阿里云-产品安全基线白皮书

〔-〕阿里云阿里云产品安全基线SecurityBaselineSecurityBaseline101前言构建安全的云环境需要云厂商和客户共同努力。安全的云产品既能帮助用户最大程度地减少风险，也是打造透明可信云的第一步。基于DevSecOps理念，打破安全与研发流程间的壁垒，通过安全左移，实现产品研发质量与安全质量的一致性，拉齐产品安全基线，让客户上云后自动具备高安全等级，降低手动维护其安全性的难度和工作量，从而有更多的精力聚焦在高级安全威胁发现与自身业务发展。阿里云作为平台提供方，始终将确保自身产品安全视为重要使命之一。通过产品、研发、安全、运维一体化管理，自研丰富的安全工具，建立完善的运营机制，以标准化、线上化、自动化、数字可视化、智能化的方式，实现产品安全研发生命周期的全方位演进，让产品的安全性在客户无感知的情况下实现自我进化。阿里云产品安全基线白皮书2客户安全是第一优先级监管合规为基本准则原生防御为基本能力3产品生命周期管控为核心理念云产品的服务模式天然具备云的属性，如SaaS化交付、多租户共享等。因此，阿里云在制定产品安全基线时，首先会从云平台整体视角，将租户隔离、访问控制、身份认证与权限管理、数据安全、运维审计等云上特定问题放在首位。同时，攻防对抗不是单一环节的对抗，阿里云基于产品全生命周期的“饱和式救援”理念，落地DevSecOps,将丰富的安全工具和安全管控流程与产品研发全生命周期无缝集成，使最终安全效果不单纯依赖于任意单一环节，而是多环节协同，共同为风险发现负责。部署今安安全极致左移最大化控制实施成本三方机构调查显示，安全漏洞在发布上线后的治理成本是设计阶段治理的30倍。阿里云产品安全基线白皮书4安全成本安全成本D将租户隔离、应用鉴权等风险通过威胁建模前置到设计环节。印尼0JK,BI]物4团司阿里云(公共云和专有云)于2019年成为全国首批通过工信部云计算服务能力评估一级(最高级)的云服务商，质量管理体系|信息技术服务管理体系|业务连续性管理体系云基准测评全满贯中央网信办电子政务云(增强型)金融云(增强型)公安部网络安全等级保护等保三级：公共云(laaS、Paas、SaaS)电子政务云安全产品销售许可证(全国首批，双一级)国家市场监督管理总局中国网络安全审查技术与认证中心：国家密码管理局首批获得CNAS云产品国家实验室认证，多款产品达到业界最成员、国家信息安全通报技术支撑单位、国家重大活动网络安国内首家通过等保2.0四级测评的金融云，高弹性、高稳定、高安全的成熟基础设施，无需重复测评，大大降低企业等保合规复阿里云电子政务云防护，符合国家标准《信息安全技术云计算服务安网络风险状况评估电子商务隐私信息管理公有云个人身份信息欧洲遵守GDPR的评估GDPRValidationbyTru德国电子安全指引NESA美国〔-〕阿里云503产品安全研发生命周期基线概况阿里云通过将安全管控卡点植入产品研发流程，实现安全管控与产品研发同步启动、同步实施、同步完成。产品研发安全生命周期共有6个环节，包括：立项、设计、编码、测试、发布、运维&监控。阿里云在各个环节内置标准化审核流程和自动化安全工具，旨在将产品研发过程中的潜在风险扼杀在上线前，上线后及时发现与响应新的安全风险。安全团队职责●编写、更新、推送项目成员所需要的安全培训材料●根据业务形态设计威胁建模问卷·针对安全风险协助设计解决方案●评估整改方案合理性●提供安全编码方面的专家建议及规范●提供辅助安全编码的工具(安全SDK、安全IDE插件)●监督编译、发布流程接入SPLC安全流程●提供黑盒、白盒、灰盒、镜像安全、供应链安全扫描工具●核查过程中的ChecList是否完成●针对重点隐患进行人工审核·基于审核结果拒绝发布或允许发布●通过基线巡检、黑盒扫描、供应链安全监控周期性发现线上风险●推送安全漏洞给研发侧·基于人工渗透、ASRC、红蓝对抗机制发现线上系统的深层风险●对刻意的入侵情报进行排查跟进产品立项安全架构设计安全开发安全扫描安全评估卡点安全监控与应急响应产研团队职责完成培训任务并通过考试完成威胁建模问卷填写遵守安全编码规范接入安全SDK使用安全IDE插件修复审查过程中发现的安全漏洞遵守安全运维规范响应工作修复安全侧推送的漏洞，配合应急6覆盖人群覆盖内容目覆盖人群覆盖内容目标可接受的风险程度，明确安全责任边界。