招商云产品白皮书

2018年12月

1 白皮书介绍

招商云是招商局金融集团为实现成员公司IT集中治理而发起核心项目,也是支撑金融集团数字化战略落地的信息化整体架构中的最重要组成部分。在招商金融整体数字化战略指引下,招商金科自主规划设计和研发的招商云平台,通过拥抱开源,研发云管平台等27个平台系统,发布上线云主机、容器、裸机、云硬盘、对象存储、数据库等20个云产品服务。招商云平台实现了管理多云、多可用区、多集群和多租户,纳管计算、存储、网络、数据库等各种资源,实现资源池化和计量计费;并建设上线云监控、自动化运维和安全管理平台。

未来,招商云主动参与技术变革大潮,抓住国家推动企业上云的大好时机,走自研-自用-输出的发展路径,在自主研发关键基础设施的过程中,构建应对技术基础设施下一轮演进的能力。通过资源整合,吸引有共同价值目标的实体入驻,构建云上生态圈,实现大数据、人工智能、区块链、物联网等云服务,推动业务创新,助力集团业务发展。

数据安全和用户隐私是招商云的最重要原则。招商云致力于打造公共、开放、安全的云计算服务平台。通过技术创新,不断提升计算能力与规模效益,将云计算变成真正意义上的基础设施。招商云竭诚为用户提供专业、安全、增值、可靠的云计算基础服务,帮助用户保护其系统及数据的可用性、机密性和完整性。

本白皮书介绍了招商云云安全体系,内容包括:

 安全责任共担

 安全合规和隐私

 招商云基础设施

 招商云安全架构

 招商云产品提供的安全功能

 招商云安全管理平台提供的安全服务

2 安全责任共担

基于招商云的用户应用,其安全责任由双方共同承担:招商云确保云服务平台的安全性,用户负责基于招商云服务构建的应用系统的安全。

招商云负责基础设施(包括跨地域、多可用区部署的数据中心,以及招商云骨干传输网络)、物理设备(包括计算、存储和网络设备)、招商云操作系统及之上的各种云服务产品的安全控制、管理和运营,从而为用户提供高可用和高安全的云服务平台。

招商云为用户提供安全服务,保护用户的应用系统。用户负责以安全的方式配置和使用云主机(ECS)、数据库(RDS)实例及其他云产品,基于这些云产品以安全可控的方式构建自己的应用。安全责任共担模式之下,招商云提供并保障基础设施的安全,能够让用户降低IaaS层的安全性的顾虑,安心使用招商云IaaS服务,更专注于核心业务发展。

2.1 招商云安全责任

招商云负责基础设施、物理设备、云操作系统及云服务产品安全,并为用户提供保护云端应用及数据的技术手段。

 保障云平台自身安全:

 保障云数据中心物理安全;

 保障云平台硬件、软件和网络安全,如操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等;

 及时发现云平台的安全漏洞并修复,修复漏洞过程不影响用户业务可用性;

 通过与外部第三方独立安全监管与审计机构合作,对招商云进行安全合规与审计评估；

 招商云为用户提供保护云端信息系统的技术手段；

 为用户提供多地域、多可用区分布的云数据中心以及多线BGP接入网络,使得用户可利用招商云基础设施构建跨机房高可用的云端应用;

 云账户支持主子账号、多因素认证、分组授权、细粒度授权、临时授权;

 为用户提供安全审计手段;

 为用户提供数据加密手段;

 为用户提供招商云安全管理平台安全服务。

2.2 用户安全责任

用户基于招商云提供的服务构建自己的云端应用系统,综合运用招商云产品的安全功能和安全服务来保护自己的业务系统。

招商云提供的云主机(ECS)、专有网络(VPC)服务的实例完全由用户控制,用户应管理实例并进行安全配置。例如用户应加固租用的云主机操作系统、升级补丁,配置安全组防火墙进行网络访问控制。

3 安全合规和隐私

招商云的安全流程机制已经得到国内外相关权威机构的认可,我们将金融安全最佳实践融入到云平台的安全防护中,将众多的合规标准融入云平台合规内控管理和产品设计中,并通过独立的第三方验证招商云如何符合标准。下表是招商云具有的资质列表。

资质	简介
ISO27001	信息安全管理体系国际认证,从数据安全、网络安全、通信安全、操作安全等各个方面证明招商云平台履行的安全职责。
ISO27018	标志着招商云个人信息保护管理体系有能力满足国内外高标准的个人信息保护法律法规要求。
CSASTAR	云安全管理体系国际认证,招商云获得金牌。
等级保护测评	招商云通过云计算等级保护三级测评,意味着招商云满足国家网络安全法的合规要求。

3.1 合规

招商云依据标准和金融行业最佳实践不断完善自身的管理与机制,并通过了一系列的标准认证、三方审计以及自评估,务求更好的向用户展示招商云的合规实践。同时,成员企业用户在面对合规需求时,存在自身经验与资源的局限性。招商云也希望借由审计报告、合规解决方案、以及合规架构咨询等诸多方式,来帮助成员企业开展合规工作,将招商云合规实践的价值最大化。

招商云面对不同角度、不同行业、不同地区的合规需求,整体合规工作可以划分为如下几类:

1. 管理体系合规: 旨在体现招商云目前成熟的管理机制和遵从的行业最佳实践。

 ISO 27001: 信息安全管理体系

 CSA STAR：云服务安全的成熟度模型

 等级保护测评（3级）

2. 体系化合规报告: 旨在向用户展示云平台管控的完整性和有效性。例如:体系控制是否持续有效,职责分离是否准确,运维操作审计等。

3. 其他：一些合规工作无法通过上述的三种形式展现,招商云一直致力协助各个地区的监管机构建立和完善标准,分享招商云的最佳实践。

3.2 隐私保护

招商云的个人信息处理原则:用户对所有提供给招商云的个人信息拥有所有权和控制权。每个用户在使用招商云服务的时候,出于信任将最宝贵的个人信息托付给我们。招商云也致力于保护每位用户的个人信息,并严格保障在用户期望范围内使用。招商云在隐私政策方面对于公众完全透明,可以参考官网的隐私政策。同时,招商云采用各种技术手段确保用户的个人信息仅存在于招商云业务范围。

招商云的官网提供了全面的合规信息,希望可以帮助用户更好地理解招商云在合规方面的各种实践,并希望用户不仅可以一如既往地信任招商云,也可以从招商云的实践中获取合规方面的经验,与我们一起提高金融企业的合规能力。

在此,我们再一次声明,招商云致力于保护各类用户的个人信息,并遵守经营业务市场所属国家或地区的适用法律。招商云的隐私政策可以在官方网站上找到,任何隐私相关问题都可以通过我们的官网网页提交。隐私政策官方网站: https://cloud.cmft.com/

3.3 透明度

与全国的其他大型互联网公司或云服务提供商相似,招商云有时会面临依法配合国家行政、司法机关执行公务的相关要求。当政府机构依法要求招商云进行必要的数据披露时,我们会根据法律规定的义务进行规范化的配合与支持。此类场景可能包括配合公检法打击犯罪、侦破案件时进行取证,完成监管部门依照法律要求进行的安全检查,以及配合工商、知识产权部门查处各类打假、侵权案等。

