2. 程式人生 > >如何保障雲上資料安全?一文詳解雲原生全鏈路加密

如何保障雲上資料安全?一文詳解雲原生全鏈路加密

阿新 發佈:2019-12-14

點選下載《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》

本文節選自《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》一書,點選上方圖片即可下載!

作者
李鵬(壯懷)阿里雲容器服務高階技術專家
黃瑞瑞  阿里雲技術架構部資深技術專家

導讀:對於雲上客戶而言,其雲上資料被妥善的安全保護是其最重要的安全需求,也是雲上綜合安全能力最具象的體現。本文作者將從雲安全體系出發,到雲資料安全,再到雲原生安全體系對全鏈路加密進行一次梳理,從而回答:在雲原生時代,全鏈路加密需要做什麼?如何做到?以及未來要做什麼?

什麼是雲原生全鏈路加密

資料安全在雲上的要求,可以用資訊保安基本三要素 "CIA"來概括,即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

  • 機密性專指受保護資料只可以被合法的(或預期的)使用者可訪問,其主要實現手段包括資料的訪問控制、資料防洩露、資料加密和金鑰管理等手段;
  • 完整性是保證只有合法的(或預期的)使用者才能修改資料,主要通過訪問控制來實現,同時在資料的傳輸和儲存中可以通過校驗演算法來保證使用者資料的完整性;
  • 資料的可用性主要體現在雲上環境整體的安全能力、容災能力、可靠度,以及雲上各個相關係統(儲存系統、網路通路、身份驗證機制和許可權校驗機制等等)的正常工作保障。

在三要素中,第一要素機密性(Confidentiality)最常見也是最常被要求的技術實現手段就是資料加密。具體到雲原生維度,需要實現的就是雲原生的全鏈路加密能力。

“全鏈路”指的是資料在傳輸 (in Transit,也叫 in-motion)、計算 (Runtime,也叫 in-process),儲存 (in storage,也叫 at-rest) 的過程,而“全鏈路加密”指的是端到端的資料加密保護能力,即從雲下到雲上和雲上單元之間的傳輸過程、到資料在應用執行時的計算過程(使用/交換),和到資料最終被持久化落盤的儲存過程中的加密能力。

• 資料傳輸 (資料通訊加密,微服務通訊加密,應用證書和金鑰的管理);
• 資料處理(執行時安全沙箱 runV, 可信計算安全沙箱 runE);
• 資料儲存 (雲原生儲存的 CMK/BYOK 加密支援、密文/金鑰的儲存管理、容器映象的儲存加密、容器操作/審計日誌安全)。

本文中的技術描述針對的是在雲原生全鏈路加密中已有的和未來需要實現的技術目標。

雲安全 > 雲資料安全 > 雲原生全鏈路加密

雲安全

針對使用者群體的不同,對安全鏈路有不同的層次定義,雲安全涵蓋了雲客戶安全和雲廠商安全在 IaaS 的軟體、硬體以及物理資料中心等的安全。

  • 雲原生客戶(Cloud Native Customer)安全
    • 應用安全
    • 操作安全
    • 商業安全
    • 容器網路安全
    • 容器資料安全
    • 容器執行時安全
  • 雲客戶(Cloud Customer)安全
  • 雲廠商(Cloud IaaS DevOps)安全

雲原生安全

雲原生安全首先需要遵循雲資料安全標準,在複用了雲基礎架構安全能力的前提下,同時在安全執行時,軟體供應鏈上有進一步的安全支援。

雲原生儲存是通過宣告式 API 來描述了雲資料的生命週期,並不對使用者透出底層 IaaS 的資料加密細節。不同的雲原生儲存一般作為雲資料的載體,複用了雲 IaaS 基礎安全能力,還需要包括軟體供應鏈中的映象安全,和容器執行時 root 檔案系統安全和容器網路安全。

  • 雲原生安全的執行時 = 資料處理過程中的計算安全,記憶體安全,檔案系統安全和網路安全
  • 雲原生軟體供應鏈安全 = 可執行檔案/使用者程式碼安全 
  • 雲原生基礎架構的安全 = 雲資料儲存安全

雲資料安全

雲使用者資料安全包括以下的三個方面的工作:

  • 資料保護:RAM ACL 控制細粒度的資料的訪問許可權;敏感資料保護(Sensitive
    Data Discovery and Protection,簡稱 SDDP)、資料脫敏、資料分級分類。

  • 資料加密:CMK 加密資料能力;BYOK 加密資料能力。

  • 金鑰/密文管理:KMS/HSM 等雲服務;三方 Vault 服務。

資料安全的生命週期

為了更好的理解資料保護,需要對資料安全的生命週期有一個瞭解,因為資料保護貫穿於整個的資料生命週期:

