阿里云安全白皮書1白皮書介紹 2安全責任共擔 93.2隱私保護 3.3透明度 4阿里云基礎設施 5阿里云安全架構 5.1.1物理安全 5.1.2硬件安全 5.1.4云產品安全 5.2云用戶側安全架構 5.2.4網絡安全 5.2.5數據安全 5.2.6安全運營 5.2.7業務安全 6.1.4彈性伸縮 5 6.2.1負載均衡SLB 6.2.2專有網絡VPC 6.3.1云數據庫RDS版 6.3.3云數據庫Redis版 2阿里云安全白皮書 6.4.1對象存儲OSS 6.4.3歸檔存儲 6.4.4內容分發網絡CDN 6.5.1大數據計算服務MaxCompute 6.5.2分析型數據庫AnalyticDB 6.6.1日志服務 6.6.2開放搜索服務OpenSearch 6.6.3媒體轉碼 6.6.5性能測試服務PTS 6.7.1身份與訪問管理 6.7.3操作審計 7阿里云云盾 7.1.1DDoS基礎防護 7.1.2最佳實踐 7.2.1DDoS高防IP 7.2.2移動安全 7.2.3Web應用防火墻 7.2.4安騎士(主機安全) 7.2.5態勢感知 7.2.7云盾混合云 817.2.8安全管家 7.2.9數據風控 7.2.10內容安全 7.2.11加密服務 7.2.12證書服務 897.2.14數據庫審計 9038阿里云安全生態 〔〕阿里云4阿里云安全白皮書版本3.05阿里云安全白皮書版本3.02安全責任共擔基于阿里云的客戶應用，其安全責任由雙方共同承擔：阿里云確保云服務平臺的安全性，客戶負責基于阿里云服務構建的應用系統的安全。主機(虛擬機)網絡(虛擬網絡)&賬號認證授權審計賬號認證授權審計阿里云負責基礎設施(包括跨地域、多可用區部署的數據中心，以及阿里巴巴骨干傳輸網絡)、物理設備(包括計算、存儲和網絡設備)、飛天分布式云操作系統及之上的各種云服務產品的安全控制、管理和運營，從而為客戶提供高可用和高安全的云服務平臺。阿里云基于阿里巴巴集團多年攻防技術積累，為客戶提供云盾安全服務，保護客戶的應用系統。客戶負責以安全的方式配置和使用云服務器(ECS)、數據庫(RDS)實例及其他云產品，基于這些云產品以安全可控的方式構建自己的應用；客戶可選擇使用云盾安全服務或者阿里云安全生態里的第三方安全廠商的安全產品為其應用系統提供安全防護。安全責任共擔模式之下，阿里云提供并保障基礎設施的安全，能夠讓用戶降低laaS層的安全性的顧慮，安心使用阿里云laaS服務，更專注于核心業務發展。6阿里云安全白皮書版本3.02.2客戶安全責任7阿里云安全白皮書版本3.03安全合規和隱私資質信息安全管理體系國際認證，從數據安全、網絡安全、通信安全、操作安全等各個方面證明阿里云平臺履行的安全職責云安全管理體系國際認證，阿里云獲得全球首個金牌IT服務管理體系認證，意味著阿里云建立了標準的服務流程，并嚴格執行，云平臺服務規范化，提高效率并降低IT整體風險業務連續性管理體系認證，進行業務連續性計劃、災備建設和定期演練，提升云平臺穩定性等級保護測評(4級)阿里云金融云成為全國首個通過云計算等級保護四級測評的云平臺，意味著阿里云金融云正穩步成為國家關鍵信息基礎設施中央網信辦黨政部門云服務網阿里云是全國首批通過網信辦云安全審查的社區云的服務商中，唯一增強級別審查(500多項檢查點)的工信部云服務能力標準測評是基于國家標準的，唯一公共云和云產品國家實驗室認證是基于國家標準的唯一產品級分級認證(支付卡行業數據安全標準)PClDSS主要關注支付卡信息在組織范圍內全生命周期的管理和控制，包括產生/進入、傳輸、存儲、處理和銷毀等新加坡云服務商安全最高等級認證，意味著阿里云可以參與新加坡政府項目阿里云通過了SOC1、2的TYPEI、TYPEII、SOC3審計阿里云國際站通過美國企業隱私標準認證，標志著阿里云采阿里云支持HIPAA的業務伙伴協議以滿足客戶的需求，遵守美國健康保險可攜性和責任法案，以保護健康信息的隱私和安全阿里云遵守美國電影協會(MPAA)的最佳實踐指引阿里云遵守新加坡個人信息保護要求8阿里云安全白皮書版本3.0TrustedCloud會員阿里云成為德國聯邦經濟和能源部推動的TrustedCloud會員SCOPE云守則創始會員阿里云作為創始會員積極參與歐盟機構SCOPE,為GDPR實發起“數據保護倡議”中國云計算服務商首個“數據