编者按：

作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者，阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境，为用户提供全球最高等级的安全可信云。

导语

当今社会，提起「云计算」三个字，那可谓是无人不知，无人不晓。

但一提到核心业务上云，很多人就只剩下礼貌而不失尴尬的微笑了。

那么，究竟什么样的云可以让大家信任，一朵安全的云应该具有哪些特点呢？

云安全的四大骨骼

物理中心/基础平台/身份权限/数据分级

安全对于基础设施而言，如同万丈高楼平地起，地基直接决定了安全系数。安全底座没搭好，抗风险能力经不住考验。

在众多的安全功能里，一朵可信的云首先应当具备四根安全支柱：物理中心安全、基础平台安全、身份权限管控、数据分级规则。

01

云的诞生之地：数据中心物理环境安全

看似遨游于九天之上的云，安全之根仍需回归机房硬件。任你云平台安全功能做的多百花齐放，一个有预谋的社会工程攻击就能让你功亏一篑，应了那句老话：千里之行，始于足下。

任何一个物理数据中心，都可能遭遇花样繁多的物理攻击。

实际上，云的物理数据中心作为一切平台、服务的基础，比传统企业数据中心拥有更高的安全等级，它最起码需要做好：

物理安全：建房子，没有那么容易

大到机房选址、防火防盗防断电，小到电线、插座、加湿器，再到最新技术的液冷机房，都彰显着顶级数据中心的奢华和尊贵。

权限管控：想来没那么容易。

逃跑？想都别想。

无论是外部访问人员，内部员工，还是机房本体设计，都需遵守精密设计的最小权限原则。

容灾备份：删库跑路？不存在的

一个好的机房，既要不惧风吹雨打、日晒雨淋，还要学会“狡兔三窟”：异地/同城容灾，两地三中心，冗余机制......哪怕被外力破坏，也可以保护数据的绝对安全。

阿里云的数据中心已经面向全球四大洲，开放24个公有云地域、75个可用区、4个专属地域，可以实现用户同城/异地数据备份，冗余存储等能力。全副武装的物理数据中心，就像是两条健全的腿部骨骼，作为第一大支柱，帮助云坚实地迈向虚拟化。

02

云的“飞天”之路：基础平台安全

有了数据中心强大的支撑，通过给硬件服务器创建虚拟化层，并将虚拟机的计算、存储、网络等资源进行隔离，完成了性能与物理机的解绑，实现云上租户的分割，一个初步的云平台终于形成了。

而安全，自平台诞生之初，就应该如影随形，深度隐藏且难以察觉的威胁，最好的保护从源头开始。

硬件固件安全

作为云平台依赖的基础安全，硬件固件安全应当做到基线扫描、高性能GPU实例保护、BIOS固件验签、BMC固件保护等等能力，对安全进行加固。

可信之芯

面对深度隐藏且难以察觉的威胁，我们需要来自底层的保护，从源头上保障上层的不可篡改性。阿里云硬件服务器已植入可信芯片，通过可信根和可信链，构建起了硬件级别的可信环境，保证云上环境健康。

虚拟化安全

所谓“天下大势，分久必合合久必分”，一台台本是同根生的ECS，虽然遍布世界各地，但根系都彼此相连。所以针对虚拟化的安全加固、逃逸检测、补丁热修复、数据清零...等等安全能力，必不可少。

合规标准

一朵安全的云当然要获得全球各家权威机构的广泛好评和认可，才能经得起各行各业用户遇到的实际安全需求。

遍布世界的云平台，根系彼此相连，做好了上述这些，云平台才算是有了一个稳定的躯干，构建起一体化的可信环境，保持整个系统环境健康运转。

03

云的准入原则：身份&权限

作为信息时代的水电煤，云计算可以通过任何终端设备：电脑、笔记本、手机、Ipad.....进行连接访问。

传统架构下的互联网边界消失了，任何人+在任何地点+任何时间+通过任何设备+访问任何数据，如果仅仅以传统的防火墙、waf等单点的流量安全产品去防护，结果可能有点凉凉~~

云时代，身份信任能力和体系应运而生：

这些令人眼花缭乱的概念和产品背后，我们需要抓住身份体系的五大核心能力：

身份认证：确保是对的人

访问授权：确保访问的是对的资源

账号管理：确保授予的是对的权限

操作审计：确保及时发现异常访问

应用管理：确保云上云下身份的统一

只有做好云平台的身份管理，才能对每一次的访问、每一次的资源分配、每一次的权限授予，做出正确的抉择。它就像人的头骨一般，保护着大脑这个最核心的器官，用身份交织成的坚硬防护网，打造独特的属于云的边界防护体系。

04

云的写入规则：数据分类分级

数据，作为云上最重要的资产，没有之一，也是攻击者的终极目标。但是，先别急着聊数据安全防护，保护的前提是理解被保护者，我们首先要了解数据本身：数据是「不平等」的，不同的数据有不同的归属。

