《阿里云：阿里云安全白皮書（2024版）（111頁）.pdf》由會員分享，可在線閱讀，更多相關《阿里云：阿里云安全白皮書（2024版）（111頁）.pdf（111頁珍藏版）》請在三個皮匠報告上搜索。

1、（2024 版）編寫單位指導委員會鄭俊芳 阿里云智能集團首席財務官錢 磊 阿里巴巴集團安全部總裁周 拓 阿里云智能集團首席安全官鄭雅敏 阿里云智能集團租戶安全負責人編寫組成員（以下按姓氏拼音首字母排序）常 暢、陳迪思、陳雪琴、陳章煒、馮子強、賀 劍、黃昱愷、靳 瀅、李 超、李國強、李海鑫、梁 雷、劉 迪、劉穎男、劉志輝、劉自慧、樓燕華、呂 光、敏 清、聶百川、彭玉軒、錢 巖、瞿孝志、孫戴博、童杰文、屠勵杰、王燦鵬、王曉東、王藝穎、王 瑜、魏巍巍、肖 暢、肖 劍、熊自成、楊 磊、楊露佳、殷 慷、于國瑞、張崇臻、張 祺、張仕卿、張 威、張 瑜、張振堯、趙世然、趙 萱、周 穎、曾逸塵、朱 松特別鳴謝

2、（以下按姓氏拼音首字母排序）蔡仁毅、晁 巍、崔立喜、高 陽、管 玥、何登成、何 欣、何延哲、郝偉剛、黃少青、黃正艷、季 凡、劉佳良、劉 珂、劉煜堃、馬樂樂、馬慶棟、歐陽欣、任 懿、石肖雄、譚冠群、唐 洪、徐方芳、許玉娜、汪圣平、王睿超、王云翔、魏朝龍、吳德新、楊杜卿、楊 永、尹 哲、張曉丹、鄭原斌、鐘 丹、祝建躍聯系我們cloud_product_security_teamalibaba-阿里云安全白皮書Alibaba CloudSecurity White Paper目錄CONTENT0102030405前言數智化趨勢下的發展機遇與安全挑戰02-數智技術驅動產業加快轉型升級 03-數智化發展

3、帶來的隱患與挑戰 05公共云安全治理愿景與框架9-治理理念：云上安全共同體 10-治理目標：更強安全性與更低成本 13-治理框架 15云上安全重要支柱19-1.全流程產品安全保障建設 20-2.全方位紅藍對抗反向校驗 29-3.堅守數據主權的數據安全保護 37-4.全鏈路身份管控與精細化授權 47-5.安全防護能力高效彈性可擴展 56-6.面向線上威脅的快速響應與恢復 61-7.面向攻擊的安全高可用 69-8.全球化背景下的合規支撐 75云上安全建設最佳實踐81-全面上云：淘寶云上安全建設實踐 82-助力發展：關鍵行業云上安全最佳實踐 87-迎接未來：AI 大模型云上安全最佳實踐 96總結與展

4、望104-總結與展望 105數智化技術的快速發展與廣泛應用顯著加快了社會創新的步伐，并深刻引領著產業升級變革的浪潮。伴隨這一轉型進程的推進，數智化系統及其所承載的數據資源的重要性急劇攀升，已然成為不可或缺的核心要素。數智化價值日益凸顯也吸引來更多的惡意攻擊者，導致這些系統與數據所面臨的安全風險與日俱增，為數字化業務運營者帶來了前所未有的安全防護挑戰。如何應對核心數據安全的嚴峻考驗，如何有效抵御日益復雜的網絡攻擊，以及如何在追求業務高效穩定運行的同時確保安全合規性，已成為當前亟待解決的關鍵議題。阿里云作為全球領先的云計算服務提供商，始終將安全置于戰略高度，將云上客戶的安全視為阿里云發展的基石。我

5、們致力于不斷強化云平臺自身的安全防護能力，并通過創新技術和服務模式，助力云上客戶構建更為堅固的安全防線，共同構建“云上安全共同體”。阿里云在持續加大對云上安全能力的投入、并力求在降低客戶安全成本的同時，也提供了全方位、多層次的安全保障。依托云上安全八大支柱框架，我們專注于安全機制與安全能力的建設，為云平臺及云上客戶構筑起一道堅實的防護網，為各行業數智化轉型的穩健前行保駕護航。從安全性的維度出發，我們旨在促進數智化進程中的互利共贏，為社會的和諧穩定與安全發展貢獻積極力量。前言PREFACE數智技術驅動產業加快轉型升級數智化發展帶來的隱患與挑戰Benefits and Security Risks

6、 in the Trend of Digital Intelligence010201.數智化趨勢下的 發展機遇與安全挑戰1.數智技術驅動產業加快轉型升級當今世界，新一輪科技革命和產業變革方興未艾，新一代數智技術得到蓬勃發展和深度應用，人類社會加速進入數字經濟時代。數智技術自身的產業化發展以及與實體經濟的深度融合，形成了數字經濟時代的新質生產力，不斷提高生產、協同、交易、消費及公共服務和治理的效率。當前，數智技術已經與各行業深度融合，加速企業組織協同及研發設計、運營管理、生產制造、供應鏈管理、市場營銷、客戶服務等產業鏈各環節的數字化轉型，推動各行業的質量變革、效率變革和動力變革。在互聯網領域，

7、電商企業通過對歷史銷售數據和市場趨勢的深度學習，實現個性化推薦系統的優化，提升產品體驗及用戶購買率，直接帶動了銷售額的增長；智能客服系統利用自然語言處理和機器學習技術，能夠自動識別并回答用戶的問題，提供 24 小時全天候服務。在金融領域，銀行通過大數據平臺與智能風控平臺進行數據整合加工與風控模型決策，打造普惠金融服務，提升了小微企業和個體工商戶的金融服務可得性和服務質量；保險公司通過對海量數據的挖掘和分析，能夠識別出不同客戶群體的風險特征，從而提供更加個性化和精準的保險產品。在制造業領域，汽車制造商可以通過部署數字工廠解決方案，實現對生產線的實時監控與智能化調度，傳感器收集的海量數據被上傳至云

8、端，借助大數據分析，企業能夠精準預測設備故障，提前安排維護，提高生產效率。03數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書除了制造、零售、電商等各個行業的滲透和普及，數智技術也在逐步進入影響國計民生的關鍵領域。2023 年 3 月，國家能源局發布關于加快推進能源數字化智能化發展的若干意見，提出加快電力、煤炭、油氣等行業數字化智能化轉型，通過數字化、智能化技術融合應用，為能源高質量發展提供有效支撐。2024 年 4 月，財政部、交通運輸部聯合發布關于支持引導公路水路交通基礎設施數字化轉型升級的通知，提出加快公路水路交通基礎設施的數字化改造，建設數字化感知網絡、智能化管控系統和網絡化服務體系；

9、更加注重數據要素價值釋放，以數字手段推動交通基礎設施管理服務水平明顯改進；更加注重融合創新，以應用場景規?；涞?，促進產業協同創新水平顯著提高。隨著 AI 大模型技術的興起，生成式人工智能的自主生成創造和推理能力，為內容創作、圖片設計、軟件開發等任務場景帶來強有力的工具更新，極大地提升了生產效率。生成式人工智能也逐步滲透進各個產業領域，指數級擴展了應用邊界、加速了數智化轉型進程，助力企業經營提效、業務創新、客戶體驗提升等。面向未來，各行各業都將進一步擁抱數智技術浪潮。在業務的數智化轉型中，云計算在其中起到了重要的底座支撐作用，并且滿足當前發展階段的更高要求。經過十幾年的發展，云計算已經演變成體

10、系化、多層次的技術和服務架構，覆蓋更多傳統行業，并向更多行業的核心生產環節邁進，從而助力千行百業加速轉型升級，擁抱數字智能世界。這里特別需要指出的是，得益于人工智能技術，尤其是深度學習等領域的快速發展，算力需求呈現出指數級增長，而公共云作為應對這一挑戰的關鍵平臺，正推動“云計算”向“云智算”轉變。它不僅提供基礎的計算、存儲和網絡資源，更整合了模型生態、數據治理和 AI 工具等與智能化發展密切相關的全方位服務。這種轉變意味著公共云不僅滿足基礎 IT 需求，更成為支撐大規模人工智能應用、模型訓練與推理的核心基礎設施。04數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書2.數智化發展帶來的隱患與挑戰

11、2.1 信息系統安全性影響經濟社會的穩定運行2014 年中央網絡安全和信息化領導小組第一次會議上，習近平總書記提出“努力把我國建設成為網絡強國”的目標愿景，指出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。2015 年黨的十八屆五中全會明確提出要實施網絡強國戰略。2023 年 7 月，習近平總書記對網絡安全和信息化工作作出重要指示，明確“十個堅持”，強調“堅持筑牢國家網絡安全屏障”。切實維護網絡安全是做好國家安全工作的重中之重。在當今高度數智化的時代，信息系統已經滲透到社會生活的方方面面，包括政府管理、金融服務、交通運輸、能源供應、醫療健康、教育科研等各個領域，信息系統的安全直接影響

12、到社會的穩定、經濟的繁榮和國家的安全。政府管理與公共服務方面，政府信息系統承載著大量的政務數據和公共服務功能。如果政務信息系統受到攻擊或泄露，可能導致政府決策失誤、公共服務中斷，甚至引發社會恐慌和不穩定。其中類似稅務系統、社保系統、公安系統等關鍵政務信息系統的安全一旦受到威脅，將對政府的公信力及民眾的生活造成廣泛而深遠的影響。金融信息安全方面，金融系統是國民經濟的命脈，金融安全是國家安全的重要組成部分，金融數據是推動金融業發展的核心要素之一，其信息系統安全直接關系到金融市場的穩定和經濟的健康發展。黑客攻擊、數據泄露等安全事件可能導致金融欺詐、資金流失、市場波動等嚴重后果，嚴重時可能引發金融危機

13、。05數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書其它關鍵信息基礎設施，能源、交通、通信、醫療、教育等基礎設施的信息系統安全也至關重要。這些系統的穩定運行是社會經濟活動的基礎。一旦這些系統受到攻擊或癱瘓，將嚴重影響國計民生和公共利益，甚至可能引發災難性后果。就像硬幣的兩面，數智技術走進千行百業，與社會、與行業深度融合的同時，整體的數字系統的安全性也直接影響到國家、社會和企業的穩定，這是數智化發展到一定階段的必然挑戰。隨著我們面臨的安全挑戰日益增多且變得更加復雜，我們需要不斷提升安全防護、鞏固安全機制、強化態勢感知，全產業一起共同努力，確保數字世界的可持續與穩定性。2.2 數據逐漸成為組織的

14、命脈，但數據安全隱患愈發凸顯數字化轉型已經成為企業及組織發展的“新動能”，數據作為核心資產，已經成為組織的新型生產力，在戰略決策、產品創新、運營效率提升、客戶管理等方面都起到了重要作用。但隨著跨行業、跨部門、跨層級、跨地域、跨系統、跨業務的數據采集、存儲、傳輸、使用等場景的與日俱增，數據在發揮更大作用、創造更大價值的同時，重要數據和個人隱私信息遭篡改、泄露等問題也越發突出，數據濫用、暗網交易等黑灰產活動日益猖獗，對企業和組織及社會公共利益帶來了嚴重威脅。全球數據泄露事件持續高發。根據 Forrester 的2024 年網絡安全 TOP 風險趨勢報告中顯示，存在 78%的受訪者在過去 12 個月

15、中敏感數據被泄露或系統被入侵過，數據泄露給受訪者帶來的經濟損失平均高達 218 萬美元。數據泄露對政府、企業和個人構成嚴重威脅。加強數據治理、保護數據安全，為數字經濟持續健康發展筑牢安全屏障，這是時代發展的客觀需要。應加快建設全流程、全環節、全場景的數據安全管理體系，重視數據分級分類、數據角色授權、數據安全過程場景化管理，推動數據安全治理體系持續改善。06數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書2.3 網絡空間安全威脅日趨嚴峻數智化趨勢下，網絡空間安全威脅的態勢愈發嚴峻，網絡安全已然成為數字時代國家安全戰略的基石。當前，全球網絡空間正面臨著多方面的挑戰，包括但不限于網絡攻擊規模不斷擴大

16、、新型網絡攻擊手段的層出不窮，以及國家級網絡安全對抗日趨明顯。一是網絡攻擊規模擴大。越來越多的社會生產活動依賴數智化系統，這些系統的價值持續上升。進而促使在網絡空間中，受利益驅動的攻擊行為頻繁發生，導致網絡攻擊規模持續擴大。根據 Veeam 的2024 年數據保護趨勢報告，四分之三(75%)的組織去年遭受過至少一次勒索軟件攻擊。二是新型網絡攻擊手段不斷涌現。人工智能等新技術的發展同時也導致網絡攻擊成本進一步降低，勒索軟件、APT 攻擊等高級威脅正在經歷一次“網絡犯罪技術革命”，人工智能技術的惡意使用也成為 2024 年最主要的網絡風險之一，攻擊者通過使用惡意的大模型工具（如 FraudGPT、

17、WormGPT），可以自動創建網絡釣魚電子郵件和惡意軟件，使得網絡釣魚活動更加容易實施。小語種惡意軟件威脅不斷增加，使用 Go、Nim 和 Rust 等小語種編程語言開發的惡意軟件增加，相應的安全分析工具較少，難以被檢測和攔截，造成勒索軟件飛速傳播。另外，國家級網絡安全對抗日趨明顯。俄烏沖突爆發以來，國際網絡空間安全威脅不僅影響沖突的進程和走勢，也對未來網絡空間國際秩序的走勢產生了深遠的影響。一方面是網絡戰和信息戰的對抗增加了網絡空間的緊張局勢，沖突雙方利用網絡進行攻擊，包括黑客攻擊、關鍵信息基礎設施打擊等動態效應，以及運用輿論手段巧妙影響公眾心理效應。其次俄烏沖突也揭示出網絡空間武器化的危險

18、性，表現為代碼武器化、社交媒體武器化、以及互聯網資源武器化。這種趨勢對國際網絡安全構成了嚴重威脅，破壞了互聯網底層的信任基礎，加強了網絡空間碎片化趨勢，并可能加劇網絡空間的軍備競賽。在俄烏沖突中，非國家行為體如黑客組織等也參與其中，發起大規模的網絡攻擊。這些非國家行為體的參與使得網絡空間的對抗態勢更加復雜化，給國際網絡安全帶來額外的挑戰。07數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書綜上所述，數智化轉型加速推進，深刻改變了社會經濟的運作模式，為企業發展和人民生活帶來了前所未有的便捷和效率提升。然而，這種變革同樣催生了一系列新的安全問題，使得系統安全、網絡安全和數據保護成為數字時代必須直面

19、的重大挑戰。各行各業特別是承載關鍵數據資源和業務系統的云平臺更應該發揮積極作用，強化安全治理體系，構建安全的環境。2.4 數智化發展對安全提出更高要求數智化發展不斷加速，相較以往產生了一系列變化。日益增長的價值催生了更多的攻擊，愈發深入的場景，增加了安全防護的復雜性。愈發白熱化的競爭，要求企業能夠同時保障敏捷與安全。數智化時代因此對安全防護提出了更高的要求：先進普惠的安全技術：嚴峻的安全威脅需要先進的安全攻防技術來保障，同時應當降低使用這些先進技術的成本，使其成為大多數組織可用、易用的技術。敏捷高效的安全能力：由于快速發展的需求，要求安全防護能力能夠隨著業務的變化而彈性伸縮，并在業務的不同階段

20、支持高效地完成安全治理工作，維持業務的敏態。同時在業務的敏態下，保障業務運行的穩定性與合規性。豐富全面的解決方案：場景的不斷豐富和深入，要求安全防護能力也能夠不斷進化，適應不同的場景，并提供貼近于具體場景的安全解決方案。08數智化趨勢下的發展機遇與安全挑戰阿里云安全白皮書治理理念：云上安全共同體治理目標：更強安全性與更低成本治理框架Vision and Framework for Alibaba Cloud Security Governance01020302.公共云安全治理 愿景與框架1.治理理念：云上安全共同體隨著數智技術的產業化發展及其與實體經濟的深度融合，企業對云計算的需求日益增長。

21、數字化 轉型的加速推動了企業上云用云的比例顯著提升?！叭嫔显啤崩顺庇萦?，“深度用云”特征日漸明顯。云上安全的建設，需要企業和云服務商之間秉承一致的安全理念。恰當的安全理念，能夠促成上云企業與云服務商之間快速建立對云安全的理解和共識，解決云上業務流程與線下 IT 流程相異的安全管理問題；也能夠幫助深度用云企業解決云上復雜生態系統帶來的更高安全協作需求。阿里云基于多年集中的安全技術投入、豐富的風險應對經驗、完善的安全組織機構、靈活規范的安全措施落地機制，和為客戶云上安全提供支持，為社會安全穩定貢獻力量的不移決心，正式提出“云上安全共同體”這一安全理念，以驅動云上安全的建設。云上安全建設中，云

22、服務提供者無疑是最關鍵的角色之一。在“云上安全共同體”理念的引導下，阿里云不僅會堅守安全責任共擔模式云服務商的責任，搭建和提供“安全的云”，如基礎設施、物理設備、分布式云操作系統及云服務產品安全，保障云平臺基座的安全。與此同時，阿里云也會幫助客戶“安全使用云”，從而優化云上安全的“最后一公里”，實現共同安全目標的治理理念。10公共云安全治理愿景與框架阿里云安全白皮書“云上安全共同體”的安全理念，以實現保護云環境中數據和資產安全的共同目標，云平臺發揮主觀能動性，提供更多可供客戶采取的安全保障措施，與云上客戶一起形成一個緊密相連、互相支持的安全防護網絡，構建一個多層次、相互協作的安全保障體系，促成

23、深度用云安全，從而進一步造就云平臺的運行安全。以云產品安全配置為例，客戶需要根據上云數據、系統的定級決定安全策略，根據安全策略自行開啟安全配置。在安全共同體理念的方向引導下，阿里云主動為客戶提供了更多默認的安全配置與風險提示，支持客戶實現配置安全。阿里云深知，如果我們的客戶不安全，那么阿里云作為云平臺就無法實現真正意義上的安全?！霸粕习踩餐w”理念的提出，標志著阿里云作為領先的云平臺，不僅勤勉盡責地履行承擔本職的安全責任，更致力于提供一系列切實可行的安全保障措施，這些措施旨在幫助客戶更深入地思考、制定、理解安全策略，并支持這些安全策略更順暢、便捷地落地實施。阿里云致力于從打造“安全的云”和賦

24、能“安全使用云”兩個核心維度踐行云上安全共同體理念。圖 2.1.1：云上安全共同體安全的云安全使用云云平臺安全性持續演進成為客戶更緊密的安全伙伴11公共云安全治理愿景與框架阿里云安全白皮書阿里云希望能通過這些安全保障措施建設工作，展現我們對云上安全的堅定承諾，以及為客戶提供一個安全、可靠和合規云環境的決心。為了更清晰、具體地陳述相關工作，在本次安全白皮書中，阿里云會就構建平臺核心安全保障的八大支柱進行呈現。如希望查閱更多關于安全共同體理念的落地內容，敬請關注官網和阿里云發布的其他信息。安全的云。阿里云堅持在云安全領域進行持續投入，促成云平臺安全性的持續演進。如持續匯聚安全精英人才，建立全球頂級

25、的安全團隊；不斷建立和完善原生先進的安全能力，提高云產品自身的安全能力和提供更豐富的云安全產品；通過制定有效的安全預案及通過實踐充分演練，能更早地介入威脅發現和風險防范的過程，以確保在遇到各類網絡攻擊時，云平臺能更快地響應、更有效地防護。安全使用云?；谄脚_經驗和能力的沉淀，阿里云圍繞云租戶的安全管理需求提供進一步的強化安全保障服務，致力于成為客戶更緊密的安全伙伴。如對于云產品設置更高的初始安全水位，提高云產品使用的安全性；通過提供更普惠的安全能力，促成更低的用云安全成本；通過增強多方位的安全檢測和防護能力，實現安全事件的主動響應，通過提供全面而易于理解的安全指南和最佳實踐，推動安全科普與安全

26、意識的培育，使用戶能夠清晰地了解云服務的安全性能和潛在風險，做出明智的決策。12公共云安全治理愿景與框架阿里云安全白皮書在當今數智化時代，云計算正以前所未有的速度改變著企業的算力建設模式、IT 運營流程與業務支撐方式。其不僅為企業提供了前所未有的靈活性和可擴展性，更在安全性與成本效益方面展現出了顯著優勢。而全球頭部云計算廠商通常具備絕對的規模優勢和長期的運營經驗，憑借深厚的技術積累、嚴格的安全標準遵循、以及持續的安全研發投入，構建了更加堅固的安全防護體系，確保了云計算環境相比傳統 IT 架構具備更高的安全性。2.1 云安全提升更強的安全性保障阿里云不僅遵循國際/國家安全標準以及安全合規要求，還