保護倡議”,明確數據所有權，以及阿里云的責任和義務發布《阿里云數據安全白皮通過完善的數據安全管理和先進的技術支撐實現對用戶數據安·等級保護測評(4級)9阿里云安全白皮書版本3.03.2隱私保護阿里云安全白皮書版本3.03.3透明度阿里云安全白皮書4阿里云基礎設施國家中國華北1241華東154華南122海外亞太東南121亞太東北11美國東部11美國西部12歐洲中部11中東東部11阿里云安全白皮書版本3.0防垃圾注冊防交易欺詐活動防刷實人認證網絡安全虛擬專用網絡(VPN)專有網絡(VPC)分布式防火墻DDoS防御入侵檢測漏洞管理鏡像加固自動宕機遷移賬戶認證多因素認證日志審計5.1云平臺安全架構阿里云安全白皮書版本3.0阿里云安全白皮書版本3.05.1.2硬件安全阿里云安全白皮書版本3.05.1.3虛擬化安全阿里云安全白皮書版本3.0逃逸檢測補丁熱修復變更管理阿里云安全白皮書版本3.05.1.4云產品安全代碼實現代碼實現安全測試審核安全測試阿里云安全白皮書版本3.0等)或者內部渠道(如內部掃描器、安全自測等)得知安全漏洞。在發現漏洞后5.2云用戶側安全架構防垃圾注冊防交易欺詐活動防刷安全眾測網絡安全專有網絡(VPC)人侵檢測鏡像加固自動宕機遷移多因素認證日志審計阿里云安全白皮書版本3.0某些資源的臨時用戶，并根據需要來定義令牌的權限和自動過期時間(默認為1小時過期),從阿里云安全白皮書版本3.0啟用MFA后，用戶登錄阿里云時，系統將要求輸入用戶名和密碼(第一安全要素)移動硬件設備(包括智能手機)上運行。阿里云安全白皮書版本3.05.2.2主機安全5.2.3應用安全阿里云安全白皮書版本3.0分布式防火墻阿里云安全白皮書版本3.05.2.5數據安全2015年7月，阿里云發起中國云計算服務商首個“數據保護倡議”,這份公開倡議書明確：運行阿里云安全白皮書版本3.0加密以滿足用戶的要求(具體產品請參照產品對應章節):阿里云安全白皮書版本3.05.2.6安全運營“敵我態勢”,對敵方的實體(黑客本人，黑客組織)進行長期阿里云安全白皮書版本3.05.2.7業務安全阿里元提供了多種基于云的彈性計算服務，這些計算服務主要通過云服務器ECS來對外提供服務。阿里云云服務器ECS實例是一個虛擬的計算環境，包含了CPU、內存、操作系統、磁盤、對所創建的實例擁有管理員權限，可以隨時登錄進行使用和管理。用戶可以在實例上進行基本操作，如掛載磁盤、創建快照、創建鏡像、部署環境等。的租戶實例隔離是基于硬件虛擬化技術的虛擬機管理，將多個虛擬機在系統層面進行隔離。實例不能訪問相互之間未授權的系統資源，從而保障運算節點的基本計算資源的隔離。同時虛擬化管租戶隔離中關鍵的隔離邊界是虛擬機管理系統與客戶虛擬機以及客戶虛擬機之間的隔離。以下將從CPU隔離，內存隔離，存儲隔離，和網絡隔離4個層面介紹ECS實例間資源隔離的實現機制。基于硬件虛擬化技術Intel@VT-x,Hypervisor運行在VMXroot模式，而虛擬機VMXnon-root模式。通過使用物理處理器的不同權限級別，可以有效地防止虛擬機通過未授權的方式訪問物理主機和其他的用戶虛擬機的系統資源，同時也做到了虛擬機之間的有效隔離。Hypervisor通過提供相互隔離的計算通道控制虛擬機與主機資源進行交互。這樣可以防止用戶獲得對系統以及對其他租戶的原始讀/寫/執行訪問，并減輕共享系統資源所帶來的風險，保PageTables,擴展頁表)技術，可以確保虛擬機之間無法互訪對方內存。實例釋放后，它的所有內存會被Hypervisor清零，從而有效防止ECS實例關閉后釋放的物理內存頁內容被其他阿里云安全白皮書版本3.0安全組是一個邏輯上的分組，這個分組是由同一個地域(Region)內具有相同安全保護需求并相互信任的實例組成。使用安全組可設置單臺或多臺云服務器的網絡訪問控制，它是重要的網絡安每個實例至少屬于一個安全組。同一安全組內的實例之間網絡互通，不同安全組的實例之間默認內網不通，可以授權某個源安全組或某個源網段訪問目的安全組。SSH密鑰對是阿里云提供的新的遠程登錄ECS實例的認證方式，目前僅適用于Linux實例。相較SSH密鑰對是通過一種加密算法生成的一對密鑰：一個對外界公開，稱為“公鑰”;另一個由用戶自己保留，稱為“私鑰”。