无论是结构化数据、非结构化文本还是图片文件，云上海量的数据需要先进行分类分级，才能有针对性地分类分级分层次管理。

云上一层一层的数据分级，就像人体骨骼的肋骨一样，以严密的体系帮云展开胸廓。

物理环境、平台安全、身份体系和数据分级，共同构建了云平台的安全骨骼，一朵安全的云已经逐渐成形。

云的安全神经网络

但是光有安全的骨架还远远不够，还需要一套完善的神经网络将云串联，才能让这些安全能力成为协同联动的有机整体。

这套系统应该有两个核心功能：调控能力：控制、调节各种安全能力、产品的活动，实现将安全能力融入到云的每一个设施、端口、节点中，提供全面综合的防御能力；分析学习能力：通过对不同信息的分析、综合与学习，对于不同的外部行为、攻击做出正确的反应，使云上安全成为一个有机的自适应系统。

而这套连接万物的有机系统，其实并不神秘，它就隐藏在云上的流量里、数据里、甚至漏洞修复里...

01

调控能力：建立云上动态防护机制

要说云服务的核心，流量，流量，还是流量！

而说到云上最核心的资产，数据，数据，还是数据！

数据和流量，这两个在云上飞速产生、流动、交换的核心，就像是遍布在人体各处的血脉、血管。被无数攻击者穷追不舍，被无数勒索软件苦苦追寻，一个不小心的趔趄或者擦挂，就会受伤流血，导致业务受损，在单点防护几乎不可能的情况下，只能进行系统调控。

如果类比人体呼吸系统，一起看看空气和血液的互动旅程：

第一是数据的采集安全，空气进入人体前确定氧气、二氧化碳、氮气……不同目的地，数据在进入云时，也需要识别分类。

第二是数据的传输安全，空气在人体流动，氧气会和血红细胞融合受到保护，数据整个传输链路全程加密，例如HTTPS协议，VPN/SAG网关、SSL证书等。

第三是数据的存储安全，红细胞存储着氧气，数据拥有个性化的密钥管理及密钥轮换体系。

第四是数据处理、交换安全，氧气和二氧化碳交换，源源不断供养给身体，数据在身份权限管控下，安全的交换共享。

第五是数据销毁，荷载废料的气体随着呼吸排出，对无用数据在保障隐私的前提下及时物理销毁。

云上数据，因为体系化的调控能力有机配合，是一个更天然的保护过程。

除此以外，在数据防护方面，云平台还应该具备几大核心能力：实现云平台环境可信、难以破解的加密能力、数据可用不可见，驱动智能、安全便捷的密钥管理服务。

而针对云上云下时时刻刻都在奔涌的流量，防护则更加需要细化。

除了前面提到的通过身份权限来对流量进行源头上的控制以外，还需要对云的各个节点做好防护：

流量的进出口：使用防火墙、WAF、抗DDoS等产品，对东西南北向流量进行把控。

CDN边缘计算、SLB负载均衡节点：打通相应的安全监测能力，实现安全能力和基础设施融合。

DMZ区：建立安全与非安全地带的缓冲。

流量准入逻辑：通过机器学习、大数据分析等能力实现恶意陆良自动化识别和拦截

当一朵云做好的了云上数据和流量的安全防护体系，那么它也实现了自我的蜕变升华：将安全的基因深深镌刻在云的每一个角落。

从ECS、存储、数据库，到网络、计算、身份，无不是生来就饱含着安全的元素，让用户上云即享受安全。

02

分析学习能力：安全的中枢神经

当一朵云做好以上的种种安全能力，它离“神功大成”只有一步之遥，但这也是整个过程中最核心的一步。

体现了云在安全上的不可替代性。

统一的端口方便信息的搜集处理以及策略的一键同步，强大的算力支撑着机器学习、AI、自动化等高级能力，实现真正的无感防御，而这些功能，构成了云安全的中枢神经系统。

要做好这个中枢神经系统，需要三大核心能力：

其一，不同云产品间协同联动

云上统一的Open API接口，可以实现数十条产品线内置安全能力联动，体现本是同根生的御敌优势。比如主机防护产品发现了一个新的安全警告，可以主动给外围设备下达指令，威胁情报可以通过API快速地分发给云内所有组件。就像是战火纷争下的狼烟传信，从边疆一路抵达王都，再由王都通知给四方属地，共同御敌。

.

其二，统一安全管理系统

一套体系内的威胁识别、分析、预警、溯源，高速度的完整闭环。

至此，一朵具备安全基因的云已初具雏形，但是它的安全之旅还远远没有结束。在安全骨骼框架和神经网络之下，还等待血肉的补充，机体的增强。

我们期待和云上用户、合作伙伴生态一起，让阿里云真正成为一朵最值得信赖的安全云。

结语

国际领先的云安全解决方案提供方，保护全国 40% 的网站，每天抵御 60 亿次攻击。

2020 年，国内唯一云厂商整体安全能力获国际三大机构（Gartner/Forrester/IDC）认可，以安全能力和市场份额的绝对优势占据领导者地位。

阿里云最早提出并定义云原生安全，持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力，和基础设施深度融合推动安全服务化，支持弹性、动态、复杂的行业场景，获得包括政府、金融、互联网等各行业用户认可。

作者 :阿里云安全

编辑：阿里云研究院内容运营主管 赵子千