对应每一种数据披露场景,招商云都有严格的内部审核数据提取流程。在数据披露过程中,我们会要求数据需求方提供完备的证件与法律函件,对相关人员信息进行验证并记录。招商云遵守依法提供、流程规范、风险可控、最小够用等原则,确保数据的提取和送达安全可控、有据可依。

4 招商云基础设施

招商云为用户提供多地域多可用区的云数据中心;招商云操作系统为所有云产品提供高可用基础架构和多副本数据冗余;自动化的运维及安全,国内领先的合规性;专业、安全、增值、可靠的云计算基础设施。

招商云在部署异地数据中心,同地域支持多个可用区。用户业务跨地域、跨可用区部署,可实现高可用架构,例如同城应用双活、异地数据灾备。

国家	地域	可用区数量
中国	华南1	仁和专享 测试专区 集团共享 DMZ共享
华南2	仁和专享 DMZ共享
华东	建设中
华北1	建设中
华北2	建设中

5 招商云安全架构

如上图所示,招商云提供了共8个不同层面的安全架构保障,其中包括物理安全，网络安全,虚拟化安全，云开发安全等 4个云平台层面的安全架构保障;以及账户安全,数据安全，安全运营，云产品安全等4个云用户层面的安全架构保障。

本章在介绍整体安全架构时,会简要介绍各个架构层面中的关键特性,同时会覆盖多种招商云产品,包括安全产品。各种产品的详情请参加白皮书相关的章节内容。

5.1 云平台安全架构

招商云云平台的安全架构如上图所示,主要包括了物理安全,网络安全,虚拟化安全以及云开发安全四个重要组成部分。

5.1.1 物理安全

招商云数据中心和办公区均设置入口管控,并划分单独的访客区,访客出入必须佩戴证件,且由机房员工陪同。招商云数据中心建设满足GB50174《电子信息机房设计规范》A 类和 TIA 942《数据中心机房通信基础设施标准》中 T3+标准,包含本章以下物理与环境安全控制要求。

5.1.1.1 机房容灾

 火灾检测及应对

招商云数据中心火灾探测系统利用热和烟雾传感器实现,传感器位于天花板和地板下面;在事件触发时,提供声光报警。数据中心采用整体气体灭火系统与手动灭火器,同时组织火灾检测与应对的培训和演练。

 电力

为保障招商云业务7x24小时持续运行,招商云数据中心采用双路市电电源和冗余的电力系统,主、备电源和系统具备相同的供电能力。若电源发生故障,会由带有冗余机制的电池组和柴油发电机对设备进行供电,保障数据中心在一段时间内的持续运行能力。

 温度和湿度

招商云数据中心采用精密空调来保障恒温恒湿的环境,并对温湿度进行电子监控,一旦发生告警立即采取应对措施。空调机组均采用热备冗余模式。

5.1.1.2 人员管理

 访问管理

招商云数据中心仅向本数据中心机房运维人员授予长期访问权限,若运维人员转岗或离职,权限立即清除。其他人员若因为业务需求要进入数据中心,必须先提出申请,经各方领导审批通过后才能获取短期授权;每次出入需要出示证件,并进行登记,且数据中心机房运维人员全程陪同。招商云数据中心内部划分机房包间,测电区域,库房间等区域,各个区域拥有独立的门禁系统，特定区域采用铁笼进行物理隔离。

5.1.1.3 运维审计

 监控

招商云数据中心机房各区域设有安防监控系统,监控范围覆盖所有区域和通道,配有物业保安7x24小时巡逻。所有视频监控和文档记录均会长期保存,且由专人定期复核。

5.1.1.4 硬件固件安全

硬件固件是云计算安全依赖的安全基础,为了保障硬件固件安全,招商云对底层硬件固件进行加固,其中包括硬件固件基线扫描,高性能GPU实例保护,BIOS固件验签,BMC固件保护。

 硬件固件基线扫描:定期对硬件和固件基本信息及相应版本进行扫描,检测可能的异常硬件固件信息。

 高性能GPU实例保护:通过对开放给用户虚拟机的GPU关键寄存器保护,确保用户虚拟机除了进行高性能计算之外,无法篡改GPU的固件程序等重要资源。

 BIOS固件验签：确保只有招商云签名过的BIOS固件才可以被刷写在相关服务器上,从而避免了恶意的BIOS固件刷写。

 BMC 固件保护:确保在主机操作系统中,无法对BMC固件进行非授权的恶意刷写。

5.1.2 网络安全

5.1.2.1 网络隔离

招商云对生产网络与非生产网络进行了安全隔离,从非生产网络不能直接访问生产网络的任何服务器和网络设备。招商云把对外提供服务的云主机网络和支撑云服务的物理机网络进行安全隔离,通过网络ACL确保云主机网络无法访问物理机网络。招商云也采取网络控制措施防止非授权设备私自联到云平台内部网络,并防止云平台物理服务器主动外联。

招商云在生产网络边界部署了堡垒机,办公网内的运维人员只能通过堡垒机进入生产网进行运维管理。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。

5.1.2.2 专有网络 (VPC)

专有网络(Virtual PrivateCloud)可以帮助用户基于招商云构建出一个隔离的网络环境,并可以自定义IP地址范围、网段、路由表和网关等；此外,也可以通过专线/VPN等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。

5.1.2.3 DDoS 防御

招商云的DDoS防护系统保护所有数据中心,提供DDoS攻击自动检测、调度和清洗功能 ,保证云平台网络的稳定性。

5.1.3 虚拟化安全

虚拟化技术是云计算的主要技术支撑,通过计算虚拟化,存储虚拟化,网络虚拟化来保障云计算环境下的多租户隔离。招商云虚拟化安全技术主要包括租户隔离,补丁热修复,逃逸检测三大基础安全部分来保障招商云虚拟化层的安全。

5.1.3.1 租户隔离

虚拟化层在租户隔离中起到至关重要的作用，CPU、内存通过KVM虚拟化技术隔离。基于硬件虚拟化技术的虚拟机管理将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问相互之间未授权的系统资源,从而保障计算节点的基本计算隔离。同时虚拟化管理层还提供了存储隔离和网络隔离。

 计算隔离

招商云提供各种基于云的计算服务,包括各种计算实例和服务,可自动伸缩以满足应用程序或企业的需求。这些计算实例和服务在多个级别提供计算隔离以保护数据,同时保障了用户需求的配置灵活性。计算隔离中关键的隔离边界是管理系统与用户虚拟机以及用户虚拟机之间的隔离,这种隔离由KVMHypervisor直接提供。招商云平台使用的虚拟化环境,将用户实例作为独立虚拟机运行,并且通过使用物理处理器权限级别强制执行此隔离,确保用户虚拟机无法通过未授权的方式访问物理主机和其他用户虚拟机的系统资源。

 存储隔离

作为云计算虚拟化基础设计的一部分,招商云将基于虚拟机的计算与存储分离。这种分离使得计算和存储可以独立扩展,从而更容易提供多租户服务。在虚拟化层，KVMHypervisor采用分离设备驱动模型实现I/O虚拟化。虚拟机所有I/O操作都会被KVMHypervisor截获处理,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机硬盘空间的安全隔离。云用户实例服务器释放后,原有的磁盘空间将会被可靠的清零以保障用户数据安全。

