點擊下載《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》
本文節選自《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》一書,點擊上方圖片即可下載!
作者
李鵬(壯懷)阿里雲容器服務高級技術專家
黃瑞瑞 阿里雲技術架構部資深技術專家
導讀:對於雲上客戶而言,其雲上數據被妥善的安全保護是其最重要的安全需求,也是雲上綜合安全能力最具象的體現。本文作者將從雲安全體系出發,到雲數據安全,再到雲原生安全體系對全鏈路加密進行一次梳理,從而回答:在雲原生時代,全鏈路加密需要做什麼?如何做到?以及未來要做什麼?
什麼是雲原生全鏈路加密
數據安全在雲上的要求,可以用信息安全基本三要素 "CIA"來概括,即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
- 機密性專指受保護數據只可以被合法的(或預期的)用戶可訪問,其主要實現手段包括數據的訪問控制、數據防泄露、數據加密和密鑰管理等手段;
- 完整性是保證只有合法的(或預期的)用戶才能修改數據,主要通過訪問控制來實現,同時在數據的傳輸和存儲中可以通過校驗算法來保證用戶數據的完整性;
- 數據的可用性主要體現在雲上環境整體的安全能力、容災能力、可靠度,以及雲上各個相關係統(存儲系統、網絡通路、身份驗證機制和權限校驗機制等等)的正常工作保障。
在三要素中,第一要素機密性(Confidentiality)最常見也是最常被要求的技術實現手段就是數據加密。具體到雲原生維度,需要實現的就是雲原生的全鏈路加密能力。
“全鏈路”指的是數據在傳輸 (in Transit,也叫 in-motion)、計算 (Runtime,也叫 in-process),存儲 (in storage,也叫 at-rest) 的過程,而“全鏈路加密”指的是端到端的數據加密保護能力,即從雲下到雲上和雲上單元之間的傳輸過程、到數據在應用運行時的計算過程(使用/交換),和到數據最終被持久化落盤的存儲過程中的加密能力。
• 數據傳輸 (數據通信加密,微服務通信加密,應用證書和密鑰的管理);
• 數據處理(運行時安全沙箱 runV, 可信計算安全沙箱 runE);
• 數據存儲 (雲原生存儲的 CMK/BYOK 加密支持、密文/密鑰的存儲管理、容器鏡像的存儲加密、容器操作/審計日誌安全)。
本文中的技術描述針對的是在雲原生全鏈路加密中已有的和未來需要實現的技術目標。
雲安全 > 雲數據安全 > 雲原生全鏈路加密
雲安全
針對用戶羣體的不同,對安全鏈路有不同的層次定義,雲安全涵蓋了雲客戶安全和雲廠商安全在 IaaS 的軟件、硬件以及物理數據中心等的安全。
- 雲原生客戶(Cloud Native Customer)安全
- 應用安全
- 操作安全
- 商業安全
- 容器網絡安全
- 容器數據安全
- 容器運行時安全
- 雲客戶(Cloud Customer)安全
- 雲廠商(Cloud IaaS DevOps)安全
雲原生安全
雲原生安全首先需要遵循雲數據安全標準,在複用了雲基礎架構安全能力的前提下,同時在安全運行時,軟件供應鏈上有進一步的安全支持。
雲原生存儲是通過聲明式 API 來描述了雲數據的生命週期,並不對用戶透出底層 IaaS 的數據加密細節。不同的雲原生存儲一般作爲雲數據的載體,複用了雲 IaaS 基礎安全能力,還需要包括軟件供應鏈中的鏡像安全,和容器運行時 root 文件系統安全和容器網絡安全。
- 雲原生安全的運行時 = 數據處理過程中的計算安全,內存安全,文件系統安全和網絡安全
- 雲原生軟件供應鏈安全 = 可執行文件/用戶代碼安全
- 雲原生基礎架構的安全 = 雲數據存儲安全
雲數據安全
雲用戶數據安全包括以下的三個方面的工作:
-
數據保護:RAM ACL 控制細粒度的數據的訪問權限;敏感數據保護(Sensitive
Data Discovery and Protection,簡稱 SDDP)、數據脫敏、數據分級分類。 -
數據加密:CMK 加密數據能力;BYOK 加密數據能力。
- 密鑰/密文管理:KMS/HSM 等雲服務;三方 Vault 服務。
數據安全的生命週期
爲了更好的理解數據保護,需要對數據安全的生命週期有一個瞭解,因爲數據保護貫穿於整個的數據生命週期:
- 數據收集
- 數據傳輸
- 數據處理
- 數據交換
- 數據存儲
- 數據銷燬
雲原生數據生命週期,以 ACK(容器服務 Kubernetes)掛載阿里云云盤爲例:
- 雲盤 PV 的申明和創建定義了數據,雲盤數據的加密需要在申明定義中就體現,對密鑰匙選擇、加密算法選擇都可以申明式支持,RAM 權限細粒度遵循最小權限;
- 雲盤掛載到虛擬機通過 PVC 在容器組 Pod 引用得以觸發和實現;
- 雲盤數據的解密通過用戶 CMK/BYOK 在塊設備上實現透明加密解密;
- Pod 生命週期的變化導致 PVC 關聯雲盤在不同宿主 ECS 上的 Detach/Attach;
- 對 PV 的 Snapshot 生命觸發了雲盤 Snapshot 的創建;
- PV 的刪除可以通過 OnDelete 關聯到雲盤的中止和數據的刪除。
全鏈路的數據安全
