介绍:对于云客户来说,对自己的云数据进行妥善的安全保护是其最重要的安全诉求,也是云综合安全能力最形象的体现。本文作者将从云安全体系出发,到云数据安全,再到云原生安全体系,对全链路加密进行梳理,从而解答:云原生时代,什么是云原生?需要全链路加密吗?怎么做?以及以后怎么办?什么是云原生全链路加密数据对云端的安全需求,可以用信息安全“CIA”的三个基本要素来概括,即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。机密性是指受保护的数据只能由合法(或预期)用户访问,其主要实现手段包括数据访问控制、数据防泄露、数据加密和密钥管理;完整性是保证只有合法授权(或预期)的用户才能修改数据,这主要是通过访问控制来实现的。同时可以通过验证算法保证用户数据在数据传输和存储过程中的完整性;数据的可用性主要体现在云的整体环境上。云上各相关系统(存储系统、网络接入、身份验证机制、权限验证机制等)的安全能力、容灾能力、可靠性、正常工作保障。在三要素中,保密第一要素最常见、最常需要的技术手段是数据加密。具体到云原生维度,需要实现的是云原生全链路加密能力。“全链路”是指数据传输(inTransit,也叫in-motion)、计算(Runtime,也叫in-process)、存储(instorage,也叫at-rest)的过程。“链路加密”是指端到端的数据加密保护能力,即从云下到云上、云上单元之间的传输过程,到数据的计算过程(使用/交换)。应用运行时,对数据最终持久化到磁盘的存储过程中的加密能力。?数据传输(数据通信加密、微服务通信加密、应用证书和密钥管理);可信计算安全沙箱runE);?数据存储(云原生存储CMK/BYOK加密支持、密文/密钥存储管理、容器镜像存储加密、容器运行/审计日志安全)。本文的技术描述是针对现有的以及未来云原生全链路加密的技术目标。云安全>云数据安全>云原生全链路加密云安全针对不同的用户群,对安全链路有不同级别的定义。云安全涵盖云客户安全和云厂商安全在软件、硬件、数据中心物理安全等方面云原生客户(CloudNativeCustomer)安全应用安全运营安全业务安全容器网络安全容器数据安全容器运行时安全云客户(CloudCustomer)安全CloudVendor(CloudIaaSDevOps)安全CloudNativeSecurityCloudNativeSecurity首先需要遵循云数据安全标准,在复用云基础设施安全能力的前提下,同时,有是软件供应链在安全运行过程中的进一步安全支持。云原生存储通过声明式API描述云数据的生命周期,不向用户泄露底层IaaS的数据加密细节。不同的云原生存储一般作为云数据的载体,复用了云IaaS的基础安全能力,还需要包含软件供应链中的镜像安全、容器运行时的根文件系统安全和容器网络安全。云原生安全运行时=计算安全、内存安全、文件系统安全、数据处理过程中的网络安全云原生软件供应链安全=可执行文件/用户代码安全云原生基础设施安全=云数据存储安全云数据安全云用户数据安全包括以下三个方面:数据保护:RAMACL控制细粒度的数据访问权限;敏感数据保护(SensitiveDataDiscoveryandProtection,简称SDDP)、数据脱敏、数据分类。数据加密:CMK加密数据能力;BYOK加密数据功能。密钥/密文管理:KMS/HSM等云服务;第三方Vault服务。数据安全的生命周期为了更好地理解数据保护,有必要对数据安全的生命周期有所了解,因为数据保护贯穿于整个数据生命周期:数据采集、数据传输、数据处理、数据交换、数据存储、数据销毁、云原生数据的生命周期,以ACK(Kubernetes容器服务)挂载阿里云云盘为例:云盘PV的声明和创建定义了数据,以及对数据的加密云盘数据需要在声明定义中体现,加密密钥的选择和加密算法的选择都可以声明支持,细粒度的RAM权限遵循最小权限;云盘通过PVC挂载到虚拟机,可以在容器组Podreference中触发实现;云盘数据的解密通过用户CMK/BYOK解密在块设备上透明加密;Pod生命周期变化导致PVC关联云盘在不同主机ECS上的Detach/Attach;PV的Snapshot生命周期触发创建云盘Snapshots;PV的删除可以通过OnDeletedelete关联到云盘和数据存储的暂停。从狭义上讲,全链路数据安全是对数据??