 网络隔离

为了支持ECS虚拟机实例使用网络连接,招商云将虚拟机连接到招商云虚拟网络。招商云虚拟网络是建立在物理网络结构之上的逻辑结构。每个逻辑虚拟网络与所有其他虚拟网络隔离。这种隔离有助于确保部署中的网络流量数据不能被其它ECS虚拟机访问。

5.1.3.2 逃逸检测

虚拟机逃逸攻击主要包括两个基本步骤:首先将攻击方控制的虚拟机置于与其中一个攻击目标虚拟机相同的物理主机上,然后破坏隔离边界,以窃取攻击目标的敏感信息或实施影响攻击目标功能的破坏行为。

招商云虚拟化管理程序通过使用高级虚拟机布局算法以防止恶意用户的虚拟机运行在特定物理机上。招商云在虚拟化管理软件层面还提供了虚拟化管理程序加固、虚拟化管理程序下攻击检测核心技术来防范恶意虚拟机的攻击。

5.1.4 云开发安全

招商云为用户提供了多种不同的云产品,其中包括云主机ECS,云数据库RDS,对象存储 OSS，云备份等等。

5.1.4.1 云开发安全生命周期(SPLC)

招商云为云上产品量身定制云开发安全生命周期,目标是将安全融入到整个产品开发生命周期中。云开发安全生命周期(SPLC)在产品架构审核、开发、测试审核、应急响应的各个环节层层把关,每个节点都有完整的安全审核机制确保产品的安全性能够满足严苛的云上要求,从而有效地提高云产品的安全能力并降低安全风险。

如上图所示,整个云开发安全生命周期可以分为六大阶段,分别是:产品立项、需求设计阶段、开发阶段、测试阶段、线上运营。

在产品立项阶段,安全架构师和产品开发一同根据业务内容、业务流程、技术框架建立功能需求文档、绘制详细架构图,并在招商云产品上云的所有安全基线要求中确认属于产品范围的《安全基线要求》。同时,本阶段会安排针对性的安全培训课程与考试给产品开发人员,从而避免在后续产品开发中出现明显的安全风险。

在需求设计阶段阶段,安全架构师在上一阶段产出的功能需求文档和架构图的基础上对产品进行针对性的安全架构评估并做出产品的威胁建模。在威胁建模的过程中,安全架构师会对产品中的每一个需要保护的资产、资产的安全需求、可能的被攻击场景做出详细的模型,并提出相对应的安全解决方案。安全架构师会综合《安全基线要求》和威胁建模中的安全解决方案,一并与产品开发确认对于该产品的所有《安全要求》。

在开发阶段,产品开发会根据《安全要求》在产品开发中遵守安全编码规范,并实现产品的相关安全功能和要求。为了保证云产品快速持续的开发,发布与部署效率,产品开发会在本阶段进行自评确认《安全要求》都已经实现,并提供相对应的测试信息(如代码实现地址,自测结果报告等)给负责测试的安全工程师,为下阶段的安全测试审核做好准备。

在测试阶段,安全工程师会根据产品的《安全要求》对其进行架构、设计,服务器环境等全方位的安全复核,并对产品的代码进行代码审核和渗透测试。在此阶段发现的安全问题会要求产品开发进行安全修复和加固。

在发布阶段,只有经过安全复核,并且得到安全审批许可后,产品才能通过标准发布系统部署到生产环境,以防止产品携带安全漏洞在生产环境运行。

在线上运营阶段,安全应急团队会不断监控云平台可能的安全问题,并通过外部渠道(如ASRC等)或者内部渠道(如内部扫描器、安全自测等)得知安全漏洞。在发现漏洞后应急团队会对安全漏洞进行快速评级,确定安全漏洞的紧急度和修复排期,从而合理分配资源,做到快速并合理的修复安全漏洞,保障招商云用户、自身的安全。

5.2 云用户侧安全架构

招商云在用户侧安全架构如上图所示,提供了4个层面的安全保障,其中包括了账户安全、数据安全、安全运营及云产品安全。

5.2.1 数据安全

招商云数据安全体系从数据安全生命周期角度出发，采取管理和技术两方面的手段，进行全面、系统的建设。通过对数据生命周期（数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁）各环节进行数据安全管理管控，实现数据安全目标。在数据安全生命周期的每一个阶段，都有相应的安全管理制度以及安全技术保障。

运行在云计算平台上的开发者、公司、政府、社会机构的数据，所有权绝对属于用户；云计算平台不得将这些数据移作它用。平台方有责任和义务，帮助用户保障其数据的私密性、完整性和可用性。

5.1.2.1 数据加密

 数据传输加密

招商云为用户访问提供了HTTPS协议来保证数据传输的安全。如果用户通过招商云控制台操作，招商云控制台会使用HTTPS进行数据传输。

 数据存储加密

对于云平台运行需要用到的敏感数据，例如授权凭证、用户密码、密钥，统一使用招商云加密机制进行加密存储。同时，不同的云产品也支持数据加密以满足用户的要求（具体产品请参照产品对应章节）

在RDS数据库透明加密层，数据库数据可以被加密的形式存放到数据库系统中。

 冗余存储

招商云使用分布式存储，文件被分割成许多数据片段分散存储在不同的设备上，并且每个数据片段存储多个副本。分布式存储不但提高了数据的可靠性，也提高了数据的安全性。

5.1.2.2 镜像快照

ECS提供快照与自定义镜像功能,快照可以保留某个时间点上的系统数据状态,用于数据备份,或者制作镜像。用户可以方便的创建磁盘的自动快照策略,定义自动快照的创建时间、重复时间和保留时间等参数。用户可以使用快照创建自定义镜像,将快照的操作系统、数据环境信息完整的包含在镜像中。然后使用自定义镜像创建多台具有相同操作系统和数据环境信息的实例,非常方便的复制实例。快照使用增量的方式,两个快照之间只有数据变化的部分才会被拷贝。推荐用户在以下业务场景中使用快照:

系统盘、数据盘的日常备份,用户可以利用快照定期的对重要业务数据进行备份,来应对误操作、攻击、病毒等导致的数据丢失风险。更换操作系统,应用软件升级或业务数据迁移等重大操作前,用户可以创建一份或多份数据快照,一旦升级、迁移过程中出现任何问题,可以通过数据快照及时恢复到正常的系统数据状态。

生产数据的多副本应用,用户可以通过对生产数据创建快照,从而为数据挖掘、报表查询、开发测试等应用提供近实时的真实生产数据。用户还可以自己创建镜像导入招商云ECS使用。

招商云镜像集成了所有已知的高危漏洞补丁,防止主机上线之后即处于高风险状态。在发现新的高危安全漏洞后,招商云会迅速更新镜像并提供给用户。同时,招商云会使用数据校验算法确保镜像完整性,防止被恶意篡改。

5.1.2.3 数据擦除

对于曾经存储过用户数据的内存和磁盘，一旦释放和回收，其上的残留信息将被自动进行零值覆盖。同时，任何更换和淘汰的存储设备，都将统一执行消磁处理，才能运出数据中心。招商云建立了对设备全生命周期（包含接收、保存、安置、维护、转移以及重用或报废）的安全管理。设备的访问控制和运行状况监控有着严格管理，并定期进行设备维护和盘点。特别是当设备重用或报废时，招商云会对存储介质进行覆写、消磁或粉碎等数据清除处理。招商云的数据清除技术满足行业标准，清除操作留有完整记录，确保用户数据不被未授权访问。

