售前咨询 95187转1

阿里云信任中心

安全是最重要的事

阿里云安全白皮书

数据安全和用户隐私是阿里云的第一准则。
阿里云致力于打造公共、开放、安全的云计算服务平台。通过技术创新,不断提升计算能力与规模效益,将云计算变成真正意义上的基础设施。

立即查看>
阿里云安全
  • 安全责任共担
  • 阿里云基础设施
  • 云平台安全
  • 云产品安全
  • 阿里云云盾
  • 云安全生态

安全责任共担

基于阿里云的客户应用,其安全责任由双方共同承担:阿里云确保云服务平台的安全性,客户负责基于阿里云服务构建的应用系统的安全。

阿里云负责基础设施(包括跨地域、多可用区部署的数据中心,以及阿里巴巴骨干传输网络)、物理设备(包括计算、存储和网络设备)、飞天分布式云操作系统及之上的各种云服务产品的安全控制、管理和运营,从而为客户提供高可用和高安全的云服务平台。

阿里云基于阿里巴巴集团多年攻防技术积累,为客户提供云盾安全服务,保护客户的应用系统。客户负责以安全的方式配置和使用云服务器(ECS)、数据库(RDS)实例及其他云产品,基于这些云产品以安全可控的方式构建自己的应用;客户可选择使用云盾安全服务或者阿里云安全生态里的第三方安全厂商的安全产品为其应用系统提供安全防护。

安全责任共担模式之下,阿里云提供并保障基础设施的安全,能够让用户降低IaaS层的安全性的顾虑,安心使用阿里云IaaS服务,更专注于核心业务发展。

阿里云基础设施

阿里云为客户提供全球部署、多地域多可用区的云数据中心;采用多线BGP网络提高网络访问体验;飞天分布式云操作系统为所有云产品提供高可用基础架构和多副本数据冗余。

全球领先的热升级技术使得产品升级、漏洞修复都不会影响客户业务;高度自动化的运维及安全,国内领先的合规性;为客户提供高可用、安全、可信的云计算基础设施。 阿里云在全球部署数据中心,同地域支持多个可用区。客户业务跨地域、跨可用区部署,可实现高可用架构,例如同城应用双活、异地数据灾备、异地多活,两地三中心。

云平台安全

阿里云云平台的安全主要包括了物理安全,硬件安全,虚拟化安全以及云产品安全四个重要组成部分。

物理安全

阿里云园区和办公区均设置入口管控,并划分单独的访客区,访客出入必须佩戴证件,且由阿里云员工陪同。阿里云数据中心建设满足GB 50174《电子信息机房设计规范》A类和TIA 942《数据中心机房通信基础设施标准》中T3+标准。

硬件安全

阿里云的硬件安全主要包括硬件固件安全、加密计算、可信计算三部分组成。

虚拟化安全

虚拟化技术是云计算的主要技术支撑,虚拟化技术主要包括计算虚拟化,存储虚拟化,网络虚拟化来保障云计算环境下的多租户隔离。阿里云虚拟化安全技术主要包括租户隔离,补丁热修复,逃逸检测三大基础安全部分来保障阿里云虚拟化层的安全。

云产品安全

阿里云为用户提供了多种不同的云产品,其中包括云服务器ECS,云数据库RDS,对象存储OSS,开放数据处理服务ODPS等,阿里云对自身云产品进行了默认安全加固。

云产品安全

ECS安全

阿里云ECS采用XEN与KVM的虚拟化平台,结合硬件实现计算与内存的隔离;通过与阿里云自研虚拟交换机的配合,和实现最大强度的安全隔离来确保用户计算环境的安全。支持安全组防火墙与磁盘加密功能,提供更强的网络隔离及数据安全。

OSS安全

三副本的分布式存储,提供企业级多层次安全防护,多用户资源隔离机制,支持异地容灾机制。提供多种鉴权和授权机制及白名单、防盗链、主子账号功能,提供用户数据服务端和客户的的加密存储功能,支持VPC。

RDS安全

RDS通过数据库自身的实例隔离机制进行租户隔离,每个租户拥有自己实例的管理员权限;同时阿里云对数据库服务器进行了安全加固,保证安全隔离有效性。云数据库RDS提供了多样化的安全加固功能来保障用户数据的安全,其中包括但不限于:网络:IP 白名单、VPC 网络、SSL(安全套接层协议)、SQL审计;存储:TDE(透明数据加密)、自动备份;容灾:同城容灾(多可用区实例)、异地容灾(两地多中心)。

SLB安全

负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。支持七层的SSL传输加密,并且支持抗CC攻击与DDoS攻击能力。

