摘要：2019杭州云栖大会云安全峰会专场，由阿里云智能架构总监黄瑞瑞带来以“云上全栈数据安全保护体系建设”为题的演讲。本文首先对云上安全架构和云上数据安全架构进行了介绍；其次对数据安全生命周期进行了介绍；再次对云上数据安全的可靠、可控、可见三大要素进行了介绍；最后介绍了阿里云提供的业界领先的全面合规机制。

视频直播回顾(请点击“9.27.PM——云安全峰会”观看)

以下为精彩视频内容整理：

阿里云安全-云安全领导者

阿里云的数据安全保护体系和数据安全保护能力是市场上的领导者，一些数据能够证明这一点。第一是40%，即阿里云保护了中国超过40%的网站；第二是50亿次，每天阿里云成功抵御50亿次的攻击；第三个是50%，阿里云成功的防御了全中国超过一半的DDoS攻击；第四是100万，阿里云每天为超过100万的企业客户提供安全服务。阿里云帮助用户修复了超过833万次的安全漏洞，同时全年做了79次的整体应急响应。这些数字的背后体现了云安全整体的安全能力，这些安全能力造就了分析师和分析机构认同阿里云是中国公有云服务商安全评估的领导者，也是全球公有云服务商安全评估的卓越表现者。

云上安全架构

接下来，介绍一下整个云上的数据安全保护体系，首先看一下整体的云上安全架构，这个云上安全架构分了7个维度。架构最左边是云上用户侧的账户安全，还有云平台侧的安全管理。最右侧是用户侧的安全监控和运营，还有云平台本身的安全监控和运营。接下来介绍一下架构的中间区域，中间区域包含了虚拟化安全，也包含了云产品安全。阿里云希望人人都能够享受到*的安全保护，只要你是阿里云的用户，本身就享受到了物理安全、硬件安全、虚拟化安全和云产品提供的安全。接着往上是用户的4个维度，包含了用户的业务安全、应用安全、数据安全和基础安全。另外，用户侧不代表这些维度都需要用户来搞定，如果是阿里云的用户，当你用整体的云平台时，你的技术安全、业务安全等都可以用阿里云本身的云产品的能力、安全服务、安全产品来提供全面的保护。那么为什么说这些是用户侧的云上安全架构体系呢？是因为当阿里云提供了这些不同的能力、不同的产品、不同的服务的时候，是需要用户来遵循企业上云的最佳实践，包括白皮书上所描述的安全能力。

整个架构的焦点是用户数据安全，用户数据安全整体而言是分三个大的架构模块，第一是数据保护；第二是全链路加密；第三是密钥管理。在云上安全架构图中，无论是从横向看还是纵向看，用户的数据安全都是在最中间的，这个并不是巧合。为什么用户的数据安全是在用户的技术安全之上但是又在用户的应用安全之下呢？是因为需要用到用户基础的安全能力，也需要用到用户应用侧的安全能力，用这些能力进而保护云上数据，同时也需要利用账户安全，包括安全监控和运营能力。

数据安全生命周期

数据有自己的生命周期，在生命周期的各个节点中，我们对它的安全能力的要求到底是什么呢？首先当一个公司数据产生的时候，它必然要收集自己的数据，这个数据可能是云下的，也有可能是云上的。那需要什么样的安全能力呢？答案是需要对数据识别的安全能力。因为每一个人数据的敏感度，甚至每一行数据的敏感度都是不一样的，进而需要的保护也不一样。所以在一开始生成数据的时候，需要对数据进行识别，才能知道数据是否需要高等级增强的安全保护还是正常默认的安全保护。

第二个节点就是当有了数据之后，无论是在云上的点到点之间，还是从云下传输到云上，一定要有数据传输中的安全保护，这个安全保护能力是落在安全加密上，必须要有SSL证书服务，同时还可以用网关去构建一个安全的隧道，来实现对传输加密能力的要求。对于第三个节点和第四个节点而言，一个是数据处理，一个是数据交换。在这两个节点之中数据都得到了运算，都是被计算处理的，同时需要处理之后的结果，包括中间需要进行的交换。在这两个节点中，数据处理的节点需要的能力是什么呢？当然是数据的隔离。对数据进行隔离需要做到三点，一是从硬件的角度提供一些数据隔离能力，包括用到的神龙SGX实例；二是进行权限管控，权限管控就是为了数据保护而存在的；三是数据脱敏。第四个节点是数据交换，在权限管控和数据脱敏外，还需要数据泄露检测能力。第五个节点是数据存储，就是把数据放到云上来进行存储，需要全面的数据存储加密能力和密钥管控能力。第六个节点是数据销毁，数据销毁这个节点需要可靠的物理和数字手段做物理上的销毁和逻辑上的、数字上的清理。