27、通過多層防御策略、數據加密、訪問控制、安全審計與監控、以及實時的威脅檢測與響應機制等方式，全方位保護客戶系統與業務免受各類安全威脅，讓云計算尤其是公共云成為企業數字化轉型中更加值得信賴的選擇。-全球頂級的安全團隊阿里云擁有專業的安全團隊，這些團隊具備行業領先的技術能力，并基于深厚的行業經驗，不斷地夯實云基礎設施的安全防御能力，以“零信任”“縱深防御”的先進安全架構，應對層出不窮的安全威脅，并基于自身攻防對抗經驗，為客戶提供專業的安全解決方案。-原生安全能力支撐原生安全是云計算安全性的重要組成部分，它強調從設計之初就將安全考慮融入應用程序和服務的每一個環節中。在一些核心攻堅類技術領域，阿里云將行

28、業領先的防御技術（如 ECS/機密計算、ACK 機密計算）與安全用云策略（如配置審計與一鍵修復）融入到產品中，以方便云上客戶使用，無需自行研發。2.治理目標：更強安全性與更低成本13公共云安全治理愿景與框架阿里云安全白皮書2.2 云安全保持更低的成本消耗在不犧牲安全性的前提下，云計算可以有效降低安全成本和時間成本。企業無需自行構建和維護復雜的安全體系，也無需擔心因資源閑置或過度安全配置而造成的浪費，從而能夠更加專注于業務創新和發展，正因如此，云計算尤其是公共云以其卓越的安全性和顯著的成本優勢，正成為越來越多企業的首選。-經濟成本優化阿里云通過提供集中的安全資源、自動化的安全更新與監控以及規模經

29、濟效應，顯著降低了企業的安全成本。相比傳統 IT 環境，云計算服務商能夠利用先進的安全技術和專業團隊來保護其龐大的數據中心，這種集中化的安全管理方式不僅提高了安全性，還使得企業無需投入大量資金自建和維護復雜的安全體系，從而實現了安全成本的有效降低。-時間成本節約阿里云通過提供即時可用的安全產品服務和自動化管理工具，大幅降低了企業在安全加固上的時間成本。企業無需從零開始構建和維護復雜的安全體系，而是可以直接利用云服務商提供的成熟安全解決方案，快速響應安全威脅，優化安全策略，從而節省了大量在安全建設、管理和維護上的時間投入。14公共云安全治理愿景與框架阿里云安全白皮書3.治理框架從云上安全共同體的

30、角度出發，為達成云上更強安全性、更低成本的目標，阿里云在安全機制、安全能力上做出了一系列設計與建設，共同構成了云上安全八大支柱，以保障云平臺自身具備足夠的安全水位，且能夠最大化地幫助客戶提升客戶側安全水位。3.1 安全機制保障云平臺基座的安全，是云上安全的基礎，為確保萬無一失，阿里云建設了全生命周期的安全保障機制和全方位的紅藍對抗反向校驗機制來保障云平臺的安全。-全流程產品安全保障建設阿里云在產品全生命周期中，通過多環節干預，以縱深防御、零信任架構設計理念為指導，并通過自動化、數字化安全分度量機制，切實保障安全要求的落地。最終，使云平臺、云產品具備高安全水位。-全方位紅藍對抗反向校驗安全水位需

31、在攻防對抗過程中不斷提升，阿里云在內部建設了紅藍對抗體系，藍軍團隊采用 APT 級強度對云平臺開展滲透測試，從內部視角查漏補缺。另一方面，阿里云擁有完善的外部白帽生態及漏洞懸賞機制，邀請第三方服務商來進行滲透測試、漏洞挖掘，從外部視角驗證云平臺安全防御水位。15公共云安全治理愿景與框架阿里云安全白皮書圖 2.3.1：云上安全治理框架3.2 安全能力支撐云上安全需要云平臺和云上客戶的共同安全，在云平臺安全基座的基礎上，阿里云還將“保障客戶安全”的設計融入到了方方面面，爭取最大化地助力客戶云上安全建設。-堅守數據主權的數據安全保護在客戶數據主權及機密性保護方面，阿里云從機制、技術架構角度，保障客戶

32、的云上數據僅用于符合客戶自身意圖的場景，不會挪作他用。同時，阿里云還具備各類數據安全保護機制，可默認提供比絕大多數自建環境更安全的數據存儲、傳輸、使用環境，避免外部不法分子竊取數據。-全鏈路身份管控與精細化授權在信息技術高速發展的今天，進行高效、靈活的數據流動、網絡聯通是云平臺的優勢所在。為了安全地達成這一目的，身份權限管理至關重要。阿里云提供了全鏈路身份授權與權限管控體系，支持客戶按照“最小夠用”原則，細粒度地按需分配云上權限，從而確保數據流動、網絡聯動符合客戶場景需要的同時，不因過度授權而使客戶系統安全性受到負面影響。-安全防護能力高效彈性可擴展作為云原生時代的基礎設施，阿里云所提供的安全

33、防護能力，可隨著基礎設施的彈性伸縮而靈活調整，實現了安全防護能力的高效彈性，有助于降低安全防護的時間成本。阿里云在基礎產品之上開放可擴展能力，便于三方安全廠商集成云上基礎產品，并發揮出更好的性能與穩定性，提升云上客戶安全防護的可擴展性。17公共云安全治理愿景與框架阿里云安全白皮書-面向線上威脅的快速響應與恢復安全是持續對抗的過程，阿里云提供了風險感知、數據備份等服務，即使客戶因外部入侵導致服務受損，對應的產品能力也能幫助客戶達到快速感知、快速響應、快速恢復的目的。-面向攻擊的安全高可用阿里云建設了完整的安全高可用架構，如租戶隔離、負載均衡等方式，并建設嚴密的監控發現能力、服務快速恢復能力，以保

34、障云服務在面對安全攻擊時的高可用性。-全球化背景下的合規支撐阿里云積極擁抱監管合規，持續推動云平臺與云產品自身符合各地區、各行業監管合規要求，并將共性合規要求融入到云安全產品功能設計中，以幫助客戶按需地選用產品功能，來滿足使用過程中的審計與合規需求。阿里云堅定地與客戶一起，迎接日益嚴峻的云上安全挑戰，幫助客戶以更低的成本具備更強的安全性。在后續章節，將詳細展開阿里云安全治理框架，以幫助客戶更好地理解和利用云上安全優勢。18公共云安全治理愿景與框架阿里云安全白皮書Important Security Capabilities of Alibaba Cloud03.云上安全重要支柱全流程產品安全保

35、障建設全方位紅藍對抗反向校驗堅守數據主權的數據安全保護全鏈路身份管控與精細化授權安全防護能力高效彈性可擴展面向線上威脅的快速響應與恢復面向攻擊的安全高可用全球化背景下的合規支撐01020304050607081.全流程產品安全保障建設攻防對抗不是單一環節的較量，阿里云秉持“多層防護、全面覆蓋”的理念，深入貫徹DevSecOps，將豐富的安全工具和安全管控流程無縫集成至產品研發的各個階段。通過多環節協同合作，共同負責風險控制，從而確保安全效果不再依賴于任意單一環節。在傳統的軟件開發生命周期中，安全檢測和修復通常集中在發布階段，這種方式容易導致工作積壓，存在效率低下的弊端。阿里云通過產品設計階段威

36、脅建模、開發階段提供安全編碼 IDE 插件、測試階段執行自動化漏洞掃描等方式，在前置環節發現風險，有效控制了安全治理成本。通過應用接入 RASP、WAF 的方式，提升了線上產品對外部攻擊和新興 0day 漏洞的免疫、防御、攔截能力。使安全治理流程更加高效、可持續。在與全球頂級黑客團隊對抗的過程中，阿里云貫徹縱深防御和零信任架構的設計理念，建設了世界領先的安全架構，這一架構通過多層次防御機制，不僅保障了云平臺自身安全，還保障了客戶數據及資產的安全性，不讓任何一個環節成為安全漏洞的突破口。安全架構設計和安全流程的關鍵在于實際執行，阿里云不僅在理論上進行了充分規劃，還通過建設內部度量機制，確保安全流

37、程在各個團隊中得到嚴格遵循和執行，通過對流程的監控和評估，阿里云切實履行了其在安全保障方面的承諾，確保每一環節的安全措施都落實到位。20云上安全重要支柱阿里云安全白皮書1.1安全流程：產品全生命周期阿里云通過將安全管控要素嵌入產品研發流程，實現了安全管控與產品研發的同步啟動、同步實施以及同步完成。產品研發安全生命周期共分為六個關鍵環節：立項、設計、編碼、測試、發布、運維&監控。阿里云在整個產品研發過程中內置標準化的審核流程和自動化安全工具，旨在將產品研發過程中的潛在風險扼殺在上線前，并在產品上線后及時發現和響應新的安全風險，這一全流程的安全管控機制，使得安全不再是最后的補丁，而是貫穿于整個研發

38、生命周期的核心要素。安全團隊職責 溝通、理解業務需求、業務形態和交付方式，編寫、更新、推送項目成員所需要的安全培訓材料 根據業務形態設計威脅建模問卷 針對安全風險協助設計解決方案 評估整改方案合理性 提供安全編碼方面的專家建議及規范 提供輔助安全編碼的工具（安全 SDK、安全 IDE 插件）監督編譯、發布流程接入 SPLC 安全流程 提供黑盒、白盒、灰盒、鏡像安全、供應鏈安全掃描工具 幫助產研側基于產研特殊情況編寫定制化規則 核查過程中的 CheckList 是否完成 針對重點隱患進行人工審核 基于審核結果拒絕發布或允許發布 通過基線巡檢、黑盒掃描、供應鏈安全監控 周期性發現線上風險 推送安全

39、漏洞給研發側 基于人工滲透、ASRC、紅藍對抗機制發現 線上系統的深層風險 對入侵情報進行排查跟進階段明確、整理、闡述業務需求、業務形態和交付方式，完成培訓任務并通過考試完成威脅建模問卷填寫遵守安全運維規范遵守安全編碼規范接入安全 SDK使用安全 IDE 插件基于風險設計解決方案響應工作完成 CheckList 審查修復審查過程中發現的安全漏洞按期完成安全要求的整改修復安全側推送的漏洞，配合應急確保編譯、發布流程接入 SPLC 安全流程測試環境安裝 IAST 灰色掃描工具完成鏡像安全工具掃描完成供應鏈安全工具掃描完成黑盒工具掃描完成白盒工具掃描產研團隊職責產品立項安全架構設計安全開發安全掃描安

40、全評估卡點安全監控與應急響應圖 3.1.1：阿里云產品安全研發流程21云上安全重要支柱阿里云安全白皮書1.1.1立項環節在產品立項環節，產品研發團隊和安全團隊將充分溝通，明確業務需求、業務形態和交付方式，確認雙方可接受的風險程度，并明確安全責任邊界。這種協同合作是確保產品安全的基礎。產品立項環節的目標是厘清該產品業務背景下云平臺需實現的防護效果，并要求參與業務的各職責人員具備充足的安全知識及安全意識，避免因安全知識、安全意識不足，而引發線上風險。在立項環節中，阿里云要求產品線一號位、產品經理、項目經理、研發、運維、交付等相關人員必須完成安全培訓考試，牢記產品安全紅線和安全基線。阿里云平均每年完

41、成線上安全培訓和考試數萬人次，完成線下培訓數千人次，并具備配套的數百份安全規范文檔，覆蓋產品研發全流程和全部崗位類型，以指引產品研發工作安全、合規地開展。安全培訓覆蓋人群覆蓋內容目標研發安全&合規白皮書管理者安全培訓架構安全設計功能安全設計安全測試云賬號/資源安全使用安全編碼安全運維安全審核項目安全交付&管理技術安全紅線培訓PD測試理解哪里會有安全風險/什么事情不能做知曉安全流程及如何協同建設安全掌握安全技能及知識，承擔所屬崗位的安全職責交付運維PM管理者安全培訓安全技能安全意識安全流程圖 3.1.2：安全培訓機制概覽22云上安全重要支柱阿里云安全白皮書1.1.2設計環節安全團隊會在設計環節介

42、入，輔助產品線完成安全架構的設計與評審工作。對產品的部署架構、網絡架構、應用架構、接口交互邏輯和租戶隔離架構進行完整的威脅建模，事前識別出產品的安全風險，并給出針對性整改建議。安全是阿里云的生命線。因此在產品管理流程中，安全團隊具備產品設計方案的一票否決權，并將安全審核作為產品上線的關鍵卡點，從而保障安全要求的落地。阿里云產品的架構評審完成率均達 100%，威脅建模標準庫中累積數百條風險判斷規則，以全面發現各場景、各層級下的安全隱患。針對云計算的特殊場景，阿里云重點關注租戶隔離方面的風險治理，在不同層級實施了不同強度的加固措施。針對云場景下的租戶隔離問題，阿里云在虛擬化層、網絡層、網關層、應用

43、層、主機層架設了不同層面的縱深防御體系，在假設單層防御失效的情況下設計整體防御方案。在虛擬化層，阿里云自研了 ECS 沙箱隔離、袋鼠安全容器技術，從架構角度解決云上資源共享及調度帶來的租戶隔離影響，并在容器集群內統一配置嚴格的 NetworkPolicy、WebHook 攔截能力，攔截集群內的異常訪問請求。在網絡層，阿里云在不同類型業務間、不同產品間嚴格使用 VPC 進行默認隔離架構設計。對于核心生產網，額外實施內網 L4 層零信任隔離，具備機器、IP、端口粒度的動態隔離阻斷能力;對于容器環境，使用自研的 SideCar 能力，對網絡流量進行清洗和隔離;對于網絡通道，在各類計算資源與公網資源之

44、間，實行“非必要不互通”的策略，加大外部攻擊者通過 C2 通道控制計算資源的成本。在網關層，阿里云實施動態智能的流控策略，避免 A 客戶的異常操作影響到B 客戶，并支持業務在網關層配置接口鑒權，避免因內部研發過失導致客戶間越權訪問資源及數據。23云上安全重要支柱阿里云安全白皮書在應用層，阿里云除了通過產品安全研發全生命周期管控，最大化規避研發編碼失誤導致租戶隔離被突破以外，還針對 0day 漏洞導致租戶隔離被攻破的場景，提前部署了 Web 應用防火墻、運行時應用自我保護 RASP 工具，使應用具備應對 0day 漏洞的默認免疫力。在主機層，阿里云通過自研工具安騎士，實時監控和響應主機上的異常行

45、為，并及時處置。不同層級的安全架構設計，共同組成了阿里云的縱深防御體系。阿里云的安全防護不僅僅依賴于單層的防御機制，而是永遠在“單層防御已被攻破”的假設下，設計更深的防御機制。阿里云也基于“零信任”的理念，結合自身與頂級黑客團隊的對抗經驗，實施建設了一體化的零信任安全架構，這一架構的細節，將在 1.2 中詳細闡述。1.1.3編碼環節所有產品研發人員在編碼時，必須嚴格遵守安全編碼規范，主動接入安全團隊設計并封裝的安全SDK，使用統一、標準化的安全修復方案，安裝安全 IDE 插件，在測試及預發環境安裝 IAST 灰盒插樁程序，確保業務經過安全掃描等。在編碼環節，阿里云希望將多種風險扼殺在搖籃，核心

46、措施包括：針對潛在漏洞治理，通過編碼規范、IDE 安全編碼插件的方式，將諸如 SQL注入、命令執行等基本漏洞，盡量在編碼環節規避;針對越權風險設計及實施鑒權切面機制，通過代碼層切面的方式，控制研發編碼失誤導致的鑒權失效問題;針對代碼層 0day 風險，在編碼環節內置運行時應用自我保護工具 RASP，使應用具備對 0day 漏洞的默認防御能力;24云上安全重要支柱阿里云安全白皮書針對編碼過程中極易出現的憑證泄露風險，阿里云提供了自研的零信任憑據輪轉解決方案、動態輪轉代碼中關鍵憑據(如 AccessKey)。與此同時，限制憑據的合法使用范圍，一旦憑據泄露立刻輪轉止血。1.1.4測試環節阿里云自研了

47、黑、白、灰盒安全掃描工具，并通過 SPLC 安全運營平臺嵌入整個研發流程，對產品源代碼、供應鏈組件、開源代碼進行安全掃描。產品研發工程師不需要單獨提交掃描工單，在研發平臺點擊發布按鈕后，自動進入白盒掃描，覆蓋 100%常見漏洞類型，這一過程對產品整體研發進度幾乎無影響。產品部署到測試環境后，會默認強制接受灰盒掃描，通過動態 Fuzz、模擬攻擊行為的方式，準確地發現安全風險。阿里云在產品上線前會對測試環境完成黑盒掃描，主要排查弱口令、1day 漏洞等風險。1.1.5發布環節產品發布前，會進行默認配置檢測，以保障產品遵循最小權限、最小暴露面、賬號合理授權等基線要求;同時進行敏感信息檢測，規避口令、

48、AK 等泄露風險。原則上，所有產品都需要接入運行時應用自我保護工具 RASP、Web 應用防火墻等安全工具，以構建產品自身的縱深防御體系。針對產品上線前依然存在的疑似安全風險，由阿里云權威安全專家進行最終評估和確認后才能上線。25云上安全重要支柱阿里云安全白皮書1.1.6運維&監控產品上線后，還涉及以下流程：基于零信任可信的架構設計，在運維環節，對流量、資源配置、外部人員操作行為數據進行收集，并分析審計出潛在風險，按照相關規范制度規定的時間，及時推動解決。進行日常運維和風險監控，一旦出現安全風險，立即啟動應急響應。敏感數據在傳輸、存儲過程中均為密態。若與客戶業務相關，僅在獲得客戶授權的情況下開

49、展處置操作。通過紅藍對抗、產品眾測、攻防比賽等形式，反向驗證產品的安全性，主動發現產品迭代過程中出現的新風險，并及時加固和修復。應急響應環節若發現流程、工具能力有不足之處，將盡快納入到內部需求池中，排期進行優化;若發現新的威脅類型，會迅速上線防御策略。1.2安全架構：阿里云零信任體系零信任的核心理念是不單純依賴網絡請求來源和單一身份憑證，而是通過各層、各場景的信息，綜合分析潛在的風險，從而攔截可疑的攻擊者，實現動態安全。對于云廠商而言，保護客戶數據安全是其核心要務。從設計層面實現這一目標，需要從全鏈路的角度識別哪個環節對客戶數據執行了操作，不僅要防止外部攻擊者的滲透攻擊，還需要預防內部員工被釣

50、魚所帶來的操作風險。26云上安全重要支柱阿里云安全白皮書覆蓋范圍風險控制可信校驗客戶信任+TPM可信根0day漏洞云原生安全應用層網絡層主機層阿里云全員下一代云原生可信架構軟件供應鏈可信驗證流量網關數據傳輸加密微隔離應用可信啟動零信任憑據獨立憑證固件啟動可信運行時可信機密容器機密計算可信計算存儲加密鑒權切面運行時防御切面應用間調用可信RBACABAC操作審計云原生身份體系與客戶業務體系無縫對接，通過硬件可信根、四層元數據、七層元數據限制數據僅在可信范圍內使用和傳遞，應用間調用權限可限制到接口級。攻擊者無法通過單一漏洞，一招鮮滲透應用環境僅運行可信組件，且對運行時狀態持續監控，攔截 0day 攻

51、擊，緩解供應鏈等不可控組件帶來的威脅持續校驗請求流量是否可信安全，操作有審計抵御硬件、固件級別供應鏈風險提供硬件級加密、輪轉能力支撐使云平臺、用戶、芯片廠商形成三權分立關系，根本解決用戶上云的信任問題可信調用動態管控秘鑰輪轉行為分析風控引擎安全可信：全鏈路可信身份傳遞，多層縱深防御，持續監控與響應+七層元數據+四層元數據圖 3.1.3：下一代云原生可信架構阿里云平臺將身份數據在全鏈路進行傳遞，包括主機層、網絡層、應用層及業務層。其中主機層記錄和傳遞主機硬件身份信息，網絡層記錄和傳遞網絡IP、端口等四層信息，應用層記錄和傳遞進程信息、接口等應用運行時信息，而業務層記錄和傳遞具備業務屬性的訪問者身