如果用戶已經將公鑰配置在Linux實例中，那么，在本地或者另外一個實例中，用戶可以使用私鑰通過SSH命令或相關工具登錄之前有公鑰配置的實例，而不需要阿里云云平臺通過宿主機上的網絡底層技術機制，徹底解決了這些問題：在宿主機數據鏈路層隔離由云服務器向外發起的異常協議訪問并阻斷云服務器MAC/ARP欺騙，在宿主機網絡層防止云多臺ECS云服務器可以使用SLB負載均衡服務組成集群，消除單點故障，提升應用系統的可用性。具體請見SLB負載均衡章節。云服務器鏡像文件、快照文件均默認存儲三份，分布在不同交換機下的不同物理服務器上，數據可靠性不低于99.9999999%。云服務器部署在宿主機(承載云服務器的物理服務器)上，宿主機可能因性能異常或者硬件原阿里云安全白皮書版本3.0RAM可以幫助管理用戶對資源的訪問權限控制。例如，為了加強網絡安全控制，用戶可以給某個群組附加一個授權策略，該策略規定：如果原始IP地址不是來自特定的企業網絡，則拒絕此類訪SysAdmins組附加了一個授權策略，該策略授予組成員執行所有ECS操作的權限。DescribelnstancesStartInstanceStoplnstanc如果某開發人員的工作職責發生轉變，成為一名系統管理人員，用戶可以方便的將其從種，它的目的是讓ECS實例扮演具有某些權限的角色，從而賦予實例一定的訪問權限。實例RAM角色允許用戶將一個RAM角色關聯到ECS實例，在實例內部基于STS臨時憑證(臨時憑證將周期性更新)訪問其他云產品。這樣，一方面可以AccessKeyo網絡類型選擇：專有網絡。專有網絡是指邏輯隔離的私有網絡，用戶可以自定義網絡拓撲和IP地址，支持通過專線連接，網絡可擴展性強。適合于對網絡有個性化定制及o網絡安全組選擇：默認安全組(自定義端口),僅允許22、3389端口的訪問。22端口用于LinuxSSH登錄，3389端口用于Windows遠程桌面登錄。o鏡像選擇：按需選擇官方提供鏡像，并選中安全加固功能，即可免費加載云服務器安全組件，獲得網站后門檢測、異地登錄提醒、暴力破解攔截等安全功能。密鑰對中創建密鑰對，選中新創建的密鑰對，綁定剛創建的實例。網絡安全組是ECS提供的免費的網絡防火墻，如若配置不當可能導致業務的端口或者IP暴露在互聯網，造成安全威脅。利用安全組限制，禁止私網訪問，公網安全組和私網安全組都只保快照可以保留某個時間點上的磁盤數據狀態，用于數據備份或者制作自定義鏡像。建議用戶對重要的ECS實例設置快照備份功能。也可以開啟自動快照策略，定時的備份重要業務數據。快照備份功能可以在ECS管理控制臺->選中某地域->選中要設置的ECS實例按照提示進行ECS實例已支持SSH的key登陸，用戶可以在ECS實例創建完成后至ECS控制臺，密鑰對中創建密鑰對，選中新創建的密鑰對，綁定剛創建的實例。系統的安全漏洞是不可避免的，需要用戶定期關注其使用到的操作系統版本對應的漏洞，并定期升級。其中，Windows系統需要開啟Windows的安全更新，而Linux類系統可采用yum等工具來檢查更新。建議用戶通過開啟安裝安騎士，使用安騎士的漏洞補丁管理來升級系統漏安騎士是阿里云云盾推出的一款服務器安全運維管理產品。通過安裝在服務器上的輕量級Agent插件與云端防護中心的規則聯動，實時感知和防御入侵事件，保障服務器的安全。6.1.2塊存儲阿里云塊存儲(BlockStorage),是阿里云為云服務器ECS提供的低時延、持久性、高可靠數據塊級隨機存儲。塊存儲支持在可用區內自動復制用戶的數據，防止意外的硬件故障導致數據不可用，以保護用戶的業務免于組件故障的威脅。就像對待硬盤一樣，用戶可以對掛載到ECS實例上的塊存儲做格式化、創建文件系統等操作，并對數據持久化存儲。塊存儲支持虛擬機內部使用的塊存儲設備的自動加密，確保塊存儲的數據在分布式系統中加密存阿里云安全白皮書版本3.0塊存儲采用三副本的分布式機制，為ECS實例提供99.9999999%的數據可靠性保證。6.1.4彈性伸縮阿里云安全白皮書版本3.06.1.5資源編排6.2網絡阿里云安全白皮書版本3.0ECS(RealServer)上。阿里云安全白皮書自定義網絡客戶可以在VPC內自定義網絡地址，劃分子網，自定義路由。可以通過具備狀態檢測包過濾功能的安全組防火墻進行網絡安全域的劃分。指向有EIP且配置了SNAT的實例訪問互聯網。