招商云运维人员未经用户许可，不得以任意方式访问用户未经公开的数据内容。招商云遵循生产数据不出生产集群的原则，从技术上控制了生产数据流出生产集群的通道，防止运维人员从生产系统拷贝数据。

5.2.2 安全运营

5.2.3.1 变更管理

虚拟化系统是云计算的重要基础，针对虚拟化系统的变更会直接影响业务运行。招商云建立了完整的变更管理流程，根据变更紧急程度进行变更等级划分；根据变更来源、对象等进行变更分类管理，明确了可能发生的变更结果的界定标准。整个变更以流程化或自动化的系统和工具来支撑，流程涵盖变更申请、评估、审批、测试、实施及复核等阶段，并明确了变更管理流程中各角色的职责。

 变更申请阶段：界定了变更类型、对象、背景和业务影响等关键节点。

 变更执行阶段：主要涵盖变更方案、变更计划、变更评估和变更实施等要求，所有的变更在获准执行之前，需经过测试，变更时间窗口和变更方案等需经过评审，同时招商云会向可能受影响的用户发出变更通知。重要的变更操作要求双人复核。

 变更验证阶段：明确了变更验证、配置项复核和变更结果通知等要求。招商云会完整记录变更过程中的信息，并部署了自动化配置检查工具，可自动进行基础设施和信息系统的配置校验

5.2.3.2 应急响应

招商云组建了专门的安全应急团队来应对云平台上可能的安全威胁，并对异常事件积极的进行响应和处理。安全应急团队会不断监控云平台可能的安全问题，并会通过外部渠道（如ASRC等）或者内部渠道（如内部扫描器、安全工程师自测等）得知安全漏洞。一旦发现漏洞，应急团队会对安全漏洞进行快速评级并着手修复。同时，应急团队也会及时的发公告将安全问题第一时间通知用户。招商云制定有严格的应急响应流程来确保每一次安全事件都进行严格而快速的处理。

为了确保安全应急响应流程技术有效，招商云组建了专门的团队不定期的对招商云进行攻击演练，以确保安全应急响应流程的有效性。招商云还会定期邀请第三方团队对招商云进行渗透测试，以验证招商云安全防护体系的有效性和安全应急响应流程的流畅性。

5.2.3.3 安全管理平台

安全管理平台集成McAfee反病毒、上网行为管理、入侵防御系统以及Web应用防火墙，对云上资产暴露面和暴露风险进行实时采集和监控，对安全攻防决策具有重要参考意义，是用户统一查看安全风险的入口，为招商云上用户建立完整的安全纵深防御体系，提供从网络层、主机层到应用层的纵向安全防护，具有检测、响应和加固建议的全闭环流程。安全管理平台具有以下功能：

6 云产品安全

6.1 弹性计算

招商云提供了多种基于云的弹性计算服务,这些计算服务主要通过云主机ECS来对外提供服务。

6.1.1 云主机ECS

招商云云主机ECS实例是一个虚拟的计算环境,包含了CPU、内存、操作系统、磁盘、带宽等最基础的服务器组件,是ECS提供给每个用户的操作实体。一个实例就等同于一台虚拟机,用户对所创建的实例拥有管理员权限,可以随时登录进行使用和管理。用户可以在实例上进行基本操作,如挂载磁盘、创建快照、创建镜像、部署环境等。

6.1.1.1 租户隔离

由于ECS的实例会分配给不同的用户,因此实例之间的隔离对各个用户是重要的安全保障。ECS的租户实例隔离是基于硬件虚拟化技术的虚拟机管理,将多个虚拟机在系统层面进行隔离。实例不能访问相互之间未授权的系统资源,从而保障运算节点的基本计算资源的隔离。同时虚拟化管理层还提供了存储隔离和网络层隔离。租户隔离中关键的隔离边界是虚拟机管理系统与用户虚拟机以及用户虚拟机之间的隔离。以下将从CPU隔离,内存隔离,存储隔离,和网络隔离4个层面介绍ECS实例间资源隔离的实现机制。

 CPU隔离

基于硬件虚拟化技术Intel® VT-x,Hypervisor运行在 VMX root 模式,而虚拟机运行在 VMXnon-root模式。通过使用物理处理器的不同权限级别,可以有效地防止虚拟机通过未授权的方式访问物理主机和其他的用户虚拟机的系统资源,同时也做到了虚拟机之间的有效隔离。KVMHypervisor通过提供相互隔离的计算通道控制虚拟机与主机资源进行交互。这样可以防止用户获得对系统以及对其他租户的原始读/写/执行访问,并减轻共享系统资源所带来的风险,保障租户之间的计算隔离。

 内存隔离

在虚拟化层, KVM Hypervisor负责隔离内存。ECS实例运行时,使用硬件辅助EPT(Extended PageTables,扩展页表)技术,可以确保虚拟机之间无法互访对方内存。实例释放后,它的所有内存会被 Hypervisor 清零,从而有效防止ECS实例关闭后释放的物理内存页内容被其他用户的实例访问到。

 存储隔离

作为云计算虚拟化基础设计的一部分,招商云将基于虚拟机的计算与存储分离。这种分离使得计算和存储可以独立扩展,从而更容易提供多租户服务。在虚拟化层,KVM Hypervisor采用分离设备驱动模型实现I/O虚拟化,虚拟机所有I/O操作都会被KVMHypervisor截获处理,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机硬盘空间的安全隔离。云用户实例服务器释放后,原有的磁盘空间将会被可靠的清零以保障用户数据安全。

 网络隔离

为了支持ECS虚拟机实例使用网络连接,招商云要求将虚拟机连接到招商云虚拟网络。招商云虚拟网络是建立在物理网络结构之上的逻辑结构。每个逻辑虚拟网络与所有其他虚拟网络隔离。这种隔离有助于确保部署中的网络流量数据不能被其他ECS虚拟机访问。招商云ECS虚拟机可以通过KVMHypervisor提供的虚拟网络进行相互之间的隔离以确保自身的流量不被随意转发,同时所有的ECS虚拟机均可利用招商云VPC和安全组防火墙功能,以满足用户在各种场景下的网络访问权限切分。

6.1.1.2 高可用性

 负载均衡

多台ECS云主机可以使用 SLB 负载均衡服务组成集群,消除单点故障,提升应用系统的可用性。

 数据高可靠性

云主机镜像文件、快照文件均默认存储多分冗余,分布在不同交换机下的不同物理服务器上,数据可靠性不低于 99.9%。

 故障自动迁移恢复

云主机部署在宿主机(承载云主机的物理服务器)上,宿主机可能因性能异常或者硬件原

因导致故障,当检测到云主机所在的宿主机发生故障时,系统会启动保护性迁移,把云主机迁移到正常的宿主机上,恢复实例正常运行,保障应用的高可用性。

6.1.2 云硬盘

招商云云硬盘(BlockStorage),是招商云为云主机ECS提供的低时延、持久性、高可靠的数据块级随机存储。云硬盘支持在可用区内自动复制用户的数据,防止意外的硬件故障导致数据不可用,以保护用户的业务免于组件故障的威胁。就像对待硬盘一样,用户可以对挂载到ECS实例上的云硬盘做格式化、创建文件系统等操作,并对数据持久化存储。