52、份 ID 標識信息。阿里云通過零信任體系的建設，實現了以下關鍵成果：全鏈路風險控制：阿里云將云原生身份體系與客戶業務體系無縫對接，通過硬件可信根、四層元數據、七層元數據，限制數據僅可在可信范圍內使用和傳遞，應用間調用權限限制到接口級別。攻擊者無法通過單一漏洞完成對云平臺的滲透工作。防御 0day 漏洞：阿里云平臺的應用環境僅可運行可信組件，且持續監控運行時狀態，從而大大緩解了 0day 漏洞與供應鏈組件帶來的威脅。防止內部誤操作：阿里云通過持續校驗請求流量是否可信，對內部操作進行充分審計，從而最大化避免誤操作，確保內部操作安全規范。27云上安全重要支柱阿里云安全白皮書1.3 安全制度：安全分機

53、制在安全實踐中，“三分技術、七分管理”的理念至關重要。為持續性保障各個產線的安全水位，阿里云創造性的推出了針對各個產品線的安全評價體系，即“安全分”。安全分覆蓋了阿里云產品安全基線條例的大部分內容，如“公網服務未接入WAF”“ECS 實例未經安全審核開放公網”，其目的在于揭示隱藏于各類產品配置中的潛在安全弱點，使之顯而易見。并且分數權重能夠清晰地呈現出治理優先級，以幫助安全工程師和產線有序地完成改進措施。安全分的計分邏輯是從阿里云整體安全建設角度出發，綜合考慮不同問題的治理 ROI。這些邏輯由具備豐富實戰經驗的安全專家進行設置，并經過安全團隊與產品線評審通過后正式確定。此外，在實際運行中，安全

54、分會不斷優化和迭代，以確保其有效性和適應性。安全分的計算基于平臺自動機制完成。在云資源安全配置、安全防御接入等領域，可以通過自動化巡檢能力發現和清洗需要進行治理的數據表，并在配置完成后自動刷新數據。對于無法進行自動計算的部分，比如產品架構設計，在產品安全接口人上報后并通過安全團隊審核完成后計分。這兩部分數據源按預先設定的權重相加來得出每個產品的最終分數。所有關于安全分的動態變化都在統一的可視化平臺上呈現。通過內部的安全分平臺，產線可以清晰感知到安全風險以及安全風險治理的優先級。此外，安全分平臺還與內部流程平臺聯動，不僅提供了風險治理的針對性解決方案，而且還提供了治理入口和工單，從而極大地降低了

55、產線內部以及產線和安全團隊間的協作成本。這也提高了安全運營的效率，確保了安全治理目標的貫徹執行。通過內部的安全分平臺，產線可清晰感知到安全風險以及安全風險治理的優先級。并且，安全分平臺還與內部流程平臺聯動，在提供風險治理的針對性解決方案的同時，也會給出治理入口和工單，極大地降低了產線內部以及產線和安全團隊間的協作成本，提高了安全運營的效率，確保了安全治理目標的落地。28云上安全重要支柱阿里云安全白皮書2.全方位紅藍對抗反向校驗盡管阿里云已建立起一套系統化、立體化的全方位安全防護體系，但我們深知安全是一個動態對抗的過程。若僅從單一視角進行防御建設，可能會因單一參與方的盲區而在真實的對抗場景下被攻

56、破。為了防止可能發生的“安全策略失效”等問題，阿里云平臺的安全能力持續保持在線狀態，在動態對抗中持續提升安全水位，我們相信只有讓“紅藍對抗”常態化，才能保持防御水位。一方面，阿里云在內部建設了“紅藍對抗”體系，藍軍團隊不斷研究新技術，保持與業內頂尖團隊的交流，時常以“APT 級”的強度對云平臺發起滲透測試。另一方面，阿里云擁有完善的“外部白帽生態”及“漏洞懸賞機制”，定期邀請高水平的第三方“安全服務商”針對云平臺進行滲透測試、漏洞挖掘，從外部視角驗證并加強云平臺安全防御能力。2.1內部定向 APT 模擬實戰APT（高級持續性威脅）攻擊在全球范圍內對國家安全、經濟穩定、基礎設施安全以及個人隱私構

57、成了重大威脅。這類攻擊以其高度的技術復雜性、長時間的潛伏期和精準的目標選擇為特點，對政府、大型企業和個人造成了深遠的影響。從國家戰略層面的機密泄露到關鍵信息基礎設施的癱瘓，再到經濟領域的商業機密被盜，APT 攻擊已成為一個不容忽視的全球性問題。阿里云作為國內市場份額最大的云廠商，內部業務結構多元、訪問流量復雜、身份變動頻繁，面臨著超復雜的環境，涉及數百萬服務器、數百個數據中心、PB 級流量、數萬名員工、上百個全球辦公場景、數萬量級域名。如果僅以防守方思維去構建安全，難以面面俱到。由此，阿里云基于攻防對抗思想，建立了內部紅藍對抗體系，常態化模擬最接近真實場景的攻防對抗，最大化提升平臺安全性。29

58、云上安全重要支柱阿里云安全白皮書不限時間不限范圍不限手段績效掛鉤入侵檢測團隊威脅感知，攻擊溯源常態化藍軍攻擊入侵團隊貼近黑客滲透數十萬攻擊路徑外部網絡/內部網絡/供應鏈社會工程學/物理攻擊/無線網絡數百種攻擊戰術模式ATT&CK/WASC/OWASPCVE&CWS/漏洞威脅/安全社區數百個每年高危風險發現覆蓋全面/高強度/持續性自動化驗證/以黑客速度響應紅軍安全保障團隊SDL安全運營響應阿里攻防對抗體系設計圖 3.2.1：阿里攻防對抗體系設計阿里云攻防體系主要以“定向 APT 攻擊”作為核心主旨，完成內部的攻防演練。攻擊團隊（以下簡稱阿里云藍軍）會以 MITRE ATT&CK 框架作為指導，系

59、統地模擬外部攻擊者的行為，而防守團隊（以下稱阿里云紅軍）會進行持續性防守。整個演練過程，主要包括以下幾個階段：-攻擊規劃階段：將以某個阿里云產品或內部系統系統作為演練靶標對象，進行定向目標的信息收集，包括但不限于 OSINT、網絡掃描等?；谑占降那閳?，分析目標的潛在攻擊點和薄弱環節，選擇攻擊手法，構建復雜攻擊鏈，設計完整的模擬攻擊流程。由 APT 演練的項目負責人完成整體攻擊方案的確認，編排攻擊資源，包括但不限于定向挖掘 0day 漏洞、可控攻擊鏈投毒、特定性遠程控制攻擊工具的編寫與測試，形成攻擊鏈路圖。-攻擊執行階段：阿里云藍軍成員將嚴格按照攻擊鏈路圖進行模擬定向 APT 攻擊的實施工作

60、，并記錄阿里云紅軍對于攻擊實施的實時反應?？紤]到攻擊行為可能被阿里云紅軍感知，阿里云藍軍還會選擇特定攻擊技戰法，例如社會工程學攻擊、中繼攻擊、隱蔽攻擊等手法，建立穩定的攻擊駐留點。30云上安全重要支柱阿里云安全白皮書 當獲得穩定駐留點后，會根據當前收集到的目標信息，嘗試訪問目標系統，并使用預先構建的武器化攻擊工具定向攻擊演練靶標系統，從獲取系統普通權限到獲取系統管理權限再到獲取該系統主機權限，完成靶標系統的完全掌控，達到預先定型 APT 攻擊的目的。-復盤修復階段：收集整理攻擊反饋數據，包括成功和失敗的攻擊嘗試、定向 APT 攻擊目標的防御反應等。阿里云藍軍與阿里云紅軍，將共同完成最后的總結復

61、盤工作。演練過程中所發現的漏洞及防御體系薄弱點，將由阿里云紅軍負責人帶回，供設計形成解決方案并推動落地，并推動邏輯，以彌補防御體系的短板。攻擊規劃階段攻擊執行階段復盤修復階段信息收集構建攻擊鏈確認攻擊方案模擬定向攻擊建立攻擊駐留點實施定向攻擊收集攻擊反饋數據總結復盤推動實施解決方案圖 3.2.2：紅藍攻防演練流程2.2自動化紅藍對抗平臺為應對日益嚴峻的網絡安全挑戰，確保安全防御能力始終處于最優狀態。阿里云構建了一套 7x24 小時全自動化紅藍對抗平臺，平臺通過深度整合內部和外部的攻防案例，將多種攻擊手法進行隨機打散與重組，在阿里云全域內開展高頻次、自動化的演練。該平臺不僅提升了阿里云對復雜攻擊

62、的應對能力，還確保了安全防護體系能夠持續優化，以應對不斷變化的網絡威脅。31云上安全重要支柱阿里云安全白皮書圖 3.2.3：自動化紅藍對抗平臺流程2.2.1常態化安全對抗1.全自動化演練機制：通過深度整合外部 APT 事件、MITRE ATT&CK 框架和內部自編寫攻擊案例，平臺能夠實現全自動的在指定演練范圍內進行攻防對抗，過程中無需人工進行介入，確保全天候攻擊與防御能力驗證。2.隨機性與多樣化：演練目標的生成過程是隨機化的，結合歷史安全攻防事件和公開工具攻擊手法的隨機組合，提升了對抗環境的多樣性和真實感，確保能夠覆蓋多種潛在攻擊情境。3.可視化輸出與風險同步：每次演練后，平臺會自動生成詳細的

63、攻擊路徑以及可視化評估報告，通過輸出各個演練過程的關鍵節點，并實時同步安全風險，確?？焖俜答伜蛦栴}暴露。32云上安全重要支柱阿里云安全白皮書2.2.2防守過程穩定性1.節點負載智能控制：在多節點并行演練的過程中，系統會根據節點的負載情況自動調整演練規模，避免對生產環境造成過度影響，同時保證業務系統的連續運行。2.日志追蹤與審計：平臺具備全流程日志記錄功能，任何演練操作都可以被詳細追溯，確保事件的透明性和可審計性，以防止誤操作或者不合理的攻擊行為對系統產生風險。3.應急場景秒級熔斷：當演練過程中出現異常情況時，系統能夠在秒級響應并快速進行熔斷，確保生產環境的穩定性，避免對核心業務系統造成影響。2

64、.2.3復盤推修1.發現與問題反饋：演練結束后，平臺會自動檢測發現的安全問題，通過查看平臺輸出的報告內容以便同步對應的安全風險。2.持續驗證機制：平臺會自動化發起常態化驗證，確保每個已修復的安全問題在不同場景下的持續有效性，防止已解決的漏洞再次復現。2.3 外部三方驗證。2.3外部三方驗證為了進一步加固安全防線，阿里云積極引入國內外優秀的第三方滲透測試服務提供商，通過專業的外部驗證手段，確保云平臺及產品的安全性達到國際領先水平。外部三方驗證：是指聘請獨立的安全專家團隊，運用專業的滲透測試技術和工具，模擬黑客攻擊行為，對目標系統進行深度安全檢查的過程。這一過程旨在識別和評估系統安全控制的有效性，

65、揭示潛在的安全弱點和威脅，最終提出改進建議和修復方案。33云上安全重要支柱阿里云安全白皮書2.3.1合作伙伴甄選與認證阿里云在全球范圍內精選具備深厚安全背景、技術實力與良好市場口碑的第三方滲透測試服務提供商。合作廠商需滿足嚴格的資質要求，包括但不限于 ISO 27001 信息安全管理體系認證、CMMI 成熟度模型集成認證等，相關服務人員需要具備 CISP-PTE/PTS、CISM、OSCP 等專業認證，并通過阿里云內部的安全能力評估與認證流程，確保其服務的專業性與合規性。2.3.2測試范圍與深度第三方驗證范圍覆蓋阿里云的全系列產品與服務，從基礎設施層（如服務器、網絡設備）到平臺服務（如數據庫服

66、務、容器服務）、再到軟件應用層（如 Web 應用、移動應用）。測試內容深入至黑白盒代碼審計、網絡滲透、邏輯漏洞挖掘等多個維度，確保全方位、無死角的安全驗證?；A設施層平臺服務服務器黑白盒代碼審計數據庫服務Web 應用網絡設備容器服務移動應用軟件應用層合作廠商資質要求ISO27001 信息安全管理體系認證CMMI 成熟度模型集成認證CISP-PTE/PTSCISMOSCP服務人員認證要求合作伙伴甄選與認證測試范圍與深度網絡審計邏輯漏洞挖掘圖 3.2.4：外部三方驗證34云上安全重要支柱阿里云安全白皮書2.4外部安全生態建設我們深知只靠阿里云安全團隊自己的力量無法保障絕對的安全。唯有阿里云安全團隊

67、與白帽社區攜手并肩，方能形成有力的安全屏障。廣大白帽群體和安全社區，是阿里云在安全道路上尋求突破、彌補短板、拓寬思路的關鍵支撐。通過鼓勵白帽挖掘漏洞，刺激內部紅軍團隊補齊短板，阿里云的安全防線才得以不斷提升?；谏鲜隹紤]，阿里云在 2013 年創立了阿里安全響應中心（ASRC），通過高額的賞金激勵行業精英白帽，持續不斷幫助阿里云發現安全防御中的薄弱環節，全面提升業務整體安全水位。為進一步幫助云上用戶提升安全性，繼而又在 2015 年創建了先知平臺，通過安全眾測等形式，方便客戶集中高效地發現安全風險。阿里安全響應中心（ASRC）阿里安全響應中心（ASRC）針對阿里云及阿里集團其他所有業務的外部風

68、險，通過提供漏洞賞金計劃、開展安全眾測項目，提前發現潛在的安全風險，避免阿里云業務漏洞被外部惡意黑客利用。先知平臺先知平臺服務于阿里云客戶，一方面為客戶提供針對企業特定產品的公開或私密的安全眾測項目，另一方面通過通用漏洞收集計劃，及時感知云上用戶大量使用的通用軟件產品的0Day 安全風險，進而將兩者轉化為安全能力服務客戶。為了更好的服務阿里云及云上用戶，ASRC 和先知平臺進行了重大升級，整合雙方資源，建立了統一的“先知2.0”品牌，以提升用戶覆蓋、加速協同效率、拓展服務類目、共享安全技術為宗旨，與時共進，打造新一代互聯網安全服務響應平臺。35云上安全重要支柱阿里云安全白皮書10 余年間，先知

69、累計發布超過 1800 個項目，吸引了全球 30 多個國家的17000 余名白帽黑客參與其中，一起保障了阿里云上億用戶和企業的安全。阿里云對白帽社群的價值高度認可，作為對安全社區的回饋，發放了超過8000 多萬賞金，單個白帽子最高獲得了 500 多萬。隨著阿里云業務規模不斷壯大和業務形態持續多元化，“先知”不僅成為吸納各安全細分領域頂尖人才的平臺，還通過舉辦眾測活動、安全競賽、行業沙龍等，將最前沿的攻防技術和研究成果融入阿里云的安全體系。在國際上，“先知”也積極參與各類安全行業大會、與 Top 白帽平臺合作，獲取全球最前沿的安全技術能力。阿里云安全生態的繁榮，離不開安全社區的蓬勃發展。阿里云致

70、力于共建一個更加開放、互助的安全社區，深化與高校、專業團隊的合作，借助線下沙龍、阿里云 CTF 賽事、阿里云安全挑戰賽、先知安全社區等多元化活動，培育新興安全人才，激發技術創新活力，共同筑造安全行業的健康可持續發展之路。36云上安全重要支柱阿里云安全白皮書3.堅守數據主權的數據安全保護從成立第一天起，“保障客戶數據安全”就被阿里云列為最重要的事情。阿里云在數據安全保障上做出以下承諾：客戶掌權：客戶完全擁有自身數據主權；未經授權，阿里云除執行客戶的服務要求外不會訪問、使用或移動客戶數據。先進的數據安全保護技術：云上提供各維度行業領先的安全能力，幫助客戶提升數據安全水位。3.1客戶數據主權保障原則

71、與態度3.1.1數據是客戶資產，阿里云不會移作他用阿里云用戶對自身數據具有完全的知情權和控制權。用戶可自行選擇其生產數據部署或存放的云服務可用區地點，未經用戶授權，阿里云不會移動其生產數據的存儲區域。阿里云設計并實施了嚴格的租戶隔離架構，不同用戶之間都默認相互隔離，既看不到彼此的數據，也不會相互影響。在阿里云的零信任架構中，為防止在內部員工被惡意攻擊者釣魚情況下，惡意攻擊者通過內部員工身份開展的數據竊取行為，阿里云建立了嚴謹的授權機制。通過設置嚴格的客戶數據訪問控制策略，確保僅在客戶明確授權的必要場景，方可允許內部員工訪問客戶數據。37云上安全重要支柱阿里云安全白皮書3.1.2夯實數據安全保障

72、體系，全面保障客戶數據安全在云平臺自身數據安全保護方面，阿里云嚴格遵守數據安全法個人信息保護法一般數據保護條例（GDPR）以及行業相關法律法規要求，構建數據安全和個人信息保護管理和技術體系：建立數據安全管理組織，明確數據安全職責和分工，落實數據安全責任；建立總綱、規范、指南和流程四級制度體系，覆蓋數據采集、流動、存儲、使用和銷毀的生命周期各個環節，明確數據生命周期安全管理要求，確保數據安全管控措施到位；建立數據安全風險運營機制，從人員管控、行為防護、安全監測和風險運營開展數據安全管控；建立數據安全事件應急響應機制，制定數據安全事件分類分級標準，組織開展數據安全應急預案的制定和演練，全面保障數據

73、安全風險治理和處置有序開展。3.1.3踐行數據合規要求，驗證數據主權與數據保護機制阿里云嚴格遵循業務運營所在國家和地區的個人信息保護相關法律法規，尊重用戶數據的歸屬權和控制權，嚴格保障用戶隱私安全，未經用戶授權，不會訪問和披露用戶業務數據和隱私信息。為進一步驗證阿里云在數據安全與個人信息保護方面的高標準和專業能力，阿里云通過了多項國內及國際權威機構的認證。阿里云先后通過了中國網絡安全審查認證和市場監管大數據中心(CCRC)的數據安全管理認證、韓國互聯網與安全局的信息安全管理體系認證（K-ISMS）、新加坡網絡安全局的網絡安全最高級別認證（Cyber Trustmark）、歐盟獨立監督機構 SC

74、OPE Europe 的 EU Cloud Code of Conduct 二級認證（符合 GDPR 要求）、英國標準協會 BSI 頒發的可信數字云最高級別鈦金獎及其他全球性的數據安全管理體系認證，包括 ISO/IEC 27001:2022、ISO/IEC 37301:2021、38云上安全重要支柱阿里云安全白皮書ISO/IEC 27040:2015、ISO/IEC 27701:2019、ISO/IEC 29151:2017、ISO/IEC 27018:2019、ISO/IEC 27799:2016、BS 10012:2017 和TRUSTe 等。阿 里 云 已 經 獲 得 包 括 ISO/I

75、EC 27701：2019、ISO/IEC 29151：2017、ISO/IEC 27018：2014、BS10012：2017 在內的所有關于隱私保護標準認證的“全滿貫”。這些權威的三方認證和審計報告，驗證了阿里云在數據獲取、傳輸、存儲、處理、銷毀過程中的合法合規性。3.2客戶數據安全保護技術能力阿里云提供多樣的數據安全控制措施，如數據操作審計、加解密、細粒度訪問控制策略、可信計算和機密計算、數據本地化存儲等，為客戶提供全面、完整的數據保護策略選項。3.2.1數據操作可審計操作審計服務（ActionTrail）能夠幫助記錄用戶的云賬號資源操作，包括通過阿里云控制臺、OpenAPI、開發者工具

76、，記錄云上產品和服務的訪問和使用行為。用戶可以將這些行為事件下載或保存到指定的日志服務 Log store 或 OSS Bucket，然后進行安全分析、資源變更追蹤和合規性審計等操作。阿里云數據安全中心（DSC）在云賬號資源操作之外，還提供了面向數據實例內部操作的安全審計能力。例如面向數據庫產品，該能力可針對數據庫SQL 注入、風險操作等數據庫風險行為進行記錄與告警。除云上數據庫產品實例外，數據安全中心還可覆蓋客戶自建數據庫實例。通過數據安全中心，可幫助客戶記錄、分析、追蹤數據庫安全事件，發現不安全操作并拋出告警，有效降低數據泄密風險，幫助企業滿足數據安全保護及合規要求。39云上安全重要支柱阿

77、里云安全白皮書3.2.2全鏈路數據加解密數據加密是關鍵的數據安全保障技術，若數據在傳輸、存儲、計算過程中以明文形式存在，將導致鏈路上的每一環節都存在數據被竊取的風險。在數據傳輸環節，阿里云提供了標準的 TLS 加密傳輸協議，支持用戶通過加密協議與云產品進行交互，從而保證用戶請求數據在傳輸鏈路中的安全。OSS、全球加速等產品支持用戶設定強制傳輸加密，并支持通過 RAM Policy 設定加密協議版本。在數據存儲環節，阿里云的數據存儲類產品提供了可選的數據加密能力，與密鑰管理服務（KMS）協同保障靜態數據的安全；其中包括可一鍵開啟的磁盤加密，以規避物理磁盤被竊取時可能導致的數據泄露風險，磁盤加密不

