認為這兩個標準以及這項工作應該是指導一個企業實踐的云服務安全能力持續提升的PDC的過程。
我們能夠這樣,也是源于我們對安全工作的重視,以及我們安全的十年儲備,以及我們對安全生態的尊重和良好的合作的關系。感謝大家!