6.1.2.1 高可用性

云硬盘采用多副本的分布式机制,为ECS实例提供99.9%的数据可靠性保证。

6.1.3 文件存储

招商云文件存储(Network AttachedStorage,NAS)是面向招商云ECS实例和Docker的文件存储服务,提供标准的文件访问协议NFS和CIFS,用户无需对现有应用做任何修改,对单一文件系统的扩容，支持从GB~TB,甚至可定制的PB级的文件系统。

6.1.3.1 访问控制

NAS支持文件系统标准的目录/文件权限操作,并支持用户/组的读/写/执行权限。NAS支持VPC挂载点和经典网络挂载点,允许同一VPC内或同一账号下的ECS实例访问其文件系统。NAS同时提供了IP级别的权限组进行细粒度的访问权限控制。

6.1.3.2 高可用性

NAS 提供 99.9%的数据可靠性,相比自建NAS存储,可以大量节约维护成本,降低数据可靠性风险。

6.1.4 弹性伸缩

招商云弹性伸缩(AutoScaling),是根据用户的业务需求和策略,经济地自动调整弹性计算资源的管理服务。弹性伸缩不仅适合业务量不断波动的应用程序,同时也适合业务量稳定的应用程序。

弹性伸缩用于可以监控用户的集群,随时自动替换不健康的实例,节省运维成本;也可以用于管理用户的集群,在高峰期自动增加ECS实例,在业务回落时自动减少ECS实例,节省基础设施成本。弹性伸缩同时与SLB/RDS紧密集成,自动管理SLB后端服务器和RDS白名单,节省用户的操作成本。

6.2 网络

6.2.1 负载均衡SLB

招商云负载均衡(Server LoadBalancer,SLB)是对多台云主机进行流量分发的负载均衡服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

6.2.1.1 高可用性

采用全冗余设计,无单点,支持同城容灾。搭配DNS可实现跨地域容灾,可用性高达99.9%。同时SLB可以根据应用负载进行弹性扩容,在流量波动情况下不中断对外服务。

6.2.1.2 健康检查

SLB服务会检查云主机池中ECS的健康状态,自动隔离异常状态的ECS,该ECS恢复正常后自动解除屏蔽,从而解决了单台ECS的单点问题,同时提高了应用的整体服务能力。

6.2.1.3 访问控制

SLB可以屏蔽后端服务器IP地址,对外只提供虚拟IP(VIP)。SLB提供源IP白名单功能,可限制仅允许可信的源IP访问用户通过SLB开放的服务。

6.2.1.4 HTTPS

SLB支持HTTPS/SSL/TLS负载均衡功能:

 对于需要进行证书认证的服务,可以集中、统一在SLB上管理证书和密钥。而无须部署在每台ECS(RealServer)上。

 可配置密文卸载(Off Load)功能,解密处理统一在SLB上进行,降低后端ECS CPU开销。

SLB提供证书管理系统管理和存储用户证书和密钥,用户上传到证书管理系统的私钥都会加密存储。

6.2.1.5 日志功能

负载均衡提供日志管理功能,用户可以查看某个实例的操作日志和健康检查日志。

6.2.2 专有网络VPC

用户可以使用招商云提供的专有网络(Virtual PrivateCloud,VPC)构建出一个隔离的网络环境,并可以自定义IP地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN 等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。

典型的 VPC 网络架构如下图所示:

6.2.2.1 自定义网络

用户可以在VPC内自定义网络地址,划分子网,自定义路由。

6.2.2.2 防火墙

可以通过具备状态检测包过滤功能的安全组防火墙进行网络安全域的划分。

6.2.2.3 网络边界控制

 Internet 边界

只有绑定了弹性公网IP(EIP)的实例可以直接访问互联网。没有EIP的实例可以把默认路由指向有EIP且配置了SNAT的实例访问互联网。

 专线接入

招商云提供专线接入点,通过专线可以把VPC与物理网络互联组成混合网络。专线接入不支持VPN隧道。

6.2.2.4 网络访问控制

VPC使用安全组防火墙进行三层网络访问控制。

6.2.2.5 租户隔离

不同租户的云主机ECS部署在不同的VPC里。不同VPC之间通过VxLAN隧道ID进行隔离。VPC内部由于虚拟交换机和虚拟机路由器的存在,所以可以像传统网络环境一样划分子网,每一个子网内部的不同云主机使用同一个虚拟交换机互联,不同子网间使用虚拟路由器互联。不同VPC 之间内部网络完全隔离,只能通过弹性公网IP互联。

6.2.2.6 弹性公网 IP

弹性公网IP(Elastic IPAddress,EIP),是可以独立购买和持有的公网IP地址资源,能动态绑定到不同的ECS实例上,绑定和解绑时无需停机。

EIP是一种NAT IP。它实际位于招商云的公网网关上,通过NAT方式映射到了被绑定ECS实例的私网网卡上。因此,绑定了EIP的ECS实例可以直接使用这个IP进行公网通信,但是在网卡上并不能看到这个IP地址。EIP可以用于不同VPC之间的互联。

6.2.2.7 NAT网关

招商云NAT网关(NATGateway)是一款企业级的VPC公网网关,提供NAT代理(SNAT、DNAT)、1Gbps级别的转发能力以及跨可用区的容灾能力。NAT网关作为一个网关设备,需要配置公网IP和公网带宽才能正常工作。NAT网关上的公网IP和公网带宽,被抽象为共享带宽包。一个共享带宽包由一份公网带宽和一组公网IP组成,这些公网IP共享带宽。

NAT网关与共享带宽包需要配合使用,组合成为高性能、配置灵活的企业级网关。

6.3 数据库

6.3.1 云数据库RDS

招商云关系型数据库(Relational DatabaseService,RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于招商云分布式文件系统和高性能存储,RDS支持Oracle,MySQL、SQLServer等数据库引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案。

云数据库RDS提供了多样化的安全加固功能来保障用户数据的安全,其中包括但不限于:

 网络:IP白名单、VPC网络、SSL/TLS(安全套接层协议)

 存储:TDE(透明数据加密)、自动备份

 容灾:同城容灾(多可用区实例)、异地容灾(容灾实例)

6.3.1.1 租户隔离

RDS通过虚拟化技术进行租户隔离,每个租户拥有自己独立的数据库权限。同时招商云对运行数据库的服务器进行了安全加固,例如禁止用户通过数据库读写操作系统文件,确保用户无法接触其他用户的数据。

6.3.1.2 高可用性

高可用版RDS实例拥有多个数据库节点进行主从热备,主节点发生故障可以迅速切换至备节点,月服务可用性承诺为 99.9%。

用户可以随时发起数据库的备份,RDS能够根据备份策略将数据库恢复至任意时刻,提高了数据可回溯性。

6.3.1.3 访问控制

 数据库账户

当用户创建实例后,RDS并不会为用户创建任何初始的数据库账户。用户可以通过控制台或者OpenAPI来创建普通数据库账户,并设置数据库级别的读写权限。如果用户需要更细粒度的权限控制,比如表/视图/字段级别的权限,也可以通过控制台或者OpenAPI先创建超级数据库账户,并使用数据库用户端和超级数据库账户来创建普通数据库账户。超级数据库账户可以为普通数据库账户设置表级别的读写权限。