阿里云提供專線接入點，通過專線可以把VPC與物理網絡互聯組成混合網絡。專線接入不支VPC使用安全組防火墻進行三層網絡訪問控制。不同租戶的云服務器ECS部署在不同的VPC里。阿里云安全白皮書版本3.0高速通道支持位于相同地域或不同地域，同一賬戶或不同賬戶的VPC之間進行內網互通。阿里云通過在兩側VPC的路由器上分別創建虛擬路由器接口，以及自有的骨干傳輸網絡來搭建高速通道，實現兩個VPC之間安全可靠，方便快捷的通信。通過物理專線在物理層面上連接用戶的數據中心到阿里云，然后建立虛擬邊界路由器和虛擬路由器接口來連接數據中心與阿里云VPC。VPC已支持RAM服務。用戶可以將用戶云賬戶下VPC資源的訪問及管理權限授予RAM中子用阿里云NAT網關(NATGateway)是一款企業級的VPC公網網關，提供NAT代理(SNAT、DNAT)、10Gbps級別的轉發能力以及跨可用區的容災能力。NAT網關與共享帶寬包需要配合使用，組合成為高性能、配置靈活的企業級網關。阿里RelationalDatabaseServiceRDS數據庫引擎，并且提供了容災、備份、恢復、監控、遷移等方面的全套解決方案。云數據庫RDS提供了多樣化的安全加固功能來保障用戶數據的安全，其中包括但不限于：·容災：同城容災(多可用區實例)、異地容災(容災實例)RDS通過虛擬化技術進行租戶隔離，每個租戶擁有自己獨立的數據庫權限。同時阿里云對運行數據庫的服務器進行了安全加固，例如禁止用戶通過數據庫讀寫操作系統文件，確保用戶無法接觸其他用戶的數據。高可用版RDS實例擁有兩個數據庫節點進行主從熱備，主節點發生故障可以迅速切換至備節點，月服務可用性承諾為99.95%。用戶可以隨時發起數據庫的備份，RDS能夠根據備份策略將數據庫恢復至任意時刻，提高了數據可回溯性。當用戶創建實例后，RDS并不會為用戶創建任何初始的數據庫賬戶。用戶可以通過控制臺或者OpenAPI來創建普通數據庫賬戶，并設置數據庫級別的讀寫權限。如果用戶需要更細粒度的權限控制，比如表/視圖/字段級別的權限，也可以通過控制臺或者OpenAPI先創建超級數據庫賬戶，并使用數據庫客戶端和超級數據庫賬戶來創建普通數據庫賬戶。超級數據庫賬戶可以為普通數據庫賬戶設置表級別的讀寫權限。默認情況下，RDS實例被設置為不允許任何IP訪問，即。用戶可以通過控制臺的數據安全性模塊或者OpenAPI來添加IP白名單規則。IP白名單的更新無需重啟RDS實例，因此不會影響用戶的使用。IP白名單可以設置多個分組，每個分組可配置1000個IP或IP段。除了IP白名單外，RDS還支持用戶使用VPC來獲取更高程度的網絡訪問控制。VPC是用戶在公共云里設定的私有網絡環境，通過底層網絡協議嚴格地將用戶的網絡包隔離，在網絡2層完成訪問控制；用戶可以通過VPN或者專線，將自建IDC的服務器資源接入阿里云，并使用VPC自定義的RDSIP段來解決IP資源沖突的問題，實現自有服務器和阿里云ECS同時訪問RDS的目的。使用VPC和IP白名單將極大程度提升RDS實例的安全性。部署在VPC中的RDS實例默認只能被同一個VPC中的ECS實例訪問。如果有需要也可以通過申請公網IP的方式接受來自公網的訪問(不推薦),包括但不限于：o來自ECSEIP的訪問。IP白名單對RDS實例的所有連接方式生效，建議在申請公網IP前先設置相應白名單規則。RDS提供MySQL和SQLServer的安全套接層協議。用戶可以使用RDS提供的服務器端根證書來驗證目標地址和端口的數據庫服務是否為RDS提供，從而有效避免中間人攻擊。除此之外，RDS還提供了服務器端SSL/TLS證書的啟用和更新能力，以便用戶按需更替SSL/TLS證書RDS提供查看SQL明細功能，用戶可定期審計SQL,及時發現問題。RDSProxy記錄所有發往阿里云為全世界多個地域提供云計算服務，每RegionZone為了提供比單可用區實例更高的可用性，RDS支持多可用區實例(也叫做同城雙機房或者同城容災實例)。多可用區實例將物理服務器部署在不同的可用區，當一個可用區(A)出現故障時流量阿里云安全白皮書版本3.0滑擴容的分布式內存數據庫服務。基于飛天分布式系統及高性能存儲，并提供了雙機熱備、故障恢復、業務監控、數據遷移等方面的全套數據庫解決方案。云數據庫Memcache版由Proxy服務器(服務代理)、分片服務器和配置服務器三個組件組成。