携手共建云上安全
阿里云作为云服务提供方,主要负责数据中心的基础设施和云平台的安全合规,并根据服务方式,负责运行在飞天分布式云操作系统之上的虚拟化层和云产品层的安全。客户主要负责自身数据、应用和账户安全。
因服务类型而变化的安全责任
根据客户使用云服务方式的不同,双方责任侧重也有不同,协同机制如下:
IaaS
Infrastructure as a Service
IaaS
Infrastructure as a Service
  • 阿里云负责保障基础设施的安全,包括数据中心物理设施安全(全球多地域、多可用区架设的数据中心、骨干传输网络安全等)、数据中心运营安全、保障云平台和云产品安全合规;
  • 客户负责保障自建的云上应用和自身数据安全,包括正确开发和使用云上产品(含安全产品),配套与业务安全要求匹配的安全产品和管理机制,遵循最小权限原则管理权限,持续开展安全运营,保护业务和用户数据安全;
PaaS
Platform as a Service
PaaS
Platform as a Service
  • 阿里云负责保障阿里云数据中心基础设施和云平台安全:同IaaS服务;
  • 阿里云负责虚拟机操作系统安全、分担云上应用安全,提供安全策略,并引入第三方安全厂商,提供个性化的行业安全解决方案;
  • 客户负责自行开发部分的应用安全和自身数据安全,包括安全开发/使用云上产品(含安全产品),规范云服务账户及授权,持续开展安全运营,保障业务数据安全等;
SaaS
Software as a Service
SaaS
Software as a Service
  • 阿里云负责保障数据中心基础设施安全、云平台安全,分担云上安全策略等:同IaaS/PaaS服务;
  • 阿里云负责保障云上应用安全和网络访问策略安全;
  • 客户负责自身数据和账户安全,并配置适合的安全策略,确保应用和数据安全;
阿里云责任:构建安全上云的基石
稳定可信的云平台
阿里云平台作为企业数据中心的延伸,从物理层数据中心、硬件层芯片,到平台层存储、网络、计算,再到上层的虚拟化执行环境,基于TPM、vTPM、虚拟化Enclave技术,构建了基于神龙安全芯片的全隔离、高可信的计算环境,在公有云/混合云/边缘云等多种场景下均提供给客户安全可靠的平台环境;
原生一体化安全
融入安全特性的云平台:阿里云云原生平台10余条产品线,50+款产品已经融入522项核心安全能力;
更高等级的安全产品:云上丰富的数据源和数据量、强大的算力及一体化联动的优势,让高质量的数据分析成为可能,可形成有价值的关联图谱及威胁情报,有效提升云安全产品的检测能力;
持续安全运营
SDLC安全开发流程,守护云产品自身安全:阿里云自2006年即引入了「产品安全生命周期」概念,并已逐步实现自动化,实现在迭代发布数量100%增长基础上,外报漏洞数量降低了50%,为产品安全提供最坚实的保障;
常态化攻防体系:阿里云基于攻防思路,建设内部入侵检测团队,实现红蓝军常态化对抗,从攻击者视角出发,逆向测试平台安全性;
安全合规管理
作为亚太合规资质最多的云厂商之一,阿里云切实遵守并落实相应的国际国内法规,并将众多的合规标准融入云平台合规内控管理和产品设计中,提供给客户安全合规的平台环境;
客户责任:云上安全基线建设
身份与权利管理
身份管理是云安全的基石,构建完善的账号体系,应用最小授权原则、多因素认证、SSO等能力,也是构建零信任架构体系的重要部分。
云上负载安全
企业在云上使用的虚拟机、容器、Serverless等服务可统一视为工作负载,面临着各类安全问题和漏洞,需持续性威胁检测和安全扫描。
云上配置安全
企业对其所有云上所使用的账户、服务、产品…都需要进行正确的配置并设定相应基线。
云上数据安全
客户对其所有云上数据有所有权,也对其存储、使用、分享、更新等过程中的安全负责,包括敏感数据识别、数据分类分级、数据传输加密、数据访问控制等等。
云上应用流量安全
传统的边界在云上已被打破,内外网都有可能存在恶意流量,需要在各个节点对流量进行过滤,对接入进行控制。
相关资料参考
阿里云云上安全基线框架
阿里云云上安全基线框架:为企业提供Checklist级别的安全指引
协同互信构建新型安全体系,多方携手护航云上安全
协同互信:云上安全共享、共建