什么是云原生全鏈路加密

[[285580]]

數據安全在云上的要求，可以用信息安全基本三要素 "CIA"來概括，即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

• 機密性專指受保護數據只可以被合法的(或預期的)用戶可訪問，其主要實現手段包括數據的訪問控制、數據防泄露、數據加密和密鑰管理等手段;
• 完整性是保證只有合法的(或預期的)用戶才能修改數據，主要通過訪問控制來實現，同時在數據的傳輸和存儲中可以通過校驗算法來保證用戶數據的完整性;
• 數據的可用性主要體現在云上環境整體的安全能力、容災能力、可靠度，以及云上各個相關系統(存儲系統、網絡通路、身份驗證機制和權限校驗機制等等)的正常工作保障。

在三要素中，第一要素機密性(Confidentiality)最常見也是最常被要求的技術實現手段就是數據加密。具體到云原生維度，需要實現的就是云原生的全鏈路加密能力。

“全鏈路”指的是數據在傳輸 (in Transit，也叫 in-motion)、計算 (Runtime，也叫 in-process)，存儲 (in storage，也叫 at-rest) 的過程，而“全鏈路加密”指的是端到端的數據加密保護能力，即從云下到云上和云上單元之間的傳輸過程、到數據在應用運行時的計算過程(使用/交換)，和到數據最終被持久化落盤的存儲過程中的加密能力。

• 數據傳輸 (數據通信加密，微服務通信加密，應用證書和密鑰的管理);

• 數據處理(運行時安全沙箱 runV, 可信計算安全沙箱 runE);

• 數據存儲 (云原生存儲的 CMK/BYOK 加密支持、密文/密鑰的存儲管理、容器鏡像的存儲加密、容器操作/審計日志安全)。

本文中的技術描述針對的是在云原生全鏈路加密中已有的和未來需要實現的技術目標。

云安全 > 云數據安全 > 云原生全鏈路加密 

云安全

針對用戶群體的不同，對安全鏈路有不同的層次定義，云安全涵蓋了云客戶安全和云廠商安全在 IaaS 的軟件、硬件以及物理數據中心等的安全。 

• 云原生客戶(Cloud Native Customer)安全：應用安全/操作安全/商業安全/容器網絡安全/容器數據安全/容器運行時安全
• 云客戶(Cloud Customer)安全
• 云廠商(Cloud IaaS DevOps)安全

云原生安全 

云原生安全首先需要遵循云數據安全標準，在復用了云基礎架構安全能力的前提下，同時在安全運行時，軟件供應鏈上有進一步的安全支持。

云原生存儲是通過聲明式 API 來描述了云數據的生命周期，并不對用戶透出底層 IaaS 的數據加密細節。不同的云原生存儲一般作為云數據的載體，復用了云 IaaS 基礎安全能力，還需要包括軟件供應鏈中的鏡像安全，和容器運行時 root 文件系統安全和容器網絡安全。

• 云原生安全的運行時 = 數據處理過程中的計算安全/內存安全/文件系統安全/網絡安全
• 云原生軟件供應鏈安全 = 可執行文件/用戶代碼安全
• 云原生基礎架構的安全 = 云數據存儲安全 

云數據安全

云用戶數據安全包括以下的三個方面的工作：

• 數據保護：RAM ACL 控制細粒度的數據的訪問權限;敏感數據保護(Sensitive Data Discovery and Protection，簡稱 SDDP)、數據脫敏、數據分級分類;
• 數據加密：CMK 加密數據能力、BYOK 加密數據能力;
• 密鑰/密文管理：KMS/HSM 等云服務、三方 Vault 服務。

1. 數據安全的生命周期

為了更好的理解數據保護，需要對數據安全的生命周期有一個了解，因為數據保護貫穿于整個的數據生命周期：

• 數據收集
• 數據傳輸
• 數據處理
• 數據交換
• 數據存儲
• 數據銷毀 

云原生數據生命周期，以 ACK(容器服務 Kubernetes)掛載阿里云云盤為例：

• 云盤 PV 的申明和創建定義了數據，云盤數據的加密需要在申明定義中就體現，對密鑰匙選擇、加密算法選擇都可以申明式支持，RAM 權限細粒度遵循最小權限;
• 云盤掛載到虛擬機通過 PVC 在容器組 Pod 引用得以觸發和實現;
• 云盤數據的解密通過用戶 CMK/BYOK 在塊設備上實現透明加密解密;
• Pod 生命周期的變化導致 PVC 關聯云盤在不同宿主 ECS 上的 Detach/Attach;
• 對 PV 的 Snapshot 生命觸發了云盤 Snapshot 的創建;
• PV 的刪除可以通過 OnDelete 關聯到云盤的中止和數據的刪除。