78、影響對數據的正常讀取使用。也包括覆蓋使用鏈路的數據加密，可確保只有同時具備密文數據訪問權限、密鑰訪問權限時，才可獲取明文數據。云上數據加密可基于 KMS 生成各類強度的密鑰，若客戶對于自身數據主權具備更高要求，可以使用 BYOK 能力，將自己生成的密鑰導入到 KMS、數據類產品中，完成加密操作。同時阿里云還支持客戶購買 Cloud HSM 硬件加密機或者使用客戶自身擁有的加密機進行外部密鑰管理（HYOK），以保障客戶對密鑰生成、訪問的絕對控制權。通過對密鑰的細粒度權限管控能力，客戶可以將需要重點保護的數據進行加密，并只將密鑰的訪問權限授予可信的調用方、可信的使用環境，以此來保障自身對這些關鍵數

79、據的控制力。40云上安全重要支柱阿里云安全白皮書3.2.3細粒度訪問控制策略當數據需要在云上環境進行流程和傳輸時，為保障客戶能夠掌控數據的訪問權與流動方向，阿里云提供了細粒度的權限管控策略、網絡訪問控制策略，并在核心數據存儲類產品上，提供了更為安全的私網訪問通道。阿里云的權限管控基于 RAM（ResourceAccessManagement）機制，用于幫助客戶管理身份和資源訪問權限。RAM 機制同時具備基于角色的 RBAC（基于角色的訪問控制）和 ABAC（基于屬性的訪問控制）能力，能夠做到資源粒度的最小授權，并且可以為權限施加 Condtion 限制，如只有某特定可信網段來源的請求才允許訪問

80、。除身份權限方面的限制外，對于 ECS、RDS 等資源，阿里云還提供了網絡安全組能力，可限制只有特定網段才能訪問資源，或限制 ECS 實例對外訪問公網資源。以此來支持客戶配置細粒度的訪問控制策略，保護數據安全。以 OSS 為例，OSS 提供了最細到 Object 粒度的訪問控制策略，并提供私網連接（PrivateLink）通道，以保障OSS內的數據，僅可通過私網通信鏈路，在某個特定 VPC 內訪問。41云上安全重要支柱阿里云安全白皮書3.2.4可信計算與機密計算可信計算與機密計算是保障數據安全的高階能力，能夠保障客戶數據主權及數據機密性，客戶直接選用對應規格，并完成少量配置即可使用高階功能，完

81、成自身的數據安全加固。-可信計算可信計算是用于實現云租戶計算環境底層高等級安全的主要功能之一。通過虛擬化層面的可信能力 vTPM 作為可信根，構建涵蓋系統啟動和用戶指定應用的信任鏈并實現遠程證明機制，為用戶提供了針對環境啟動階段和運行階段的全方位可信保障。在系統和應用中加入可信驗證，能夠減少由于使用未知或遭到篡改的系統/軟件遭到攻擊的可能性?？尚庞嬎慵夹g為用戶的 ECS 實例提供可驗證的完整性，以確保實例未受到啟動級或內核級惡意軟件或Rootkit的侵害?？尚艑嵗ㄟ^使用UEFI安全固件、虛擬可信平臺模塊（vTPM/vTCM）、遠程證明服務，實現實例啟動度量和完整性校驗，從而保障實例的安全可信

82、。-機密計算機密計算可為客戶提供物理級的安全計算環境，以虛擬化 Enclave 為例，阿里云虛擬化 Enclave 在 ECS 實例內部提供一個可信的隔離空間，將合法軟件的安全操作封裝在一個 Enclave 中，保障客戶的代碼和數據的機密性與完整性，不受惡意軟件的攻擊。阿里云為適配不同企業的不同場景需求，同時支持 Intel SGX 機密計算技術、Intel TDX 機密計算技術、海光安全加密虛擬化 CSV（China Secure Virtualization）技術，可供金融、醫療這類對敏感和機密數據有強保護需求的業務選擇。42云上安全重要支柱阿里云安全白皮書3.2.5公共云形態下的敏感數據

83、本地存儲對于敏感行業，既需要遵守數據本地機房存儲的監管合規要求，同時又希望使用標準彈性的公共云產品。阿里云為滿足此類業務需要，提供了專屬區域、云盒兩種形態，分別支持將小型化Region、小型化 AZ 可用區部署到客戶機房。阿里云專屬區域是阿里云公共云的小型化部署形態，提供面向客戶的專屬服務場景。專屬區域可以在阿里云數據中心的獨立物理區域或客戶數據中心構建，提供與阿里云公共云相同的 IaaS、PaaS 云產品，并通過云服務方式為客戶提供獨占資源和統一運維服務，滿足數據隔離和合規要求。阿里云 IDC客戶 IDC物理隔離專屬區域專屬區域專屬區域線下物理集群阿里云統一運維與演進ECSECSECSVPC

84、VPCVPCOSS容器服務EMREBSEBSEBSRDSRDSRDS高速通道NASMaxCompute.OSSOSS.圖 3.3.1：專屬區域43云上安全重要支柱阿里云安全白皮書云盒（CloudBox）是將阿里云公共云（下文也稱為中心云，以突出與云盒的位置關系）的計算、存儲、網絡等技術以軟硬一體方式部署到客戶本地機房，客戶可以根據需求選購具體的云產品，滿足數據安全、數據本地處理、低延時等業務需求的全托管云服務。云盒通過上云連接與中心云相連，復用中心云管控基礎設施和遠程運維能力，允許云盒與中心云中的用戶 VPC 互通。云盒數據平面管控平面中心云上云連接企業域企業公網出口用戶數據平面網絡（按需部署

85、）用戶數據平面網絡企業內網數據平面管控平面圖 3.3.2：云盒通過這兩種形態，客戶可將關鍵必要的數據保留在本地，通過物理層隔離的方式符合合規性，同時又可以在合規的前提下，便捷地與云上資源互訪，兼顧便捷性與合規性。44云上安全重要支柱阿里云安全白皮書3.2.6從數據風險出發的數據安全解決方案阿里云數據安全中心，可為客戶提供一體化以數據為中心、風險為導向的數據風險全生命周期的安全解決方案。在滿足等保 2.0 安全審計及個人信息保護要求的基礎上，獲取用戶明確授權后，為客戶提供敏感數據保護和數據庫審計服務，提供敏感的數據資產安全的監控保障。具備敏感數據識別、細粒度數據審計、數據脫敏/列加密、數據泄露檢

86、測與防護四大功能。圖 3.3.3：阿里云數據安全治理架構圖 敏感數據識別：從海量數據中發現和鎖定保護對象，通過內置算法規則和自定義敏感數據識別規則，對其存儲的數據庫類型數據以及非數據庫類型文件進行整體掃描、分類、分級，并根據結果做進一步的安全防護，如細粒度訪問控制、加密保存等。細粒度數據審計：細粒度行為審計追溯的能力，可審計用戶終端信息、使用工具、數據信息、返回結果等詳細信息，全場景還原用戶行為軌跡，有效追蹤溯源數據的訪問行為。45云上安全重要支柱阿里云安全白皮書 數據脫敏/列加密：支持通過靈活多樣的內置或自定義脫敏算法或列加密，實現生產類敏感數據脫敏到開發測試等非生產環境使用的場景，并確保脫

87、敏/加密后的數據保真可用。數據泄露檢測與防護：通過智能化檢測模型分析內外賬號對敏感文件的訪問行為，實現對敏感數據訪問的異常檢測，同時為數據安全管理團隊提供相關告警。圖 3.3.4：阿里云數據安全風險治理架構圖46云上安全重要支柱阿里云安全白皮書4.全鏈路身份管控與精細化授權隨著數智化發展的深入，企業需維護大量的資產和數據。這導致訪問和管理這些資產和數據的身份權限體系變得極其復雜。阿里云提供了細粒度的權限管理能力以及完整的身份、憑證保護方案，覆蓋了阿里云全鏈路的產品品類，以滿足各種場景下、不同體量的客戶對數據資產訪問控制策略的需求，從而保護其數據資產的安全性。同時云平臺具備標準性、可擴展性，同時

88、云平臺具備標準性、可擴展性，能夠幫助企業將云上身份與企業內部身份關聯起來，構成一張身份網絡。在提升企業安全效率的同時，又減少了風險暴露面。在提升企業安全效率的同時，又減少了風險暴露面。4.1云上身份與細粒度權限管理阿里云的身份體系中，云賬號為云上資源的載體，默認擁有賬號內資源的所有管控權限，同時用戶可以通過為員工和程序應用創建 RAM 用戶、RAM 角色身份，并分配不同的權限，來滿足不同場景的使用需要。身份與權限體系相當于云上資源的門鎖，若門鎖不安全，云上資源的安全性也無從談起。主賬號及 RAM 用戶支持通過用戶名密碼登錄阿里云管理控制臺，為避免賬號密碼泄露引入安全風險，用戶可以對賬號啟用多重

89、身份驗證（MFA，Multi-factor Authentication），通過多因素核身的方式（如輸入短信驗證碼），來幫助客戶控制賬號密碼泄露的風險。擁有 RAM 訪問控制權限的管理員還可以配置 RAM 用戶的密碼策略、MFA 驗證規則，以及通過最小化權限授權，來進一步控制用戶密碼被盜帶來的風險。為進一步控制云上賬號被盜后產生的風險，阿里云將陸續為所有 RAM 用戶開啟登錄時強制進行 MFA 多因素認證，有效地阻止用戶被盜用登錄。當有跡象表明用戶控制臺密碼存在泄露風險時，阿里云會對 RAM 用戶進行臨時限制登錄保護，客戶需要重置 RAM 用戶密碼后才能重新登錄使用。47云上安全重要支柱阿里云

90、安全白皮書RAM 用戶和 RAM 角色的權限，可以通過訪問控制 RAM 來進行限制。訪問控制 RAM（Resource Access Management）是阿里云提供的管理用戶身份與資源訪問權限的服務?？蛻艨梢允褂?RAM 訪問控制產品創建代表員工或應用程序的 RAM 用戶，并可以控制這些 RAM 用戶對資源的操作權限。阿里云支持客戶為不同場景、不同員工創建不同的 RAM 用戶，按需為用戶分配最小權限，從而降低企業的信息安全風險。RAM 機制支持用戶組功能，以支持對職責相同的多個 RAM 用戶進行批量管理。云賬號什么條件下能對哪些資源做什么操作根賬號Authentication認證RAM 用

91、戶RAM 角色權限檢查員工Identify身份分配獨立身份全部權限且無法限制根用戶Access權限策略應用安全存儲計算網絡云資源Authentication認證圖 3.4.1：用戶可通過 RAM 服務管理資源訪問權限RAM 機制同時具備 RBAC 和 ABAC 能力，RBAC 支持客戶抽象出一些角色出來（比如運維角色），不需要再給每一個 User 來配置權限。ABAC 支持客戶做到資源粒度的最小授權，并且可以為權限施加條件限制，如只有某特定可信網段來源的請求才允許訪問。在面對大量、繁雜的資源時，為了進一步提升客戶細粒度權限管理能力，滿足各場景訪問控制策略需求，阿里云提供了 ResourceGr

92、oup 資源組和 Tag 標簽能力。ResourceGroup 資源組適用于常規的資源分組管理場景，例如，企業將某一主賬號下的資源，分配給不同的項目組。Tag 標簽能力則可以實現“多對多”的復雜管控需求，也即一個資源可打多個標簽，如資源同時具備項目標簽和環境標簽，通過標簽的組合，便可以定位到 A 項目的生產環境對應的資源。48云上安全重要支柱阿里云安全白皮書為了幫助客戶達到“最小授權”的目的，阿里云提供了訪問分析（Access Analyzer）服務，旨在幫助企業有效管理和持續檢測企業云上身份的權限及其使用情況，識別過度授權的身份，并推薦最佳實踐方案，幫助客戶踐行“最小授權”的原則。Acces

93、s Analyzer 服務可以幫助分析企業和賬號內的所有 RAM 用戶和 RAM 角色，識別過度授予但未使用的權限，幫助企業優化權限的分配。Access Analyzer 還可以分析出企業內擁有高風險權限的身份，幫助企業集中管理特權身份，加強特權身份的安全水位，降低企業安全風險?；谏鲜鲑~號風控及細粒度的權限管理能力，用戶可以根據自身使用場景構建合適的身份與權限管控策略。4.2云上憑證保護憑證是身份的證明，一旦泄露，將可能導致數據泄露、服務器被入侵等后果。憑證分為長期有效的訪問密鑰（AccessKey，后文統一稱作 AK）與短期有效的 STS Token。運營供應商腳本應用服務程序憑證API控

94、制臺瀏覽器，移動 APPSDK，CLI，編排服務計算大數據存儲網絡企業員工云上服務本地/云上服務人員憑證SSO 單點登錄用戶名密碼 MFA 多因素認證釘釘掃碼長期憑證 AccessKey臨時憑證STS Token研發運維數據科學家圖 3.4.2：AK 與 STS Token阿里云提供了一系列保護機制，來幫助客戶治理憑證泄露風險。49云上安全重要支柱阿里云安全白皮書-使用 STSToken 代替永久 AK永久 AK 由于長期有效，泄露后會對云資源安全產生持續威脅。而 STS Token 到期后將自動失效，無需定期輪換。因此推薦用戶使用 STS Token 作為程序訪問憑證訪問云資源，替代風險更高

95、的永久 AK。當客戶的應用程序部署在阿里云 ECS 實例上，則可以通過“ECS 實例角色”功能，讓 ECS 實例扮演具有某些權限的角色，獲取到 STS Token 訪問阿里云 API。ECS 實例角色功能允許客戶將一個角色關聯到 ECS 實例，在 ECS 實例內部基于 STS Token臨時憑證訪問其他云產品的 API。出于安全性考慮，使用該功能時應當開啟“僅加固模式”。當客戶的應用程序部署在阿里云 ACK 容器集群上，則可以基于 RRSA（RAM Roles for Service Accounts）功能，在容器集群內實現應用隔離的 RAM角色功能，各個應用可以扮演獨立的 RAM 角色，訪問

96、阿里云 API?；赗RSA 功能，客戶可以在集群內實現 Pod 級別隔離的應用關聯 RAM 角色功能。各個應用可以扮演獨立的 RAM 角色，并使用獲取的臨時憑證訪問云資源，從而實現應用RAM權限最小化以及無永久AK訪問阿里云API，避免AK泄露。用戶應用云資源RAMSTS1、使用 OIDC Token 扮演 RAM 角色獲取 STS 臨時憑證(服務賬戶綁定的 OIDC Token)OIDC3、使用臨時憑證訪問云資源2、基于 OIDC 協議驗證 Token圖 3.4.3：用戶使用 STS Token 訪問云資源50云上安全重要支柱阿里云安全白皮書對于憑證方面的保護，用戶可以通過使用 STS T

97、oken 代替永久 AK，實現“無永久 AK”的效果，根本性解決云上憑證泄露問題。也可以將憑證托管到KMS 中，以控制泄露風險，便于憑證泄露后到快速輪轉。-AK 憑證加密托管盡管我們在先前的討論中提倡采用 STS Token 作為授權手段，但在某些獨特情境下，使用 AK 或許仍然在所難免。在此類情況下，云上客戶可以使用KMS 密鑰管理服務管理及使用 RAM 憑據，以此來確保敏感憑證的安全保管。在客戶授予 KMS 管理 RAM 用戶 AK 的權限后，即可使用 KMS 提供的RAM 憑據插件、阿里云 SDK 從 KMS 獲取 RAM 憑據值并緩存在應用程序的內存中，然后向云產品發起請求。選擇將憑證

98、托管到 KMS 上，而不是硬編碼到代碼中，可以規避代碼傳播過程中產生的泄露風險。并且一旦某把憑證泄露，可通過 KMS 立刻進行輪轉。-AK 憑證安全審計同時，阿里云也為客戶提供了 AK 審計功能。通過該功能，客戶可以對賬號下的 AK 使用情況進行深度審查和管理。AK 審計用于查詢 AK 的基本信息、訪問的云服務及相關 IP 地址和資源，幫助客戶追溯 AK 使用信息，以便快速應對 AK 泄露等異常事件，或者為輪換 AK 提供決策參考。-AK 泄露風控長期不使用的訪問憑據容易發生泄露，且閑置時間越長，暴露風險越高。為幫助控制 AK 泄露后產生的實際損失，若識別到 AK 泄露，阿里云會對該 AK 進

99、行限制性保護，泄露期間訪問阿里云指定高危 API 時會提示報錯，防止風險進一步擴大。并會及時通知賬號管理員，關注 AK 泄露風險。同時，將針對長期未登錄的 RAM 用戶自動禁用控制臺登錄，針對長期未使用的 AccessKey 自動禁用使用。51云上安全重要支柱阿里云安全白皮書4.3企業多賬號管理當云上企業使用單賬號承載云上資源時，企業內不同業務之間難以實現強隔離，且人員和權限管理復雜度極高。所以，企業通常會為每個獨立的業務單元申請獨立的云賬號，實現安全隔離。對于持有大量云賬號的中大型組織，阿里云提供了資源目錄（Resource Directory）產品，支持企業管理員將企業的眾多賬號按業務的層

100、級結構有序地組織起來，形成組織的資源結構目錄，進而以組織視角集中管理身份權限、安全、合規、策略等資源，滿足企業資源在安全、審計及合規方面的管控需要。通過資源目錄產品，企業可以利用賬號作為邏輯邊界提升資源安全狀態，更清晰地管理用戶對不同環境的訪問權限。ApplicationsOU-業務 1-測試賬號ApplicationsOU-業務 1-生產賬號CoreOU 共享服務賬號CoreOU-運維賬號CoreOU-日志賬號CoreOU-安全賬號DMZVPC服務層-VPC數據層-VPCDMZVPCEIP NAT 網關 SLBEIP K8S .RDS Redis .AD 服務器 堡壘機 其他主機日志統一監控

101、操作日志CICD配置日志堡壘機管理賬號 MACloud SSORD財務托管 成本分析、優化身份集成資源管理財務管理云安全中心云防火墻大數據圖 3.4.4：多賬號環境最佳實踐“如何保障眾多云賬號遵守公司的安全合規基線？”是眾多中大型組織云上資源管控的痛點。為了支持中大型客戶解決此類痛點，阿里云基于資源目錄產品提供了 Control Policy，可限制多云賬號內的權限邊界，以確保企業安全基線與合規性。Control Policy 并不執行權限的授予，而是在整個組織樹下，規劃約定權限限制。即使云賬號管理員為某個子用戶分配了敏感的權限，該子用戶由于受到資源目錄管控策略的限制，也仍無法進行危險的操作。

102、52云上安全重要支柱阿里云安全白皮書舉例來說，當安全合規管控團隊希望禁止訪問者與OSS產品間進行明文交互，要求強制使用 TLS 鏈路加密時，可以通過 Control Policy 進行限制?！癊ffect”:“Deny”,/當權限滿足該策略描述時，則拒絕訪問 “Action”:“oss:*”,/針對 OSS 產品的所有 OpenAPI “Resource”:“*”,“Condition”:“Bool”:“acs:SecureTransport”:“false”/不使用 TLS 鏈路加密 Control Policy 還支持其它類似的場景，如禁止 ECS 開放公網、強制加密存儲、禁止修改 ECS

103、 鏡像分享權限、禁止關閉 ActionTrail 日志審計。企業可以基于 Control Policy 的能力，用 RAM 的語法靈活地設置企業權限基線，以滿足企業安全與合規管控需要。4.4身份關聯與映射企業內部由于內部管理需要，或考慮到云下歷史架構，可能需要保留其它身份與權限管理體系，或建設專屬企業內部的身份與權限管理體系，如傳統的 Windows 域身份權限體系。企業自有身份體系與云上身份權限體系的映射，通過自有身份體系實現單點登錄，以此來保障企業身份、權限系統的簡潔性，同時降低密碼泄露風險。阿里云支持云上身份與企業內部身份權限管理機制關聯，員工無需持有云上用戶身份的登錄密碼，直接通過內部

104、身份權限管理機制就能免密登錄到云上控制臺，這一關聯機制能夠有效控制多套賬號密碼管理混亂所導致的安全隱患。同時也可以更高效地解決員工轉崗、離職所帶來的云上賬號轉交及注銷，大大降低了企業身份權限管理的復雜度。53云上安全重要支柱阿里云安全白皮書單點登錄（SSO）是一種身份驗證解決方案，可讓用戶通過一次性用戶身份驗證登錄多個應用程序和網站。SSO 是云上身份與企業自建身份權限體系互聯的基本能力，基于標準的 SAML2.0 或 OIDC 身份協議，可以支持對接企業自建 IdP（身份提供商），使用戶在通過企業內部賬號認證后，就可以直接登錄到云控制臺的某個 RAM 用戶或 RAM 角色身份。角色 SSO用