云上数据安全架构

对于客户来说数据本身就是多维度的，有的数据需要得到高等级保护，有的并不需要，这个时候就需要多维的数据架构，云上数据安全架构这一块有4个横向的维度和4个纵向的维度。先说横向的维度，从底往上看，底下是云平台的数据安全，包含物理安全、硬件安全、虚拟化安全等。再往上一层是云产品数据安全，也就是说当使用云产品的时候，需要有可靠的手段、密钥管理、全链路加密进行支撑，同时我们的数据本身是要可用的，而且还要是可靠的。再往上一层是云上数据保护以及云上环境保护。

纵向是认证和授权管理，通过认证和授权管理能够提供访问控制。在这当中需要给出的是全面的日志监控和相对应的操作审计，需要有完整的帐号管理体系。

云上数据安全核心三要素

云上数据安全的核心三要素是可靠、可控、可见，接下来对这三要素进行详细的介绍。

可靠—可靠的保护机制

阿里云默认高安全等级基础设施

可靠其一是指可靠的数据安全保护机制，通过多维度来实现多维度的保护机制，第一个维度就是在阿里云上提供了默认的高安全等级基础设施，这些默认的高安全等级基础设施在硬件方面会做安全固件的检测，会进行可信的度量；在CPU层面会提供SGX的加密结算；在Hypervisor层面会有相对应严格的监控和审计*；在操作系统这一块会基于安全度量，会有动态的应用白名单、量和响应；在应用服务这一块会用到加密计算。

阿里云敏感数据保护服务

可靠其二是指阿里云的敏感数据保护能力，敏感数据保护能力需要具备三个能力，即敏感数据的识别、脱敏、防泄露检测。首先说一下识别，识别是指当数据产生的时候就需要知道这个数据是高敏感等级的还是低敏感等级的。若是高敏感等级，接下来需要对高敏感等级的数据进行相对应的数据脱敏，最后在使用数据的时候可以通过敏感数据保护服务来进行防泄露的检测。

阿里云数据全链路加密能力

可靠其三是指数据全链路的加密能力，当说到全链路时，一般来说业界提到的是在传输中和在存储中。但是其实这并不是全链路，全链路还有在计算行为中，当做传输的时候会有传输加密，做计算行为的时候可以给用户提供基于SGX的加密计算环境，最后当数据需要进行存储的时候在对完整的落盘存储中的数据加密保护。

数据加密实现的平衡选择

数字加密听起来还蛮高大上蛮复杂的，但是背后的原理非常的简单，当有数据明文、加密算法、密钥三者存在时，就能够得到数据密文。实现数据加密机制，实际上需要平衡复杂度和高成本，而且最重要的是要考虑可控性。

首先先看一下复杂度和高成本，复杂度和高成本其实是可以看到，如果想要把数据加密的机制实现在客户端或者云下，那么复杂度和成本就比较高的，如果想要在云上做这个东西的话它的复杂度就比较低。所以当说到高复杂度、高成本的时候，其实并不仅仅指的是加密本身的实现，因为加密算法本身已经是对外的一个公开算法。因此，真正实现加密机制本身有一定的技术门槛，但是还达不到高复杂度和高成本，而这个高复杂度和成本实际上是在密钥管理上。当在线下的时候每一个用户都需要有妥善的加密机对密钥进行管理，还需要有非常好的密钥整体的生命周期管理机制和相对应的保证，这一切都是去实现加密机制。

可控—可控的密钥管理

数据加密操作的可控性

可控指的是密钥管理可控，为什么这样说呢？先看一下很简单的公式，数据明文+加密算法+密钥=数据密文。数据明文是客观存在的，加密算法本身就是有相对应的标准、相对应的公开的算法的实现机制，最终就是密钥，在这三个要素里面必须要控制的就是密钥，加密算法是一个保险箱，谁有这一把钥匙就可以做操作，谁控制了这把钥匙就控制了操作也就控制了被保护的数据，所以数据密钥的保护非常的重要，这个控制权必须要交还给客户。为什么这样说呢？因为用户的数据只归属于用户，对于这个数据被保护后、被加密后的控制权也必须要交还给客户，这个时候就必须要通过机制来控制密钥。

