阿里云云平台的物理安全防御措施

物理安全

阿里云园区和办公区均设置入口管控并划分单独的访客区，访客出入必须佩戴证件，且由
阿里云员工陪同。阿里云数据中心建设满足 GB 50174《电子信息机房设计规范》A 类和 TIA 942《数据中心机房通信基础设施标准》中 T3+标准，包含本章以下物理与环境安全控制要求
机房容灾
火灾检测及应对

阿里云数据中心火灾探测系统利用热和烟雾传感器实现，传感器位于天花板和地板下面；当触发事件时，提供声光报警。数据中心采用整体气体灭火系统与手动灭火器，同时组织火灾检测与应对的培训和演练。
电力

为保障阿里云业务 7X24 小时持续运行，阿里云数据中心采用双路市电电源和冗余的电力系统，主、备电源和系统具备相同的供电能力。若电源发生故障，会由带有冗余机制的电池组和柴油发电机对设备进行供电，保障数据中心在一段时间内的持续运行能力。
温度和湿度

阿里云数据中心采用精密空调来保障恒温恒湿的环境，并对温湿度进行电子监控，一旦发生告警立即采取应对措施。空调机组均采用热备冗余模式
人员管理
访问管理

阿里云数据中心仅向本数据中心运维人员授予长期访问权限，一旦运维人员转岗或离职，权限立即清除。其他人员若因为业务需求要进入数据中心，必须先提出申请，经各方主管审批。通过后才能获取短期授权；每次出入需要出示证件并进行登记，且数据中心运维人员全程陪同。
阿里云数据中心内部划分机房包间、测电区域、库房间等区域，各个区域拥有独立的门禁系统，重要区域采用指纹等双因素认证，特定区域采用铁笼进行物理隔离。
账号管理和身份认证
阿里云使用统一的账号管理和身份认证系统管理员工账号生命周期
授权管理

阿里云基于员工工作岗位和角色，遵循最小权限和职责分离原则，授予员工有限的资源访问权限。员工根据工作需要通过集中的权限管理平台申请 VPN 访问权限、堡垒机访问权限、管控平台以及生产系统访问权限，经主管、数据或系统所有者、安全管理员以及相关部门审批后，进行授权。职责分离
阿里云对运维权限分角色进行职责分离，防止权限滥用和审计失效。运维和审计职责分离，由安全团队负责审计；数据库管理员和系统管理员职责分离
运维审计
监控
阿里云数据中心机房各区域设有安防监控系统，监控范围覆盖所有区域和通道，配有物业保安 7X24 小时巡逻。所有视频监控和文档记录均会长期保存，且由专人定期复核。
审计员工对生产系统的所有运维操作必须且只能通过堡垒机进行，所有操作过程会被完整记录并实时传输到集中日志平台。阿里云根据《帐号使用规范》及《数据安全规范》里定义的违规事项定义审计规则，发现违规行为并通知安全人员跟进。
阿里云内部使用 B/S 架构的管理和支持系统按照阿里云日志审计规范详细记录敏感操作，并把日志发送到集中日志平台。阿里云集中日志平台仅提供日志采集和查看接口，不提供修改和删除接口
数据销毁
安全擦除
阿里云建立了对设备全生命周期（包含接收、保存、安置、维护、转移以及重用或报废）的安全管理。设备的访问控制和运行状况监控有着严格管理，并定期进行设备维护和盘点。阿里云建立废弃介质上数据安全擦除流程，处置数据资产前，检查含有敏感数据和正版授权软件的媒介是否已被覆写、消磁或折弯等数据清除处理，且不能被取证工具恢复。当因业务或法律原因，不再需要某些硬拷贝材料时，将其物理破坏，或取得数据处理第三方的损坏证明，以确保数据无法重建
云服务客户数据处置
阿里云在终止为云服务客户提供服务时，及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准，清除操作留有完整记录，确保客户数据不被未授权访问。
阿里云运维人员未经客户许可，不得以任意方式访问客户未经公开的数据内容。阿里云遵循生产数据不出生产集群的原则，从技术上控制了生产数据流出生产集群的通道，防止运维人员从生产系统拷贝数据。
网络隔离
阿里云对生产网络与非生产网络进行了安全隔离，从非生产网络不能直接访问生产网络的任何服务器和网络设备。阿里云把对外提供服务的云服务网络和支撑云服务的物理网络进行安全隔离，通过网络 ACL 确保云服务网络无法访问物理网络。阿里云也采取网络控制措施防止非授权设备私自联到云平台内部网络，并防止云平台物理服务器主动外联。
阿里云在生产网络边界部署了堡垒机，办公网内的运维人员只能通过堡垒机进入生产网进行运维管理。运维人员登录堡垒机时使用域账号密码加动态口令方式进行多因素认证。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。