在狹義上來說是對數據端到端的加密,主要集中在了數據生命週期中的三個階段:
- 數據傳輸
- 數據處理
- 數據存儲
數據傳輸階段
安全通信設計,密文/密鑰的安全管理和傳輸,既要滿足雲環境下的安全傳輸、雲原生引入的容器網絡、微服務、區塊鏈場景,又對雲原生數據安全傳輸提出了進一步的要求。
- 雲安全傳輸
在雲環境下 VPC/安全組的使用,密文/密鑰的安全管理 KMS 南北向流量通過 SSL 證書服務獲取可信有效的 CA,對南北流量實現 HTTPS 加密和卸載,以及對 RPC/gRPC 通信使用 SSL 加密, 減小 VPC 的***面,通過 ***/SAG Gateway 來實現安全訪問鏈路。
- 雲原生安全傳輸
雲原生場景,單一集羣允許多租戶的同時共享網絡、系統組件權限控制、數據通信加密、證書輪轉管理,多租場景下東西流量的網絡隔離、網絡清洗;雲原生微服務場景,應用/微服務間通信加密,和證書管理;雲原生場景下密鑰、密文的獨立管理和三方集成、KMS 與 Vault CA, fabric-ca, istio-certmanager 等的集成。
數據處理階段
數據處理階段,對內存級的可信計算,既有云安全虛擬化安全運行的要求,又有容器安全沙箱和可信安全沙箱的需求。
- 雲安全虛擬化可信計算:TEE SGX;ARM Trust Zone;
- 雲原生容器安全沙箱:runV Kata 安全容器沙箱 ;runE Graphane/Occlum 可信安全沙箱。
數據存儲階段
既有云安全對雲存儲加密、雲數據服務加密需求,又有對容器鏡像存儲加密,審計日誌、應用日誌加密和三方集成的需求,以及對密文密碼的不落盤存儲支持。
雲存儲加密方式:
- 數據 + 加密算法 + 用戶密鑰或主密鑰;
- 客戶端加密/服務端加密。
雲存儲數據,以服務端加密爲主;安全的密鑰管理 KMS/HSM;安全的加密算法,全面支持國產算法以及部分國際通用密碼算法,滿足用戶各種加密算法需求:
- 對稱密碼算法:支持 SM1、SM4、DES、3DES、AES;
- 非對稱密碼算法:支持 SM2、RSA(1024-2048);
- 摘要算法:支持 SM3、SHA1、SHA256、SHA384。
阿里雲只能管理設備硬件,主要包括監控設備可用性指標、開通、停止服務等。密鑰完全由客戶管理,阿里雲沒有任何方法可以獲取客戶密鑰。
雲存儲加密支持:
- 塊存儲 EBS 雲盤:支持虛擬機內部使用的塊存儲設備(即雲盤)的數據落盤加密,確保塊存儲的數據在分佈式系統中加密存放,並支持使用服務密鑰和用戶自選密鑰作爲主密鑰進行數據加密;
- 對象存儲 OSS:支持服務端和客戶端的存儲加密能力。在服務端的加密中,支持使用服務密鑰和用戶自選密鑰作爲主密鑰進行數據加密;在客戶端的加密中,支持使用用戶自管理密鑰進行加密,也支持使用用戶 KMS 內的主密鑰進行客戶端的加密;
- RDS 數據庫的數據加密:RDS 數據庫的多個版本通過透明加密(Transparent
Data Encryption,簡稱 TDE)或雲盤實例加密機制,支持使用服務密鑰和用戶自選密鑰作爲主密鑰進行數據加密; - 表格存儲 OTS:支持使用服務密鑰和用戶自選密鑰作爲主密鑰進行數據加密;
- 文件存儲 NAS:支持使用服務密鑰作爲主密鑰進行數據加密;
- MaxCompute 大數據計算:支持使用服務密鑰作爲主密鑰進行數據加密;
- 操作日誌,審計日誌的安全存儲,以及三方日誌系統集成。
雲原生存儲加密:目前阿里雲容器服務 ACK 可以託管的主要以塊存儲、文件存儲和對象存儲爲主,其他類型的 RDS、OTS 等數據服務是通過 Service Broker 等方式支持。
- 用戶容器鏡像/代碼 (企業容器鏡像服務,OSS CMK/BYOK 加密);
- 雲原生存儲卷 PV(申明式支持雲存儲的 CMK/BYOK 以及數據服務層的加密支持);
- 操作日誌和審計日誌 (ActionTrail OpenAPI/Kubernetes AuditLog: SLS 日誌加密);
- 密文密碼 (KMS/Vault 對密文的三方加密支持和內存存儲,非 etcd 持久化)。
結論
雲原生全鏈路的數據安全、雲安全體系下的全鏈路加密已經成爲了基礎配置,新的容器化基礎架構和應用架構的變化,結合雲原生技術體系的特徵,在數據傳輸、數據處理、數據存儲階段都需要增加相應雲原生環境對網絡、運行時、存儲的全鏈路加密需求。
- 既要滿足雲環境下的安全傳輸、雲原生引入的容器網絡、微服務、區塊鏈場景,又對雲原生數據安全傳輸提出了進一步的要求;
- 既有云安全虛擬化安全運行的要求,又有容器安全沙箱,可信安全沙箱的需求;
- 既有云安全對雲存儲加密、雲數據服務加密需求,又有對容器鏡像存儲加密、審計日誌、應用日誌加密和三方集成的需求,以及對密文密碼的不落盤存儲的支持。
本書亮點
- 雙11 超大規模 K8s 集羣實踐中,遇到的問題及解決方法詳述
- 雲原生化最佳組合:Kubernetes+容器+神龍,實現核心系統 100% 上雲的技術細節
- 雙 11 Service Mesh 超大規模落地解決方案
“阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐,做最懂雲原生開發者的技術圈。”