 IP 白名单

默认情况下,RDS实例被设置为不允许任何IP访问,即127.0.0.1。用户可以通过控制台的数据安全性模块或者OpenAPI来添加IP白名单规则。IP白名单的更新无需重启RDS实例,因此不会影响用户的使用。IP 白名单可以设置多个分组,每个分组可配置1000个IP或IP段。

6.3.1.4 网络隔离

 VPC网络

除了IP白名单外,RDS还支持用户使用VPC来获取更高程度的网络访问控制。VPC是用户在公共云里设定的私有网络环境,通过底层网络协议严格地将用户的网络包隔离,在网络2层完成访问控制;用户可以通过VPN或者专线,将自建IDC的服务器资源接入招商云,并使用VPC自定义的RDSIP段来解决IP资源冲突的问题,实现自有服务器和招商云ECS同时访问RDS的目的。使用VPC和IP白名单将极大程度提升RDS实例的安全性。

 Internet

部署在VPC中的RDS实例默认只能被同一个VPC中的ECS实例访问。如果有需要也可以通过申请公网IP的方式接受来自公网的访问(不推荐),包括但不限于:

 来自ECS EIP的访问。

 来自用户自建IDC公网出口的访问。

IP白名单对RDS实例的所有连接方式生效,建议在申请公网IP前先设置相应白名单规则。

6.3.1.5 数据加密

 SSL/TLS

RDS提供MySQL和SQLServer的安全套接层协议。用户可以使用RDS提供的服务器端根证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。除此之外,RDS还提供了服务器端SSL/TLS证书的启用和更新能力,以便用户按需更替SSL/TLS证书以保障安全有效性。

6.3.1.6 SQL审计

RDS提供查看SQL明细功能,用户可定期审计SQL,及时发现问题。RDSProxy记录所有发往RDS的SQL语句,内容包括连接IP、访问的数据库名称、执行语句的账号、SQL语句、执行时长、返回记录数、执行时间点等信息。

6.3.1.7 备份恢复

为了保证数据完整可靠,数据库需要常规的自动备份来保证数据的可恢复性。RDS提供两种备份功能,分别为数据备份和日志备份。

6.3.1.8 软件升级

RDS为用户提供数据库软件的新版本。在绝大多数情况下版本升级都是非强制性的。只有用户主动重启了RDS实例的时候,RDS才会将被重启实例的数据库版本升级到新的兼容版本。在极少数情况下(如致命的重大Bug、安全漏洞),RDS会在实例的可运维时间内发起数据库版本的强制升级。需要注意的是,强制升级的影响仅仅是几次数据库连接闪断,在应用程序正确配置了数据库连接池的情况下不会对应用程序造成明显的影响。用户可以通过控制台或者OpenAPI来修改可运维时间,以避免RDS在业务高峰期发生了强制升级。

6.3.2 云数据库Redis

招商云云数据库Redis版是兼容开源Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。

6.3.2.1 高可用性

云数据库Redis在支持单节点架构的同时,更支持双机热备架构和集群架构来达到故障时系统自动切换保障系统服务的高可用性。

 单节点架构

单节点架构适用于纯缓存场景，支持单节点集群弹性变配，满足高QPS场景，提供超高性价比。

 双机热备架构

系统工作时主节点(Master)和备节点(Slave)数据实时同步,主节点发生故障可以迅速切换至备节点,全程自动且对业务无影响,主备架构保障系统服务具有高可用性。

 集群架构

集群(Cluster)实例采用分布式架构,每个分片都采用一主一备的高可用架构,自动容灾切换、故障迁移,多种集群规格可适配不同的业务压力,线性扩展数据库性能。

6.3.2.2 身份认证

云数据库Redis提供基于实例ID、密码的身份认证机制。

6.3.2.3 访问控制

 内网访问

云数据库Redis仅支持招商云内网访问,不支持外网访问,即只有在招商云ECS上的应用才能与云数据库Redis建立连接并进行数据操作。

 IP 白名单

在开始使用Redis实例前,需要将访问数据库的IP地址或者IP段加到目标实例的白名单中方可正常访问。

6.3.2.4 备份恢复

云数据库Redis提供了备份存档功能,为用户免费保存7天内的备份文件,7天外的备份文件将会自动删除。

6.3.3 云数据库 MongoDB

招商云云数据库MongoDB完全兼容MongoDB协议，提供稳定可靠、高可用、弹性伸缩、扩展性强、面向集合的开源分布式数据库服务。基于多副本高可用和分片（sharding）集群架构,很好的支撑基于实时的插入，更新与查询，并具备网站实时数据存储所需的复制及高度伸缩性场景，也比较适合JSON文档的高效存储与访问、支持丰富的地理信息管理(范围、就近、交集等)业务场景。

6.3.3.1 高可用性

云数据库MongoDB在支持单节点架构的同时,更支持多副本架构和分片集群架构来达到故障时系统自动切换保障系统服务的高可用性。

 单节点架构

单节点适用于开发、测试及其他非企业核心数据存储的场景。让您能够以更低的入门价格享受云数据库MongoDB在运维支持、内核级优化上的产品优势。单节点架构可以根据各类场景的差异适配对应的产品形态，为企业降低更多的成本支出。

 副本集架构

默认架构采用1主+1从+1仲裁架构，系统工作时主节点(Primary)和从节点(Secondary)复制OPLOG保持数据同步,当主节点发生故障,仲裁节点选举产生新的主节点，并剔除故障节点，从节点替代主节点，保障系统服务具有高可用性。

 分片集群架构

基于多个副本集（每个副本集沿用三节点副本模式）组成的分片集群实例提供Mongos（服务代理）、Shard（分片服务器）、ConfigServer三个组件。可以自由的选择Mongos和Shard节点的个数和配置，组建服务能力不同的MongoDB集群。能够将数据集分布式存储在不同的分片（shard）上，每个分片只保存数据集的一部分，MongoDB保证各个分片之间不会有重复的数据，所有分片保存的数据之和就是完整的数据集。而且分片集群将数据集分布式存储，能够将负载分摊到多个分片上，充分利用了各个Shard的系统资源，提高数据库系统的吞吐量。

6.3.3.2 身份认证

云数据库MongoDB提供基于实例ID、密码的身份认证机制。

6.3.3.3 访问控制

 内网访问

云数据库MongoDB仅支持招商云内网访问,不支持外网访问,即只有在招商云ECS上的应用才能与云数据库MongoDB建立连接并进行数据操作。

 IP 白名单

创建MongoDB实例后，需要将允许访问该实例的IP地址或者IP段加入到实例白名单中，以允许外部设备访问该MongoDB实例。

6.3.3.4 备份恢复

实例创建成功后，MongoDB会按照默认备份策略自动备份数据。您可以修改备份策略，实例按照您设定的备份策略自动备份数据。通过控制台操作从MongoDB实例中的某个备份点来创建新的实例，新建的实例数据恢复至源实例选择的备份点，可用作数据恢复或数据验证。或者操作按时间点新建实例，将会按照实例运行的某个时间点创建新的实例。新建的实例数据恢复至源实例选择的时间点，可用作数据恢复或数据验证。