在开始产品研发工作前，产品线一号位、产品经安全培训管理者安全培训技术安全红线培训云账号/资源安全使用掌握安全技能及知识，承担所属岗位的安全职责7设计环节阿里云产品的架构评审完成率均达100%,威胁建模标准库中累积数百条风险判断规1)租户隔离风险治理在网络层，阿里云在不同类型业务间、不同产品间严格使用VPC进行默认隔离架构设源共享及调度带来的租户隔离影响，并在容器集群内统一配置严格的NetworkPolicy、8云原生安云原生安全下一代云原生可信架构客户信任风险控制漏洞误操作防止2)全链路可信身份传递安全可信：全链路可信身份传递，多层纵深防御，持续监控与响应阿里云全员阿里云全员独立凭证供应链可信验证应用可信启动流量网关固件启动可信运行时可信覆盖人群应用层网络层主机层运行时防御切面应用间调用可信操作审计行为分析风控引擎机密容器机密计算可信计算存储加密数据传输加密微隔离可信调用态控动管中主机层可记录和传递硬件身份信息(哪台机器),网络层可记录和传递网络IP、端口等四9D防止内部误操作：持续校验请求流量是否可信，对内部操作进行充分审计，最大化增加误操作的成本，并及时发现和处置。编码环节所有产品研发人员在编码时，必须严格遵守安全编码规范，主动接入安全团队设计并封装的安全SDK,使用统一、标准化的安全修复方案，安装安全IDE插件，预发环境安装IAST灰盒插桩程序，确保业务经过安全扫描，等等。在编码环节，阿里云希望将多种风险扼杀在摇篮，核心措施包括：D对于编码过程中极易出现的凭证泄漏风险，通过阿里云自研的零信任凭据轮转技术，动测试环节阿里云自研了黑、白、灰盒安全扫描工具，并通过SPLC安全运营平台嵌入整个研发流发布环节运维&监控阿里云产品安全诞生之旅8云产品N安全SDK/基线巡检可厌人工审核人工审核硬件安金硬件安金04产品内置安全基因，原生免疫自防御通过产品安全研发生命周期的全流程管控，阿里云将安全基因内置，让产品具备面向已知风险的原生免疫能力；同时针对不同产品上线后面临的不同风险特性，内置不同安全功能，让产品具备自防御能力，让客户可以基于自身需求配置不同级别安全防护，便捷地完成自身安全建设与合规建设。“原生免疫”是一个不断进化的过程。基于不断完善的监管合规要求与客户使用过程中的真实诉求，阿里云一直在推动这套免疫系统的不断“成长”。目前，阿里云十余条产品线已内置522项安全功能。遍布各个产品的安全能力节点，为客户提供全流程、全产品品类的安全能力，面对风险如同开启了“上帝视角”,单点威胁实现全网秒级协同，提升了全IT环境的风险反应和处理速度。为了推动这套免疫系统的不断成熟，阿里云要求产品主要具备以下基本能力：D数据安全：产品具备全链路的数据保护方案，如数据加密、数据脱敏、数据备份。D身份认证与权限控制：产品具备标准、灵活、可扩展、细粒度的身份权限体系，满足客户不同场景的身份与权限分配需求。安全分的计算基于平台自动机制完成，在云资源安全配置、安全防御接入等领域可以100%通过自动化巡检能力发现和清洗需要进行治理的数据表，配置完成后，自动刷新数据；无法进行自动计算的，如产品架构设计，在产品安全接口人上报并通过安全团队审核率，降低安全研发工程师的使用难度。同时构建了十多个管控平台，核心包括5个：资产平了阿里云的安全管理组织体系，共包含5个机构，包括风险管理委员会、安全管理体系领导评估和提高公司风险管理、内部控制和治理流程的有效性事业部或部门内员工兼任安全接口事业部安全接口人+部门安全接口人阿里云产品安全相关术语表B、RDS,云存储OSS,云网络SLB、CDN,