摘要:典型的配置中心產(chǎn)品,包括如上文提到的阿里云早期稱為,攜程,百度的,或者,等。而最近,作為一款配置中心產(chǎn)品,阿里云應(yīng)用配置管理簡(jiǎn)稱發(fā)布了一項(xiàng)加密配置功能,就旨在讓用戶更加安全的在配置中心存放配置。這在阿里云的安全體系中,通過(guò)的角色授權(quán)來(lái)實(shí)現(xiàn)。
摘要: 如果您現(xiàn)在正開(kāi)始著手準(zhǔn)備解決自己的生產(chǎn)數(shù)據(jù)泄露問(wèn)題,那么您可能需要看下這篇文檔,了解如何可以從配置著手來(lái)改善下您目前的情況。
您是否在您的應(yīng)用部署環(huán)境里遇到過(guò)以下情節(jié)
將敏感信息(如數(shù)據(jù)庫(kù)連接串,含密碼,下同)存放到生產(chǎn)環(huán)境的服務(wù)器上的配置文件里。
將敏感信息做成配置文件打包在軟件工程的配置文件里,并發(fā)布到各類環(huán)境里。
在Docker編排時(shí),將敏感信息直接存放到環(huán)境變量中。
如果您的生產(chǎn)環(huán)境存在以下情況,而您現(xiàn)在又開(kāi)始著手準(zhǔn)備解決自己的生產(chǎn)數(shù)據(jù)泄露問(wèn)題,那么您可能需要看下這篇文檔,了解如何可以從配置著手來(lái)改善下您目前的情況。
理解這方面的潛在威脅,可穿梭閱讀:
云泄露:Verizon公司超1400萬(wàn)用戶信息外泄
亞信安全盤點(diǎn)2017年十大數(shù)據(jù)泄露事件
理解這方面的要求,可穿梭閱讀:
等保信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 第三級(jí)
注:等保一共五級(jí),第三級(jí)定義為:"信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。該級(jí)別為現(xiàn)在大多數(shù)企業(yè)所采納。
配置的發(fā)展簡(jiǎn)史和安全問(wèn)題概述
大體來(lái)講,配置的發(fā)展史如下圖示。
靜態(tài)明文配置:最初的配置方式,將配置以明文文件或者環(huán)境變量方式放置在本地。
基于配置中心的明文配置:隨著微服務(wù)和配置中心技術(shù)興起(阿里云ACM - 早期稱為 Diamond,攜程Apollo,百度的Disconf,或者Spring Cloud Config,等),配置開(kāi)始往配置中心轉(zhuǎn)移。
基于配置中心的配置安全加強(qiáng):配置中心開(kāi)始集成各類安全工具,以做到配置增強(qiáng),典型如AWS Parameter Store。
關(guān)于前兩個(gè)方式的問(wèn)題簡(jiǎn)述如下。
靜態(tài)明文配置的安全問(wèn)題
在分布式互聯(lián)網(wǎng)架構(gòu)之前,早期的配置是存放在靜態(tài)文件中。例如,數(shù)據(jù)庫(kù)的連接信息(包含密碼),通過(guò)手動(dòng)打包的方式在各個(gè)環(huán)境(開(kāi)發(fā),測(cè)試,預(yù)發(fā),生產(chǎn),等)。如下圖所示:
而這種部署方式最大的問(wèn)題是在配置文件中將存放大量的敏感信息,使得無(wú)論開(kāi)發(fā)測(cè)試還是運(yùn)維人員,獲得敏感數(shù)據(jù)的成本極低。雖然打包部署的方式一直在演化,如從靜態(tài)文件配置打靜態(tài)打包分環(huán)境部署,再到容器編排,但是本質(zhì)上靜態(tài)文件配置的方式?jīng)]有變化,而且隨著部署工具的自動(dòng)化,其配置的安全問(wèn)題反而暴露得更加嚴(yán)重,如:
