点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
点击链接下载查看上文👉:带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
全球化背景下的合规支撑
在数智化和全球化的趋势下,信息基础设施必须满足不同地区和行业的监管合规要求。这些要求 既包括对云服务提供方在基础设施和云平台安全性上的规定,也包括对客户使用云服务过程中的 要求,涵盖客户的自身数据、应用和账户安全等方面。
为帮助企业高效且低成本地实现安全合规的目标,阿里云高度重视云平台自身的安全合规建设, 确保来自不同地区和行业的客户在选择阿里云服务时,能够满足他们所需遵循的安全合规要求。 同时,阿里云致力于将共性合规要求融入到云安全产品功能设计中,以便客户可以按需选用合适 的产品功能,以满足使用过程中的审计与合规需求。
1 云平台自身合规
1.1 全球安全合规领先的云服务商
阿里云基于完整的平台与产品管理机制,结合自身合规治理经验,推动内外部合规标准在云平台 与产品中落地,确保云平台与产品在基础设施安全、网络安全、身份安全、主机安全、数据安全 与个人信息保护、云产品安全等方面均符合海内外合规标准。
阿里云致力于加强全球化业务布局的合规体系建设。作为全球安全合规水平领 先的云服务商,阿里云通过独立第三方机构验证其安全合规的符合性,并在全 球范围内通过了 140 多项安全合规认证。这些认证展现了阿里云在各体系标 准下的全面安全能力。阿里云不断提升云平台安全合规水位,以此支持云上客 户及组织高效满足所在地区和相关行业的安全合规要求。
更多关于阿里云的安全合规信息以及合规文档,可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
1.2 满足高合规要求行业的客户需求
阿里云支持云上客户及组织高效满足金融行业的安全合规要求,已经通过了多项国内及国际权威 机构的认证。在国内,阿里云按照网络安全等级保护制度的要求,对金融云平台开展网络安全等 级保护定级备案,并由第三方权威机构进行网络安全等级保护测评,金融云平台(IaaS/PaaS) 通过等保四级测评;按照网信办《云计算服务安全评估办法》要求,金融云平台在 2020 年作为 首个通过云计算服务安全评估(增强级)的具有金融行业属性的云平台,为金融行业客户提供安 全可控的云计算服务。
国际上,阿里云通过了支付卡行业安全标准委员会的支付卡行业数据安全标准 (PCI DSS)、美国证券交易委员会(SEC)17a-4(f) 记录保存规则评估、 香港金融管理局(HKMA)合规评估、香港保险业监管局(HKIA)合规评估、 香港证券及期货事务监察委员会(SFC)合规评估、香港保安风险评估及审 计(HKSRAA) 、澳门金融管理局(ACMA)合规评估、新加坡银行业协会 的 OSPAR 、菲律宾中央银行(BSP)合规评估、马来西亚国家银行(BNM) 和马来西亚证券委员会(SC)合规评估、印尼金融服务管理局(OJK)合规 评估、印尼金融行业 ISAE 3000 认证。
2 助力租户侧合规
为满足客户应对监管合规要求及内部安全管理的需求,阿里云持续支持客户的安全合规需求,并 提供等保、密评、数据安全等安全合规咨询服务和解决方案,助力客户获取合规资质。同时,阿 里云还提供强有力的产品安全审计和合规能力,协助客户准备并配合审计与检查,开展有效的安 全合规治理。
2.1 全面专业的安全合规服务
阿里云及时响应客户的合规需求,持续协助客户安全合规文档的提供。阿里云通过官网合规文 档中心、客户服务支持中心、对接销售人员服务等渠道为客户提供安全合规资质、安全合规审 计报告、平台和产品的合规证据等。通过安全合规文档的提供, 阿里云协助客户迎接监管检查, 获取等保、密评、ISO 等资质认证以及通过公司内部审计等, 以支持客户业务安全合规性证明, 同时提升客户市场竞争力。阿里云支持客户通过官网合规文档中心自助下载文档,可参见阿里云 合规文档中心。
同时,阿里云组织行业资深安全合规专家,为客户提供安全合规咨询服务。
等保咨询服务整合云安全产品的技术优势,联合优质等保咨询、等保测评机构 等合作资源,为客户提供了一站式等保咨询服务,全面覆盖等保定级、备案、 建设整改以及测评阶段,帮助客户高效地通过等保测评。关于更多阿里云等保 合规服务的信息,可参见阿里云等保合规解决方案。
密评合规服务是阿里云依托云平台密评经验和云密码产品优势,联合第三方测 评机构等合作资源,提供一站式密评合规方案,覆盖差距分析、方案设计、建 设整改、密码测评及密评备案等阶段,助力客户快速完成密评合规。关于更多 阿里云密评合规服务的信息,可参见阿里云密评合规解决方案。
