云平台内部操作透明化

1云平台内部操作透明化 最佳实践 业务逻辑图 场景描述 云平台基于用户的请求或监管要求等，进行 的内部操作对用户如果不可见，用户可能会 担心自己的数据是否收到了影响或者是否被 触碰了，影响用户对平台的信任。 解决问题 1. 内部操作对用户可见 2. 增强用户对平台的可信度 产品列表  操作审计Actiontrail  对象存储OSS  日志服务SLS

2云服务器ECS（产品名称） 文档模板（手册名称）/文档版本信息 阿里云 云平台内部操作透明化 最佳实践 文档版本：20200630 文档版本：20150122（发布日期） 2

3云平台内部操作透明化 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 云平台内部操作透明化 文档编号 119 文档版本 V1.2 版本日期 2020-06-30 文档状态 外部发布 制作人 懿弘 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-11-29 云滴 敬海、宋 创建 宇 V1.1 2019-12-02 筱晖 - 文档工程师优化 V1.2 2020-06-30 懿弘 更新作者 文档版本：20200630 I

4云平台内部操作透明化 目录 目录 文档版本信息..................................................................................................................................................................I ......................................................................................................................................................................... 法律声明 II ................................................................................................................................................................................ 目录 III 1. 整体介绍................................................................................................................................................................1 ............................................................................................................................................ 1.1. 云安全背景 1 1.1.1. 数据上云后安全新威胁................................................................................................................1 ........................................................................................................ 1.1.2. 云上数据安全责任共担模型 1 ........................................................................................................................ 1.1.3. 数据安全防护方案 2 1.2. 内部操作透明化....................................................................................................................................2 ................................................................................................................................ 1.2.1. 操作日志现状 2 1.2.2. 内部操作透明化............................................................................................................................4 ...................................................................................... 1.2.3. 已经产品化的部分 错误！未定义书签。 .................................................................................................................................... 2. 内部操作透明化使用实践 1 2.1. 开通平通操作日志................................................................................................................................1 ................................................................................................................................ 2.1.1. 申请公测资格 1 2.1.2. 选择日志保存空间........................................................................................................................1 .................................................................................................................................... 2.1.3. 数据源配置 4 ................................................................................................................................ 2.1.4. 查询分析配置 4 2.2. 触发平台内部操作................................................................................................................................6 ........................................................................................................................ 2.3. 查看平台内部操作日志 9 2.4. 权威审计报告......................................................................................................................................11 文档版本：20200630 III

5云平台内部操作透明化 整体介绍 1.整体介绍 1.1.云安全背景 1.1.1.数据上云后安全新威胁 在原来传统的IT系统中，企业是将应用系统跟数据放在自己的IDC里，认为在这样的 环境下其系统和硬件、数据安全是可控的。 企业要上云，对数据安全的需求相应地也非常迫切。归根到底是环境的变化导致了需 求的优先级不一样。传统IT设施的数据安全，着重解决内部威胁（insiderthreat）和 外部威胁（outsiderthreat），云上IT设施则还要解决数据托管在云厂商带来的威胁和 挑战，这并不是传统意义上的内外部威胁。从另一个角度看，可以理解为是云服务提 供商如何提供一个可信、可控制的计算和存储托管环境。 1.1.2.云上数据安全责任共担模型 在云上，数据安全采用责任共担的模型，其中云平台安全由平台服务提供商负责；云 租户在云平台上搭建的业务系统，由云租户自己负责。云平台服务提供商除了负责云 平台安全外，还提供了租户侧安全相关的产品和服务，这些产品和服务需要云租户根 据需要，自行购买开通、配置、运营。 安全责任共担模型架构图： 文档版本：20200630 1