單節點配置，集群版結構中會由多個Proxy組成，系統會自動對其實現負載均衡及故障轉移。每個分片服務器均是雙副本高可用架構，主節點故障之后，系統會自動進行主備切換保證服務高用于存儲集群配置信息及分區策略，目前采用雙副本高可用架構，保證高可用。即用戶需要輸入正確的用戶名和密碼才能對數據進行操作。云數據庫Memcache版默SASLMemcache持免密方式登錄，前提必須開啟IP白名單后才能開啟此功能，在IP白名單中的IP可訪問云數據庫Memcache版僅允許ECS云服務器訪問，并可以限制源服務器的IP部攻擊。在開始使用Memcache實例前必須將訪問Memcache的實例IP或者IP段添加云數據庫Memcache全面接入VPC,可基于阿里云構建出一個隔離的網絡環境。阿里云安全白皮書6.3.3云數據庫Redis版阿里云安全白皮書6.4存儲與CDNBucket有三種訪問權限：·public-read-write:任何人(包括匿名訪問)都可以對該Bucket中的Object進行讀/寫/刪除操作；所有這些操作產生的費用由該Bucket的Owner承擔，請慎用該權限。·public-read:只有該Bucket的Owner或者授權對象可以對存放在其中的Object進行寫/刪除操作；任何人(包括匿名訪問)可以對Object進行讀操作。·private:只有該Bucket的Owner或者授權對象可以對存放在其中的Object進行讀/寫/刪除操作；其他人在未經授權的情況下無法訪問該Bucket內的Object。用戶新創建一個Bucket時，如果不指定Bucket權限，OSS會自動為該Bucket設置private權限。Object有四種訪問權限：·publicreadwriteObject·public-read:非此Object的Owner擁有此Object的讀權限，只有此Object的Owner擁有此Object的讀寫權限。·private:此Object的Owner擁有該Object的讀寫權限，其他的用戶沒有權限操作該用戶上傳Object時，如果不指定Object權限，OSS會為Object設置為default權限。OSS已支持RAM服務。使用阿里云的RAM服務，用戶可以將云賬戶下OSS資源的訪問及管理權限授予RAM中子用戶。OSS同時支持STS服務，通過臨時訪問憑證提供短期訪問權限管理。OSS服務可用性高達99.9%。OSS數據三副本存儲，可靠性達到99.99999999%。阿里云安全白皮書版本3.0阿里云安全白皮書版本3.00客戶端加密高可用性阿里云安全白皮書版本3.06.4.3歸檔存儲歸檔存儲服務數據多副本存儲，可靠性達到99.999阿里云安全白皮書版本3.0阿里云安全白皮書版本3.0阿里云安全白皮書版本3.06.5數據與智能也是計量和計費的主體。當用戶申請創建一個項目空間之后，該用戶就是這個空間的所有者這就是說，除了Owner之外，任何人都無權訪問此項目空間內的對象，除非有Owner的授權許中來。只有添加到項目空間中的用戶才能夠被授權。角色(Role)是一組訪問權限的集合。當需要對一組用戶賦予相同的權限時，可以使用角色來授權。基于角色的授權可以大大簡化授權流程，降低授權管理成本。當需要對用戶授權時，應當優MaxCompute可以對項目空間里的用戶或角色，針對Project、Table、Function、ResourceMaxCompute支持兩種授權機制來完成對用戶或角色的授權ControlList)被看做是該對象的一種子資源。只有當對象已經存在時，才能進行ACL授權操作；當對象被刪除時，通過ACL授權的權限數據會被自動刪除。ACL授權支持類似于SQL92定義的GRANT/REVOKE語法，它通過簡單的授權語句來完成對已存在的項目空間對象的授·Policy授權則是一種基于策略的授權。通過Policy授權的權限數據(即訪問策略)被看做是授權主體的一種子資源。只有當主體(用戶或角色)存在時，才能進行Policy授權操作；當自定義的一種訪問策略語言來進行授權，允許或禁止主體對項目空間對象的訪問權限。跨項目空間的資源分享假設一個用戶是項目空間的Owner或管理員(admin角色),如果有人需要申請訪問用戶的項目空間資源，但是這個申請人并不屬于用戶的項目團隊，可以使用跨項目空間的資源分享功能。