  • 資料收集
  • 資料傳輸
  • 資料處理
  • 資料交換
  • 資料儲存
  • 資料銷燬

雲原生資料生命週期,以 ACK(容器服務 Kubernetes)掛載阿里云云盤為例:

  • 雲盤 PV 的申明和建立定義了資料,雲盤資料的加密需要在申明定義中就體現,對金鑰匙選擇、加密演算法選擇都可以申明式支援,RAM 許可權細粒度遵循最小許可權;
  • 雲盤掛載到虛擬機器通過 PVC 在容器組 Pod 引用得以觸發和實現;
  • 雲盤資料的解密通過使用者 CMK/BYOK 在塊裝置上實現透明加密解密;
  • Pod 生命週期的變化導致 PVC 關聯雲盤在不同宿主 ECS 上的 Detach/Attach;
  • 對 PV 的 Snapshot 生命觸發了雲盤 Snapshot 的建立;
  • PV 的刪除可以通過 OnDelete 關聯到雲盤的中止和資料的刪除。

全鏈路的資料安全

在狹義上來說是對資料端到端的加密,主要集中在了資料生命週期中的三個階段:

  • 資料傳輸
  • 資料處理
  • 資料儲存

資料傳輸階段

安全通訊設計,密文/金鑰的安全管理和傳輸,既要滿足雲環境下的安全傳輸、雲原生引入的容器網路、微服務、區塊鏈場景,又對雲原生資料安全傳輸提出了進一步的要求。

  • 雲安全傳輸

在雲環境下 VPC/安全組的使用,密文/金鑰的安全管理 KMS 南北向流量通過 SSL 證書服務獲取可信有效的 CA,對南北流量實現 HTTPS 加密和解除安裝,以及對 RPC/gRPC 通訊使用 SSL 加密, 減小 VPC 的攻擊面,通過 VPN/SAG Gateway 來實現安全訪問鏈路。

  • 雲原生安全傳輸

雲原生場景,單一叢集允許多租戶的同時共享網路、系統元件許可權控制、資料通訊加密、證書輪轉管理,多租場景下東西流量的網路隔離、網路清洗;雲原生微服務場景,應用/微服務間通訊加密,和證書管理;雲原生場景下金鑰、密文的獨立管理和三方整合、KMS 與 Vault CA, fabric-ca, istio-certmanager 等的整合。

資料處理階段

資料處理階段,對記憶體級的可信計算,既有云安全虛擬化安全執行的要求,又有容器安全沙箱和可信安全沙箱的需求。

  • 雲安全虛擬化可信計算:TEE SGX;ARM Trust Zone;
  • 雲原生容器安全沙箱:runV Kata 安全容器沙箱 ;runE Graphane/Occlum 可信安全沙箱。

資料儲存階段

既有云安全對雲端儲存加密、雲資料服務加密需求,又有對容器映象儲存加密,審計日誌、應用日誌加密和三方整合的需求,以及對密文密碼的不落盤儲存支援。

雲端儲存加密方式:

  • 資料 + 加密演算法 + 使用者金鑰或主金鑰;
  • 客戶端加密/服務端加密。

雲端儲存資料,以服務端加密為主;安全的金鑰管理 KMS/HSM;安全的加密演算法,全面支援國產演算法以及部分國際通用密碼演算法,滿足使用者各種加密演算法需求:

  • 對稱密碼演算法:支援 SM1、SM4、DES、3DES、AES;
  • 非對稱密碼演算法:支援 SM2、RSA(1024-2048);
  • 摘要演算法:支援 SM3、SHA1、SHA256、SHA384。

阿里雲只能管理裝置硬體,主要包括監控裝置可用性指標、開通、停止服務等。金鑰完全由客戶管理,阿里雲沒有任何方法可以獲取客戶金鑰。

雲端儲存加密支援:

  • 塊儲存 EBS 雲盤:支援虛擬機器內部使用的塊儲存裝置(即雲盤)的資料落盤加密,確保塊儲存的資料在分散式系統中加密存放,並支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 物件儲存 OSS:支援服務端和客戶端的儲存加密能力。在服務端的加密中,支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;在客戶端的加密中,支援使用使用者自管理金鑰進行加密,也支援使用使用者 KMS 內的主金鑰進行客戶端的加密;
  • RDS 資料庫的資料加密:RDS 資料庫的多個版本通過透明加密(Transparent
    Data Encryption,簡稱 TDE)或雲盤例項加密機制,支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 表格儲存 OTS:支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 檔案儲存 NAS:支援使用服務金鑰作為主金鑰進行資料加密;
  • MaxCompute 大資料計算:支援使用服務金鑰作為主金鑰進行資料加密;
  • 操作日誌,審計日誌的安全儲存,以及三方日誌系統整合。

