云平台安全包括哪些方面？

云平台安全主要包括以下五方面： a) 物理安全 • 满足 GB 50174《电子信息机房设计规范》A 类和 TIA942《数据中心机房通信基 础设施标准》中 T3+标准。 • 机房容灾：热和烟雾传感器/双路市电电源和冗余的电力系统/精密空调。 • 人员管理：访问管理/账号管理和身份认证/遵循最小权限和职责分离原则。 • 运维审计：安防监控/7*24 小时巡逻/专人定期复核/日志不可删除。 • 数据销毁：数据安全擦除/云服务客户数据处置。 • 网络隔离：网络安全隔离。

b) 硬件安全 • 固件安全：对底层硬件固件进行加固，包括硬件固件基线扫描、高性能 GPU 实 例保护、BIOS 固件验签、BMC 固件保护。 • 加密计算：硬件可信执行环境，提供基于硬件的高等级的数据保护能力。 • 可信计算：系统可信和应用可信/基于 TPM 2.0 的可信计算技术。

c) 虚拟化安全 • 租户隔离：计算隔离（使用物理处理器权限级别强制执行）、存储隔离（虚拟机 只能访问分配给它的物理磁盘空间）、网络隔离。 • 安全加固：减少虚拟化管理程序中可能的被攻击面/可信计算技术/虚拟化管理 程序和宿主机 OS/内核级安全加固。 • 逃逸检测：高级虚拟机布局算法/虚拟机异常行为检测。 • 补丁热修复：不需要用户重启系统。 • 数据清零：可靠的进行数字清零。

d) 身份和访问控制 • 身份管理：账号生命周期管理/一人一账号/公私数据分离。 • 密码管理：集中下发密码策略。 • 权限管理：根据业务需要合理分配权限/未使用的权限自动冻结/离职/转岗用户 自动冻结账号/回收权限。

e) 安全监控和运营 • 云产品安全生命周期：在产品架构审核、开发、测试审核、应急响应的各个环节 层层把关/每个节点都有完整的安全审核机制。 • 云平台安全监控：及时发现平台自身被恶意攻击的安全事件/发现安全事件之后， 触发云平台内部应急响应流程。 • 蓝军渗透测试：周期实战性质的攻防对抗/检验阿里云安全防御能力、威胁检测 能力的水位/完善平台防御体系。 • 安全应急响应：内部监控发现/外部上报的漏洞和安全事件。 • 变更管理：完整的变更管理流程

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版