硬件安全

硬件固件安全
硬件固件是云计算安全依赖的安全基础，为了保障硬件固件安全，阿里云对底层硬件固件进行加固，其中包括硬件固件基线扫描、高性能 GPU 实例保护、BIOS(Basic Input Output System，即基础输入输出系统，是刻在主板 ROM 芯片上不可篡改的启动程序，BIOS 负责计算系统自检程序和系统自启动程序，因此是计算机系统启动后的第一道程式) 固件验签、BMC（Baseboard Management Controller 即基板管理控制器 独立于服务器系统之外的小型操作系统） 固件保护。- 硬件固件基线扫描
定期对硬件和固件基本信息及相应版本进行扫描，检测可能的异常硬件固件信息。- 高性能 GPU 实例保护通过对开放给用户虚拟机的 GPU 关键寄存器保护，确保用户虚拟机除了进行高性能计算之外，无法篡改 GPU 的固件程序等重要资源。- BIOS 固件验签确保只有阿里云签名过的 BIOS 固件才可以被刷写在相关服务器上，从而避免了恶意的 BIOS 固件刷写。- BMC 固件保护
确保在主机操作系统中，无法对 BMC 固件进行非授权的恶意刷写。加密计算
阿里云平台提供了以 Intel® Software Guard Extensions（Intel® SGX）可信执行环境作为基础的硬件可信执行环境。在加密计算的硬件可信执行环境中，可以通过软件建立一个可信执行环境，进而保护敏感数据（例如，加解密密钥）。由于加密计算的信任根基于处理器芯片，而非基于底层软件，因此所有加密信息只能在可信执行环境中计算和运行，从而提供基于硬件的高等级的数据保护能力。
可信计算 阿里云在关键服务器上采用了系统可信和应用可信功能，通过度量和验证保证云平台运行环境的安全，以及通过对白名单应用的监测管理确保应用的运行安全。
系统可信在关键服务器上采用了基于 TPM 2.0 的可信计算技术，通过 TPM 2.0 以及 vTPM 技术对物理机、虚拟机上基础软件栈的启动过程进行度量，并通过可信服务对度量结果进行验证。被度量的基础软件包括了 BIOS、BootLoader、操作系统内核以及加载的系统模块和应用等。安全运维人员可以通过验证结果对系统可信状态做判断，并采取相应的安全应对措施（例如，重新安装正确的软件或业务迁移）。
应用可信通过对应用执行环节如进程启动、文件访问、网络访问等行为进行记录、分析，获取其行为白名单和模型，当应用在运行时通过动态度量采集到的应用行为，并将动态度量结果通过行为白名单验证来判断应用是否可信。安全运维人员可以通过验证结果对应用进行处理重新安装载正确的版本等

虚拟化安全

虚拟化技术是云计算的主要技术支撑，通过计算虚拟化，存储虚拟化，网络虚拟化来保障云计算环境下的多租户隔离。阿里云虚拟化安全技术主要包括租户隔离、安全加固、逃逸检测、补丁热修复、数据清零等五大基础安全部分来保障阿里云虚拟化层的安全。
租户隔离
虚拟化层在租户隔离中起到至关重要的作用。基于硬件虚拟化技术的虚拟机管理将多个计算节点的虚拟机在系统层面进行隔离，租户不能访问相互之间未授权的系统资源，从而保障计算节点的基本计算隔离。同时，虚拟化管理层还提供了存储隔离和网络隔离。

• 计算隔离

阿里云提供各种基于云的计算服务，包括各种计算实例和服务，可自动伸缩以满足应用程序或企业的需求。这些计算实例和服务在多个级别提供计算隔离以保护数据，同时保障了用户需求的配置灵活性。计算隔离中关键的隔离边界是管理系统与客户虚拟机以及客户虚拟机之间的隔离，这种隔离由 Hypervisor 直接提供。阿里云平台使用的虚拟化环境，将用户实例作为独立虚拟机运行，并且通过使用物理处理器权限级别强制执行此隔离，确保用户虚拟机无法通过未授权的方式访问物理主机和其他用户虚拟机的系统资源。- 存储隔离
作为云计算虚拟化基础设计的一部分，阿里云将基于虚拟机的计算与存储分离。这种分离使得计算和存储可以独立扩展，从而更容易提供多租户服务。在虚拟化层，Hypervisor采用分离设备驱动模型实现 I/O 虚拟化。虚拟机所有 I/O 操作都会被 Hypervisor 截获处理，保证虚拟机只能访问分配给它的物理磁盘空间，从而实现不同虚拟机硬盘空间的安全隔离。- 网络隔离
为了支持 ECS 虚拟机实例使用网络连接，阿里云将虚拟机连接到阿里云虚拟网络。阿里云虚拟网络是建立在物理网络结构之上的逻辑结构。每个逻辑虚拟网络与所有其他虚拟网络隔离。这种隔离有助于确保部署中的网络流量数据不能被其它 ECS 虚拟机访问。
安全加固
安全加固是指通过各种技术手段减少虚拟化管理程序中可能的被攻击面。阿里云使用轻量级和专门为云上场景开发的虚拟化管理程序（以 KVM 为基础的 Hypervisor），并在设计之初即做到软硬件场景结合，专注于只支撑垂直的云上基础设施的硬件虚拟化。同时，为减少可能受到 0day 漏洞的影响，阿里云虚拟化管理程序会在不影响功能和性能的基础上限制系统级别的动态函数库的调用。简而言之，阿里云会最大限度的从虚拟化管理程序中裁剪一些与云上设备无关的代码来降低攻击面，此外，所有虚拟化软件必须编译和运行在一个可信的执行环境上才能保障每个二进制文件在执行时不被恶意篡改和替换。阿里云采用了一系列可信计算技术来保障整个链路的安全，也有一整套完善的控制机制来保障这些虚拟化二进制文件不被外部恶意获取分析利用。在此之外，阿里云还对虚拟化管理程序和宿主机 OS/内核级别进行相应安全加固。例如，对虚拟化管理程序在动态运行时进行降权，并阻止内核执行用户空间代码以增加逃逸后提权的难度；开启内存地址随机化特性，并开启内核符号限制访问功能和内存保护页功能以增加内存溢出类攻击的难度。阿里云不断引入新的安全特性到虚拟化管理程序和宿主机 OS/内核中，这其中包括内部研发的和外部开源社区的最新安全功能

更多阿里云相关学习材料
阿里 阿里云数据安全和隐私保护白皮书 2021
阿里云 阿里云安全白皮书 2019
阿里云 2021 低碳科技白皮书
阿里云 云网络白皮书
阿里达摩院 2020十大技术趋势白皮书