多環(huán)境打包發(fā)布中,開(kāi)發(fā)工程內(nèi)將包含應(yīng)用的所有敏感信息,敏感信息讓內(nèi)部員工極易獲得。
容器編排系統(tǒng)中,同樣將包含應(yīng)用的所有敏感信息,而且大多容器編排系統(tǒng)通過(guò)傳遞環(huán)境變量的方式來(lái)傳遞系統(tǒng)敏感信息,這些信息在容器容器內(nèi)是明文顯示,直接通過(guò)環(huán)境變量即能獲取。
基于配置中心的明文配置安全問(wèn)題
隨著配置中心的興起,越來(lái)越多的應(yīng)用配置開(kāi)始朝配置中心轉(zhuǎn)移。典型的配置中心產(chǎn)品,包括如上文提到的阿里云ACM(早期稱為 Diamond),攜程Apollo,百度的Disconf,或者Spring Cloud Config,等。
配置中心對(duì)于配置文件的方式來(lái)講,其最大的好處是配置和發(fā)布解耦的同時(shí),配置還可以動(dòng)態(tài)修改和下發(fā)。關(guān)于配置中心其他的好處和各種場(chǎng)景,不是本文的重點(diǎn),如用戶對(duì)場(chǎng)景感興趣,可參閱配置中心使用場(chǎng)景.
這里主要敘述下配置中心對(duì)配置安全方面產(chǎn)生的影響。配置中心存放配置的簡(jiǎn)單示意圖如下圖所示。
配置中心對(duì)應(yīng)用配置在安全方面產(chǎn)生的影響主要有以下幾個(gè):
配置不再需要明文存放在服務(wù)端。在應(yīng)用程序端,存放的是配置中心連接信息,而不帶任何敏感數(shù)據(jù)。所有配置具體信息都存放在配置中心處。在應(yīng)用程序側(cè),可選擇配置信息全程走內(nèi)存,而不持久化到本地硬盤中,盡最大可能保證敏感信息不外泄。
與此同時(shí),敏感信息存放被多帶帶剝離出來(lái)存放到了配置中心,所有配置信息可通過(guò)分級(jí)配置保證不同的管理員僅接觸到自己需要的那部分配置信息。
基于配置中心的配置管理從安全上解決了生產(chǎn)環(huán)境上解決敏感信息外泄的問(wèn)題。但是造成的另外一個(gè)問(wèn)題是對(duì)配置中心本身的安全性問(wèn)題。縱觀以上幾款配置中心的產(chǎn)品設(shè)計(jì),幾乎所有產(chǎn)品都是將實(shí)際配置明文存放。如果配置中心本身被攻破,上面集中存放的所有敏感信息將全部外泄。這在今天上云的時(shí)代,對(duì)于提供配置中心服務(wù)的云廠商而言,當(dāng)面向類似等保三級(jí)的安全合規(guī)審計(jì)的時(shí)候,這點(diǎn)挑戰(zhàn)尤其嚴(yán)峻。
ACM 的配置安全加固措施
基于配置中心的配置安全加強(qiáng)將日益成為配置中心安全方面的剛需。而最近,作為一款配置中心產(chǎn)品,阿里云應(yīng)用配置管理(簡(jiǎn)稱ACM)發(fā)布了一項(xiàng)"加密配置"功能,就旨在讓用戶更加安全的在配置中心存放配置。以下章節(jié)描述其功能細(xì)節(jié)。
ACM 加密配置管理設(shè)計(jì)概要
阿里云應(yīng)用配置管理(簡(jiǎn)稱ACM)在最近的發(fā)布版本中公布的一項(xiàng)針對(duì)配置安全的功能,主要是其過(guò)一系列和相關(guān)配置安全產(chǎn)品的打通來(lái)為用戶創(chuàng)建所謂"加密配置" (Security Configuration),來(lái)徹底解決上述的配置中心配置安全性問(wèn)題。