云产品支持BYOK加密

在云产品支持BYOK加密的图中可以看到，用户可以自己生成密钥材料上传到三方认证的托管硬件加密机中，当主密钥一旦进入到加密机，加密机的设计就保证了硬件上这个密钥的明文不会从加密机出来。同时这个用户主密钥是用户的资源，任何的调用都需要通过用户的授权。当要进行操作的时候，用户是必须要先授权的。作为一个阿里云的用户，一定会授权给阿里云的一些云产品。那么这个控制权最终体现在哪里呢？体现在若授权给阿里云的云产品A，云产品B就不能够触碰到你的密钥，就不能够用你的密钥去解密你的数据。另外，授权给阿里的云产品可以去处理数据，用户随时可以把这个授权取消拿回来。当这个授权取消后，阿里云的云产品就不能够调用主密钥，以及对已经加密的数据进行操作了。所以用户的主密钥是用户的资源，就像用户的数据一样都是用户的资源，任何的调用都必须通过用户的授权。

密钥管理服务KMS：支持BYOK+托管HSM

现在，密钥管理服务KMS已经能够支持BYOK了，而且也在多个地域已经支持托管的HSM，可以看到在*北京上海地域，硬件加密机是通过了国内认证的。在*之外的香港、新加坡、悉尼等地是通过了FIPS140-2三级的合规认证，更多海外的Region也会在最近去推出托管HSM的能力。

云产品数据加密支持现状

接下来分享一下云产品对数据加密的支持现状，可以看到左侧云产品有存储的云产品、数据库的云产品、大数据处理的云产品，这张表上面有10个产品，17个不同的版本，也代表了阿里云具备支持全链路加密、全线加密的能力和决心。

可见—云平台内部日志透明化告别黑盒子

日志审计现状

可见是什么？可见是说云产品的内部操作能够透明化，让用户知道云平台侧发生了什么，彻底的告别黑盒子。首先看一下日志的现状，可以看到日志升级的现状已经有了非常多的云产品能够提供非常详细的产品侧的日志给到用户。同时通过操作审计产品，可以看到用户在控制台、命令行来做的所有的操作，帮助用户来收集它的操作来应对合规审计的需求。

日志审计现状限制

日志审计现状有一个限制，限制就是用户是无法感知云平台侧的内部操作，云平台的各类日志都可以给用户，但是云平台的运维的操作是不可见的。用户一定会产生疑问就是我的数据上云了，数据是不是会被云平台触碰到，还有就是本身购买的计算资源、存储资源等，是否会因云平台的操作而受到影响。用户的疑问通过内部操作透明化就可以完全解决掉。

内部操作透明化

内部操作透明化会对用户提供相对应的操作日志包括三大类，第一类是CUSTOMER_INITIATED_SUPPORT，是阿里云内部人根据用户授权的操作（如单位）；第二类是ALIYUN_INITIATED_SERVICE，是阿里云内部发起的操作，如宕机之后的恢复，还有集群的迁移；第三类是ALIYUN_INITITED_PENALTY，即如果有违法违规的情况存在，阿里云会根据国家相关的法律法规来进行相对应的处置。

内部操作透明化产品支持

目前这个OSS对象存储的内部操作透明化能力已经上线了，后续也会接入更多数据类的产品，比如说块存储等等。这个内部操作的透明化并没有任何的法律法规和合规要求，阿里云是中国第一家这样做的。打一个很简单的比方，你进到一个包子店想要吃包子，看到墙上有卫生的检测证没有问题，相当于有第三方的背书告诉你这是安全的。但是你发现旁边的包子铺不但有这些检测的证明，同时它的厨房是透明的是玻璃的，你能够看到他在干嘛，怎么包，怎么端到你的桌子上，此时你肯定会选择第二家。这就是我们要做的内部操作透明化的初衷，阿里云自愿的把我们的云平台的内部操作告诉客户，让客户知道在云平台侧发生了什么，从而提升他对云平台的安全感和信任感。

合规

ISO&CSA STAR证书

最后，必须要整个数据的保护是合规的，阿里云提供了业界领先的全面的合规的机制。

业内领先的全面合规资质

坚守数据隐私的保护是阿里云的第一原则，大家可以到阿里云的信任中心去看相对应的资质，下载相对应的报告。

阿里云安全白皮书4.0正式发布

阿里的云白皮书4.0版本在云安全峰会上正式发布，在这个4.0版本之中详细的定义了五横两纵的云上架构体系，总共有7个维度，7个维度下面有26个架构模块，每个架构模块下面又有不同的安全上的功能，一共有81个安全功能点。

企业上云安全最佳实践

基于阿里的安全白皮书，也推出了企业上云的安全指引概括，版本是1.0。主要是从用户的视角出发，从用户自身的特征来思考，让用户和阿里云团队一起来思考如何上云，如何去做，是一步一步的实操的操作书，希望通过依赖阿里云强大的原生的安全能力，来构建用户自身的安全保护体系。