阿里云-產(chǎn)品安全基線白皮書

〔-〕阿里云阿里云產(chǎn)品安全基線SecurityBaselineSecurityBaseline101前言構建安全的云環(huán)境需要云廠商和客戶共同努力。安全的云產(chǎn)品既能幫助用戶最大程度地減少風險，也是打造透明可信云的第一步?；贒evSecOps理念，打破安全與研發(fā)流程間的壁壘，通過安全左移，實現(xiàn)產(chǎn)品研發(fā)質量與安全質量的一致性，拉齊產(chǎn)品安全基線，讓客戶上云后自動具備高安全等級，降低手動維護其安全性的難度和工作量，從而有更多的精力聚焦在高級安全威脅發(fā)現(xiàn)與自身業(yè)務發(fā)展。阿里云作為平臺提供方，始終將確保自身產(chǎn)品安全視為重要使命之一。通過產(chǎn)品、研發(fā)、安全、運維一體化管理，自研豐富的安全工具，建立完善的運營機制，以標準化、線上化、自動化、數(shù)字可視化、智能化的方式，實現(xiàn)產(chǎn)品安全研發(fā)生命周期的全方位演進，讓產(chǎn)品的安全性在客戶無感知的情況下實現(xiàn)自我進化。阿里云產(chǎn)品安全基線白皮書2客戶安全是第一優(yōu)先級監(jiān)管合規(guī)為基本準則原生防御為基本能力3產(chǎn)品生命周期管控為核心理念云產(chǎn)品的服務模式天然具備云的屬性，如SaaS化交付、多租戶共享等。因此，阿里云在制定產(chǎn)品安全基線時，首先會從云平臺整體視角，將租戶隔離、訪問控制、身份認證與權限管理、數(shù)據(jù)安全、運維審計等云上特定問題放在首位。同時，攻防對抗不是單一環(huán)節(jié)的對抗，阿里云基于產(chǎn)品全生命周期的“飽和式救援”理念，落地DevSecOps,將豐富的安全工具和安全管控流程與產(chǎn)品研發(fā)全生命周期無縫集成，使最終安全效果不單純依賴于任意單一環(huán)節(jié)，而是多環(huán)節(jié)協(xié)同，共同為風險發(fā)現(xiàn)負責。部署今安安全極致左移最大化控制實施成本三方機構調查顯示，安全漏洞在發(fā)布上線后的治理成本是設計階段治理的30倍。阿里云產(chǎn)品安全基線白皮書4安全成本安全成本D將租戶隔離、應用鑒權等風險通過威脅建模前置到設計環(huán)節(jié)。印尼0JK,BI]物4團司阿里云(公共云和專有云)于2019年成為全國首批通過工信部云計算服務能力評估一級(最高級)的云服務商，質量管理體系|信息技術服務管理體系|業(yè)務連續(xù)性管理體系云基準測評全滿貫中央網(wǎng)信辦電子政務云(增強型)金融云(增強型)公安部網(wǎng)絡安全等級保護等保三級：公共云(laaS、Paas、SaaS)電子政務云安全產(chǎn)品銷售許可證(全國首批，雙一級)國家市場監(jiān)督管理總局中國網(wǎng)絡安全審查技術與認證中心：國家密碼管理局首批獲得CNAS云產(chǎn)品國家實驗室認證，多款產(chǎn)品達到業(yè)界最成員、國家信息安全通報技術支撐單位、國家重大活動網(wǎng)絡安國內首家通過等保2.0四級測評的金融云，高彈性、高穩(wěn)定、高安全的成熟基礎設施，無需重復測評，大大降低企業(yè)等保合規(guī)復阿里云電子政務云防護，符合國家標準《信息安全技術云計算服務安網(wǎng)絡風險狀況評估電子商務隱私信息管理公有云個人身份信息歐洲遵守GDPR的評估GDPRValidationbyTru德國電子安全指引NESA美國〔-〕阿里云503產(chǎn)品安全研發(fā)生命周期基線概況阿里云通過將安全管控卡點植入產(chǎn)品研發(fā)流程，實現(xiàn)安全管控與產(chǎn)品研發(fā)同步啟動、同步實施、同步完成。產(chǎn)品研發(fā)安全生命周期共有6個環(huán)節(jié)，包括：立項、設計、編碼、測試、發(fā)布、運維&監(jiān)控。阿里云在各個環(huán)節(jié)內置標準化審核流程和自動化安全工具，旨在將產(chǎn)品研發(fā)過程中的潛在風險扼殺在上線前，上線后及時發(fā)現(xiàn)與響應新的安全風險。安全團隊職責●編寫、更新、推送項目成員所需要的安全培訓材料●根據(jù)業(yè)務形態(tài)設計威脅建模問卷·針對安全風險協(xié)助設計解決方案●評估整改方案合理性●提供安全編碼方面的專家建議及規(guī)范●提供輔助安全編碼的工具(安全SDK、安全IDE插件)●監(jiān)督編譯、發(fā)布流程接入SPLC安全流程●提供黑盒、白盒、灰盒、鏡像安全、供應鏈安全掃描工具●核查過程中的ChecList是否完成●針對重點隱患進行人工審核·基于審核結果拒絕發(fā)布或允許發(fā)布●通過基線巡檢、黑盒掃描、供應鏈安全監(jiān)控周期性發(fā)現(xiàn)線上風險●推送安全漏洞給研發(fā)側·基于人工滲透、ASRC、紅藍對抗機制發(fā)現(xiàn)線上系統(tǒng)的深層風險●對刻意的入侵情報進行排查跟進產(chǎn)品立項安全架構設計安全開發(fā)安全掃描安全評估卡點安全監(jiān)控與應急響應產(chǎn)研團隊職責完成培訓任務并通過考試完成威脅建模問卷填寫遵守安全編碼規(guī)范接入安全SDK使用安全IDE插件修復審查過程中發(fā)現(xiàn)的安全漏洞遵守安全運維規(guī)范響應工作修復安全側推送的漏洞，配合應急6覆蓋人群覆蓋內容目覆蓋人群覆蓋內容目標可接受的風險程度，明確安全責任邊界。