ACM解決安全問(wèn)題的思路和其他業(yè)界領(lǐng)先的配置中心產(chǎn)品(如AWS Parameter Store)類似,其并不是自身來(lái)獨(dú)立解決安全問(wèn)題,而是和周邊的相關(guān)安全產(chǎn)品整合來(lái)聯(lián)合解決安全問(wèn)題。當(dāng)然,自身足夠安全也很重要,但是為了避免既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判,同時(shí)又避免讓用戶感覺(jué)雞蛋放在一個(gè)籃子里,選擇中立的安全產(chǎn)品進(jìn)行整合客觀上顯得亦為重要。讓我們來(lái)詳細(xì)看看ACM是怎么做的。
在這方面,阿里云ACM是通過(guò)RAM,KMS三個(gè)產(chǎn)品聯(lián)合來(lái)解決這個(gè)問(wèn)題。為了方便讀者理解這三個(gè)產(chǎn)品,以下列出產(chǎn)品傳送門:
應(yīng)用配置管理(Application Configuration Management,簡(jiǎn)稱 ACM),其前身為淘寶內(nèi)部配置中心 Diamond,是一款應(yīng)用配置中心產(chǎn)品。基于該應(yīng)用配置中心產(chǎn)品,您可以在微服務(wù)、DevOps、大數(shù)據(jù)等場(chǎng)景下極大地減輕配置管理的工作量,增強(qiáng)配置管理的服務(wù)能力。]。
密鑰管理服務(wù)(KeyManagementService)是一款安全易用的管理類服務(wù)。您無(wú)需花費(fèi)大量成本來(lái)保護(hù)密鑰的保密性、完整性和可用性,借助密鑰管理服務(wù),您可以安全、便捷的使用密鑰,專注于開(kāi)發(fā)您需要的加解密功能場(chǎng)景。
訪問(wèn)控制(Resource Access Management)是一個(gè)穩(wěn)定可靠的集中式訪問(wèn)控制服務(wù)。您可以通過(guò)訪問(wèn)控制將阿里云資源的訪問(wèn)及管理權(quán)限分配給您的企業(yè)成員或合作伙伴。
以下簡(jiǎn)述三個(gè)產(chǎn)品在ACM 加密配置中起到的作用。
ACM: 主要功能還是起到配置的存放和發(fā)放功能。但是在加密配置解決方案中,ACM將安全的功能大部分轉(zhuǎn)移到KMS中。ACM服務(wù)端中存放的配置是經(jīng)過(guò)KMS加密的配置,且ACM服務(wù)端本身并不直接提供解密功能,借此大大提高配置的安全性。在讀取加密配置的環(huán)節(jié)中,配置最終通過(guò)ACM客戶端調(diào)用KMS進(jìn)行解密。
KMS:在加密配置管理中,主要為用戶提供加解密的服務(wù)。用戶基于KMS在ACM進(jìn)行配置加解密時(shí)既可指定自己定制的密鑰對(duì),也可以使用ACM提供的默認(rèn)KMS的密鑰對(duì),以簡(jiǎn)化管理。
RAM:在阿里云的產(chǎn)品體系中,各個(gè)產(chǎn)品之間服務(wù)賬號(hào)各自獨(dú)立。也就是說(shuō),ACM控制臺(tái)本身是沒(méi)有辦法訪問(wèn)用戶的KMS的密鑰配置的。然而在ACM控制臺(tái)上,由于方便配置管理,用戶需要在ACM控制臺(tái)上對(duì)配置進(jìn)行加密操作,因此就需要ACM控制臺(tái)對(duì)用戶的KMS密鑰對(duì)有一定最小操作權(quán)限。這在阿里云的安全體系中,通過(guò) RAM 的 角色授權(quán) 來(lái)實(shí)現(xiàn)。
通過(guò)以下章節(jié)我們來(lái)看看ACM在配置安全這塊是怎么做的。
ACM 加密配置原理解析
ACM 加密配置的核心思路是通過(guò)KMS來(lái)對(duì)配置進(jìn)行加解密。以下詳述。
用戶開(kāi)通流程