6.4 存储与CDN

6.4.1 对象存储OSS

招商云对象存储服务(Object StorageService,OSS),是招商云对外提供的海量、安全和高可靠的云存储服务。RESTful API的平台无关性,容量和处理能力的弹性扩展,按实际容量付费等特点使用户能专注于其核心业务。

6.4.1.1 身份认证

当用户向OSS发送请求时,需要首先将发送的请求按照OSS指定的格式生成签名字符串;然后使用Access KeySecret对签名字符串进行加密产生验证码。验证码带时间戳,以防止重放攻击。OSS 收到请求以后,通过Access Key ID找到对应的Access KeySecret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一样即认为该请求是有效的;否则,OSS 将拒绝处理这次请求,并返回 HTTP 403 错误。

6.4.1.2 访问控制

对OSS的资源访问分为拥有者访问、第三方用户访问。这里的拥有者指的是Bucket的拥有者,也称为开发者。第三方用户是指访问Bucket里资源的用户。访问又分为匿名访问和带签名访问。对于OSS来说,如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSSAPI文档中规定的在请求头部或者在请求URL中携带签名的相关信息。OSS提供Bucket和Object的权限访问控制。Bucket 有三种访问权限:

 Public-read-write:任何人(包括匿名访问)都可以对该Bucket中的Object进行读/写/删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。

 Public-read:只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作;任何人(包括匿名访问)可以对Object进行读操作。

 Private:只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。

用户新创建一个Bucket时,如果不指定Bucket权限,OSS会自动为该Bucket设置private权限。Object有四种访问权限:

 Public-read-write:所有用户拥有此Object的读写权限。

 Public-read:非此Object的Owner拥有此Object的读权限,只有此Object的Owner拥有此Object的读写权限。

 Private:此Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。

 Default : Object遵循Bucket的访问权限。

用户上传 Object时,如果不指定Object权限,OSS会为Object设置为default权限。

6.4.1.3 高可用性

OSS数据采用多副本存储,可靠性达到99.9%。

6.4.1.4 租户隔离

OSS将用户数据切片,每片用户数据打上用户标签,离散存储在分布式文件系统中,并且用户数据和数据索引分离存储。OSS用户认证采用AccessKey对称密钥认证技术,对于用户的每个HTTP请求都验证签名。在用户验证通过后,根据用户标签,重组用户离散存储的数据。从而实现多租户间的数据存储隔离。

6.4.2 归档存储

归档存储(ArchiveStorage)致力于提供低成本、高可靠的数据归档服务,适合于海量数据的长期归档、备份，提供生命周期管理功能，对于到期文件自动进行删除操作，节省存储空间。

归档存储服务使用AccessKey进行身份认证。当用户向归档存储服务发送请求时,需要首先将发送的请求按照归档存储服务指定的格式生成签名字符串;然后使用Access KeySecret对签名字符串进行加密产生验证码。验证码带时间戳,以防止重放攻击。归档存储服务收到请求以后,通过Access Key ID找到对应的Access KeySecret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一样即认为该请求是有效的;否则,消息服务将拒绝处理这次请求,并返回HTTP 403错误。

6.4.2.1 高可用性

归档存储服务数据多副本存储,可靠性达到99.9%。

6.4.2.2 租户隔离

归档存储将用户数据切片,每片用户数据打上用户标签,离散存储在分布式文件系统中,并且用户数据和数据索引分离存储。用户认证采用AccessKey对称密钥认证技术,对于用户的每个HTTP请求都验证签名。在用户验证通过后,根据用户标签,重组用户离散存储的数据。从而实现多用户间的数据存储隔离。

6.5. 应用服务与中间件

6.5.1. 日志服务

招商云日志服务(LogService,简称Log)是针对日志类数据的一站式服务,用户无需开发就能快捷完成日志数据采集、消费、投递以及查询分析等功能,提升运维、运营效率,建立DT时代海量日志处理能力。

6.5.2. 高可用性

Log服务的日志数据存放在分布式文件系统上,提供三副本存储机制,保障文件存储的可靠性。

6.5.3. 只读日志系统

Log 服务有一个重要特性就是防篡改。Log 提供的是一个AppendOnly的日志系统,只能追加日志,而不能修改已经写入的日志,从根本上解决了日志防篡改的问题。

6.5.4. 离线归档

Log服务除了本身提供的实时查询与分析功能外,还提供日志归档保存到OSS的功能,以便用户利用开源大数据软件做数据分析。

6.5.5. 身份认证

Log 服务认证采用由招商云颁发给用户的访问服务的密钥(AccessKey),在身份认证时使用HMAC-SHA1签名算法。

6.6 管理与监控

6.6.1 云监控

云监控(CloudMonitor)是一项针对招商云资源和互联网应用进行监控的服务。云监控服务可用于收集获取招商云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。云监控服务能够监控云主机ECS、云数据库RDS和负载均衡等各种招商云服务资源,同时也能够通过HTTP,ICMP等通用网络协议监控互联网应用的可用性。用户可以全面了解在招商云上的资源使用情况、性能和运行状况。借助报警服务,用户可以设置不同的报警规则,在监控数据达到报警阈值时发送报警信息,让用户可以及时做出反应,保证应用程序顺畅运行。

6.6.8.1 访问控制

云监控支持通过 RAM访问控制实现子账号对云服务监控的监控数据、管理报警规则、管理联系人和联系人组的权限控制。注意，RAM系统权限中的“只读访问云监控(CloudMonitor)的权限”包含监控、报警服务、应用组、报警联系人组等监控相关的只读权限。云监控除基本的子账号权限控制外，目前支持时间、MFA、IP三种鉴权类型。

7. 招商云安全管理平台

招商云安全管理平台为用户提供如DDoS防护、主机入侵防护、Web应用防火墙、安全管理中心等一站式安全服务。招商云安全管理平台的以下所有产品都已支持接入RAM服务,支持通过RAM创建子用户并进行授权。

7.1. 基础防护

7.1.1. DDoS基础防护

招商云免费为用户提供最高1G的默认DDoS防护能力。在此基础上,招商云推出了安全信誉防护联盟计划,将基于安全信誉分进一步提升DDoS防护能力。

7.2 高级防护

7.2.1 Web应用防火墙

Web 应用防火墙(Web Application Firewall, WAF)，用于针对Web网站SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击进行监测和阻断，智能识别恶意请求特征和防护，将正常、安全的流量回源到服务器，避免源站被黑客恶意攻击和入侵，保障业务数据安全。

WAF的工作方式是通过修改DNS记录,将Web流量引流到WAF上,由WAF将流量进行检测,过滤,清洗后再代理转发到应用服务器,完成整个WEB应用防护。提供告警且不阻断的观察模式，用户可以使用此模式先观察WAF的误报情况和拦截情况，使用更放心。

7.2.2 主机入侵防御

主机入侵防御是一款主机安全软件，是用于检测主机上是否发生黑客入侵行为，是否有黑客正在暴力破解服务器账号和密码，是否登录成功以及是否安装了后门木马。通过安装在云主机上的轻量级Agent，与安全管理平台联动，提供漏洞管理、基线检查和入侵检测等功能，实时监控云主机的安全性，保障云主机的安全。

