對(duì)話 | ECS如何構(gòu)筑企業(yè)上云的第一道安全防線

摘要： 保障用戶上云用云安全

隨著中小企業(yè)上云進(jìn)程的加速，安全問題如影隨形，成為懸在企業(yè)頭頂?shù)?ldquo;達(dá)摩克利斯之劍”。數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊、系統(tǒng)故障等安全威脅不斷沖擊著企業(yè)的運(yùn)營根基，給企業(yè)帶來巨大的經(jīng)濟(jì)損失和聲譽(yù)損害。如何保障中小企業(yè)用云的安全性與穩(wěn)定性，保障用戶在云端的數(shù)據(jù)主權(quán)、增強(qiáng)數(shù)據(jù)連續(xù)性和構(gòu)建完善的災(zāi)備體系顯得尤為關(guān)鍵。
 
在此背景下，阿里云策劃了一場(chǎng)關(guān)于云上安全的深度訪談欄目，匯聚阿里云內(nèi)部眾多產(chǎn)品技術(shù)專家，攜手安全領(lǐng)域從業(yè)者，旨在通過全方位、多角度交流碰撞，揭示用云過程中的安全隱患與應(yīng)對(duì)之道，幫助中小企業(yè)和云服務(wù)使用者安全“靠岸”。
 
首期節(jié)目邀請(qǐng)到的是阿里云彈性計(jì)算高級(jí)技術(shù)專家聶百川、阿里云彈性計(jì)算產(chǎn)品專家蘇忠煌，圍繞阿里云彈性計(jì)算團(tuán)隊(duì)如何保障ECS用戶上云用云安全性、如何有效落地云上安全建設(shè)、ECS如何保障AI業(yè)務(wù)安全等維度展開。 
 

 云上用戶安全與ECS緊密相連 

 
2024年7月12日，美國電信巨頭AT&T披露，其托管在Snowflake云服務(wù)公司的數(shù)據(jù)發(fā)生泄漏，涉及幾乎所有客戶，數(shù)量高達(dá)1.1億人。據(jù)悉，攻擊者主要是利用惡意軟件竊取設(shè)備上的憑據(jù)和敏感信息，再用獲得憑據(jù)對(duì)用戶的數(shù)據(jù)進(jìn)行攻擊。

目前，采用公有云服務(wù)是很多企業(yè)數(shù)字化發(fā)展的“必經(jīng)之路”。據(jù)國際研究機(jī)構(gòu)Gartner發(fā)布最新預(yù)測(cè)，到2025年，全球終端用戶在公有云服務(wù)上的支出將從2024年的5957億美元增長至7234億美元，實(shí)現(xiàn)21.5%的增長。

隨著企業(yè)對(duì)云的需求越來越高，對(duì)云安全的要求也就越來越高。保障云上安全的關(guān)鍵在于云服務(wù)器。具體來看，目前云上用戶面臨著三個(gè)主要的關(guān)鍵問題和挑戰(zhàn)：數(shù)據(jù)安全、網(wǎng)絡(luò)安全和身份認(rèn)證與權(quán)限管理。

在數(shù)據(jù)安全方面，云計(jì)算環(huán)境中，用戶的數(shù)據(jù)存儲(chǔ)在云端服務(wù)器上，這意味著數(shù)據(jù)的安全性完全依賴于云服務(wù)提供商的安全措施及保障，一旦云服務(wù)提供商的安全措施被突破，用戶的敏感信息就可能遭到泄露。

在網(wǎng)絡(luò)安全方面，常見的云安全攻擊類型包括DDoS、云儲(chǔ)存桶惡意攻擊、APT攻擊等。攻擊者通過攻擊，不僅可以阻礙云上用戶業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，還會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)、系統(tǒng)及供應(yīng)鏈造成破壞，帶來損失。

在身份認(rèn)證與權(quán)限管理方面，云上用戶往往從一開始就沒有制定適當(dāng)?shù)纳矸輵?zhàn)略，而云的性質(zhì)導(dǎo)致一方面用戶可以在安全邊界外訪問，另一方面還會(huì)向合作伙伴等提供訪問權(quán)限。一旦在身份認(rèn)證與權(quán)限管理中存在疏忽，就會(huì)導(dǎo)致安全事件的發(fā)生。

可以看出，云上用戶安全與云服務(wù)器的各環(huán)節(jié)息息相關(guān)。對(duì)此，阿里云結(jié)合自身實(shí)踐和服務(wù)經(jīng)驗(yàn)，針對(duì)上述安全問題提出了解決方案。
 