雲原生儲存加密:目前阿里雲容器服務 ACK 可以託管的主要以塊儲存、檔案儲存和物件儲存為主,其他型別的 RDS、OTS 等資料服務是通過 Service Broker 等方式支援。

  • 使用者容器映象/程式碼 (企業容器映象服務,OSS CMK/BYOK 加密);
  • 雲原生儲存卷 PV(申明式支援雲端儲存的 CMK/BYOK 以及資料服務層的加密支援);
  • 操作日誌和審計日誌 (ActionTrail OpenAPI/Kubernetes AuditLog: SLS 日誌加密);
  • 密文密碼 (KMS/Vault 對密文的三方加密支援和記憶體儲存,非 etcd 持久化)。

結論

雲原生全鏈路的資料安全、雲安全體系下的全鏈路加密已經成為了基礎配置,新的容器化基礎架構和應用架構的變化,結合雲原生技術體系的特徵,在資料傳輸、資料處理、資料儲存階段都需要增加相應雲原生環境對網路、執行時、儲存的全鏈路加密需求。

  • 既要滿足雲環境下的安全傳輸、雲原生引入的容器網路、微服務、區塊鏈場景,又對雲原生資料安全傳輸提出了進一步的要求;
  • 既有云安全虛擬化安全執行的要求,又有容器安全沙箱,可信安全沙箱的需求;
  • 既有云安全對雲端儲存加密、雲資料服務加密需求,又有對容器映象儲存加密、審計日誌、應用日誌加密和三方整合的需求,以及對密文密碼的不落盤儲存的支援。

本書亮點

  • 雙11 超大規模 K8s 叢集實踐中,遇到的問題及解決方法詳述
  • 雲原生化最佳組合:Kubernetes+容器+神龍,實現核心系統 100% 上雲的技術細節
  • 雙 11 Service Mesh 超大規模落地解決方案

“阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐,做最懂雲原生開發者的技術圈。”

相關推薦

如何保障資料安全原生加密

點選下載《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》 本文節選自《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》一書,點選上方圖片即可下載! 作者 李鵬(壯懷)阿里雲容器服務高階技術專家 黃瑞瑞  阿里雲技術架構部資深技術專家 導讀:對於雲上客戶而言,其雲上資料被妥善的安全保護是其

資料安全保護指南

阿里雲資深安全專家黃瑞瑞 本方案的目標是為使用者提供從底層雲平臺數據安全到上層的雲上環境保護,並標明各層次模組,讓使用者可以像建房子一樣,一層層的搭建可信的在雲上資料的安全保護。在各橫向層次模組之外,雲上資料安全也需要縱向的認證、授權、訪問控制和日誌審計功能,從而為客戶提供可控和合規的雲上

大規模資料計算處理原理及操作重點

摘要: 大資料技術主要針對的是大規模資料的計算處理問題,那麼要想解決的這一問題,首先要解決的就是大規模資料的儲存問題。 一、RAID技術 大資料技術主要針對的是大規模資料的計算處理問題,那麼要想解決的這一問題,首先要解決的就是大規模資料的儲存問題。大規模資料儲存要解決的核心問題有三個方面:

資料安全

經常看到網路上曝光某某平臺有敏感資料洩漏,是否擔心過自己的系統也存在同樣的風險?是否因為資料安全隱患而不敢上雲?我現在告訴您雲上其實有更加全面的資料防護方案,而且更加容易操作,2小時的線上學習幫您解決這些困擾。 通過本認證課程,你將: · 瞭解資料應該從哪些方面進行安

達觀資料桂洪冠:達觀資料知識圖譜技術與應用

本文根據達觀資料桂洪冠在“達觀杯”文字智慧處理挑戰賽期間的技術直播分享整理而成,內容略有刪減。 ▌一、知識圖譜的概述 我們先直觀的來看一下什麼是知識圖譜,下面有一張圖,從這張圖裡可以看到,這個圖裡圓圈是節點,節點之間有一些帶箭頭的邊來連成,這個節點實際上相當於知識

阿里安全肖力:資料安全體系建設的六要素

高等級的雲上資料安全體系到底是如何做的?6月29日,在第二屆資料安全峰會上,阿里雲智慧安全事業部總經理肖力給出了答案。肖力指出,雲上資料安全建設是一個系統工程,最主要的六大方面是減少攻擊面、正確的產品安全策略配置、統一的身份認證授權、資料加密、資料防洩漏、日誌審計。    