阿里云在云平台提供更为安全便捷的数据保护能力的同时,根据自身多年的经 验积累,基于数据安全法律法规及国家标准等,结合大量云上客户的最佳实践, 提供了一套完整的数据安全合规解决方案,帮助企业提升云上数据风险防御能 力,实现企业核心及敏感数据安全可控。关于更多阿里云数据安全合规服务的 信息,可参见阿里云数据安全合规解决方案。
2.2 便捷高效的安全合规产品
阿里云为帮助客户在云资源管理过程中更好地满足安全合规要求,定义了三个关键环节:事前限制、 事中及时发现和修复、事后审计记录。阿里云针对每个关键环节均提供匹配的安全合规产品和服务, 提升客户对云资源管理的合规与审计能力。
在事前限制环节,资源管理服务中资源目录的管控策略能力支持按照合规要求执行针对资源的访 问控制,实现预防性管控。在事中及时发现和修复环节,配置审计(Config)服务支持持续评估 云上资源配置合规性,实现发现性管控。在事后审计记录环节,操作审计(ActionTrail)服务支 持对云上操作日志的集中管理收集和持久化存储,实现对操作日志的追溯分析。
阿里云的安全合规产品通过限制和持续监控以确保 IT 配置始终符合合规预期,提供合规能力;通 过客观记录云上 IT 运维的全过程并做长期留存,提供审计能力。基于强有力的合规与审计能力, 阿里云为客户构建一个可见、可控、可追溯的安全运维环境,降低客户安全合规风险。
2.2.1 管控策略
通过资源管理服务中资源目录的管控策略能力,定义组织最大的权限边界。策 略决定了组织中哪些行为允许发生。用户使用管控策略,将合规基线按照策略 语法编写对应的 Policy,然后将 Policy 附加到期望生效的组织节点上,那么 此节点下所有账号(包含未来新增账号)都会继承到这个父节点的 Policy。 被附加了这个 Policy 的业务账号,即使业务开发具有 Admin 权限,也依然 无法做突破 Policy 的操作。管控策略自上而下的继承性确保策略不会被业务 部门所篡改,保证了企业安全红线、合规基线的强制实施。
2.2.2 配置审计
用户使用面向云上资源的配置审计(Config)服务,实现对于海量云上资源 合规性的持续监控和自动修复,满足客户内外部合规的需求。
同时,配置审计(Config)帮助用户记录云上 IT 资源的配置变更历史,并通过 审计规则持续地评估云上资源配置的合规性 , 通过使用自动修复模板或者自定 义修正, 自动对云上不合规资源完成修复。当资源配置变更时,通过触发配置 审计规则来判断某个资源配置是否合规;或将审计规则设置为周期性触发,定期为用户执行合规评估。配置审计(Config)支持客户按照企业实际场景自定 义审计规则,也提供累计 400+ 审计规则模板;同时基于法律法规和最佳实践, 提供了 20+ 合规包模板,并支持用户从规则、资源和成员(仅用于多账号模式) 维度查看检测结果。其中,法律法规合规包模板涵盖了 GxP 欧盟附录 11 标准 合规包、ISO27001 安全管理标准合规包、等保三级预检合规包、RMiT 金融 标准检查合规包等;最佳实践类合规包模板涵盖了 AccessKey 及权限治理最 佳实践、资源稳定性最佳实践、多可用区架构最佳实践、网络及数据安全最佳 实践等。用户可以通过快速启用合规包,多维度进行合规统计和分析,推动云 上 IT 合规治理。
2.2.3 操作审计
通过使用阿里云操作审计(ActionTrail)服务,用户可以利用云上操作日志 查看账号行为、进行问题溯源、构建安全分析等, 可以满足客户合规审计需求, 助力提升租户侧合规能力。
操作审计(ActionTrail)默认为每个阿里云账号记录最近 90 天的管控事件, 如用户为了满足内外的合规要求需要对事件记录留存更长时间,可以通过操作 审计(ActionTrail)的跟踪服务实现事件记录的持久化存储。
操作审计(ActionTrail)为用户提供统一的云资源操作日志管理,可通过多账 号跟踪功能实现将多个账号日志集中收集。通过阿里云资源目录(Resource Directory)的管理账号或操作审计的委派管理账号,可配置对整个资源目录 中多账号跟踪,其记录的操作日志通常包括操作人、操作时间、源 IP 地址、 资源对象、操作名称及操作状态等,这样资源目录中所有成员账号的事件记录 被集中投递到指定的存储服务中,便于企业的审计管理员统一对云上所有账号 的操作记录进行合规审计和安全分析。
通过对操作日志进行分析,可以应用到安全监控与保障、合规审计、资源变更 管理、故障诊断与运维等多个合规应用场景。