2. 全鏈路的數據安全

在狹義上來說是對數據端到端的加密，主要集中在了數據生命周期中的三個階段：

• 數據傳輸
• 數據處理
• 數據存儲

數據傳輸階段

安全通信設計，密文/密鑰的安全管理和傳輸，既要滿足云環境下的安全傳輸、云原生引入的容器網絡、微服務、區塊鏈場景，又對云原生數據安全傳輸提出了進一步的要求。

• 云安全傳輸

在云環境下 VPC/安全組的使用，密文/密鑰的安全管理 KMS 南北向流量通過 SSL 證書服務獲取可信有效的 CA，對南北流量實現 HTTPS 加密和卸載，以及對 RPC/gRPC 通信使用 SSL 加密， 減小 VPC 的攻擊面，通過 VPN/SAG Gateway 來實現安全訪問鏈路。

• 云原生安全傳輸

云原生場景，單一集群允許多租戶的同時共享網絡、系統組件權限控制、數據通信加密、證書輪轉管理，多租場景下東西流量的網絡隔離、網絡清洗;云原生微服務場景，應用/微服務間通信加密，和證書管理;云原生場景下密鑰、密文的獨立管理和三方集成、KMS 與 Vault CA，fabric-ca, istio-certmanager 等的集成。

數據處理階段

數據處理階段，對內存級的可信計算，既有云安全虛擬化安全運行的要求，又有容器安全沙箱和可信安全沙箱的需求。 

• 云安全虛擬化可信計算：TEE SGX、ARM Trust Zone;
• 云原生容器安全沙箱：runV Kata 安全容器沙箱 、runE Graphane/Occlum 可信安全沙箱。 

數據存儲階段

既有云安全對云存儲加密、云數據服務加密需求，又有對容器鏡像存儲加密，審計日志、應用日志加密和三方集成的需求，以及對密文密碼的不落盤存儲支持。

云存儲加密方式：

• 數據 + 加密算法 + 用戶密鑰或主密鑰;
• 客戶端加密/服務端加密。 

云存儲數據，以服務端加密為主;安全的密鑰管理 KMS/HSM;安全的加密算法，全面支持國產算法以及部分國際通用密碼算法，滿足用戶各種加密算法需求：

• 對稱密碼算法：支持 SM1、SM4、DES、3DES、AES;
• 非對稱密碼算法：支持 SM2、RSA(1024-2048);
• 摘要算法：支持 SM3、SHA1、SHA256、SHA384。

阿里云只能管理設備硬件，主要包括監控設備可用性指標、開通、停止服務等。密鑰完全由客戶管理，阿里云沒有任何方法可以獲取客戶密鑰。

云存儲加密支持：

• 塊存儲 EBS 云盤：支持虛擬機內部使用的塊存儲設備(即云盤)的數據落盤加密，確保塊存儲的數據在分布式系統中加密存放，并支持使用服務密鑰和用戶自選密鑰作為主密鑰進行數據加密;
• 對象存儲 OSS：支持服務端和客戶端的存儲加密能力。在服務端的加密中，支持使用服務密鑰和用戶自選密鑰作為主密鑰進行數據加密;在客戶端的加密中，支持使用用戶自管理密鑰進行加密，也支持使用用戶 KMS 內的主密鑰進行客戶端的加密;
• RDS 數據庫的數據加密：RDS 數據庫的多個版本通過透明加密(Transparent Data Encryption，簡稱 TDE)或云盤實例加密機制，支持使用服務密鑰和用戶自選密鑰作為主密鑰進行數據加密;
• 表格存儲 OTS：支持使用服務密鑰和用戶自選密鑰作為主密鑰進行數據加密;
• 文件存儲 NAS：支持使用服務密鑰作為主密鑰進行數據加密;
• MaxCompute 大數據計算：支持使用服務密鑰作為主密鑰進行數據加密;
• 操作日志，審計日志的安全存儲，以及三方日志系統集成。

云原生存儲加密：目前阿里云容器服務 ACK 可以托管的主要以塊存儲、文件存儲和對象存儲為主，其他類型的 RDS、OTS 等數據服務是通過 Service Broker 等方式支持：

• 用戶容器鏡像/代碼 (企業容器鏡像服務，OSS CMK/BYOK 加密);
• 云原生存儲卷 PV(申明式支持云存儲的 CMK/BYOK 以及數據服務層的加密支持);
• 操作日志和審計日志 (ActionTrail OpenAPI/Kubernetes AuditLog: SLS 日志加密);
• 密文密碼 (KMS/Vault 對密文的三方加密支持和內存存儲，非 etcd 持久化)。 

結論

云原生全鏈路的數據安全、云安全體系下的全鏈路加密已經成為了基礎配置，新的容器化基礎架構和應用架構的變化，結合云原生技術體系的特征，在數據傳輸、數據處理、數據存儲階段都需要增加相應云原生環境對網絡、運行時、存儲的全鏈路加密需求。

• 既要滿足云環境下的安全傳輸、云原生引入的容器網絡、微服務、區塊鏈場景，又對云原生數據安全傳輸提出了進一步的要求;
• 既有云安全虛擬化安全運行的要求，又有容器安全沙箱，可信安全沙箱的需求;
• 既有云安全對云存儲加密、云數據服務加密需求，又有對容器鏡像存儲加密、審計日志、應用日志加密和三方集成的需求，以及對密文密碼的不落盤存儲的支持。