Package是一種跨項目空間共享數據及資源的機制，主要用于解決跨項目空間的用戶授權問題。阿里云安全白皮書版本3.0阿里云安全白皮書版本3.06.6應用服務與中間件阿里云安全白皮書版本3.0遲，單應用萬級別QPS性能的基礎上提供99.9%的系統可用性，不低于99.9999%的數據持久性，用戶在不同請求間被要求使用不同的隨機數值(建議使用13位毫秒時間戳+4位隨機數),以防阿里云安全白皮書6.6.4消息隊列阿里云安全白皮書版本3.0默認單Topic發送消息上限為每秒5000條，最高可申請擴展至10W以上。默認單條消息大小最大支持256KB,華北2地域支持4MB大消息。阿里云安全白皮書版本3.0性能測試服務在預處理前會根據用戶自身云服務資源(主要為云服務6.7管理與監控管理與資源訪問控制。RAM使得一個阿里云賬戶(主賬號)可擁有多個獨立的子用戶(子賬號),阿里云安全白皮書版本3.0UserECS訪問控制OsS權限與策略管理阿里云安全白皮書版本3.0保護。啟用MFA后，用戶登錄阿里云時，系統將要求輸6238)。此應用程序可在移動硬件設備(包括智能手機)上運行為職責相同的RAM用戶(如Admins、Developers、Accounting等)創建群組進行歸類，并在授權時選擇給群組授權。這樣，在具體用戶職責發生變化時，只用將其移動到相應職責的群組下，不會對其他用戶產生影響；當群組的權限發生變化時，只用修改群組的授權策略，可以直接1)權限阿里云使用權限來描述一個操作主體(如用戶、用戶組、RAM角色)對具體資源的訪問能力。權o每個資源有且僅有一個屬主(資源Owner)。該屬主必須是云賬戶，是對資源付費的創建的資源歸屬于云賬戶，該用戶是資源創建者但不是資源屬主。oRAM用戶代表的是操作員，其所有操作都需被顯式授權。o新建RAM用戶默認沒有任何操作權限，只有在被授權之后，才能通過控制臺和API操o如果RAM用戶被授予創建資源的權限，用戶將可以創建資源。o但是RAM用戶不會自動擁有對所創建資源的任何權限，除非資源Owner對該用戶有權限的載體是授權策略。授權策略是一組權限的集合，它以一種策略語言來描述。通過給用戶或群組附加授權策略，用戶或群組中的所有用戶就能獲得授權策略中指定的訪問權限(默認拒絕優RAM支持兩種類型的授權策略：系統授權策略和客戶自定義授權策略。阿里云安全白皮書版本3.0只讀操作，條件是請求者的IP來源為,訪問時間為早上9點至晚上9點，否則拒有時存在一些用戶(人或應用程序),他們并不經常訪問客戶云賬戶下的為這些用戶頒發臨時權限憑證。頒發令牌時，管理員可以根據需要來定義令牌的權限和自動過期時間(默認為1小時過期)。STS訪問令牌是一個三元組，它包括一個安全令牌(SecurityToken)、一個訪問密鑰IDAccessKeyIDAccessKey入安全令牌和訪問密鑰ID,并使用秘密訪問密鑰對請求進行簽名。STS頒發的安全令牌不會與其他訪問密鑰一起使用。使用STS安全令牌服務使得資源授權更加可控，不必再為臨時用戶和安全性較低的用戶創建并管理一個長期的RAM用戶賬號及密鑰。此外，STS頒發的權限憑證為自動頒發，所以不用被嵌入在用戶端代碼等不安全的位置，同時默認情況下每小時令牌會自動輪換以增加安全性。·為云賬戶和高風險權限RAM用戶啟用多因素認證(MFA)建議用戶為根賬戶綁定MFA,每次使用根賬戶時都強制使用多因素認證。如果用戶創建了RAM用戶，并且給用戶授予了高風險操作權限(比如，停止虛擬機，刪除存儲桶),那么建議用戶給RAM用戶綁定MFA。·授權予高風險特權操作時，使用帶IP和MFA限制條件的授權策略進行授權同時可以考慮賬號密碼和多因素認證設備交給不同的人員分開保管，這樣可以做到必須兩人同時在場時才能完成某些操作。●分離用戶管理、權限管理與資源管理的RAM用戶，分權制衡一個好的分權體系應該支持權力制衡，盡可能地降低安全風險。在使用RAM時，用戶應該考慮創建不同的RAM用戶，其職責分別是RAM用戶管理、RAM權限權限、以及各產品的資源操作管理。使用群組給RAM用戶分配權限一般情況下，用戶不必對RAM用戶直接綁定授權策略，更方便的做法是創建與人員工作職責相關的群組(如admins、developers、accounting等),為每個群組綁定合適的授權策略，然后把用戶加入這些群組。