进行端到端的加密,主要关注数据生命周期中的三个阶段:数据传输、数据处理、数据存储、数据传输阶段、安全通信设计、密文/密钥的加密安全管理和传输不仅要满足云原生引入的云环境、容器网络、微服务、区块链场景下安全传输的需求,同时也对云的安全传输提出了更进一步的要求——本机数据。在VPC/安全组的云环境中使用云安全传输,对密文/密钥KMS南北流量进行安全管理,通过SSL证书服务获取可信有效的CA,对南北流量进行HTTPS加密分流,以及RPC/keygRPC通信使用SSL加密,减少VPC的攻击面,通过VPN/SAGGateway实现安全访问链路。云原生场景云原生安全传输,单个集群允许多个租户同时共享网络,系统组件权限控制,数据通信加密,证书轮换管理,东西向流量的网络隔离和网络清洗多租户场景;云原生微服务场景、应用/微服务间通信加密、证书管理;云原生场景密钥和密文独立管理和三方集成,KMS与VaultCA、fabric-ca、istio-certmanager等集成数据处理阶段在数据处理阶段,需要内存层面的可信计算不仅是云安全虚拟化的安全运行,还有对容器安全沙箱和可信安全沙箱的要求。云安全虚拟化可信计算:TEESGX;ARM信任区;云原生容器安全沙箱:runVKata安全容器沙箱;runEGraphane/Occlum可信安全沙箱。数据存储阶段有云存储加密、云数据服务加密、容器镜像存储加密、审计日志、应用日志加密、三方集成等云安全需求,无盘存储支持密文密码.云存储加密方式:数据+加密算法+用户密钥或主密钥;客户端加密/服务器端加密。云存储数据,主要基于服务端加密;安全密钥管理KMS/HSM;安全加密算法,全面支持国产算法和部分国际通用加密算法,满足用户对各种加密算法的需求:对称加密算法:支持SM1、SM4、DES、3DES、AES;非对称加密算法:支持SM2、RSA(1024-2048);摘要算法:支持SM3、SHA1、SHA256、SHA384。阿里云只能对设备硬件进行管理,主要包括监控设备可用性指标、开启和停止服务等。密钥完全由客户管理,阿里云无法获取客户密钥。云存储加密支持:块存储EBS云盘:支持对虚拟机内部使用的块存储设备(即云盘)上的数据进行加密,保证块存储的数据加密存储在分布式系统中,以及支持使用服务密钥和用户选择的密钥作为数据加密的主密钥;对象存储OSS:支持服务端和客户端的存储加密能力。在服务器端加密中,支持服务密钥和用户选择的密钥作为数据加密的主密钥;在客户端加密中,支持用户管理的密钥进行加密,也支持用户KMS中的主密钥。客户端加密;RDS数据库数据加密:多版本RDS数据库采用透明加密(TransparentDataEncryption,简称TDE)或云盘实例加密机制,支持使用服务密钥和用户自选密钥作为主密钥。数据加密;表存储OTS:支持使用服务密钥和用户选择的密钥作为主密钥进行数据加密;文件存储NAS:支持使用服务密钥作为数据加密的主密钥;MaxCompute大数据计算:支持使用服务密钥作为数据加密的主密钥;安全存储操作日志和审计日志,三方日志系统集成。云原生存储加密:目前阿里云容器服务ACK可以承载块存储、文件存储、对象存储。通过ServiceBroker等方式支持RDS、OTS等其他类型的数据服务。用户容器镜像/代码(企业容器镜像服务,OSSCMK/BYOK加密);云原生存储卷PV(声明支持云存储CMK/BYOK,数据服务层加密支持);操作日志和审计日志(ActionTrailOpenAPI/KubernetesAuditLog:SLS日志加密);密文密码(KMS/Vault的三方加密支持密文和内存存储,非etcd持久化)。结论云安全体系下的云原生全链路数据安全和全链路加密成为基础配置。新的容器化基础设施和应用架构的变化,结合云原生技术体系的特点,在数据传输和数据传输方面变得更加重要。无论是处理阶段还是数据存储阶段,都需要增加相应云原生环境对网络、运行时、存储的全链路加密要求。不仅需要满足云环境下的安全传输、云原生引入的容器网络、微服务、区块链等场景,还对云原生数据的安全传输提出了更进一步的要求;有云安全虚拟化安全运行的需求,有容器安全沙箱和可信安全沙箱的需求;有云存储加密、云数据服务加密、容器镜像存储加密、审计日志、应用日志加密、三方集成需求等云安全需求,支持密文密码无盘存储。原文链接本文为阿里云内容,未经许可不得转载。