VPC安全

专有网络(Virtual Private Cloud),帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。支持防火墙、网络边界控制功能。

阿里云云盾

云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云云计算平台强大的数据分析能力,为客户提供检测、防御、专家服务等一站式安全服务。

基础防护

阿里云免费为用户提供最高 5G 的默认 DDoS 防护能力。在此基础上,阿里云推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升 DDoS 防护能力,用户最高可获得 100G 以上的免费 DDoS 防护资源。

高级防护

在基础防护的前提下,阿里云为用户提供了丰富的云安全产品和解决方案,包括移动安全、网络安全(DDoS高防IP)、应用安全(Web应用防火墙)、主机安全(安骑士)、安全检测等产品。

了解更多

云安全生态

阿里云秉承开放资源,相互合作的态度,引入行业安全合作伙伴,共建云安全产业链生态,为客户提供业界领先的、和客户现有场内安全控制措施体验一致的安全解决方案。

阿里云安全市场已提供VPN、下一代防火墙、IPS、UTM、堡垒机、日志审计、数据库审计等安全解决方案,供客户选择。

企业安全最佳实践
  • 企业云安全架构
  • 管理与监控
  • 云产品安全
  • 阿里云云盾

企业云安全架构

阿里云提供了共11个不同层面的安全架构保障,包括物理安全,硬件安全,虚拟化安全,云产品安全等4个云平台层面的安全架构保障;以及账户安全,主机安全,应用安全,网络安全,数据安全,安全运营,业务安全等7个云用户层面的安全架构保障。

我们建议企业在构建自身的云上安全架构时,遵循企业安全架构的最佳实践,从基础设施到上层应用,构建完整的安全架构规划。

账户安全管理最佳实践

1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。

2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。

3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。

4、使用群组给RAM用户分配权限。

5、善用STS安全令牌服务,为临时用户提供短期访问资源的权限凭证。

6、为云账户和RAM登录用户配置强密码策略。

7、不要为云账户(主账号)创建Access Key,避免AK泄漏的巨大风险。

8、定期轮转用户登录密码和Access Key。

9、将控制台用户与API用户分离。

10、使用策略限制条件来增强安全性,比如访问源IP,时间等。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。

11、及时调整和撤销RAM用户不再需要的权限。

12、遵循最小授权原则,不要过度授权。最小授权原则是安全设计的基本原则,当用户需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过度授权。

密钥管理服务最佳实践

1、加密与解密实践

用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来加密、解密数据。这种场景适用于少量(少于4KB)数据的加解密,用户的数据会通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。

2、信封加密

用户可以直接调用KMS的API,使用指定的用户主密钥(CMK)来产生、解密数据密钥,并自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密,用户的数据无需通过网络传输大量数据,可以低成本的实现大量数据的加解密。

云服务器ECS

为了更好地使用云服务器ECS,建议您遵循阿里云安全的最佳实践指导,注意几个主要原则:

1、在创建ECS时进行合理的安全配置。

2、网络安全组设置,公网安全组和私网安全组都只保留业务需要使用的端口。

3、创建快照。

4、实例登录使用SSH密钥对。

5、关注操作系统安全漏洞并定期升级。

6、使用安骑士保护ECS实例安全。

负载均衡SLB

1、使用SLB时,需要检查勿将后端ECS实例的管理端口通过SLB转发至公网,比如ECS的22、3389、3306、6379等高危端口。

2、如果仅是做私网负载均衡,用户可以选择私网SLB实例。公网实例和私网实例的不同。公网实例:负载均衡实例仅提供公网IP,可以通过Internet访问的负载均衡服务。私网实例:负载均衡实例仅提供阿里云私网IP地址,只能通过阿里云内部网络访问该负载均衡服务,Internet用户无法访问。

3、SLB提供了HTTPS监听,支持单向和双向认证,建议使用。

云数据库RDS

1、网络设置

RDS支持公网的访问和私网的访问,如果仅在阿里云内部使用,建议设置为私网访问。如果在VPC内访问,建议选择VPC实例。

2、IP白名单设置

通过RDS控制台,设置RDS连接IP白名单为对应的ECS私网IP或者云服务的私网IP。

3、数据加密

(1)SSL/TLS:RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。

(2)TDE:RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研,RDS for SQL Server的TDE基于SQL Server企业版改造而来。

对象存储OSS

1、数据访问控制

OSS提供Bucket级别的权限访问控制,一般将应用的静态图片、CSS、JS等资源放到OSS上面,应当设置Bucket为public-read。如果是用户业务中的敏感数据,建议用户将Bucket设置为private并使用AK认证。