首先看下如果用戶要使用ACM的加密配置功能,需要走哪些流程。如下圖所示。
步驟說(shuō)明如下:
開(kāi)通 ACM, 這是必然的。
開(kāi)通 KMS,這也是當(dāng)然的。
在RAM上授權(quán)ACM一個(gè)可以讀取用戶的KMS加密功能的最小權(quán)限角色。這步很關(guān)鍵,否則作為多帶帶產(chǎn)品,ACM是無(wú)法使用用戶KMS中的密鑰的。
用戶在ACM控制臺(tái)寫入加密配置流程
用戶在ACM控制臺(tái)寫入加密配置流程以下圖為例:
步驟詳解:
用戶在ACM控制臺(tái)寫人一個(gè)配置,并在控制臺(tái)上設(shè)置其為加密配置
ACM識(shí)別其為一個(gè)加密配置,需要依賴用戶的KMS密鑰。此時(shí)ACM會(huì)調(diào)用RAM,通過(guò)認(rèn)證獲得用戶的之前授權(quán)ACM的一個(gè)可以讀取KMS加密功能的最小權(quán)限角色。
ACM使用該角色,通過(guò)調(diào)用KMS API,使用用戶的KMS密鑰對(duì)對(duì)用戶存放在ACM控制臺(tái)上的配置進(jìn)行密文加密。
ACM控制臺(tái)將加密后的配置存放在ACM配置數(shù)據(jù)庫(kù)中。
從以上過(guò)程中,可以看出,
ACM保存的配置都是密文,而且本身不保存密鑰,即使配置信息被泄露,也無(wú)法獲取到配置明文。
ACM通過(guò)RAM授權(quán)來(lái)操作用戶的KMS密鑰,該授權(quán)的角色只允許ACM對(duì)配置加解密相關(guān)的操作授權(quán),不會(huì)有其他權(quán)限(如刪除密鑰對(duì)等操作),最大程度杜絕額外的安全隱患。
理論上,以上環(huán)節(jié)中,用戶在寫入配置時(shí),也可以完全不依賴ACM的控制臺(tái)功能,而通過(guò)KMS加密后,直接在控制臺(tái)操作寫入。當(dāng)然,這會(huì)帶來(lái)很大易用性問(wèn)題。在ACM的加密配置寫入流程設(shè)計(jì)中,通過(guò)和RAM角色授權(quán)打通來(lái)調(diào)用KMS,既保證了安全性,又為用戶在創(chuàng)建配置時(shí)帶來(lái)了極大的便利性,是一種非常平衡的折中方案。
應(yīng)用通過(guò)ACM SDK讀取加密配置流程
應(yīng)用通過(guò)ACM SDK讀取加密配置流程以下圖為例:
步驟詳解:
程序讀取ACM配置ID
程序啟動(dòng),讀取ACM密文配置
ACM Client識(shí)別該配置為密文配置,則KMS Client透明解密密文配置,返回明文配置
程序讀取明文配置,鏈接數(shù)據(jù)庫(kù),明文配置不落盤,保證安全。
從以上過(guò)程中,可以看出,
在應(yīng)用側(cè),其配置本身不含任何敏感數(shù)據(jù),只包含一個(gè)ACM Client需要讀取的配置項(xiàng)。
在實(shí)際使用過(guò)程中,ACM SDK將打包ACM Client和KMS Client調(diào)用,具體調(diào)用信息對(duì)應(yīng)用程序透明。
ACM 加密配置總結(jié)
從以上章節(jié)可以看出,ACM的加密配置在安全和易用性上做到了較好均衡。
在易用性方面無(wú)論是配置寫入還是配置讀出,服務(wù)端和客戶端都做到了較好的透明。
在安全性方面,通過(guò)RAM和KMS集成,保證配置能以足夠安全的通道進(jìn)行加密,并在存儲(chǔ)端密文存放。
以上做法較好的滿足了現(xiàn)在主流的等保三級(jí)的合規(guī)目標(biāo),切實(shí)滿足了大部分企業(yè)用戶的安全需求。