群組內的所有用戶共享相同的權限。這樣，如果用戶需要修改群組內所有人的權限，只需在一處修改即可。當用戶的組織人員發生調動時，用戶只需更改用戶所屬的群組即可。·善用STS安全令牌服務，為臨時用戶提供短期訪問資源的權限憑證使用STS安全令牌服務使得資源授權更加可控，不必再為臨時用戶和安全性較低的用戶創建并管理一個長期的RAM用戶賬號及密鑰。此外，STS頒發的權限憑證為自動頒發，所以不用被嵌入在用戶端代碼等不安全的位置，同時默認情況下每小時令牌會自動輪換以增加安全性。·為云賬戶和RAM登錄用戶配置強密碼策略如果用戶允許用戶更改登錄密碼，那么應該要求他們創建強密碼并且定期輪換。用戶可以通過RAM控制臺為RAM用戶創建密碼策略，如最短長度、是否需要非字母字符、必須進行輪換的頻率等等。·不要為云賬戶(主賬號)創建AccessKey,避免AK泄漏的巨大風險由于云賬戶對名下資源有完全控制權限，所以為了避免因訪問密鑰泄露所帶來的災難性損失，不建議用戶創建云賬戶訪問密鑰并使用該密鑰進行日常工作。創建云賬戶的訪問密鑰需要通過登錄阿里云控制臺才能完成，該操作需要多因素認證，并且還支持嚴格的風控檢查。只要云賬戶不主動創建訪問密鑰，就可以更好的控制賬戶名下的資產安全風險。·定期輪轉用戶登錄密碼和AccessKey建議用戶或RAM用戶要定期輪換登錄密碼或訪問密鑰。在用戶不知情的時候，如果出現憑證泄露，那么憑證的使用期限也是受限制的。用戶可以通過設置密碼策略來強制RAM用戶輪換登錄密碼或訪問密鑰的周期。·將控制臺用戶與API用戶分離不建議給RAM用戶同時創建用于控制臺操作的登錄密碼和用于API操作的AccessKey。通常只給員工創建登錄密碼，給系統或應用程序只創建訪問密鑰。·使用策略限制條件來增強安全性，比如訪問源IP,時間等建議用戶給用戶授權時設置策略限制條件，這樣可以增強安全性。比如，授權用戶Alice可以關停ECS實例，限制條件是Alice必須在指定時間、并且用戶公司網絡中執行該操作。及時調整和撤銷RAM用戶不再需要的權限當一個用戶由于工作職責變更而不再使用權限時，用戶應該及時將該用戶的權限進行撤銷。這樣，如果在不知情的時候，當用戶的訪問憑證泄露時對用戶帶來的安全風險最小。·遵循最小授權原則，不要過度授權最小授權原則是安全設計的基本原則。當用戶需要給用戶授權時，請授予剛好滿足他工作所需的權限，而不要過渡授權。比如，在用戶的組織中，如果Developers組員(或者一個應用系統)的工作職責只需要讀取OSS存儲桶里的數據，那么就只給這個組(或應用系統)授予OSS資源的只讀權限，而不要授權OSS資源的所有權限，更不要授予對所有產品資源的訪問云賬號A代表某企業的超級管理員，它擁有企業購買的所有云產品的絕對控制權限。為了盡可能地避免云賬號密碼或AK泄露所導致的風險不可控，通常不建議企業員工直接使用云賬號號，然后給不同子賬號分配不同的工作權限，遵循最小授權原則，盡可能做到責權一致，降低假設云賬號A和云賬號B分別代表不同的企業。A購買了多種云資源(如ECS實例/RDS實例/SLB實例/OSS存儲空間/…)來開展業務。企業A希望能專注于其業務系統研發，而將云資源運維監控管理等任務委托(或授權)給企業B。企業B還可以進一步將A的資源權限分配給一個或多個員工進行管理，而且B希望能精細控制其員工對A的資源的操作權限。如果A和B的這種代運維關系終止，那么企業A隨時可以撤銷對企業B的授權。通過RAM提供的跨賬號角色授權，企業A可以輕松實現對企業B的授權管理。企業A開發了一款移動App,通常移動App會運行在不可信的用戶設備上，這些設備并不受A的控制。如果App需要操作A的云上資源，如何保證App的安全將是一個非常大的挑戰，它要求App端不能保存持續有效的密鑰，因為App是運行在不可信設備上，它可能被惡意人員完全控制。為此，用戶需要授權協議能支持給App授予最小的臨時權限，即使臨時權限令牌管理可以滿足A實現給不同設備上運行的App頒發不同的最小臨時權限。同云產品之間的云資源是完全隔離的，未經資源屬主(購買云資源的客戶)的授權，任何一方(包括云產品自身)是沒有權限操作客戶的云資源。比如，企業A購買了云產品ECS和OSS,如果A在ECS上部署的應用程序需要訪問OSS上的數據，默認是沒有任何操作權限的，除非有A顯式授權允許其ECS實例訪問OSS數據。