 圍繞ECS，阿里云提供了三道防線 

 
阿里云始終強(qiáng)調(diào)，客戶在云上的業(yè)務(wù)安全，是ECS和客戶一起來承擔(dān)和共建的。從阿里云提出的責(zé)任共擔(dān)模型來看，云服務(wù)商提供云本身的安全，包括建設(shè)和保障云服務(wù)平臺(tái)、虛擬化系統(tǒng)、物理基礎(chǔ)設(shè)施及數(shù)據(jù)中心的安全；云上用戶負(fù)責(zé)云上的安全，包括數(shù)據(jù)安全、身份及權(quán)限管理、操作系統(tǒng)、網(wǎng)絡(luò)和防火墻以及數(shù)據(jù)加密和網(wǎng)絡(luò)流量保護(hù)。

在與用戶達(dá)成責(zé)任共擔(dān)的基礎(chǔ)上，阿里云也會(huì)將自身在安全領(lǐng)域上的沉淀，盡可能從產(chǎn)品功能或工具給到用戶。例如，把基于安全指導(dǎo)原則（安全左移、最小權(quán)限等）的最佳實(shí)踐給到用戶；在ECS的安全組和購買頁，提供可能的安全風(fēng)險(xiǎn)預(yù)警以及提供盡可能多的安全威脅檢測(cè)和通知能力，并提醒用戶進(jìn)行風(fēng)險(xiǎn)治理。

目前，阿里云的ECS安全體系包括操作系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、身份與訪問控制、應(yīng)用安全等。針對(duì)數(shù)據(jù)安全，阿里云提供了云盤加密、鏡像加密以及VPC網(wǎng)絡(luò)默認(rèn)加密等，這些功能可以滿足用戶在云上數(shù)據(jù)保護(hù)和數(shù)據(jù)規(guī)格方面的需求。此外，阿里云還提供了支持可信計(jì)算、機(jī)密計(jì)算實(shí)例和虛擬Enclave功能，可以滿足數(shù)據(jù)敏感、某些敏感行業(yè)合規(guī)、對(duì)應(yīng)用和數(shù)據(jù)高水平保護(hù)的業(yè)務(wù)場(chǎng)景的需求，如數(shù)字錢包、區(qū)塊鏈、數(shù)據(jù)庫、憑據(jù)服務(wù)等。

針對(duì)網(wǎng)絡(luò)安全，阿里云提供了多類型的、經(jīng)過安全加固的公共基礎(chǔ)鏡像，滿足用戶安全快速部署的需求。阿里云為用戶提供了可選地安裝云安全中心Agent和云助手，提供云主機(jī)防護(hù)和安全訪問、運(yùn)維能力。此外，阿里云的接口還提供很多一鍵生效的安全特性控制開關(guān)（如自動(dòng)快照等），提供了企業(yè)級(jí)分組分權(quán)管理的特性（資源組、TAG）等。并通過權(quán)限控制、配置合規(guī)控制和檢查能力，包括RAM Policy、ECS Insight、資源目錄、Control Policy等，這些能力幫助企業(yè)用戶正確、安全地使用和配置云資源的目的。

針對(duì)身份訪問和權(quán)限管理，阿里云通過Metadata實(shí)例身份證明、ECS角色扮演、基于vTPM的身份憑據(jù)保護(hù)，很好地緩解了相關(guān)風(fēng)險(xiǎn)。此外，阿里云對(duì)身份憑據(jù)泄露和使用泄露的憑據(jù)訪問云也做了監(jiān)控和攔截能力。

通過卓越的安全技術(shù)架構(gòu)、全面的安全體系、與用戶一同共建安全模型、提供易用的產(chǎn)品功能和工具、安全威脅檢測(cè)和通知能力，阿里云為用戶全方面提供了全面的安全保障。為了進(jìn)一步服務(wù)用戶，提升用戶在云上的使用體驗(yàn)和安全，阿里云還推出了“ECS 99套餐”，即便是安全小白，也可以通過“ECS 99套餐”提高上云用云期間的安全水平。
 

 聚焦技術(shù)能力和安全保障，阿里云的“ECS 99套餐” 

 
2023年10月，阿里云推出了“ECS 99套餐”。據(jù)悉，“ECS 99套餐”以99元的價(jià)格為開發(fā)者提供1年的高性價(jià)比、高穩(wěn)定的云端算力，并可續(xù)費(fèi)3年，不到以往用云成本的四分之一。

對(duì)于“ECS 99套餐”，阿里云表示，云計(jì)算最大的優(yōu)勢(shì)，是基于大規(guī)模實(shí)踐的公共云服務(wù)，任何客戶，不論大小，即使用戶購買的是最基礎(chǔ)的“ECS 99套餐”，都可以平等地享受昔日銀行、電信等大客戶才能花費(fèi)巨量投資才可能享受到的技術(shù)能力和安全保障。

為了保障99實(shí)例的安全性，阿里云特地選擇了最小規(guī)格的設(shè)計(jì)，即從2核開始，避免因?yàn)镃PU共享可能導(dǎo)致的數(shù)據(jù)泄漏問題。此外，無論是ECS側(cè)提供的安全能力、安全風(fēng)險(xiǎn)提示共擔(dān)以及自動(dòng)化安全風(fēng)險(xiǎn)治理，默認(rèn)都不收費(fèi)。