105、戶 SSO員工員工企業 IdP企業 IdP2.IdP 發起登錄1.阿里云 發起登錄控制臺RAM 角色RAM 用戶控制臺RAM 用戶RAM 用戶圖 3.4.5：SSO 單點登錄如上一章節所述，中大型企業往往需要持有大量的云賬號，這些云賬號可以通過資源目錄產品來進行統一管理。對于身份關聯工作，阿里云基于資源目錄產品，提供了云 SSO 能力，能夠將企業中所有的身份在云 SSO 中進行統一的管理，支持多賬號的 SSO 分配與管理，通過配置模版能力，能夠大大加速配置速度，控制配置成本。54云上安全重要支柱阿里云安全白皮書云 SSO 用戶訪問配置云資源RAM 角色訪問配置云資源RAM 角色RAM 用戶同步

106、云資源RAM 角色RAM 用戶同步云資源RAM 角色企業 IdP云 SSO資源目錄管理賬號資源目錄成員圖 3.4.6：云 SSO-多賬號身份權限管理通過上述一系列工具及能力，可以將云上身份與企業自建身份體系打通，便于企業級大規模身份與權限管理，幫助企業保護云上資源的安全。55云上安全重要支柱阿里云安全白皮書5.安全防護能力高效彈性可擴展面對日益嚴峻的攻防態勢和日益復雜化的系統架構，企業需要實施多方位的安全防護，如在網絡層到應用層需要配置 DDoS 防護、云防火墻、WAF、RASP 等安全產品，如果這些安全防護能力完全由客戶自建，將會產生大量的資源投入成本及時間成本。在數智化轉型趨勢中，企業的敏

107、態需求日益增長，云平臺能夠在確保這些需求得到滿足的同時，助力業務實現快速的彈性伸縮與擴展。在安全領域，阿里云也致力于將安全防護能力融入到云產品中，以“原生安全”的理念，為客戶提供內生、默認、可配置、可彈性伸縮、可擴展、生態友好的安全防護能力。5.1產品原生安全防護能力阿里云希望所有將系統部署在云上的企業，都能夠享有盡量高的默認安全水位，因此將安全能力默認融入到了產品設計中，為企業提供原生的安全防護。-數據保護層面，阿里云提供了默認的傳輸加密與存儲加密傳輸加密是指云產品為用戶訪問（包括讀取和上傳）數據提供了 SSL/TLS 協議來保證數據傳輸的安全。例如，當用戶通過阿里云控制臺操作時，控制臺會使

108、用 HTTPS 協議進行數據傳輸。所有的阿里云產品都為客戶提供了支持HTTPS 的 API 訪問點，以滿足敏感數據的加密傳輸需求。對象存儲 OSS、全球加速產品還提供了 TLS 版本控制能力，以滿足客戶多樣化的安全合規需求。阿里云為用戶提供云產品落盤存儲加密能力，并統一使用阿里云密鑰管理服務（Key Management Service，簡稱KMS）進行密鑰管理。云上關鍵存儲產品，如云盤、數據庫 RDS、對象存儲 OSS，均實現了一鍵加密能力，客戶可免費一鍵開啟，以滿足敏感數據的磁盤加密存儲需求。56云上安全重要支柱阿里云安全白皮書-網絡安全層面，阿里云提供了默認額度的流量攻擊防護額度阿里云云

109、安全中心提供了免費版的漏洞檢測、安全告警和基線檢查服務，還幫助客戶收集并呈現安全日志和云上資產指紋?？蛻艨梢栽?ECS 管理控制臺的概覽頁面或者云安全中心控制臺查看相關安全信息?？蛻魟摻◤椥怨W IP（EIP，Elastic IP Address）資源時，阿里云將默認開啟 DDoS 基礎防護能力，免費提供最大 5 Gbps 的基礎 DDoS 防護能力，以抵御小規模攻擊。-訪問控制層面，阿里云提供了默認最小夠用的產品配置為防止企業無意間配置錯誤的訪問控制策略，導致嚴重的數據安全隱患，阿里云在產品中提供了默認最小夠用的產品配置，并提供充分的風險提醒。例如，OSS Bucket 配置了“阻止公網訪問

110、”，防止使用者誤操作，導致敏感數據非預期對外暴露。圖 3.5.1：OSS Bucket 管理-應用層防護層面，阿里云提供了可選的安全防御與掃描能力應用實時監控服務是阿里云的一款應用性能管理（APM）監控產品，整合了RASP（Runtime Application Self-Protection）防護能力。當企業有代碼層入侵攔截的需求時，可以通過 ARMS 控制臺一鍵接入應用安全，接入后重啟目標應用對應的實例即可，無需對任何應用代碼進行修改。57云上安全重要支柱阿里云安全白皮書云效作為阿里云提供的 DevOps SaaS 產品，在代碼檢測環節提供了安全掃描能力，客戶可按需使用該功能，提升應用代碼

111、的安全質量。圖 3.5.2：云效的安全掃描功能阿里云還將在更多的產品上，推動更多的原生安全設計落地，保障企業的安全水位。5.2按需使用與彈性伸縮企業所需要保護的資產規模、需要實施的具體安全防護級別會動態變化?？紤]到企業的快速迭代、擴展需求，阿里云提供了按需使用、一鍵接入、按需擴展的安全能力，旨在幫助企業同步實施安全防護策略。高昂的接入成本也是影響安全防護實施敏捷性的一個關鍵因素，阿里云通過一系列產品改造與建設，幫助客戶實現低成本、高質量的接入體驗。58云上安全重要支柱阿里云安全白皮書以阿里云的流量防護產品為例：端口 1 高防 1端口 1 源站 1端口 1 源站 1端口 2 源站 1端口 2 源

112、站 1端口 2 高防 1端口 1 高防 2安全團隊業務運維原始流量模型增加代理高防流量模型部署流程協同端口 2 高防 2圖 3.5.3：阿里云流量防護產品的按需使用與彈性擴展在企業原本的接入流程中，會遇到諸多障礙，影響抗 D 能力的有效接入：配置繁瑣：企業業務有大量 IP 資產和端口資產，代理模式防護部署需要維護多對多轉發配置。協同鏈路長：代理模式防護部署涉及串聯部署、DNS 接入需要企業內部運維流程協同。架構改造復雜：代理模式防護部署需要修改入口到高防 IP，會改變企業的業務流量架構。為了幫助企業快速按需接入抗 D 能力，阿里云提供了“原生接入”方式，可抵擋高達數百 Gb/s 級別攻擊，一鍵

113、接入，不需要侵入業務。5.3云上安全生態共享安全不是閉門造車，云上企業眾多，場景千變萬化。為促進云上安全生態，阿里云通過云市場形式引入了眾多安全產品，為客戶提供了豐富的選擇，并通過優化產品設計，便于三方安全產品在云基礎產品上提供更優質的服務。阿里云云市場是云上的軟件交易及交付平臺，通過賦能生態伙伴，引入三方生態產品，以實現客戶、阿里云、生態伙伴之間的共贏。截至 2024 年 8 月，阿里云云市場已引入包含國內外主流安全廠商的 358 款三方安全產品，為企業的安全解決方案提供更多的選擇。59云上安全重要支柱阿里云安全白皮書圖 3.5.4：云市場三方安全產品除此之外，阿里云在自身云產品設計上，為生

114、態集成留出了接入擴展點，為三方安全設備提供更穩定、可靠、安全的接入體驗。網關型負載均衡（Gateway Load Balancer，GWLB)是阿里云提供的一種負載均衡服務，專為網絡虛擬設備設計，旨在簡化在阿里云上部署和管理第三方網絡虛擬設備（如第三方防火墻、DPI 設備等）的過程。GWLB 與阿里云云市場上的眾多安全和網絡供應商產品集成，如 FortiGate、Palo Alto Networks 等主流安全廠商，使得這些設備可以在阿里云上高效部署和管理，輕松實現云原生安全和網絡策略。GWLB 為這些設備提供了高可用性和擴展性、靈活的流量分配、基于 Private Link 的私網安全數據傳

115、輸能力、易用的配置與管理能力。另外，GWLB 還支持統一的安全策略，使用戶在復雜的網絡結構下，同時保持高性能及高安全性。在擁抱安全生態的路上，阿里云還將繼續砥礪前行，未來會引入更多的三方企業共同加入到云上安全生態的大市場中，共同為用戶的安全水位保障添磚加瓦。60云上安全重要支柱阿里云安全白皮書6.面向線上威脅的快速響應與恢復在嚴峻的攻防態勢下，綜合業務靈活性、成本的考慮，很難做到絕對安全，但是需要追求風險可控的安全。因此必須要考慮線上出現風險后，如何動態地控制風險。阿里云為了幫助客戶控制風險，建設了一體化的安全運營能力，幫助客戶在極端威脅下快速感知風險、響應風險、恢復數據及服務。安全對抗不是單

116、個系統、單個組織、單個國家的事情，只有將各方關聯起來，進行聯動防御，才能取得更好的效果。為履行數字基礎設施的社會責任，阿里云還推出一系列機制，壓制黑灰產的云上行動，為社會的安全穩定做出貢獻。6.1 安全運營能力一體化軟件實施的疏漏或云資源的不當配置會引發線上安全漏洞，外部惡意攻擊者便有機會利用這些漏洞侵入系統，進行數據盜竊、植入勒索軟件等非法活動，嚴重威脅企業信息安全。漏洞類型錯綜復雜，而攻擊手法又變幻莫測，成為了當前企業在安全領域中的一大嚴峻挑戰?！叭绾螌⒕€上威脅檢測能力全面覆蓋企業資產”“如何精準識別具體風險點”“如何快速、穩定、無損地完成風險治理”，這是對企業安全響應能力的嚴峻挑戰。應用

117、/網站云產品配置檢查OSS/HBR全棧云產品云安全基線核查RAM/AKSK身份與權限管理大模型合規基線ECS/虛擬機Serverless漏洞管理ACK/ACRAK 泄露檢測資產梳理風險管理病毒，后門防御攻擊鏈路分析全局安全事件檢測響應默認防御SIEMSoar惡意行為防御威脅狩獵防勒索溯源自動化編排響應網頁防篡改接入云上 11 大類產品 32 種日志接入主機、網絡、云產品層的 各類數據實現跨賬號、產品的威脅分析及告警提升云上資產能見度實現云上分鐘級應急響應持續性風險梳理與收斂防御，檢測與響應威脅分析與響應調查，溯源事前事中 事后云安全中心智能助手云安全運營一體化圖 3.6.1：一體化安全運營能力

118、體系61云上安全重要支柱阿里云安全白皮書阿里云云安全中心從事前、事中、事后全流程的角度出發，以資產數據、風險識別、風險治理為重點建設方向，建設了一體化的安全運營能力體系。為企業克服上述挑戰，提供了強大的能力支持。6.1.1全面可視的資產梳理基于阿里云標準化的資產定義、API，阿里云可以幫助客戶自動化地生成云上業務的架構圖?？蛻艨赏ㄟ^該架構圖分析云上應用的互聯網暴露情況、云內的VPC內部的流量、云服務的調用關系。解決了風險管理中的“影子資產”痛點問題，為下一步的風險管理、檢測與響應、安全加固打下堅實的基礎。圖 3.6.2：可視化資產梳理注*：影子資產，指那些在資產統計中沒有明確列出，但對機構的風

119、險水平有一定影響的資產。62云上安全重要支柱阿里云安全白皮書6.1.2及時聯動的威脅情報分析面對嚴峻的安全威脅，阿里云建設了一系列安全能力，能夠幫助客戶集中處理來自多云環境、多賬戶和多產品的告警和日志數據，并從中分析出潛在威脅，通過 SOAR（威脅分析與響應服務響應編排）完成自動化、流程化安全響應。主機層數據網絡層數據云產品數據云安全中心云WAF云WAF云防火墻SLB云防火墻CDNDDoS高防K8s更多VPCOSS操作審計EIP更多.云原生多賬號多云環境豐富的威脅檢測能力自定義規則、策略、劇本擴展威脅溯源、日志搜索安全事件及響應編排告警日志WAF 告警日志API 網關日志配置檢查日志云防火墻告

120、警MongoDB 審計目志進程啟動日志新 BGP 高防流日志NAS NFS 運行日志漏洞日志WAF 流日志K85 審計日志登錄流水日志云防火墻流日志RDS 審計日志文件讀寫日志DDo5 高防流日志函數計算日志基線日志WAF 3.0 流日志PolarDB-X1.0/2.0審查計目志主機登錄失敗堡壘機日志0SS 計量日志賬號快照日志DDoS 原生防護日志OSS 批量刪除日志云安全中心威脅與響應接入阿里云及生態 20+大類產品 50+種日志告警、事件觸發自動響應規則執行劇本，聯動阿里云及生態產品進行響應(處置、封禁、查殺、隔離)阿里云產品生態產品圖 3.6.3：威脅情報聯動分析與響應-威脅情報共享威

121、脅情報不只需要關注自持資源的常規安全威脅，還需要能夠結合全球威脅情報，進行跨產品的綜合評估?？蛻艨稍诎⒗镌偏@得最新的安全情報，并通過云上安全產品，即時具備檢測與防護能力。為面向社會共享威脅情報，阿里云建設了公開的 AVD 漏洞庫，將全球開源安全漏洞情報及其分析結果向社會公開分享。針對重大安全缺陷，會及時將檢測規則集成到云安全中心，并推動告警信息到客戶側，幫助客戶更好地應對安全威脅。63云上安全重要支柱阿里云安全白皮書-聯動防御威脅阿里云還具備跨產品聯動防御、防御策略輻射多客戶的能力。舉例說明，眾多客戶均授權了云安全中心來分析日志、執行防御動作，當其中某客戶被新型勒索病毒入侵后，阿里云能夠從該用

122、戶主機行為日志中識別該病毒，并攔截其進一步橫向移動。這一入侵特征在經過分析后，會進入到安全策略庫中，其它客戶也可以基于云安全中心的能力，快速識別此類新型勒索病毒。該策略也會同步到云防火墻規則中，能夠通過云防火墻標記、告警、攔截連向病毒控制中心的請求。通過這樣的聯動防御，可以大大提升云上眾多客戶的安全威脅防御能力。6.1.3高效的風險識別基于全面的資產梳理，阿里云利用其技術領先的安全掃描與巡檢能力，建立了一套高效的風險識別與治理體系，能夠自動幫助客戶定期檢查云資源，包括識別互聯網暴露風險、配置風險、漏洞風險及身份權限管理風險。另外還通過無代理技術等方式，規避了風險識別階段的穩定性風險。在風險識別

123、和分析過程中，阿里云不僅僅依賴單一信息來源，而是整合多方面的信息進行綜合分析。當存在漏洞的服務被暴露于互聯網上時，該風險的預警級別會因為同時滿足“存在漏洞”和“對外開放于互聯網”這兩個條件而顯著提高，這樣有助于客戶科學合理地確定風險治理的優先順序。云安全中心Web應用防火層DDoS防護云防火墻操作審計云服務器 EOS專有網絡 VPC云原生數據庫PolarDB 1.x云原生數據庫PolarDB 1.x運維安全中心(堡壘機)負載均衡容器服務彈性公網 IP對象存儲 OSS.主機日志網絡層數據威脅分析云產品數據進程啟動日志云原生架構(云原生的威脅分析架構、易接入、易擴展)多賬號、多產品打通(跨產品跨賬

124、號打通數據，掌握全局安全態勢)豐富的威脅分析能力(多種檢測引擎、多場景規則)安全事件及處置(基于安全事件維度處理跨產品跨賬號告警)全網溯源(跨產品跨賬號的溯源、事件調查能力)日志分析(自定義安全分析能力)Beaver HTTP 日志堡壘機日志進程快照日志WAF 日志操作審計日志云安全中心告警日志WAF 告警日志基線日志彈性網卡日志網絡連接日志Beaver DNS 日志OSS 日志網絡快照目志云防火墻日志K8s 審計日志登錄流水日志云防火墻告警日志漏洞日志CL8 7 層日志端口快照日志Boaver Sossion 日志PolarDB 1.x審計日本賬戶快照目志DDoS 高防日志.暴力破解日志VP

125、C 日志.聯動阿里云產品進行處置、封禁、隔離等事件觸發自動化相應規則響應編排圖 3.6.4：云上威脅日志聯合分析 64云上安全重要支柱阿里云安全白皮書6.1.4精準、穩定的風險治理與業務恢復在基礎安全領域，安全專家們面臨著諸多日常而瑣碎的簡易任務，諸如進行安全審查、處理木馬與挖礦軟件等事宜。這些繁雜的工作大幅度占用著高級安全專家的時間和精力。因此，那些對于企業內部環境了如指掌、熟練掌握競爭對手情報、并能深入分析攻擊者行為模式的專家們，難以騰出更多資源聚焦于至關重要的網絡攻防對抗及深度安全研究領域?；谧詣踊憫幣?SOAR 能力，可以將安全事件運營自動化、流程化，從而提升安全響應速度。自動化

126、編排系統將安全專家從日常繁重瑣碎的工作中解放出來，集中精力應對真正需要處理的安全事件。自動化劇本也可積累安全運營的經驗，將人員的經驗轉化為可解釋、可執行的自動化劇本沉淀在企業內，更利于經驗的傳承。響應編排 SOAR 能夠以比人工快得多的速度對大量的攻擊告警事件和其他數據進行初步處理，并從中過濾出真正需要人員關注的重點事件，以進一步跟蹤處置。響應編排 SOAR 能力適用于安全運營過程中的調查、檢測、響應、溯源、經驗積累等各個環節，并不限于事件響應。自動化劇本支持對安全事件進行信息富調查、聯動處置等流程，減少重復性勞動，提升安全事件的平均響應時效。響應編排 SOAR 可以定期執行任務劇本，可以設定

127、定期運行巡檢任務。人工運行劇本可以按需手動執行特定的任務。企業可通過響應編排 SOAR 的各種安全組件，調用云防火墻、云 WAF、主機安全以及本地威脅情報等各種安全設備的安全能力，進行調查、分析、處置等動作。云安全中心支持一鍵修復能力，能夠自動修復云資源錯誤配置、賬號身份權限錯誤配置等問題。通過這一系列機制和能力，云上客戶可實現人與工具、工具與工具之間的有效協作，將安全設備作為一個完整的整體，可以節約人效 120 倍，防御效果提升 10 倍以上。除響應速度的提升以外，阿里云提供了一系列能力支持客戶進行風險行為攔截。如支持安裝 RASP 工具來保障業務“帶洞運行”時的基本安全水位，動態無損地防御

128、惡意行為；統一的 one-agent 防護架構，還可以通過日志與流量結合分析，發現惡意攻擊行為，并自動化攔截惡意命令。65云上安全重要支柱阿里云安全白皮書遭遇攻擊后，迅速恢復業務運作十分重要。云備份（Cloud Backup，原混合云備份 HBR）作為阿里云統一災備平臺，是一種簡單易用、敏捷高效、安全可靠的公共云數據管理服務，可以為阿里云 ECS、RDS 數據庫等敏感資料，提供備份、容災保護以及策略化歸檔管理能力?？蛻艨梢葬槍γ舾匈Y產，開啟對應產品的自動備份功能，一旦被入侵或蠕蟲攻擊，立刻恢復正常業務運行。6.1.5專業的安全服務阿里云提供了完整的方案，幫助企業解決不同場景下的安全專家資源不足

129、的困境。在日常場景下，阿里云提供了滲透測試服務，以攻擊者思維，模擬黑客對業務系統進行全面深入的安全測試，幫助企業挖掘出正常業務流程中的安全缺陷和漏洞，助力企業先于黑客發現安全風險，防患于未然。報告整理深入利用漏洞利用漏洞探測信息分析版本信息 應用信息 系統信息等WebServer漏洞Web應用漏洞 Web組件漏洞 其他端口服務漏洞系統提權 應用提權 網絡提權等風險匯總 流程記錄防御繞過分析 監控繞過分析 制定滲透路線工具利用 手工利用信息收集圖 3.6.5：阿里云滲透測試服務同時，阿里云可支持企業組織與協調紅藍對抗，由藍軍負責發起攻擊、紅軍負責內部防御，通過對抗的形式深入挖掘企業內部的安全風險

