1. 程式人生 > >如何保障雲上資料安全?一文詳解雲原生全鏈路加密

如何保障雲上資料安全?一文詳解雲原生全鏈路加密

點選下載《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》

本文節選自《不一樣的 雙11 技術:阿里巴巴經濟體雲原生實踐》一書,點選上方圖片即可下載!

作者
李鵬(壯懷)阿里雲容器服務高階技術專家
黃瑞瑞  阿里雲技術架構部資深技術專家

導讀:對於雲上客戶而言,其雲上資料被妥善的安全保護是其最重要的安全需求,也是雲上綜合安全能力最具象的體現。本文作者將從雲安全體系出發,到雲資料安全,再到雲原生安全體系對全鏈路加密進行一次梳理,從而回答:在雲原生時代,全鏈路加密需要做什麼?如何做到?以及未來要做什麼?

什麼是雲原生全鏈路加密

資料安全在雲上的要求,可以用資訊保安基本三要素 "CIA"來概括,即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

  • 機密性專指受保護資料只可以被合法的(或預期的)使用者可訪問,其主要實現手段包括資料的訪問控制、資料防洩露、資料加密和金鑰管理等手段;
  • 完整性是保證只有合法的(或預期的)使用者才能修改資料,主要通過訪問控制來實現,同時在資料的傳輸和儲存中可以通過校驗演算法來保證使用者資料的完整性;
  • 資料的可用性主要體現在雲上環境整體的安全能力、容災能力、可靠度,以及雲上各個相關係統(儲存系統、網路通路、身份驗證機制和許可權校驗機制等等)的正常工作保障。

在三要素中,第一要素機密性(Confidentiality)最常見也是最常被要求的技術實現手段就是資料加密。具體到雲原生維度,需要實現的就是雲原生的全鏈路加密能力。

“全鏈路”指的是資料在傳輸 (in Transit,也叫 in-motion)、計算 (Runtime,也叫 in-process),儲存 (in storage,也叫 at-rest) 的過程,而“全鏈路加密”指的是端到端的資料加密保護能力,即從雲下到雲上和雲上單元之間的傳輸過程、到資料在應用執行時的計算過程(使用/交換),和到資料最終被持久化落盤的儲存過程中的加密能力。

• 資料傳輸 (資料通訊加密,微服務通訊加密,應用證書和金鑰的管理);
• 資料處理(執行時安全沙箱 runV, 可信計算安全沙箱 runE);
• 資料儲存 (雲原生儲存的 CMK/BYOK 加密支援、密文/金鑰的儲存管理、容器映象的儲存加密、容器操作/審計日誌安全)。

本文中的技術描述針對的是在雲原生全鏈路加密中已有的和未來需要實現的技術目標。

雲安全 > 雲資料安全 > 雲原生全鏈路加密

雲安全

針對使用者群體的不同,對安全鏈路有不同的層次定義,雲安全涵蓋了雲客戶安全和雲廠商安全在 IaaS 的軟體、硬體以及物理資料中心等的安全。

  • 雲原生客戶(Cloud Native Customer)安全
    • 應用安全
    • 操作安全
    • 商業安全
    • 容器網路安全
    • 容器資料安全
    • 容器執行時安全
  • 雲客戶(Cloud Customer)安全
  • 雲廠商(Cloud IaaS DevOps)安全

雲原生安全

雲原生安全首先需要遵循雲資料安全標準,在複用了雲基礎架構安全能力的前提下,同時在安全執行時,軟體供應鏈上有進一步的安全支援。

雲原生儲存是通過宣告式 API 來描述了雲資料的生命週期,並不對使用者透出底層 IaaS 的資料加密細節。不同的雲原生儲存一般作為雲資料的載體,複用了雲 IaaS 基礎安全能力,還需要包括軟體供應鏈中的映象安全,和容器執行時 root 檔案系統安全和容器網路安全。

  • 雲原生安全的執行時 = 資料處理過程中的計算安全,記憶體安全,檔案系統安全和網路安全
  • 雲原生軟體供應鏈安全 = 可執行檔案/使用者程式碼安全 
  • 雲原生基礎架構的安全 = 雲資料儲存安全

雲資料安全

雲使用者資料安全包括以下的三個方面的工作:

  • 資料保護:RAM ACL 控制細粒度的資料的訪問許可權;敏感資料保護(Sensitive
    Data Discovery and Protection,簡稱 SDDP)、資料脫敏、資料分級分類。

  • 資料加密:CMK 加密資料能力;BYOK 加密資料能力。

  • 金鑰/密文管理:KMS/HSM 等雲服務;三方 Vault 服務。

資料安全的生命週期

為了更好的理解資料保護,需要對資料安全的生命週期有一個瞭解,因為資料保護貫穿於整個的資料生命週期:

  • 資料收集
  • 資料傳輸
  • 資料處理
  • 資料交換
  • 資料儲存
  • 資料銷燬

雲原生資料生命週期,以 ACK(容器服務 Kubernetes)掛載阿里云云盤為例:

  • 雲盤 PV 的申明和建立定義了資料,雲盤資料的加密需要在申明定義中就體現,對金鑰匙選擇、加密演算法選擇都可以申明式支援,RAM 許可權細粒度遵循最小許可權;
  • 雲盤掛載到虛擬機器通過 PVC 在容器組 Pod 引用得以觸發和實現;
  • 雲盤資料的解密通過使用者 CMK/BYOK 在塊裝置上實現透明加密解密;
  • Pod 生命週期的變化導致 PVC 關聯雲盤在不同宿主 ECS 上的 Detach/Attach;
  • 對 PV 的 Snapshot 生命觸發了雲盤 Snapshot 的建立;
  • PV 的刪除可以通過 OnDelete 關聯到雲盤的中止和資料的刪除。