除此之外，阿里云還以賦能的形式幫助用戶解決安全問題最大的痛點(diǎn)：可視化及自動(dòng)化。其中，可視化指的是缺少安全相關(guān)的知識(shí)和經(jīng)驗(yàn)，對(duì)此，阿里云通過對(duì)賬戶的安全Quota管理，從而實(shí)現(xiàn)可視化。自動(dòng)化指的是降低安全問題的治理難度，對(duì)此，阿里云采用了鏡像EOL到期以推動(dòng)鏡像升級(jí)，提高了用戶的自動(dòng)化能力。
 

 圍繞新技術(shù)，ECS保障模型和數(shù)據(jù)泄露 

 
目前，AI的發(fā)展快速驅(qū)動(dòng)了企業(yè)對(duì)云的需求，因?yàn)锳I本身需要大量的算力資源，企業(yè)需要大量部署或租用云服務(wù)，來為企業(yè)使用AI提供底層環(huán)境。然而，云上AI用戶最擔(dān)心模型和數(shù)據(jù)泄露的問題，在訓(xùn)練（微調(diào)）階段需要企業(yè)私域數(shù)據(jù)，推理時(shí)需要檢索用戶數(shù)據(jù)，用戶提示詞也可能攜帶用戶的敏感信息。因此，保護(hù)這些流程中的數(shù)據(jù)安全就特別關(guān)鍵。

彈性計(jì)算承載了AI應(yīng)用的基礎(chǔ)設(shè)施，因此，在計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)的安全增強(qiáng)能力就很適用于AI的模型和數(shù)據(jù)保護(hù)場(chǎng)景。例如，阿里云通過加密CPU上模型計(jì)算期的數(shù)據(jù)，可以有效阻止越權(quán)訪問、側(cè)信道攻擊等攻擊方式。值得一提的是，阿里云表示基于GPU的機(jī)密計(jì)算已經(jīng)在開發(fā)中。

對(duì)于基于容器的AI服務(wù)，阿里云提出可以使用安全容器runD來實(shí)現(xiàn)容器間更好地隔離，防止容器逃逸等攻擊，保護(hù)AI應(yīng)用。此外，云上AI依賴的存儲(chǔ)服務(wù)如云盤、OSS、NAS、CPFS也都具有存儲(chǔ)加密的能力，可以保護(hù)存儲(chǔ)態(tài)的模型和數(shù)據(jù)安全。

在網(wǎng)絡(luò)方面，如果用戶選擇存儲(chǔ)加密，阿里云提供了從存儲(chǔ)機(jī)尾到計(jì)算機(jī)頭區(qū)間的網(wǎng)絡(luò)加密能力，用戶如果使用mTLS等應(yīng)用層加密方案來保護(hù)內(nèi)部服務(wù)間和對(duì)外的服務(wù)通信，就可以很完整地保護(hù)數(shù)據(jù)傳輸態(tài)的安全。

綜上所述，以上安全能力可以支撐上層AI服務(wù)，給用戶提供更安全的AI訓(xùn)練和推理服務(wù)。即便部分機(jī)構(gòu)要求數(shù)據(jù)不出私域，那么還有用戶專屬服務(wù)的方案，如靈駿、百煉一體機(jī)都可以部署到用戶自身的機(jī)房中。
 

 結(jié)語：阿里云將繼續(xù)推動(dòng)最小原則設(shè)計(jì) 

 
由于ECS自身為多租環(huán)境，因此，供應(yīng)商勢(shì)必要比云上用戶承擔(dān)更多的安全責(zé)任。對(duì)此，阿里云提出，會(huì)進(jìn)一步保障用戶在云上數(shù)據(jù)存儲(chǔ)，計(jì)算、傳輸?shù)陌踩裕苊馊魏慰赡艿臄?shù)據(jù)泄漏問題。

同時(shí)，阿里云還會(huì)推動(dòng)最小原則設(shè)計(jì)，對(duì)各個(gè)資源的Quota進(jìn)行管控以及對(duì)各個(gè)管控API的權(quán)限進(jìn)行收斂。最后，阿里云還會(huì)持續(xù)和安全團(tuán)隊(duì)進(jìn)一步共建，提升最小原則設(shè)計(jì)權(quán)限管理、推動(dòng)零信任架構(gòu)的實(shí)踐。
 

 下期預(yù)告 

 
隨著企業(yè)對(duì)容器化應(yīng)用依賴的加深，容器安全成為軟件供應(yīng)鏈安全的薄弱環(huán)節(jié)。下期將為大家?guī)砣萜靼踩珜?chǎng)，分享容器化帶來的開發(fā)與交付效率提升的同時(shí)，如何更好應(yīng)對(duì)容器鏡像安全、運(yùn)行時(shí)安全、配置安全、主機(jī)安全和供應(yīng)鏈安全等方面的安全挑戰(zhàn)。