衍生閱讀:等保信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 第三級(jí)
讓您的配置在云上更加安全
作為一款面向配置中心,專注于用戶配置的產(chǎn)品,ACM在上云時(shí)代首要目標(biāo)將是保證用戶的配置安全。在這個(gè)基礎(chǔ)上,ACM將和更多的阿里云產(chǎn)品通過(guò)友好的整合方式來(lái)保護(hù)用戶配置安全,其場(chǎng)景將包含但不限于:
容器服務(wù)的配置安全存放。
ECS彈性伸縮的配置安全存放。
其他各類PaaS服務(wù)鏈接的配置安全存放。
原文鏈接
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/11373.html
摘要:為什么選擇阿里云服務(wù)器穩(wěn)定阿里云服務(wù)器云盤數(shù)據(jù)可靠性不低于,如果發(fā)生服務(wù)器宕機(jī)自動(dòng)遷移,災(zāi)難恢復(fù)阿里云提供異地雙活和兩地三中心的災(zāi)備解決方案,當(dāng)一處系統(tǒng)因意外如火災(zāi)地震等停止工作時(shí),整個(gè)應(yīng)用系統(tǒng)可切換到另一處,繼續(xù)對(duì)外提供服務(wù)。為什么選擇阿里云服務(wù)器? 1、穩(wěn)定 阿里云服務(wù)器云盤數(shù)據(jù)可靠性不低于99.99%,如果發(fā)生服務(wù)器宕機(jī)自動(dòng)遷移,災(zāi)難恢復(fù):阿里云提供異地雙活和兩地三中心的災(zāi)備解決方案,...
摘要:阿里云服務(wù)器的配置選擇,和網(wǎng)站或應(yīng)用的類型訪問(wèn)量數(shù)據(jù)量大小程序質(zhì)量等因素有關(guān),建議和您的網(wǎng)站或應(yīng)用的開(kāi)發(fā)技術(shù)人員溝通,選擇最適合您的配置。阿里云服務(wù)器具有強(qiáng)大的彈性擴(kuò)展和快速開(kāi)通能力。云服務(wù)器只有基于實(shí)例,才能使用網(wǎng)絡(luò)存儲(chǔ)快照等其他資源。阿里云服務(wù)器的配置選擇,和網(wǎng)站或應(yīng)用的類型、訪問(wèn)量、數(shù)據(jù)量大小、程序質(zhì)量等因素有關(guān),建議和您的網(wǎng)站或應(yīng)用的開(kāi)發(fā)技術(shù)人員溝通,選擇最適合您的配置。 如果您沒(méi)...
摘要:跟傳統(tǒng)服務(wù)器的一點(diǎn)也不一樣,頭疼啊,實(shí)例可用區(qū)都是什么意思啊那么阿里云服務(wù)器到底如何選配置呢。云服務(wù)器只有基于實(shí)例,才能使用網(wǎng)絡(luò)存儲(chǔ)快照等其他資源。眾所周知阿里云是國(guó)內(nèi)最大的公共云計(jì)算服務(wù)提供商。越來(lái)越多的互聯(lián)網(wǎng)公司和開(kāi)發(fā)者把網(wǎng)站及核心業(yè)務(wù)遷移到云上。但是呢,云計(jì)算畢竟是個(gè)新鮮概念,有些人經(jīng)常抱怨選個(gè)云服務(wù)器,那么多不知所云的名詞、云計(jì)算概念。跟傳統(tǒng)服務(wù)器的一點(diǎn)也不一樣,頭疼啊,實(shí)例、可用區(qū)...
閱讀 1417·2021-11-09 09:45
閱讀 1785·2021-11-04 16:09
閱讀 1449·2021-10-14 09:43
閱讀 1814·2021-09-22 15:24
閱讀 1589·2021-09-07 10:06
閱讀 1597·2019-08-30 14:15
閱讀 980·2019-08-30 12:56
閱讀 1563·2019-08-29 17:22