6云平台内部操作透明化 整体介绍 1.1.3.数据安全防护方案 从内部来说，阿里云建立了一整套完善的客户数据安全保护体系，防止阿里云员工未 经授权访问客户隐私数据，并通过严格的内部管控和外部审计来确保有效性。 从外部来说，阿里云为客户提供各种防范黑客入侵窃取数据的服务、数据加密传输和 存储服务、运维和操作审计服务，帮助客户建立自己的数据安全体系，保护数据的安 全性。 内部管控：所有阿里云员工做任何运维管理操作，都有严格的权限管理、双因素认证 和操作审计，来保证员工不能未经客户授权访问客户隐私数据。 外部审计：阿里云是国内首个通过全球最严格、级别最高的支付卡行业数据安全标准 认证（PCIDSS）的云计算公司。同时阿里云也是国内首个通过美国注册会计师协会 (AICPA)制定的SOC2审计标准的云计算公司。SOC2审计的是一家企业安全性、可 用性、过程完整性、保密性或隐私性相关的服务控制，该审计由美国安永公司完成， 审计期间会做大规模随机抽样，可验证阿里云遵循严格的安全控制措施。在隐私保护 方面，阿里云符合HIPPA、MAPP、PDPA等国际隐私保护法律法规。 数据安全服务：阿里云还为客户提供非常丰富的数据安全类服务，帮助客户建立自己 的数据安全保护体系，比如用于客户内部运维管控的堡垒机、数据库审计服务，用于 数据加密的加密服务和证书服务。客户如果使用了第三方提供的加密服务把数据加密 后放阿里云上，那么阿里云也没有任何办法看到客户数据。 大量的部委和金融机构（如银行证券保险）、大型企业（如央企、外企），把重要的系 统和数据放在阿里云上，也是对阿里云客户隐私数据保护机制的信任。 1.2.内部操作透明化 阿里云提供内部操作透明化服务，通过订阅该服务，用户可以看到云平台侧与用户相 关的所有操作日志。结合可靠的全链路数据加密体系和用户完全可控的秘钥管理服务， 阿里云为用户构建了完善的全栈数据保护体系。 1.2.1.操作日志现状 企业在阿里云上的日志按照来源可以分为四大类，分别是来自OpenAPI的接口日志、 云平台侧内部接口日志、非OpenAPI外部接口日志，以及用户应用自身接口，如下图： 文档版本：20200630 2

7云平台内部操作透明化 整体介绍 上述四种日志中，来自用户应用自身接口的日志用户天然可见，而来自OpenAPI接口 以及非OpenAPI外部接口的日志用户也可以通过订阅ActionTrail服务和云产品Log 看到。 而在云服务商的传统情况下，由于云平台侧的运维管控等内部操作是云服务商的责任， 云平台内部接口日志对于用户而言是不可见的黑盒子，即用户不可感知，也不可监控 或审计，但这些日志确实是用户希望能够看见的，如下图所示： 为了企业消除数据上云后隐私保护的顾虑，阿里云对用户提供了平台侧的内部操作透 明化服务。 内部操作透明化为客户提供了平台侧内部操作可见以及内部操作权限外部可控两方面 能力。内部操作外部可见解决了了云平台侧传统黑盒式运维管控等内部操作用户不可 感知，也不可监控或审计的问题，而内部操作权限外部可控将云平台侧黑盒操作权限 管理能力交还给客户，使得客户对存放在阿里云上的敏感数据拥有和存放在其云下私 有IDC内数据同样的安全感和信任感。 文档版本：20200630 3

8云平台内部操作透明化 整体介绍 1.2.2.内部操作透明化 内部日志透明化，通过补全“内部日志（InnerTrail）”和上层“日志审计”产品，为用户侧 的合规审计/安全监控赋能： 客户如果有成熟的内部合规团队，可以直接消费原生各类日志。客户也可以直接使用 阿里云提供的日志审计产品，对客户直接赋能合规审计功能。 整体设计如下图所示： 各个云产品通过投递相关操作日志到InnerTrail,ActionTrail,ResourceTrail, 云产品 Log等产品，对外输出通过内部/外部接口（如InnerAPI/OpenAPI等等）进行的操作， 并后续投递到SLS上进行数据聚合，清洗等操作，最终被日志审计产品所使用。 1.2.3.内部操作权限外部可控 内部操作权限外部可控是内部操作透明化服务提供的全新高阶功能。云平台在进行运 维管控操作之前，需要向客户申请对应资源的操作访问权限。仅当权限申请通过时， 云平台侧才能够调用对应内部接口进行相关操作。通过将云平台侧黑盒操作权限管理 能力交还给客户，使得客户对存放在阿里云上的敏感数据拥有和存放在其云下私有 IDC内数据同样的安全感和信任感。 具体设计如下图所示： 文档版本：20200630 4