JAVA學習路線圖(

-h 基礎 tex 蝸牛 學習路線 jdbc sql https ase 此乃是java攻城獅的學習路線圖,由簡到繁,由易到難,一步步的學習,最後成為JAVA攻城獅。 階段1 1:學習HTML 2:學習CSS 3:JavaScript

python的類方法,普通方法和靜態方法

http 接下來 方法調用 pytho 類和實例 訪問類 靜態 都是 com   首先形式上的區別,實例方法隱含的參數為類實例self,而類方法隱含的參數為類本身cls。 靜態方法無隱含參數,主要為了類實例也可以直接調用靜態方法。   所以邏輯上,類方法被類調用,實例方法

資損率全球最低!「螞蟻風險大腦」

小螞蟻說: 螞蟻風險大腦是 螞蟻金服結合自身10多年的風險攻防經驗,利用人工智慧、雲端計算、區塊鏈等領先科技手段,融合各地金融監管實踐研發的智慧監管科技系統。  在 9 月的雲棲 ATEC 大會上,螞蟻金服正式開放螞蟻風險大腦 2.0,螞蟻金服的理念是普惠金融,希望把自身的風控技術、風

卷積和逆卷積

文章目錄 一文詳解卷積和逆卷積 卷積運算 單通道 多通道 卷積運算的引數計算 逆卷積 卷積運算的矩陣實現 參考資料 一文詳解卷積和逆卷積 卷積神經

OceanBase 2.0 的“全域性索引”功能

OB君:本文是 “ OceanBase 2.0 技術解析系列” 的第九篇文章。今天我們來聊聊2.0的全域性索引功能。本文將帶你簡單回顧全域性索引的概念,並詳細介紹OceanBase 2.0版本如何實現全域性索引的功能。更多精彩關注OceanBase公眾號持續訂閱本系列內容! 前言 在資料庫領域

TCP

記得以前面試的時候被面試官問起TIME_WAIT有什麼痛點,當時只記得TCP三次握手、四次揮手之類的,至於其中的某個狀態還真是記不起來,之前也沒有過多關注過,還有對於擁塞控制的概念也比較模糊。 TCP報文格式 TCP大家都知道是什麼東西,這個協議的具體報文格式如下: 標

EAForest區塊

EAForest是一個以去中心化託管清算技術和先進的交易底層技術打造的、具有獨特核心競爭力的開放量化交易平臺,具備資產安全、交易可信、橫向效能擴充套件等重點優勢。   EAForest主要面向已經或者正在準備經營區塊鏈資產交易業務的合作伙伴提供技術和營運服務,合作伙伴通過EAForest開放平臺

“單例模式”及其python語言的實現

一、什麼是“單例模式”——一個例項 單例模式(Singleton Pattern)是一種常用的軟體設計模式,該模式的主要目的是確保某一個類只有一個例項存在。當你希望在整個系統中,某個類只能出現一個例項時,單例物件就能派上用場。 單例模式涉及到一個單一的類,該類負責建立自己的物

NGram語言模型以及困惑度perplexity

  歡迎關注“勇敢AI”公眾號,更多python學習、資料分析、機器學習、深度學習原創文章與大家分享,還有更多電子資源、教程、資料集下載。勇敢AI,一個專注於人工智慧AI的公眾號。 ==========================================

matplotlib的配置檔案以及配置方式

歡迎關注“勇敢AI”公眾號,更多python學習、資料分析、機器學習、深度學習原創文章與大家分享,還有更多電子資源、教程、資料集下載。勇敢AI,一個專注於人工智慧AI的公眾號。 ===================================================

高效能伺服器架構設計

引言 本文從一個簡單的伺服器架構,通過討論出現的問題,進行一步一步優化,最後進化成高效能分散式伺服器架構。 初始情況:一個典型的伺服器結構 新增資料訪問層DAL,解決超出連線次數的問題 新增快取,減少與資料庫建立連線 即使添加了DAL,但是資料

“抽象工廠模式”以及python語言的實現

一、什麼是“抽象工廠模式”——Abstract Factory Pattern 其實所謂的抽象工廠模式,是在前面講解過的“簡單工廠模式”、“工廠方法模式”的基礎之上進行擴充的。回憶前面的這兩種模式,我們可以得出: 工廠模式:針對一個系列的類(比如Circle、Rectangl

“工廠方法模式”以及python語言的實現

一、什麼是“工廠方法模式”——Factory_Method Pattern 概念解析:有的設計模式資料裡面,可能將“工廠方法模式”與上所講的“簡單工廠模式”混為一談,或者是將兩者的概念合併,本文還是將二者分開處理的。 工廠方法模式 是對簡單工廠模式的一個延伸,所以它們誕生的背

“工廠模式”以及python語言的實現

一、什麼是“工廠模式”——factory pattern 工廠模式,也稱之為“簡單工廠模式”或者是“靜態工廠模式” 工廠模式(Factory Pattern)是 程式設計中 中最常用的設計模式之一。這種型別的設計模式屬於建立型模式,它提供了一種建立物件的最佳方式。在工廠模式