在開始產(chǎn)品研發(fā)工作前，產(chǎn)品線一號位、產(chǎn)品經(jīng)安全培訓管理者安全培訓技術安全紅線培訓云賬號/資源安全使用掌握安全技能及知識，承擔所屬崗位的安全職責7設計環(huán)節(jié)阿里云產(chǎn)品的架構評審完成率均達100%,威脅建模標準庫中累積數(shù)百條風險判斷規(guī)1)租戶隔離風險治理在網(wǎng)絡層，阿里云在不同類型業(yè)務間、不同產(chǎn)品間嚴格使用VPC進行默認隔離架構設源共享及調度帶來的租戶隔離影響，并在容器集群內統(tǒng)一配置嚴格的NetworkPolicy、8云原生安云原生安全下一代云原生可信架構客戶信任風險控制漏洞誤操作防止2)全鏈路可信身份傳遞安全可信：全鏈路可信身份傳遞，多層縱深防御，持續(xù)監(jiān)控與響應阿里云全員阿里云全員獨立憑證供應鏈可信驗證應用可信啟動流量網(wǎng)關固件啟動可信運行時可信覆蓋人群應用層網(wǎng)絡層主機層運行時防御切面應用間調用可信操作審計行為分析風控引擎機密容器機密計算可信計算存儲加密數(shù)據(jù)傳輸加密微隔離可信調用態(tài)控動管中主機層可記錄和傳遞硬件身份信息(哪臺機器),網(wǎng)絡層可記錄和傳遞網(wǎng)絡IP、端口等四9D防止內部誤操作：持續(xù)校驗請求流量是否可信，對內部操作進行充分審計，最大化增加誤操作的成本，并及時發(fā)現(xiàn)和處置。編碼環(huán)節(jié)所有產(chǎn)品研發(fā)人員在編碼時，必須嚴格遵守安全編碼規(guī)范，主動接入安全團隊設計并封裝的安全SDK,使用統(tǒng)一、標準化的安全修復方案，安裝安全IDE插件，預發(fā)環(huán)境安裝IAST灰盒插樁程序，確保業(yè)務經(jīng)過安全掃描，等等。在編碼環(huán)節(jié)，阿里云希望將多種風險扼殺在搖籃，核心措施包括：D對于編碼過程中極易出現(xiàn)的憑證泄漏風險，通過阿里云自研的零信任憑據(jù)輪轉技術，動測試環(huán)節(jié)阿里云自研了黑、白、灰盒安全掃描工具，并通過SPLC安全運營平臺嵌入整個研發(fā)流發(fā)布環(huán)節(jié)運維&監(jiān)控阿里云產(chǎn)品安全誕生之旅8云產(chǎn)品N安全SDK/基線巡檢可厭人工審核人工審核硬件安金硬件安金04產(chǎn)品內置安全基因，原生免疫自防御通過產(chǎn)品安全研發(fā)生命周期的全流程管控，阿里云將安全基因內置，讓產(chǎn)品具備面向已知風險的原生免疫能力；同時針對不同產(chǎn)品上線后面臨的不同風險特性，內置不同安全功能，讓產(chǎn)品具備自防御能力，讓客戶可以基于自身需求配置不同級別安全防護，便捷地完成自身安全建設與合規(guī)建設?！霸庖摺笔且粋€不斷進化的過程?；诓粩嗤晟频谋O(jiān)管合規(guī)要求與客戶使用過程中的真實訴求，阿里云一直在推動這套免疫系統(tǒng)的不斷“成長”。目前，阿里云十余條產(chǎn)品線已內置522項安全功能。遍布各個產(chǎn)品的安全能力節(jié)點，為客戶提供全流程、全產(chǎn)品品類的安全能力，面對風險如同開啟了“上帝視角”,單點威脅實現(xiàn)全網(wǎng)秒級協(xié)同，提升了全IT環(huán)境的風險反應和處理速度。為了推動這套免疫系統(tǒng)的不斷成熟，阿里云要求產(chǎn)品主要具備以下基本能力：D數(shù)據(jù)安全：產(chǎn)品具備全鏈路的數(shù)據(jù)保護方案，如數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份。D身份認證與權限控制：產(chǎn)品具備標準、靈活、可擴展、細粒度的身份權限體系，滿足客戶不同場景的身份與權限分配需求。安全分的計算基于平臺自動機制完成，在云資源安全配置、安全防御接入等領域可以100%通過自動化巡檢能力發(fā)現(xiàn)和清洗需要進行治理的數(shù)據(jù)表，配置完成后，自動刷新數(shù)據(jù)；無法進行自動計算的，如產(chǎn)品架構設計，在產(chǎn)品安全接口人上報并通過安全團隊審核率，降低安全研發(fā)工程師的使用難度。同時構建了十多個管控平臺，核心包括5個：資產(chǎn)平了阿里云的安全管理組織體系，共包含5個機構，包括風險管理委員會、安全管理體系領導評估和提高公司風險管理、內部控制和治理流程的有效性事業(yè)部或部門內員工兼任安全接口事業(yè)部安全接口人+部門安全接口人阿里云產(chǎn)品安全相關術語表B、RDS,云存儲OSS,云網(wǎng)絡SLB、CDN,