130、。啟動項目 需求分析 方案設計與評審漏洞挖掘安全咨詢 社會工程安全培訓逆向工程 物理入侵橫向入侵 縱向入侵交付物編制與審核 滿意度回訪總結與匯報 項目驗收人員組織 風險管理 項目進度計劃 資產梳理紅藍對抗生命周期項目啟動項目計劃項目實施質量控制項目收尾圖 3.6.6：紅藍對抗項目66云上安全重要支柱阿里云安全白皮書針對重點業務的重保時期，可采購阿里云的“重保護航服務”，由專人在特定時間段，提供 7*24 的全方位守護。通過重要時期安全保障運營服務，開展梳理籌備、摸底評估、布防加固、模擬演練、值守保障、整改優化等一系列安全工作，能夠系統化提升企業整體的安全防護監測、應急響應、分析溯源能力。服務框

131、架保障階段準備階段防御體系全面監控云上/云下整體縱深防御VPC 評估BCS 評估應用安全評估匯報總結結束階段端口收斂IP 收斂邊緣資產收斂賦能培訓高危安全漏洞主機安全漏洞VPC/容器漏洞云產品配置云產品防護策略全面評估7*24 值守全面收斂分鐘級響應全面加固常態化巡檢最優策略攻擊溯源圖 3.6.7：重保護航服務阿里云在安全服務領域具備深厚的積累與豐富的實踐經驗，曾承擔過 2023 杭州亞運會、2024 巴黎奧運會等重大國際體育賽事的安全保障工作，并成功保障 0 安全事故。6.2場景演練：防勒索病毒借助比特幣等數字貨幣的匿名性，勒索攻擊在近年來快速興起，給企業和個人帶來了嚴重的威脅。越來越多的勒

132、索病毒集成了豐富的攻擊模塊，在業務場景復雜多樣的背景下，企業常因口令管理、訪問控制等原因而遭受勒索病毒的攻擊。勒索病毒會嚴重影響用戶業務，帶來嚴重的數據泄露、業務中斷、經濟損失，為此阿里云提供了完整的防勒索解決方案。服務器安全加固：支持服務器漏洞、弱口令的檢測及一鍵修復，協助用戶做好服務器的安全加固，避免用戶服務器被入侵。67云上安全重要支柱阿里云安全白皮書 勒索病毒查殺：支持對大量已知勒索病毒的實時防御，在企業主機資源被病毒感染的第一時間進行攔截，避免文件被加密勒索。誘餌目錄：針對新型未知的勒索病毒，通過放置誘餌的方式一旦識別異常加密會立刻攔截同時觸發告警，通知用戶進行防御。關鍵文件備份：和

133、文件備份服務合作，定期對指定文件備份，在文件被加密時能通過文件恢復的方式找回，做到萬無一失?；谏鲜鲆惑w化的安全運營能力，云上客戶可高效地發現、響應勒索攻擊事件，并快速恢復業務系統。6.3聯合對抗黑灰產阿里云作為基礎設施提供商，正在積極承擔社會責任，為云上租戶提供多種產品能力和解決方案，從而幫助租戶應對黑灰產對云上資源的威脅。除網絡攻防領域的對抗外，阿里云也在響應國家的相關法規要求，與監管部門緊密配合，建立了一套對云上黑灰產團伙的聯合壓制措施，全力守護一個健康、有序、安全的云環境。在“云上安全共同體”的理念引導下，阿里云還將持續投入對黑灰產攻擊態勢的研究工作，持續優化安全解決方案與產品能力，為

134、云上租戶著想，保障云環境的安全與穩定，也為社會的穩定運行貢獻一份力量。68云上安全重要支柱阿里云安全白皮書7.面向攻擊的安全高可用隨著攻擊態勢的加劇和攻擊規模的擴大，部分攻擊已威脅到云服務的可用性，而云服務的可用性直接關系到用戶數據的完整性和可用性。具體而言，特定類型和規模的攻擊能夠嚴重地破壞流量通道、業務集群乃至機房的物理基礎設施，這不僅威脅到業務系統的持續運行能力（即數據可用性受到威脅），還極易導致數據在傳輸、存儲或處理過程中受損或丟失，導致數據的完整性受到破壞，給用戶帶來難以估量的損失。長期以來，阿里云持續開展著系統化的安全高可用架構設計，并進行相關的能力和機制建設工作，以守護用戶數據完

135、整性與可用性。其目標是構建一個既安全又高度可用的云環境以確保用戶數據在面對攻擊威脅時始終保持安全可用的狀態，并隨時供用戶調用。7.1 面向攻擊的安全高可用設計7.1.1 多維度隔離機制云上基礎產品采用多租戶的架構。以 ECS 舉例，同一物理機上的 ECS 實例會分配給不同的用戶。因此，實例之間的隔離對各個用戶來說是重要的安全保障。阿里云在計算、存儲、網絡等方面建立了多維度的隔離機制，充分實施租戶間隔離架構，以確保在面對攻擊時各個用戶之間不會相互影響。7.1.1.1計算資源的隔離阿里云提供的計算能力采用多種安全加固方式進行計算資源隔離，包括：虛擬化隔離：使用自研 Hypervisor 和 MoC

136、 設備將單一物理主機切分為多個相互獨立的虛擬機。通過限制虛擬機之間可使用的資源，如操作系統、CPU份額、內存空間和磁盤資源，能防止單一用戶在物理機上消耗大量資源導致的性能影響。69云上安全重要支柱阿里云安全白皮書 容器隔離：容器技術（如 Docker）通過操作系統級別的虛擬化，在單一操作系統內核上運行多個隔離的用戶空間實例。容器共享主機的操作系統核心，但通過命名空間（Namespace）對文件系統、網絡設備、進程 ID 空間等進行隔離，通過控制組（Cgroups）對資源使用（如 CPU 時間、內存）進行限制，實現了輕量級的資源隔離。7.1.1.2存儲的隔離方式存儲資源的隔離主要是為了保護數據的

137、隱私和安全，具體方式包括：多租戶架構：云存儲服務通過邏輯上的多租戶架構，確保不同用戶的存儲資源在邏輯層面完全隔離，即使存儲在相同的物理設備上，也通過訪問控制和身份驗證機制確保數據不會被非授權用戶訪問。加密存儲：對存儲的靜態數據進行加密處理，支持選擇主流加密算法，密鑰管理獨立于存儲服務，進一步增強數據的安全性。7.1.1.3網絡的隔離方式網絡隔離是確保云環境中服務間安全交互的關鍵，具體實現方法有：虛擬私有云（VPC）：為每個用戶創建一個邏輯上的隔離網絡環境，用戶可以自定義 IP 地址范圍、子網、路由表和網絡訪問控制列表（ACL），實現網絡流量的細粒度控制。安全組和網絡 ACL：安全組工作在網絡層

138、，根據端口和協議控制入站和出站流量；網絡 ACL 更側重于子網級別，提供更基礎的防火墻規則，兩者結合使用能有效控制網絡訪問。私網連接：云產品提供服務時，通過 PrivateLink 等方式，提供從企業內部網絡到云服務的專用、高帶寬、低延遲的網絡連接，數據不在公共互聯網上傳輸，提高了數據傳輸的安全性和可靠性。70云上安全重要支柱阿里云安全白皮書7.1.2動態負載均衡及彈性擴展阿里云建設了實時容量管理能力，能夠預測和調整系統資源，以確保滿足當前和未來的業務需求，在避免資源過剩造成浪費的同時，防止系統因資源耗盡而過載，導致性能下降、響應時間延長甚至服務中斷。此外，容量管理提倡采用彈性架構，使系統能夠

139、根據負載自動擴展或收縮資源。這種設計確保了系統在面對突發負載和惡意攻擊時仍能保持穩定，避免因固定資源限制造成的性能瓶頸?；诎⒗镌苾炔靠焖偃娴娜萘勘O控，云平臺可以根據負載情況動態對云服務進行擴縮容。借助阿里云底層的海量資源進行彈性擴展，不僅能夠根據業務需求和資源使用情況合理規劃和調整資源分配，還可以有效抵御 CC 攻擊或其他資源耗盡攻擊。7.1.3數據冗余及同步方案在架構設計階段，我們為內部各類系統的數據存儲設計了數據冗余和多級備份方案，通過數據復制和備份，確保用戶資料數據的安全性。-數據冗余所有數據的讀寫最終都會被映射為對阿里云數據存儲平臺上的文件的讀寫。阿里云提供了一個扁平的線性存儲空間

140、，在內部會對線性地址進行切片，一個分片稱為一個 Chunk（中文含義為塊）。每一個 Chunk，阿里云都會復制成三個副本，并將這些副本按照一定的策略存放在存儲集群中的不同數據節點上，保證數據的可靠性。-數據同步阿里云服務即時或定時地將運行時關鍵數據傳輸到其他位置進行冷熱備份。在出現數據遭遇刪除、丟失或損壞時，我們可以將云服務當前使用的數據直接切換到備用實例上，減少故障影響時間，同時最小化潛在的數據丟失量。71云上安全重要支柱阿里云安全白皮書對于用戶側存儲的數據，阿里云通過建設一系列可選的數據冗余能力，支持用戶保障數據的完整性與可恢復性，數據冗余能力因產品品類不同存在差異，以數據庫為例：主從復制

141、：將操作數據實時同步到多個 region，例如將利用數據庫 binlog，將數據庫數據實時同步至其他數據庫實例，在主數據庫存在異常時，從數據庫能夠迅速接管，確保服務的連續性。分布式數據庫：通過將數據分布存儲在不同集群的多個節點上，防止由于單一節點被攻擊導致的全局性問題，提高云平臺可用率。定期備份：按照設定的時間表自動執行數據備份，確保在數據丟失或損壞時能夠快速恢復。通過在地域間的數據同步，實現數據的分布式存儲，降低訪問延遲 ，并為數據容災提供解決方案。7.2 嚴密的安全和可用性監控7.2.1全方位物理安全監控在物理安全方面，我們的數據中心配備了先進的安全監控設施，包括全天候的視頻監控、入侵檢測

142、、防火墻等。通過多層次的物理安全防護，以確保數據中心的安全性和可靠性。具體措施包括：視頻監控與入侵檢測：在數據中心內外安裝高清攝像頭，實施 24/7 的視頻監控，實時監測異?；顒?。同時，配備入侵檢測系統，識別并阻止未經授權的訪問。嚴格的訪問控制：實施嚴格的訪問控制政策，包括生物識別技術、智能卡等，確保只有授權人員能夠進入敏感區域。所有進出記錄均被保存，以備審計和追溯。環境監測與災害預警：配備環境監測系統，實時監控數據中心的溫度、濕度、電壓等環境參數。同時，建立災害預警機制，及時應對自然災害、火災等突發事件，保障數據中心的安全運行。72云上安全重要支柱阿里云安全白皮書7.2.2全鏈路攻擊行為監控

143、在阿里云內部，我們在多個位置部署了多種網絡防護設備，以防止來自互聯網的各類攻擊對云平臺可用性帶來的問題。在云網絡各個出入口，阿里云部署了自研的 Beaver，Beaver 是集流量檢測、安全編排、流量日志等功能為一體的高性能云安全平臺，發現及處置云上僵尸網絡、蠕蟲攻擊、0day 漏洞、Web 攻擊、Webshell、反彈 Shell、暴力破解、內部 DDoS、挖礦、數據泄露、信安等各類安全事件，為阿里云、公有云租戶及專有云客戶提供基礎的入侵檢測和默認防御等安全能力。阿里云通過各類防火墻，限制用戶可訪問的網絡區域，將用戶必需的服務暴露到公網，降低云平臺自身供給面，防止各種入侵行為可能導致的阿里云

144、業務受損。云平臺各個應用訪問入口，都部署了自研的 WAF，在用戶請求真正到達服務端進行處理前，提前解析業務請求，識別惡意攻擊行為，提前完成對 Sql 注入、SSRF、XSS 攻擊的阻斷，防止由于系統漏洞影響其他系統。阿里云與全球威脅情報平臺合作，獲取最新的攻擊信息和防護措施，不斷更新和優化內部安全策略，提高系統的防護能力。7.3 健全的應急響應機制7.3.1有效的攻擊阻斷機制在面對攻擊時，我們設計了一套高效的阻斷機制，能夠迅速隔離受影響的部分，防止攻擊擴散。自動化的安全策略調整和實時的系統修復，確保業務中斷時間降到最低。具體措施包括：自動化攻擊阻斷：通過自動化工具和腳本，系統能夠在攻擊發生時自

145、動執行阻斷操作，如調整防火墻規則、限制流量、隔離影響設備等，迅速阻止攻擊的擴散?？焖夙憫獔F隊：建立快速響應團隊，負責監控和處理安全事件。團隊成員具備豐富的實戰經驗和專業技能，能夠在短時間內做出準確判斷和有效處置。持續改進與優化：在每次攻擊后，我們都會進行詳細的事件分析和總結，不斷改進和優化我們的防護策略，提高系統的防御能力。73云上安全重要支柱阿里云安全白皮書7.3.2靈活的遷移策略阿里云的計算與網絡服務深度融合智能運維技術，在故障發生，或攻擊行為影響其他用戶時，能主動發現性能劣化、網絡擁堵等場景，此時，阿里云服務將主動發起業務無感的遷移策略。阿里云常用的遷移策略有以下幾類：主備切換：通過配置

146、主備服務器，當主服務器出現故障時，系統會自動將業務切換到備服務器，確保服務不中斷。主備切換可以在秒級甚至毫秒級內完成，極大地減少了故障對用戶的影響。多活數據中心：多活數據中心是指兩個或多個數據中心同時處理業務，并且相互備份。當其中一個數據中心出現問題時，其他數據中心可以立即接管所有業務，確保服務的高可用性。沙箱流量遷移：當檢測到惡意流量時，系統會將這些流量遷移至沙箱環境中，而不影響正常的業務流量。同時，阿里云安全服務將通過監測沙箱中的流量行為，獲取攻擊者的攻擊模型，為后續的安全防御提供數據支持。7.3.3快速數據恢復機制我們依托高度自動化的備份與恢復機制，確保在數據遭遇意外丟失或損壞的緊急情況

147、下，能夠迅速恢復業務運作。我們精心設計了多維度的數據恢復策略，覆蓋從細粒度的文件級別到全面的應用級別，全方位保障恢復的高效性與數據的完整性。具體策略如下：無縫主從切換策略：實施高效的 IP 切換機制，當主數據庫系統遭遇故障時，系統自動將訪問流量無縫轉移至備用數據庫，確保系統服務不間斷，快速恢復穩定運行狀態。智能自動化備份體系：集成先進的自動化備份工具，定期對核心數據進行全面掃描與備份，確保在數據丟失或損壞時，能即刻啟動恢復流程，最小化對業務的影響。精準多版本數據回溯：運用多版本數據恢復技術，能夠在數據發生錯誤或被篡改時，快速恢復到正確版本，保障數據的完整性和準確性。實戰化災難恢復演練：定期組織

148、災難恢復實戰演練，全面檢驗并優化恢復預案，不斷提升系統的恢復能力與響應速度。74云上安全重要支柱阿里云安全白皮書8.全球化背景下的合規支撐在數智化和全球化的趨勢下，信息基礎設施必須滿足不同地區和行業的監管合規要求。這些要求既包括對云服務提供方在基礎設施和云平臺安全性上的規定，也包括對客戶使用云服務過程中的要求，涵蓋客戶的自身數據、應用和賬戶安全等方面。為幫助企業高效且低成本地實現安全合規的目標，阿里云高度重視云平臺自身的安全合規建設，確保來自不同地區和行業的客戶在選擇阿里云服務時，能夠滿足他們所需遵循的安全合規要求。同時，阿里云致力于將共性合規要求融入到云安全產品功能設計中，以便客戶可以按需選

149、用合適的產品功能，以滿足使用過程中的審計與合規需求。8.1云平臺自身合規8.1.1全球安全合規領先的云服務商阿里云基于完整的平臺與產品管理機制，結合自身合規治理經驗，推動內外部合規標準在云平臺與產品中落地，確保云平臺與產品在基礎設施安全、網絡安全、身份安全、主機安全、數據安全與個人信息保護、云產品安全等方面均符合海內外合規標準。阿里云致力于加強全球化業務布局的合規體系建設。作為全球安全合規水平領先的云服務商，阿里云通過獨立第三方機構驗證其安全合規的符合性，并在全球范圍內通過了 140 多項安全合規認證。這些認證展現了阿里云在各體系標準下的全面安全能力。阿里云不斷提升云平臺安全合規水位，以此支持

150、云上客戶及組織高效滿足所在地區和相關行業的安全合規要求。75云上安全重要支柱阿里云安全白皮書中國全球通用境外區域及行業網信辦公安部工信部國家市場監督管理總局國家密碼管理局云計算服務安全評估：電子政務云（增強級）金融云（增強級）網絡安全等級保護：金融云(laaS/PaaS，四級)公共云(IaaS/PaaS/SaaS，三級)電子政務云(laaS/PaaS，三級)安全產品銷售許可證 網絡安全專用產品檢測可信云安全評估 產品安全能力評估中國網絡安全審查認證和市場監管大數據中心網絡安全專用產品認證 數據安全管理認證密碼應用安全能力評估：公共云(IaaS，三級)政務云(laaS，三級)ISO 9001IS

151、O 27001ISO 27017ISO 27018ISO 27701ISO 29151ISO 20000ISO 22301ISO 27799ISO 27040ISO 37301ISO 42001BS 10012CSA STARPCI DSS/PCI 3DSSOC1/SOC2/SOC3CyberGRXCyberVadisGxP歐盟EU Cloud CoCGDPR 合規評估美國NIST 800-53NIST CSFSEC Rule 17a-4(f)TRUSTe德國C5TISAXAIC 4Trusted Cloud阿聯酋NESA/ISR菲律賓BSP 合規評估馬來西亞BNM&SC 合規評估新加坡MTC

152、SCyber Trust MarkOSPARDPTMCBPR/PRP印尼OJK 合規評估韓國K-ISMS中國香港HKMA 合規評估HKIA 合規評估SFC 合規評估SRAA 合規評估中國澳門AMCM 合規評估圖 3.8.1：阿里云海內外安全合規資質更多關于阿里云的安全合規信息以及合規文檔，可參見阿里云官網“阿里云信任中心-阿里云合規”。8.1.2 滿足高合規要求行業的客戶需求阿里云支持云上客戶及組織高效滿足金融行業的安全合規要求，已經通過了多項國內及國際權威機構的認證。在國內，阿里云按照網絡安全等級保護制度的要求，對金融云平臺開展網絡安全等級保護定級備案，并由第三方權威機構進行網絡安全等級保護

153、測評，金融云平臺（IaaS/PaaS）通過等保四級測評；按照網信辦云計算服務安全評估辦法要求，金融云平臺在 2020 年作為首個通過云計算服務安全評估（增強級）的具有金融行業屬性的云平臺，為金融行業客戶提供安全可控的云計算服務。國際上，阿里云通過了支付卡行業安全標準委員會的支付卡行業數據安全標準（PCI DSS）、美國證券交易委員會（SEC）17a-4(f)記錄保存規則評估、香港金融管理局（HKMA）合規評估、香港保險業監管局（HKIA）合規評估、香港證券及期貨事務監察委員會（SFC）合規評估、香港保安風險評估及審計（HKSRAA）、澳門金融管理局（ACMA）合規評估、新加坡銀行業協會的 OS

154、PAR、菲律賓中央銀行（BSP）合規評估、馬來西亞國家銀行（BNM）和馬來西亞證券委員會（SC）合規評估、印尼金融服務管理局（OJK）合規評估、印尼金融行業 ISAE 3000 認證。76云上安全重要支柱阿里云安全白皮書8.2助力租戶側合規為滿足客戶應對監管合規要求及內部安全管理的需求，阿里云持續支持客戶的安全合規需求，并提供等保、密評、數據安全等安全合規咨詢服務和解決方案，助力客戶獲取合規資質。同時，阿里云還提供強有力的產品安全審計和合規能力，協助客戶準備并配合審計與檢查，開展有效的安全合規治理。8.2.1全面專業的安全合規服務阿里云及時響應客戶的合規需求，持續協助客戶安全合規文檔的提供。阿

155、里云通過官網合規文檔中心、客戶服務支持中心、對接銷售人員服務等渠道為客戶提供安全合規資質、安全合規審計報告、平臺和產品的合規證據等。通過安全合規文檔的提供，阿里云協助客戶迎接監管檢查，獲取等保、密評、ISO 等資質認證以及通過公司內部審計等，以支持客戶業務安全合規性證明，同時提升客戶市場競爭力。阿里云支持客戶通過官網合規文檔中心自助下載文檔，可參見阿里云合規文檔中心。同時，阿里云組織行業資深安全合規專家，為客戶提供安全合規咨詢服務。等保咨詢服務整合云安全產品的技術優勢，聯合優質等保咨詢、等保測評機構等合作資源，為客戶提供了一站式等保咨詢服務，全面覆蓋等保定級、備案、建設整改以及測評階段，幫助客