全鏈路的資料安全

在狹義上來說是對資料端到端的加密,主要集中在了資料生命週期中的三個階段:

  • 資料傳輸
  • 資料處理
  • 資料儲存

資料傳輸階段

安全通訊設計,密文/金鑰的安全管理和傳輸,既要滿足雲環境下的安全傳輸、雲原生引入的容器網路、微服務、區塊鏈場景,又對雲原生資料安全傳輸提出了進一步的要求。

  • 雲安全傳輸

在雲環境下 VPC/安全組的使用,密文/金鑰的安全管理 KMS 南北向流量通過 SSL 證書服務獲取可信有效的 CA,對南北流量實現 HTTPS 加密和解除安裝,以及對 RPC/gRPC 通訊使用 SSL 加密, 減小 VPC 的攻擊面,通過 VPN/SAG Gateway 來實現安全訪問鏈路。

  • 雲原生安全傳輸

雲原生場景,單一叢集允許多租戶的同時共享網路、系統元件許可權控制、資料通訊加密、證書輪轉管理,多租場景下東西流量的網路隔離、網路清洗;雲原生微服務場景,應用/微服務間通訊加密,和證書管理;雲原生場景下金鑰、密文的獨立管理和三方整合、KMS 與 Vault CA, fabric-ca, istio-certmanager 等的整合。

資料處理階段

資料處理階段,對記憶體級的可信計算,既有云安全虛擬化安全執行的要求,又有容器安全沙箱和可信安全沙箱的需求。

  • 雲安全虛擬化可信計算:TEE SGX;ARM Trust Zone;
  • 雲原生容器安全沙箱:runV Kata 安全容器沙箱 ;runE Graphane/Occlum 可信安全沙箱。

資料儲存階段

既有云安全對雲端儲存加密、雲資料服務加密需求,又有對容器映象儲存加密,審計日誌、應用日誌加密和三方整合的需求,以及對密文密碼的不落盤儲存支援。

雲端儲存加密方式:

  • 資料 + 加密演算法 + 使用者金鑰或主金鑰;
  • 客戶端加密/服務端加密。

雲端儲存資料,以服務端加密為主;安全的金鑰管理 KMS/HSM;安全的加密演算法,全面支援國產演算法以及部分國際通用密碼演算法,滿足使用者各種加密演算法需求:

  • 對稱密碼演算法:支援 SM1、SM4、DES、3DES、AES;
  • 非對稱密碼演算法:支援 SM2、RSA(1024-2048);
  • 摘要演算法:支援 SM3、SHA1、SHA256、SHA384。

阿里雲只能管理裝置硬體,主要包括監控裝置可用性指標、開通、停止服務等。金鑰完全由客戶管理,阿里雲沒有任何方法可以獲取客戶金鑰。

雲端儲存加密支援:

  • 塊儲存 EBS 雲盤:支援虛擬機器內部使用的塊儲存裝置(即雲盤)的資料落盤加密,確保塊儲存的資料在分散式系統中加密存放,並支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 物件儲存 OSS:支援服務端和客戶端的儲存加密能力。在服務端的加密中,支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;在客戶端的加密中,支援使用使用者自管理金鑰進行加密,也支援使用使用者 KMS 內的主金鑰進行客戶端的加密;
  • RDS 資料庫的資料加密:RDS 資料庫的多個版本通過透明加密(Transparent
    Data Encryption,簡稱 TDE)或雲盤例項加密機制,支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 表格儲存 OTS:支援使用服務金鑰和使用者自選金鑰作為主金鑰進行資料加密;
  • 檔案儲存 NAS:支援使用服務金鑰作為主金鑰進行資料加密;
  • MaxCompute 大資料計算:支援使用服務金鑰作為主金鑰進行資料加密;
  • 操作日誌,審計日誌的安全儲存,以及三方日誌系統整合。

雲原生儲存加密:目前阿里雲容器服務 ACK 可以託管的主要以塊儲存、檔案儲存和物件儲存為主,其他型別的 RDS、OTS 等資料服務是通過 Service Broker 等方式支援。

  • 使用者容器映象/程式碼 (企業容器映象服務,OSS CMK/BYOK 加密);
  • 雲原生儲存卷 PV(申明式支援雲端儲存的 CMK/BYOK 以及資料服務層的加密支援);
  • 操作日誌和審計日誌 (ActionTrail OpenAPI/Kubernetes AuditLog: SLS 日誌加密);
  • 密文密碼 (KMS/Vault 對密文的三方加密支援和記憶體儲存,非 etcd 持久化)。

結論

雲原生全鏈路的資料安全、雲安全體系下的全鏈路加密已經成為了基礎配置,新的容器化基礎架構和應用架構的變化,結合雲原生技術體系的特徵,在資料傳輸、資料處理、資料儲存階段都需要增加相應雲原生環境對網路、執行時、儲存的全鏈路加密需求。

  • 既要滿足雲環境下的安全傳輸、雲原生引入的容器網路、微服務、區塊鏈場景,又對雲原生資料安全傳輸提出了進一步的要求;
  • 既有云安全虛擬化安全執行的要求,又有容器安全沙箱,可信安全沙箱的需求;
  • 既有云安全對雲端儲存加密、雲資料服務加密需求,又有對容器映象儲存加密、審計日誌、應用日誌加密和三方整合的需求,以及對密文密碼的不落盤儲存的支援。

本書亮點

  • 雙11 超大規模 K8s 叢集實踐中,遇到的問題及解決方法詳述
  • 雲原生化最佳組合:Kubernetes+容器+神龍,實現核心系統 100% 上雲的技術細節
  • 雙 11 Service Mesh 超大規模落地解決方案

“阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐,做最懂雲原生開發者的技術圈。”