2、数据传输完整性

数据在客户端和服务器之间传输时有可能会出错。OSS现在支持对各种方式上传的object返回其CRC64值,客户端可以和本地计算的CRC64值做对比,从而完成数据完整性的验证。

DDoS高防IP

用户开通高防IP服务,需要把域名解析到高防IP清洗中心上。对于非Web业务,把业务IP换成高防IP服务,配置源站IP。对于Web业务,用户需要通过域名DNS服务商修改域名对应的A记录,指向高防IP。 完成域名解析的修改后,所有公网流量都会通过高防IP服务的清洗中心,通过端口协议转发的方式将用户的访问通过高防IP服务转发到源站,恶意攻击流量在高防IP清洗中心进行过滤后,正常流量返回源站,确保源站业务持续稳定访问。 高防IP服务和云盾Web应用防火墙(WAF)、阿里云的CDN完全兼容,最佳的部署架构是:将高防IP、CDN和WAF结合在一起,为用户提供保护和加速,即:高防IP(入口层,DDoS防护)-> CDN(静态资源加速) -> Web应用防火墙(中间层,应用层防护)-> 源站(ECS/SLB/VPC/IDC…)。

Web应用防火墙

1、配置源站ECS安全组或SLB白名单,可以防止黑客直接攻击源站IP

注意:源站保护不是必须的,不配置不会影响正常业务转发,但不做源站保护可能导致攻击者在源站IP暴露的情况下绕过WAF防护直接攻击源站。

2、使用WAF来防止敏感信息泄露

防泄漏功能主要覆盖包括网站存在敏感信息泄漏,尤其是手机号、身份证、信用卡等信息的过滤。本功能可以防御URL未授权访问;通过越权查看漏洞访问;网页存在敏感信息被恶意爬虫爬取访问等场景。

3、使用WAF有效防御WordPress反射攻击防御

WAF高级版及以上版本用户可以通过精准访问控制规则有效防御WordPress反射攻击。

安骑士(主机安全)

通过使用安装在云服务器上的轻量级软件安骑士,与云端安全中心联动,为客户提供漏洞管理、基线检查和入侵检测等功能,帮助客户看清楚“系统弱点”,查出“入侵事件”,加快事件“响应速度”。

态势感知

态势感知为客户提供资产管理、安全监控、入侵回溯、黑客定位、情报预警等功能特性。在以下场景建议使用态势感知产品了解安全情况。

1、全面了解云上业务的安全态势:如攻击情况,入侵情况,防御效果,自身业务弱点,主机对外提供服务的安全状态等。

2、入侵行为分析:用户云上业务遭到入侵,主机负载突然增加,或收到告警短信主机ECS被入侵时,态势感知可提供入侵行为检测、入侵行为分析和安全事件详情。

3、日志分析:态势感知提供全SaaS化的日志检索平台,免安装免维护,即开即用,支持逻辑(布尔表达式)检索,支持50个维度的数据逻辑组合,秒级出结果。

4、大屏实时监控:态势感知为用户提供9块可视化大屏界面,可实时监控云上安全态势,提升团队工作效率,并进行工作结果展示和汇报。

5、代码外泄感知:态势感知情报采集系统提供企业客户相关的情报,包括数据泄露情报,用户名密码泄露情报,暗网相关情报,IM群攻击预谋情报等。

先知-安全众测

先知平台提供私密的安全众测服务,可以帮助企业及时发现现有业务的安全问题,包括业务逻辑漏洞、权限问题等安全工具无法有效检测的漏洞等,尽早的发现存在的漏洞可以有效的减少公司可能的损失。先知平台会为所有入驻企业的漏洞严格保密,从而避免漏洞被恶意宣传。

数据风控

数据风控服务是基于阿里大数据风控服务能力,通过领先的行为收集技术和机器学习模型,解决解决账号注册、认证、交易、运营、活动、支付等关键业务环节存在的欺诈威胁,降低企业经济损失。

安全合规

合规性是阿里云存在和发展的基石,阿里云从架构设计、产品实现、解决方案、运维环境以及数据和隐私保护等多方面入手,将合规性融入管理、技术、流程与操作中,全力为客户构建和运行安全可控、可信赖、兼具灵活性的云服务。阿里云将与客户一起,共同承担所在行业的合规性责任,并努力推进各行业安全标准的完善。

合规资质

ISO 27001 Certified

DJCP

CSA-Cloud Security

TRUCS

ISO 20000 Certified

ISO 22301 Certified

AICPA

CNAS

PCI-DSS Compliant

MTCS T3

参与的标准组织