156、戶高效地通過等保測評。關于更多阿里云等保合規服務的信息，可參見阿里云等保合規解決方案。密評合規服務是阿里云依托云平臺密評經驗和云密碼產品優勢，聯合第三方測評機構等合作資源，提供一站式密評合規方案，覆蓋差距分析、方案設計、建設整改、密碼測評及密評備案等階段，助力客戶快速完成密評合規。關于更多阿里云密評合規服務的信息，可參見阿里云密評合規解決方案。阿里云在云平臺提供更為安全便捷的數據保護能力的同時，根據自身多年的經驗積累，基于數據安全法律法規及國家標準等，結合大量云上客戶的最佳實踐，提供了一套完整的數據安全合規解決方案，幫助企業提升云上數據風險防御能力，實現企業核心及敏感數據安全可控。關于更多阿里

157、云數據安全合規服務的信息，可參見阿里云數據安全合規解決方案。77云上安全重要支柱阿里云安全白皮書8.2.2便捷高效的安全合規產品阿里云為幫助客戶在云資源管理過程中更好地滿足安全合規要求，定義了三個關鍵環節：事前限制、事中及時發現和修復、事后審計記錄。阿里云針對每個關鍵環節均提供匹配的安全合規產品和服務，提升客戶對云資源管理的合規與審計能力。在事前限制環節，資源管理服務中資源目錄的管控策略能力支持按照合規要求執行針對資源的訪問控制，實現預防性管控。在事中及時發現和修復環節，配置審計（Config）服務支持持續評估云上資源配置合規性，實現發現性管控。在事后審計記錄環節，操作審計（ActionTra

158、il）服務支持對云上操作日志的集中管理收集和持久化存儲，實現對操作日志的追溯分析。阿里云的安全合規產品通過限制和持續監控以確保 IT 配置始終符合合規預期，提供合規能力；通過客觀記錄云上 IT 運維的全過程并做長期留存，提供審計能力?；趶娪辛Φ暮弦幣c審計能力，阿里云為客戶構建一個可見、可控、可追溯的安全運維環境，降低客戶安全合規風險。事前事中事后限制不能創建非 Golden Image 的 ECS不能自行修改 SSO 配置不能創建用戶不能新購和更改網絡配置發現處理安全組不能設置為 0.0.0.0/0云上磁盤必須啟用加密負載均衡必須開啟 HTTPS 監聽ECS 實例掛載到指定的 VPC 實例上

159、誰何時哪里哪些什么操作系統故障后，查看系統操作記錄數據泄露，查看對于該數據的訪問記錄AK 泄露后，查看某個 AK 使用記錄監控高危操作，如修改權限策略預防性管控管控策略發現性管控配置審計操作日志操作審計圖 3.8.2：云上資源管理關鍵環節78云上安全重要支柱阿里云安全白皮書8.2.2.1管控策略通過資源管理服務中資源目錄的管控策略能力，定義組織最大的權限邊界。策略決定了組織中哪些行為允許發生。用戶使用管控策略，將合規基線按照策略語法編寫對應的 Policy，然后將 Policy 附加到期望生效的組織節點上，那么此節點下所有賬號（包含未來新增賬號）都會繼承到這個父節點的 Policy。被附加了這

160、個 Policy 的業務賬號，即使業務開發具有 Admin 權限，也依然無法做突破 Policy 的操作。管控策略自上而下的繼承性確保策略不會被業務部門所篡改，保證了企業安全紅線、合規基線的強制實施。8.2.2.2配置審計用戶使用面向云上資源的配置審計（Config）服務，實現對于海量云上資源合規性的持續監控和自動修復，滿足客戶內外部合規的需求。持續的資源變更跟蹤云上資源快速集成到企業 CMDB完整實施企業內控基線等保 2.0、PCI DSS 等法規預檢多維度的合規統計和分析豐富的治理方式保障持續合規資源配置跟蹤為您提供配置變更時間線資源監控范圍跨云產品和跨賬號的資源清單資源高級搜索規則引擎不

161、合規治理合規即代碼多種觸發方式豐富的預置模版（合規庫）多維度審計范圍設置合規審計自動修正合規報告投遞及監控圖 3.8.3：配置審計服務同時，配置審計（Config）幫助用戶記錄云上 IT 資源的配置變更歷史，并通過審計規則持續地評估云上資源配置的合規性,通過使用自動修復模板或者自定義修正，自動對云上不合規資源完成修復。當資源配置變更時，通過觸發配置審計規則來判斷某個資源配置是否合規；或將審計規則設置為周期性觸發，定79云上安全重要支柱阿里云安全白皮書期為用戶執行合規評估。配置審計（Config）支持客戶按照企業實際場景自定義審計規則，也提供累計 400+審計規則模板；同時基于法律法規和最佳實踐

162、，提供了 20+合規包模板，并支持用戶從規則、資源和成員（僅用于多賬號模式）維度查看檢測結果。其中，法律法規合規包模板涵蓋了 GxP 歐盟附錄 11 標準合規包、ISO27001 安全管理標準合規包、等保三級預檢合規包、RMiT 金融標準檢查合規包等；最佳實踐類合規包模板涵蓋了 AccessKey 及權限治理最佳實踐、資源穩定性最佳實踐、多可用區架構最佳實踐、網絡及數據安全最佳實踐等。用戶可以通過快速啟用合規包，多維度進行合規統計和分析，推動云上 IT 合規治理。8.2.2.3操作審計通過使用阿里云操作審計（ActionTrail）服務，用戶可以利用云上操作日志查看賬號行為、進行問題溯源、構建

163、安全分析等，可以滿足客戶合規審計需求，助力提升租戶側合規能力。操作審計（ActionTrail）默認為每個阿里云賬號記錄最近 90 天的管控事件，如用戶為了滿足內外的合規要求需要對事件記錄留存更長時間，可以通過操作審計（ActionTrail）的跟蹤服務實現事件記錄的持久化存儲。操作審計（ActionTrail）為用戶提供統一的云資源操作日志管理，可通過多賬號跟蹤功能實現將多個賬號日志集中收集。通過阿里云資源目錄（Resource Directory）的管理賬號或操作審計的委派管理賬號，可配置對整個資源目錄中多賬號跟蹤，其記錄的操作日志通常包括操作人、操作時間、源 IP 地址、資源對象、操作名

164、稱及操作狀態等，這樣資源目錄中所有成員賬號的事件記錄被集中投遞到指定的存儲服務中，便于企業的審計管理員統一對云上所有賬號的操作記錄進行合規審計和安全分析。通過對操作日志進行分析，可以應用到安全監控與保障、合規審計、資源變更管理、故障診斷與運維等多個合規應用場景。80云上安全重要支柱阿里云安全白皮書Best Practices for Alibaba Cloud Security Construction04.云上安全建設最佳實踐全面上云：淘寶云上安全建設實踐助力發展：關鍵行業云上安全最佳實踐迎接未來：AI 大模型云上安全最佳實踐0102031.全面上云：淘寶云上安全建設實踐淘寶作為全球最大規模

165、、峰值性能要求最高的電商交易平臺，基于公共云底座成功通過了多年雙11 峰值的考驗。系統及業務的穩定運行離不開安全性的保障，淘寶長期以來將安全性保障視為重要目標，基于公共云的安全能力支撐，在云上系統安全、網絡安全、賬號&憑據安全、云資源安全等領域積累了豐富的經驗和最佳實踐。1.1系統與網絡安全體系：構建堅不可摧的企業安全防線業務上云后，機房物理環境安全交由阿里云保障，淘寶無需投入人力資源，更多地把重心投入系統與網絡安全建設中。1.1.1系統安全保障淘寶建設了完整的系統安全保障體系，控制系統被入侵的風險，并減少入侵行為對業務的損害。在建設過程中，使用了阿里云所提供持續更新的操作系統安全版本，并使用

166、云安全中心來進行主機上的防護，如漏洞檢測、安全威脅態勢感知、病毒檢測、防勒索、入侵檢測與響應。在漏洞檢測與風險態勢感知方面，能夠及時、清晰地了解到系統安全所面臨的風險。在病毒檢測與防勒索方面，能夠做到全面、準確地識別病毒，并通過數據備份恢復等能力，控制入侵行為對業務的影響。在入侵檢測與響應方面，通過智能學習應用白名單的能力，能夠識別可信和可疑/惡意程序形成應用白名單，防止未經白名單授權的程序悄然運行，可避免主機受到不可信或惡意程序的侵害，并及時將攻擊者驅逐出生產環境。82云上安全建設最佳實踐阿里云安全白皮書1.1.2網絡安全保障淘寶在“最小化暴露”“縱深防御”的設計思想下，設計了整體的網絡安全

167、架構，以保障淘寶數據和資產安全。淘寶將網絡安全防御分為南北向防御與東西向防御，南北向防御主要針對內外部流量傳輸進行防御。DDoS 風險是淘寶面臨的核心風險，一旦因 DDoS 攻擊導致服務中斷，每分每秒都將面臨巨額損失。淘寶使用阿里云的 DDoS 防護能力，可隨淘寶業務流量峰值、威脅情況不同而彈性伸縮，從而保障了南北向的流量安全。東西向流量是指企業內部網絡中的不同設備或應用之間的流量，是企業生產網絡中主要的流量類型。東西向流量的安全防護一直是企業網絡安全建設中的難點。傳統的安全防護手段，如防火墻、IDS/IPS 等，主要針對南北向流量進行防護，對東西向流量的防護效果有限?；诎⒗镌茦藴驶?、可擴展

168、的云資源，針對企業內的痛點，淘寶設計了網關安全防護能力，以滿足保障需要。DDoS 防御入侵檢測系統網關統一七層防火墻運行時防護/主機防護外聯管控/安全組檢測&響應ABTN（Alibaba Backbone Transmission Network）反入侵處置策略重點業務防護策略可信身份華東 3（南通）vpc-xxxXxxxxxxxxxxxxxxxxxxvpc-xxxXxxxxxxxxxxxxxxxxxxvpc-xxxXxxxxxxxxxxxxxxxxxx華北 3（張家口）淘天集團 CEN其它 REGION可信身份Serverless 業務防護策略普通業務防護策略AI 業務防護策略圖 4.1.1

169、：淘寶網絡安全架構83云上安全建設最佳實踐阿里云安全白皮書1.2賬號與憑據安全體系：保障業務生產安全運行的堅實堡壘隨著越來越多的系統在云上部署、越來越多的數據在云上存儲，賬號與憑據作為權限的載體，其安全保障就變得尤為重要。一旦賬號、憑據丟失，將可能導致數據泄露、服務中斷等嚴重后果。淘寶作為一款大型國民級產品，擁有龐大的研發團隊，持有上千云賬號，數以萬計的云資源，如何保障在復雜、長期的研發過程中，控制賬號與憑證泄露風險，是一項巨大的挑戰。淘寶的安全團隊與 TRE 團隊一起，基于阿里云的多賬號管理、身份關聯擴展能力，采用了資源目錄（RD）產品、云SSO（CloudSSO）產品，建設了適合于大型組織

170、的云管平臺，構建了一套完善的云賬號/憑據安全管理體系。在云賬號安全管理體系中，所采用的關鍵設計有：禁用賬密：對內部員工屏蔽賬號密碼登錄，通過云 SSO 將辦公 BUC 身份與云賬號身份關聯起來，實現免密登錄，使云賬號賬密的風險敞口能夠通過統一辦公 BUC 的身份管理體系來收斂、控制。明確賬號管理流程與責任：制定清晰的賬號申請、審批、使用、變更、注銷等流程，并指定專人負責賬號管理工作，確保賬號安全責任可追溯。禁用主賬號日常操作：默認只允許使用子賬號、RAM Role 執行管控操作，降低主賬號被盜用的風險。細粒度權限控制：遵循最小授權原則，通過 RAM 所支持的資源組、Tag 等細粒度控制能力，授

171、予用戶和應用最小必要的訪問權限，避免過度授權帶來的安全風險。統一賬號行為審計：通過阿里云 RD 將所有賬號的操作審計進行匯總分析，集中監控賬號行為，及時發現可疑操作，快速響應安全事件。84云上安全建設最佳實踐阿里云安全白皮書在憑據安全管理體系中，所采用的關鍵設計有：避免明文接觸：徹底消除業務員工接觸、存儲、明文使用云賬號憑據的可能性，從源頭上杜絕 AK 泄露風險。運維統一管理：由運維系統統一管理 AK，降低運維成本和復雜度，提升安全性。動態獲取憑據：應用在運行時通過自身身份和資源標識動態獲取所需的云資源憑據，實現憑據不透出、不落盤。定期輪轉憑據：為應用使用的云資源憑據指定輪轉周期，定期更換憑據

172、，降低憑據泄露風險。淘寶通過這一套完整的云賬號/憑據安全管理體系，有效提升了云賬號的安全性，筑牢了云安全堡壘。1.3云資源安全管理體系：默認配置安全與巡檢審計淘寶上云后，需要管理數以萬計的資源，資源類型也種類繁多，管理復雜度極高。而在全面上云后，通過云平臺的標準化設計，大大降低了管理復雜度，使得安全妥善管理具備可行性。為了管理如此大規模的云資源體量，淘寶基于阿里云資源中心的能力，獲取到了近實時的云產品配置數據，并基于該數據實現了 CSPM（Cloud Security Posture Management）云資源安全管理平臺。85云上安全建設最佳實踐阿里云安全白皮書對外提供 OpenAPI阿里

173、云資源中心OSS賬號管理風險管理資產管理規則管理.SLS數據存儲漏洞管理平臺SIEMSOAR 平臺數據分析數據處理屬性采集數據集成處理集成系統實時變更投遞定時投遞全量資產訂閱消費圖 4.1.2：CSPM 云資源安全管理平臺一旦云上資源出現配置錯誤問題，可能會帶來安全風險，比如存儲了敏感信息的 OSS Bucket 允許外部匿名訪問。在出現此類問題時，需要能夠立刻響應并通過內部漏洞管理平臺推動風險的修復。1.4總結淘寶作為國民級大型應用，結合自身電商領域的安全痛點，基于阿里云的基礎設施及安全能力，構建了高效彈性的安全保障體系?？朔?DDoS 攻擊、大型企業多賬號管理困難、大型組織資源安全管理復

174、雜等痛點，為保護淘寶用戶的數據安全、保障淘寶服務安全穩定運行提供了強有力的支撐。86云上安全建設最佳實踐阿里云安全白皮書2.助力發展：關鍵行業云上安全最佳實踐阿里云作為數智化趨勢下的基礎設施，逐漸在各行各業成為了數智化系統的底座系統，從數字而生的互聯網行業，到國計民生的金融行業，再到從傳統行業轉型的制造業，阿里云在滿足客戶業務高速發展的同時，也在利用云平臺安全性優勢，為各行各業的“安全行駛”保駕護航。下文將從行業中的經典案例入手，分享阿里云如何幫助行業內的客戶，克服安全方面的挑戰。2.1 互聯網行業云上安全最佳實踐2.1.1 行業安全需求洞察數智化時代，互聯網行業作為數字經濟的主力軍，正面臨著

175、前所未有的安全挑戰與機遇，其安全需求分別由“風險”“合規”兩大要素驅動。一方面要防范不法分子的攻擊，一方面要符合各類監管合規要求。風險合規業務穩定性要求高等級保護競對爬蟲損害商業競爭力個人隱私合規黑灰產薅羊毛數據傳輸跨境合規網絡入侵頻發行業合規(如游戲防沉迷)數據泄露影響過大內容安全合規圖 4.2.1：互聯網行業安全需求87云上安全建設最佳實踐阿里云安全白皮書2.1.2 典型案例某頭部電商創立于2016年，之后經歷了8年的快速發展，已經在納斯達克上市。在他們8年的發展歷程中，安全的發展迅速，期間遇到了不少安全痛點及威脅。2.1.2.1 業務痛點 大促期間業務被黑洞風險：“雙 11”“雙 12”

176、等電商大促期前，客戶花費了大量的營銷資金進行鋪墊，客戶非常擔心在大促期間因為 DDoS 攻擊導致業務被黑洞，這樣營銷資金就會被浪費，并對業務造成巨大影響。安全合規風險：合規是客戶對于安全建設的基本訴求，這對于客戶在國內拓展電商業務，在美國謀求上市都至關重要，對應就是參照等級保護三級標準進行建設，滿足監管要求。數據爬蟲風險：電商行業競爭激烈，客戶的競對經常會利用爬蟲，批量獲取商品價格后制定商品定價策略，這樣就會對客戶的商品價格及銷量造成巨大沖擊。業務安全威脅：客戶在拉新及用戶運營時經常會有現金或紅包獎勵，他們的活動經常會被外部薅羊毛黨盯上，通過注冊大量僵尸賬號發起薅取營銷資金，給客戶造成較大損失

177、；最終用戶留言、評論等 UGC 內容也時常會出現內容違規情況。88云上安全建設最佳實踐阿里云安全白皮書2.1.2.2 解決方案賬號管理VPCDDoS 高防移動用戶運維人員PC 用戶云防火墻SLBWeb 應用防火墻ECS云安全中心緩存SSL 證書ECSOSS堡壘機風險識別內容安全等保咨詢Bot 管理OSS云安全中心RDSRDS數據庫審計圖 4.2.2：該公司解決方案 業務高可用保障：通過 DDoS 高防產品，協助客戶構建了業務高可用架構，過濾攻擊流量，保障電商系統持續平穩對外提供服務。合規及安全架構搭建：通過 WAF、云防火墻、云安全中心、堡壘機、數據庫審計以及等保咨詢服務，協助客戶構建了整體安

178、全體系，并通過了等級保護三級測評；在滿足等級保護合規要求的同時，有效對各類型攻擊進行識別及阻斷。爬蟲風險管理：通過 BOT 管理，協助客戶從海量請求中對自動化工具（例如腳本、模擬器等）流量進行識別和阻斷，有效降低了數據爬取、撞庫、垃圾注冊、短信接口濫刷等情況的出現。89云上安全建設最佳實踐阿里云安全白皮書 業務安全保障：通過風險識別能力，幫助客戶對 C 端用戶的注冊、登錄及交易行為進行風險研判，提前發現潛在的薅羊毛黨，降低業務損失；通過內容安全，對用戶的 UGC 內容進行識別，提前發現內容違規風險。2.2 金融行業云上安全最佳實踐2.2.1 行業安全需求洞察金融行業是社會的核心行業，在數智化不

179、斷深入的今天，金融行業也在不斷地將核心業務數字化，這也帶來了新的安全隱患。-數據安全關乎企業命脈金融行業的數據承載了核心價值，若數據可被非法篡改，可帶來直接經濟損失，造成企業破產等災難性后果。若敏感信息數據被非法泄露，將可能導致 C 端用戶的關鍵隱私泄露，嚴重損害用戶對企業的信任感，造成企業經營困難。-豐富場景下的身份安全管理困難隨著金融業務數字化的發展，銷售模式和產品更加豐富，參與人員大規模擴張，外包開發和合作伙伴協同模式逐漸多樣化，疊加遠程辦公趨勢的演進，越來越多的數據泄露是由于設備和人的行為管理不規范造成的。90云上安全建設最佳實踐阿里云安全白皮書2.2.2典型案例某財險類公司自 202

180、0 年與阿里云簽訂全面戰略合作協議后，持續使用阿里云的安全解決方案，為其數字化加速轉型保駕護航。2.2.2.1 業務痛點 系統安全風險：在業務數字化后，若承載關鍵數據的系統不夠安全，將可能因外部攻擊而數據泄露。數據安全泄露風險：同時，在辦公方面，研發員工開發用電腦缺乏安全管控工具，容易造成被動或主動數據泄露。普通員工桌面環境安裝大量個性化軟件，系統、電腦問題逐漸增多，辦公安全風險過大。身份安全管控困難：員工電腦自設密碼，登錄公司內網后可訪問大部分的業務系統，沒有權限管控。2.2.2.2 解決方案圖 4.2.3：該公司安全解決方案91云上安全建設最佳實踐阿里云安全白皮書-系統安全基于安騎士、WA

181、F、云防火墻、云安全中心構建基礎安全防護體系，持續檢查并優化現有防護體系，針對防護薄弱點，定制攻防能力成熟度評估服務（如：滲透測試、紅藍演練、威脅狩獵等），提升險企內部人員的安全技能水平，優化應急保障。-數據安全該財險公司，基于統一終端系統（UEM）和數據丟失防護產品（DLP）建立研發人員終端與數據安全解決方案，進行數據治理，消除“數據管理孤島”。并建立完整的數據分類分級、全生命周期管理機制，并通過數據安全中心綜合分析入網用戶異常行為，感知如外包人員異常囤積客戶賬戶信息、越權登陸核心數據庫、員工離職帶走用戶保單等風險意圖，在可能發生數據泄露風險之前感知并預警，將泄露風險限制。-身份安全加固阿里