類似的場景非常多，比如授權MTS(媒體轉碼計算)服務操作OSS數據、等等。客戶可以通過RAM來實現授權一個服務操作另一個服務上的資源，從而確保所有云資源的操作權限由資源屬主的完全控制。6.7.2密鑰管理服務KeyManagementService費大量成本來保護密鑰的保密性、完整性和可用性，借助密鑰管理服務用戶可以安全、便捷的使用密鑰，從而專注于開發用戶真正需要關心的加解密功能場景。KMS實現了多種嚴格的安全保護措施，來保障用戶的數據安全。求(基于HMAC消息驗證碼算法)。服務端通過驗證消息驗證碼確保消息的完整性同時驗證用戶身份。KMS通過HTTPS協議對外提供服務，因此客戶端可以通驗證服務身份。用戶與服務通信的數據保密性，也由HTTPS協議提供保護。KMS通過集成阿里云訪問控制服務(RAM)提供訪問控理服務的內部通信全部使用雙向認證的TLSv1.2協議，保護內部節點的通信安全。·域主密鑰KMS中的域主密鑰是整個服務的核心主密鑰，它由一個專門的分布式系統(VirtualHSM,VHSM)持有和使用，域主密鑰的明文僅存在于VHSM節點的內存以及他們之間通信的加密信完成后，舊的域主密鑰僅用于解密之前生成的用戶主密鑰。用戶通過KMS服務的API或者控制臺可以創建和管理用戶主密鑰(CMK),用戶主密鑰無法從KMS服務中導出。用戶主密鑰在VHSM產生后會由域主密鑰加密，并保護相關的上下文數據(例如用戶主密鑰的所屬用戶，用戶主密鑰ID等等)。加密后的用戶主密鑰存儲在高可靠個過程中，用戶主密鑰的明文僅會出現在VHSM的內存中。使用后立即被釋放。KMS除了符合阿里云運維的安全規范以外，還實現了多人管控機制。對于重要的操作(包括但不限于：內部節點的證書簽發，重要的管理API調用),必須由多人輸入密碼審核后才能成KMS使用本地可信存儲保護本地落盤文件，每個文件有獨立的文件密鑰，該密鑰由可信平臺KMS所依托的阿里云底層運維系統支持基于遠程可信證明的機器管理。密鑰管理服務所在的集群開啟了該功能，當且僅當機器能夠出示遠程可信證明時，機器才能成功加入集群，并部署相應的程序。用戶可以直接調用KMS的API,使用指定的用戶主密鑰(CMK)來加密、解密數據。這種場景適用于少量(少于4KB)數據的加解密，用戶的數據會通過安全信道傳遞到KMS服務端，對應的結果將在服務端完成加密、解密后通過安全信道返回給用戶。用戶可以直接調用KMS的API,使用指定的用戶主密鑰(CMK)來產生、解密數據密鑰，并自行使用數據密鑰在本地加解密數據。這種場景適用于大量數據的加解密，用戶的數據無需通過網絡傳輸大量數據，可以低成本的實現大量數據的加解密。6.7.3操作審計操作審計(ActionTrail)會記錄用存到指定的OSS存儲空間。利用ActionTrail保存的所有操作記錄，用戶可以實現安全分析、資阿里云安全白皮書版本3.0ActionTrail收集云服務的API調用記錄(包括用戶通過控制臺觸發的API調用記錄),規格化處6.7.4云監控阿里云安全白皮書版本3.0阿里云安全白皮書版本3.07阿里云云盾7.1基礎防護7.2高級防護云盾的DDoS清洗系統可幫助云用戶抵御各類基于網絡層、傳輸層及應用層的各種DDoS攻ICMPFlood、HTTPGetFlood等所有DDoS攻擊方式),并能實時短信通知用戶網站防御狀態。云盾DDoS清洗系統采用全球領先的檢測和防護技術，可以在5秒鐘內完成攻擊發現、流量牽引和流量清洗全部動作，大大減少了網絡抖動現象。在防護觸發條件上不僅僅依賴流量閾值，同時還對網絡行為的統計判斷，做到精準識別DDoS攻擊，保障了在遇到DDoS攻擊時客戶云盾DDoS清洗系統每個最小單元支持10Gbps的攻擊流量過濾。得益于云計算架構的高彈最佳實踐用戶開通高防IP服務需要把域名解析到高防IP清洗中心上。對于非Web業務，把業務IP換成高防IP服務，配置源站IP。對于Web業務，用戶需要通過域名DNS服務商修改域名對應的A記舉例來說：源站IP為7,分配的高防IP為83。用戶需要去DNS服務商將的域名解析A記錄從7修改為完成域名解析的修改后，所有公網流量都會通過高防IP服務的清洗中心，通過端口協議轉發的方濾后將正常流量返回給源站，從而確保源站業務可持續和穩定訪問。