182、云將 IDaaS 身份認證服務平臺內嵌至該財險公司業務中臺，一個賬戶打通企業內外部所有業務應用，大幅提升員工工作效率，改善用戶保險購買和出險體驗。圖 4.2.4：阿里云 IDaaS 管理理念示意圖92云上安全建設最佳實踐阿里云安全白皮書IDaaS 結合 SPG 與 UEBA 技術的動態分析，幫助該財險公司的各運營支撐域清晰界定信息技術部門和不同子業務部門的運行維護職責，簡化員工登陸與業務操作流程，強化用戶行為管控。在辦公身份方面，使用了無影云桌面產品，能夠有效實施針對剪切板、外設、水印、錄屏的安全管控策略，滿足集中運維、高效資產管理的需求。開發測試環境職能人員辦公中華保險 IDC辦公室應用網絡

183、云桌面集群阿里金融云文件服務器辦公應用集群.物理專線邊界路由云企業網.圖 4.2.5：該公司安全解決方案規范化員工身份與終端后，可以基于可信及白名單機制管理險企員工或外包開發人員異地登陸、異常登陸行為，并根據人員狀態變化（離職、調崗等）對賬號進行通知下發，凍結等操作。身份安全解決方案投入使用后，大大節省了該財險公司的身份安全管理成本。93云上安全建設最佳實踐阿里云安全白皮書2.3.制造行業云上安全最佳實踐2.3.1行業安全需求洞察近年來，制造行業數字化轉型收益顯著。這一轉型不僅提升了企業的生產效率、降低了運營成本、縮短了產品研制周期，還顯著激發了產業新活力。但傳統制造業數字化轉型在實現工業全要

184、素、全產業鏈、全價值鏈深度連接的同時，也帶來新的安全挑戰。核心的挑戰包括：數字化轉型促使基礎設施云化，引入了很多新技術，傳統安全（滯后的檢測能力、碎片的安全體系、被動的防護能力）的安全防護思路難以應對不斷變化的新威脅?；旌显?、多云戰略，帶來暴露面擴大，安全防護水位難以拉齊，管理成本非常高。制造行業需要一套云原生、一體化的安全解決方案，來應對這些挑戰。2.3.2典型案例某全球領先的制造業企業專注于工業、基礎設施、交通和醫療領域的科技公司。其經營范圍從更高效節能的工廠、更具韌性的供應鏈、更智能的樓宇和電網，到更清潔、更舒適的交通以及先進的醫療系統。自身業務系統經歷多次迭代發展，當前面臨企業數字化轉

185、型中的多種挑戰。2.3.2.1 業務痛點 大量歷史系統存量 IDC、并運營多個公有云，管理成本高、防護效果差，安全策略難以拉齊。業務分散，系統管理分散，管理成本高；。安全事件頻發，監管、合規要求提高。企業數字化轉型加速，安全拓展性和適應性要求高。業務精細化管控，安全成本降低。該企業攜手阿里云，構建新一代云原生 IT 架構，并將安全方案進行落地。94云上安全建設最佳實踐阿里云安全白皮書2.3.2.2 解決方案-基礎設施管理一體化為了應對多云及線下 IDC 多形態資產，該企業采用阿里云原生安全防護，實現對多資產統一安全管理，統一管理互聯網邊界與主機、容器資產。-監控與安全技術一體化為了應對復雜的業

186、務系統形態，阿里云進行了監控升級，實現了安全日志的統一收集、安全告警的集中分析以及安全事件的統一管理。結合一體化可觀測監控，實現了對健康狀態和安全事件的立體化監控。另外，還建立了自動化安全運維能力，以提升效率。-安全能力高彈性通過對業務系統的微服務化改造，實現業務的靈活部署，提供更好的業務彈性與安全性，適配業務系統更加靈敏、靈活的要求。通過云上跨賬號管理能力，提升了安全部門對集團賬號統一管理、監控的效率。阿里金融云阿里金融云新一代云原生安全架構PCMobileCrossRegionVPCVPCCDNCFWWAFMySQLNacosNacosZookeeperRodisESMySQLNacosN

187、acosZookeeperRodisESCFWWAFNorthChinaSouthChinaCrossCloudOSSOSSECSSLSSASSASSASCloud MonitorCertificate managerBastion hostECSECSECSECSECSECSECSALBALBNATNATDNS圖 4.2.6：該企業新一代云原生安全架構95云上安全建設最佳實踐阿里云安全白皮書3.迎接未來：AI 大模型云上安全最佳實踐ChatGPT的問世和成功引領生成式人工智能的蓬勃發展，各類AI大模型產品如雨后春筍般涌現，正在各行各業積極探索應用落地場景。其中不乏 Perplexity 這樣

188、挑戰 Google 搜索地位的新星、妙鴨相機這樣的爆火應用。在 AI 大模型產品快速發展的前提下，如何保護各方數據安全與主權，并有效地幫助客戶應對由這些技術帶來的算法安全和內容安全風險，已成為 AI 大模型時代云平臺面臨的關鍵命題，也是對數智化基礎設施的重大挑戰。3.1AI 大模型關鍵安全風險阿里云同時擁有領先的云計算業務與先進的大模型技術，基于自身 AI 大模型的安全建設實踐，阿里云希望能將這一未來重點領域的安全風險洞察、解決方案分享給社會。一款 AI 大模型產品需經歷數據準備、模型訓練與微調、模型部署、模型運行階段，在這些階段過程中，面臨著眾多威脅與挑戰，其中四項關鍵挑戰為：-數據安全挑戰

189、：為了使通用模型在特定領域實現更好的智能，企業需要對其自身業務數據進行提煉，并通過微調等技術將這些數據融入到模型中。鑒于這類數據對企業至關重要，在數據的收集、清洗、分析及存儲過程中，都需要有完善的安全機制進行保障。模型在線上運行服務期間，用戶的 Prompt 輸入及其返回的內容可能涉及用戶的隱私。因此，如何保障用戶隱私不被侵犯成為 AI 大模型類產品的核心挑戰之一。96云上安全建設最佳實踐阿里云安全白皮書-模型安全挑戰：模型承載了對數據的“記憶”，因此模型一旦泄露，等同于訓練數據的泄露。而模型在研發、部署階段，大量的一線員工具備模型的訪問權限，同時生產環境也面臨著與傳統信息系統一樣的外部入侵威

190、脅。一旦系統存在可被入侵的漏洞，就可能導致模型被外部攻擊者竊取，從而間接導致參與訓練的敏感數據泄露。-內容安全挑戰：生成式人工智能如果訓練不當、使用不當，可能造成虛假信息與違法不良信息的傳播，甚至成為詐騙分子的非法牟利工具。其輸出內容也可能存在違法違規、違背道德倫理、內容失實、偏見歧視等問題。-合規性挑戰：在全球監管合規體系逐漸健全的趨勢下，AI 大模型應用要遵守各地域各行業的合規要求，由于訓練推理過程中需接觸大規模數據，其在數據隱私合規領域的挑戰尤為明顯。除此之外，由于其技術的獨特性，全球各國監管仍在積極探索針對 AI 大模型的監管合規政策，AI 大模型需及時響應最新的監管合規要求，在監督下

191、有序發展。為了幫助客戶快速且安全地發展，我們也在關鍵環節推出了一系列產品功能，以助力企業更好地應對 AI 大模型時代的安全挑戰。3.2 安全解決方案3.2.1 數據安全數據是實現 AI 大模型應用成功的三要素之一，要開發出強大的大模型應用，就需要將場景相關的數據投喂給 AI 大模型應用來進行訓練、對齊、微調。因此，保護這些數據的安全性以及確保數據持有方通過云平臺進行模型訓練過程中的數據主權就變得尤為重要。97云上安全建設最佳實踐阿里云安全白皮書3.2.1.1百煉推理鏈路加密為實現對數據安全的保護，阿里云基于百煉 MaaS 平臺，設計實施了一系列數據安全防護方案，包括專有網絡訪問通道、Promp

192、t 加密、數據存儲、應用層傳輸加密、存儲加密：-私有鏈接傳輸為保障傳輸過程中網絡信道安全問題，防止公網傳輸數據泄露，用戶的推理調用、數據訪問使用阿里云 Private Link 在用戶自己 VPC 和百煉間創建私有鏈接，通過專網即可訪問用戶的存儲實例完成訓練、微調、推理等任務。且VPC 提供網絡流量監控與接口日志審計能力，可結合網絡安全設備監控異常調用、專網攻擊等惡意行為，提供專網保護。-Prompt 加密針對模型推理服務（純模型調用、RAG 應用、Agent 應用）提供全鏈路的加密方案。用戶輸入提示詞 prompt 和模型生成的答案全程不可見。解密只會發生在兩個地方：根據用戶輸入 promp

193、t 進行 RAG 片段召回、大模型用 prompt 生成答案時。百煉保證在客戶授權情況下，遵循最小必要原則對prompt 進行解密和使用，并且該過程只在內存中瞬間存在，不做任何的持久化存儲。整體加密過程如右圖所示：98云上安全建設最佳實踐阿里云安全白皮書用戶 VPC阿里云百煉推理鏈路加密PrivateLink專網通道用戶 VPC存儲實例用戶應用OSSSLSES數據導入向量召回推理模型答案生成日志記錄文件解析寫入讀取機密計算3.3 密文3.4 密文3.5 密文3.2 加密 prompt 與片段向量化文檔片段寫入密文日志寫入3.1 片段召回構建向量索引KMS 密鑰推理結果返回1.文件導入2.創建知

194、識庫4.推理結果用戶自行解密3.推理請求（密文）ADBPrompt 全鏈路加密圖 4.3.1：阿里云百煉推理鏈路加密-應用層傳輸加密在安全網絡協議方面，為防止中間人、嗅探等網絡攻擊手段獲取到用戶與大模型服務，阿里云百煉通過支持應用層使用 HTTPS 協議進行安全數據加密傳輸以及采用傳輸層安全性 TLS 協議，為云服務和用戶之間的數據傳輸提供保障。TLS 可提供嚴格的身份驗證、消息隱私性和完整性保障，能夠有效檢測消息篡改、攔截和偽造行為。-存儲加密百煉平臺模型推理、訓練、RAG 應用的用戶數據均支持外接存儲部署方式，支持外接 OSS、ES、ADB、SLS。數據采集過程支持外接歸屬于客戶的數據庫實

195、例，用戶對數據 100%完全自主可控。這些產品支持使用服務密鑰和客戶自選密鑰作為主密鑰進行數據加密，滿足敏感數據密態存儲的需要，可降低數據泄露。99云上安全建設最佳實踐阿里云安全白皮書3.2.2可信計算與機密計算能力客戶將數據托管到云平臺，背后意味著對云平臺的信任。阿里云承諾保障客戶數據主權，并積極探索從技術角度，根本性保障客戶數據主權及機密性的機制。阿里云具備完整的可信計算、機密計算基礎儲備，產品技術矩陣如下：全加密數據庫APPSDKContainerOSVMHypervisorCPUGPU硬件加速加密硬件內存加密FPGANICBMCBIOSInclavare ContainersAnoli

196、s linuxvTPM 系統可信虛擬化 EnclaveSGXCSV遠程證明服務TEE SDK(Java Enclave SDK/C SDK)Datatrust 隱私增強計算ACK TEE機密計算OS內核可信度量及監控神龍虛擬化隔離TDXSEV硬件級機密計算機密計算容器基于云端可信執行環境保護用戶敏感數據業界首個機密計算容器開源項目虛擬化隔離和機密計算容器集群支持機密計算的開源操作系統虛擬機內安全可信根支持虛擬化層強隔離 VMRuntime 內存隔離數據加密CIPU 安全架構安全固件遠程證明，可信啟動，安全度量，芯片級安全環境可信根圖 4.3.2：阿里云機密計算產品技術矩陣通過利用 IaaS 層

197、級的機密計算能力，可以為大模型服務提供端到端的、覆蓋模型數據全生命周期的通用數據保護方案，保護客戶運行時的數據機密性。在機密計算能力的保護下，阿里云內部的管控服務、運維人員等也無法看到用戶輸入的提示詞 prompt、RAG 文檔、微調后的模型等。100云上安全建設最佳實踐阿里云安全白皮書瀏覽器/SDK阿里云 CPU 機密計算環境GPURAG 文檔通義推理引擎通義訓練引擎僅控制實例啟停僅受限訪問(如僅允許重置 GPU)不可信區域可信區域虛擬化宿主機/VMM內核態 GPU 驅動應用PCIEPFGPU 計算引擎DMA 控制器GPU 安全處理器L2 緩存HBMAlibaba Cloud LinuX機密

198、計算相關固件.遠 程 證明 及 本地 加 解密(驗證遠 程 推理 環 境可信性)提示詞Prompt模 型 輸 出 Completion對中間網關等透明基于遠程證明的密鑰協商基于SPDM協議的信息加密傳輸圖 4.3.3：機密計算保護模型數據安全在先進的技術基礎上，阿里云還與生態伙伴一起探索更上層的合作伙伴。螞蟻數科團隊基于阿里云 ECS 機密計算、計算巢等基礎能力，提供了面向 LLM的大模型密態計算基座產品MAPPIC，進一步為AI大模型應用安全提供支撐。圖 4.3.4：全鏈路隱私安全保護3.2.3內容安全目前，AI 大模型技術在自然語言對話場景中得到了廣泛的應用。在內容安全方面，需要確保輸出內

199、容的社會安全性，包括是否合法合規、是否遵守道德倫理和公序良俗等，具體表現在防止出現違法不良信息、內容失實、偏見歧視以及違反倫理道德等。101云上安全建設最佳實踐阿里云安全白皮書阿里云為此建立了完整的大模型內容安全解決方案：-訓練語料數據去毒為進一步提升定制用戶的模型訓練和測試、知識庫數據及模型訓練微調質量，防止針對模型數據集投毒攻擊，除百煉內置阿里綠網提供內容安全能力，支持對用戶自有的 OSS 資源中多種違規內容（例如涉黃、涉政、暴力、違法等）的實時監控、檢測和攔截。此外，數據安全中心/內容安全提供了覆蓋圖片、視頻、語音、文字等多媒體的內容風險檢測的能力，幫助用戶發現暴恐、色情、涉黃、暴力、驚

200、悚、敏感、禁限、廣告、辱罵等風險內容或元素，支持對訓練語料進行攔截或清洗。-Prompt 問答護欄為了滿足更高安全需求的用戶，數據安全中心（sddp）/內容安全可進一步提升實時提問管控能力，進行風險異常識別，支持意圖識別，實時過濾倫理、價值觀、個人敏感數據，進行安全問答阻斷?？筛鶕脩粜枨?，構建安全知識庫與專項知識庫，實現數據安全規則靈活自定義與風險決策。大模型對外發布提問圍欄實時管控用戶 Query 理解領域理解S1：無風險意圖理解S2：問題增強話題理解S3：檢索增強對話攻擊數據風險實時分析S4：安全攔截提問風險決策風險異常識別安全知識庫安全阻斷數據安全阻斷風險庫底線價值觀專項知識倫理個人敏

201、感數據安全檢索數據安全中心/內容安全PASSBlock圖 4.3.5：Prompt 問答護欄102云上安全建設最佳實踐阿里云安全白皮書-全流程內容安全保障若企業對于內容安全防護具備更高的定制需求，也可以使用阿里云的大語言模型內容安全解決方案，在自建系統中集成內容安全產品 API，實現覆蓋“樣本和訓練管理”“模型應用”“舉報與處置”“審核優化”四大階段的內容安全整體治理。3.2.4 模型安全保護模型本身的安全，與其它信息系統的基礎安全保障類似，需通過一系列流程與解決方案，確保系統漏洞不被外部攻擊者惡意利用。對于云平臺，阿里云通過“全流程產品安全流程”與“紅藍對抗”切實保障了云平臺本身的安全水位。

202、對于部署在云上的大模型系統，可使用云上彈性可擴展的安全防護能力，體系化地完成生產網、辦公網安全建設。并通過云安全中心等產品，及時發現并治理線上風險。3.2.5 合規性阿里云同時擁有先進的大模型 AI 技術與云平臺產品，在合規性建設方面，一方面積極跟進自身合規性建設，另一方面也在幫助云上客戶完成大模型服務合規性建設。為了進一步幫助客戶更好滿足互聯網信息服務算法推薦管理規定互聯網信息服務深度合成管理規定生成式人工智能服務管理暫行辦法等監管要求，阿里云通過安全產品為客戶提供算法及模型備案需要的安全技術能力，同時為客戶提供作為服務提供者的互聯網信息服務算法備案、生成式人工智能服務備案兩項咨詢服務，幫助

203、客戶更好合法合規開展互聯網信息服務業務。針對用戶使用百煉進行微調后的模型，阿里云內容安全產品在模型評測階段，提供安全性專項測試服務，幫助用戶了解大模型對輸入、輸出內容的風險防控水位。另外可提供內容安全算法備案號，幫助客戶簡化備案過程。103云上安全建設最佳實踐阿里云安全白皮書05.總結與展望Summary and Prospect數智化技術的發展和應用，已深刻重塑了社會生產模式，顯著提升了生產效率并優化了資源配置的精準度。這一變革對基礎設施設定了全新標準，要求具備高度彈性、敏捷響應、卓越性能、成本效益及更低門檻等特性。隨著數智化系統成為支撐國家經濟、企業經營與民眾生活不可或缺的基石，保障其系統

204、安全與數據安全的任務變得尤為緊迫與重要。在確保系統具備彈性、可擴展性和敏捷響應等關鍵生產特性的同時，維護并提升其安全性，猶如在確保一輛汽車在高速公路上疾馳時，得到全方位的安全性保障，這無疑是一項極具挑戰性的任務。阿里云希望從基礎設施層面出發，通過不斷深化安全機制的研究與安全能力的建設，為客戶和社會構建一個安全、高效的云生態系統。這樣不僅能保障云服務的穩定運行和客戶的業務安全，也為推動數字經濟的可持續發展貢獻重要力量。為有效應對挑戰，阿里云積極倡導并推動云上安全共同體的建設，旨在聯合社會各界力量，依托強大的公共云平臺，共同追求更高水平的安全防護，同時降低客戶的維護成本與時間消耗。通過實施“云上安

205、全八大支柱”策略，阿里云不僅將安全理念深植于產品設計與服務全周期，還借助紅藍對抗等先進機制，持續優化與提升云平臺的安全防線。此外，阿里云始終堅持保護客戶數據主權，并實施嚴格的身份認證與權限管理，為客戶提供既高效又靈活的安全防護方案，確保云平臺在極端情況下也能快速響應與恢復，能夠滿足全球范圍內的合規要求，全面強化云安全生態體系的建設。展望未來，阿里云深知安全沒有終點，只有不斷地進步，才能滿足數智化時代對安全保障的需求?？偨Y與展望105總結與展望阿里云安全白皮書在云平臺自身安全性層面：阿里云將不斷深化零信任架構的實施，強化縱深防御體系，并持續加強紅藍對抗演練及第三方校驗的力度，以此來有效應對日益復

206、雜多變的網絡攻擊威脅。同時，阿里云將加強系統的穩定性和高可用性建設，確?？蛻粼谙硎莒`活彈性的云服務的同時，其業務服務的可用性得到持續保障。在數據安全保護層面：阿里云將始終堅守客戶數據主權底線，不斷探索，從技術創新及機制優化角度保障客戶數據主權。阿里云將持續建設完整的、一體化的云上數據安全解決方案，最大化助力云上客戶應對數據安全挑戰。在產品安全能力方面：阿里云將深入挖掘各行各業的用云場景，致力于提供更易用、更強大、更適用于企業的身份管控與權限管控方案。阿里云不斷將安全功能內嵌于產品設計之中，確保產品具備默認安全和原生安全的特性，同時提供更完善的解決方案、更易用的擴展能力、更開放的生態、以及更強大

207、的能力。在合規支撐方面：阿里云將緊跟時代步伐，面對社會數據流通加速和智能化技術普及的新形勢，積極參與合規制度的探索，致力于使云平臺符合數智化時代高標準的合規要求。阿里云將積累并提煉各行各業的合規解決方案，為云上客戶提供更加堅實的支持，助其構建健全的合規體系。云上安全命運共同體不僅需要阿里云的持續努力與實踐，更需要整個行業的廣泛參與和共同推動。有鑒于此，阿里云呼喚云計算產業鏈上下游企業、行業協會、研究機構、云上客戶乃至監管部門的廣泛參與和深度合作。每個參與者都將被視為這一安全網絡中的重要節點，共同織就一張緊密聯結、互信互助的安全防護網。阿里云作為全球領先的數智化基礎設施提供商，將緊抓數智化發展的歷史機遇，不斷發揮自身安全優勢，為企業、行業乃至整個社會的數智化轉型提供更加堅實可靠的支撐與保障，攜手共創更加智慧、安全、繁榮的未來。106總結與展望阿里云安全白皮書