7.2.2.1 漏洞管理

通过收集内核版本、动态库等版本和配置信息，与历史漏洞库进行比对，如果发现存在漏洞的版本，则告警通知用户。全面批量检测出系统存在的所有漏洞，提供修复建议，实现漏洞管理的闭环

 系统软件CVE漏洞

通过检测服务器上安装软件的版本信息,与CVE官方的漏洞库进行匹配,检测出存在漏洞的软件并给用户推送漏洞信息(可检测如:SSH、OpenSSL、Mysql等软件漏洞)

 Windows 系统漏洞

通过订阅微软官方更新源,若发现用户服务器存在高危的官方漏洞未修复,将为用户推送微软官方补丁(如“SMB远程执行漏洞”等。注意系统将只推送高危漏洞,安全更新和低危漏洞需要用户手动更新)

 Web 漏洞

通过网络端Web扫描完成,可检测SQL 注入、XSS 等业务逻辑漏洞。

 第三方软件漏洞

共享招商云安全情报源，通过收集Nginx，sshd，mysql等第三方软件的版本信息，与历史第三方软件漏洞库进行比对，如果发现存在漏洞的版本，则告警通知用户。

 其他高危漏洞

可检测出配置型、组件型的漏洞,无法通过版本匹配和文件判断的漏洞(如：redis未授权访问漏洞等)

7.2.2.2 基线检查

 账户安全检测

深度检测服务器上是否存在黑客入侵后留下的账户,以及影子账户、隐藏账户和克隆账户。

 弱口令检查

收集常用的弱口令字典,检测SSH、RDP等服务是否使用了弱密码。

 配置风险检测

内置安全基线库并定期更新，通过对应用层软件（例如，PHP、Mangodb、Redis、Mysql、Nginx、httpd等）的配置进行读取分析，判断配置项是否满足安全基线的配置要求，并告警通知用户。

7.2.2.3 入侵检测

 异地登录提醒

记录所有登录记录,对于非常用登录的行为进行实时提醒,可自由配置常用登录地。

 暴力破解

对非法破解密码的行为进行识别,并上报到招商云安全管理平台进行拦截,避免被黑客多次猜解密码而入侵。

 网站后门木马查杀

通过对进程的网络连接等网络特征进行检测，如果发现后门类木马，则告警通知用户，支持常见的 php、jsp等后门文件类型。

 异常进程检测

对反弹Shell、对外DDoS、挖矿等恶意进程,以及C&C肉鸡检测、恶意源下载等异常连接进行实时检测和告警。

7.2.3 漏洞扫描平台

网站的风险漏洞是站点被攻击的根源，漏洞扫描平台提供检测Web网站漏洞的扫描服务，全面覆盖OWASP Top 10Web应用风险，能准确、全面扫描Web网站上存在的漏洞，避免漏洞被恶意利用破坏网站安全，用户无需安装任何插件，即可获得网站的漏洞态势，以及每个漏洞的修补建议。漏洞扫描平台包括以下服务内容:

7.2.3.1 通用漏洞检测

 SQL注入漏洞，支持基于GET、POST方式提交的至少包括字符、数字、搜索等的注入漏洞。

 XSS漏洞，支持基于GET、POST方式的跨站攻击漏洞。

 CSRF漏洞，目录遍历漏洞，信息泄漏漏洞，认证方式脆弱，包括但不限于各种登录、绕过、常见帐号、弱口令等。

 URLRewriter、Struts2、Jboss、Jekings、Djingo等企业开源框架漏洞。

7.2.3.2 指纹识别

 覆盖400多种web指纹及主机指纹，针对发现的每种漏洞类型，Web漏洞扫描服务提供了专业的修复建议。

7.2.3.3 安全漏洞管理

 定期扫描系统、应用层安全漏洞,及时发现安全隐患;

 漏洞修复指导,保证漏洞修复效果;

 高危 0day 漏洞预警,第一时间了解漏洞信息,防患于未然。

7.2.3.4 风险分析

 支持OWASPTOP10漏洞分类和风险分析，以及按照威胁严重性分高中低三个等级进行风险分析，为用户提供权威的分析结果

 支持风险的对比分析和趋势分析，既可以帮助用户进行多站点差异化风险管理，还可以助其更准确的了解和分析站点的历史风险状况和未来的风险趋势，提高风险管理的水平。

7.2.4 堡垒机

Guacamole堡垒机是一款专门针对云上IT运维人员、运维行为进行管理和控制的安全产品。主要解决多人使用相同ECS账号登录ECS,难以定位责任人;ECS密码管理复杂,密码泄露严重;运维人员的操作不透明,越权导致数据泄漏;法律法规要求严格,云安全运维管理风险突出等云运维安全问题。堡垒机提供以下功能：

7.2.4.1 操作审计

多面记录运维人员的操作行为,作为追溯的保障和事故分析的依据。

 运维操作记录

详细记录操作失误、恶意操作、越权操作。

 Linux 命令审计

可提取命令字符审计,命令定点回放

 Windows 操作录像

远程桌面的操作,全程录像,包括:键盘操作、鼠标操作、窗口打开等

 文件传输审计

支持远程桌面文件传输、FTP/SFTP的原文件审计

7.2.4.2 权限管控

进行账号管控和权限组管理,分职权进行人员和资产管理。

 账号管控

确保人员运维账号唯一性,解决共享账号、临时账号、滥用权限等问题

 权组管理

按照人员、部门组织、资源组,建立人员职责与资源分配的授权管理

7.2.4.3 安全认证

引入多因子认证机制,防止运维人员身份冒用和复用。

 账号多因子认证

支持多因子认证机制,通过短信认证、动态令牌等技术,控制账号密码泄露风险

7.2.4.4 高效运维

从架构、工具、ECS 接入等多方面提升运维效率。

 B/S 架构运维接入

支持SSH、RDP、TELNET、SFTP协议

 支持各种运维工具

PuTTY、SecureCRT、Xshell、WinSCP、mstsc 等

 ECS 高效接入

一键同步并导入云主机ECS

7.2.5 代码审计（白盒测评平台）

招商云代码审计通过自动化分析工具和人工审查的组合审计方式，对程序源代码逐条进行检查、分析，发现其中的错误信息、安全隐患和规范性缺陷问题，以及由这些问题引发的安全漏洞，提供代码修订措施和建议。

7.2.5.1 支持可审计的程序语言

可审计PHP、ASP、ASPX、JSP、Python、Java等程序，发现存在的错误信息、安全隐患和规范性缺陷问题，以及由此引起的安全漏洞等。

7.2.5.2 提供漏洞报告

对审计中发现的漏洞问题进行分析，输出漏洞报告，并提供修复建议。

7.2.5.3 安全编码咨询

为成员企业系统开发人员提供安全编码规范、规则等内容的咨询，并提供相应的建议，在编码时就能及时规避一些安全风险。

7.2.5.4 代码审计流程

 前期准备阶段：技术进行沟通，确认审计对象，获取开发相关文档，确认审计时间和方式；

 代码审计阶段：自动化工具扫描，人工代码审计，汇总审计结果，形成审计报告，与客户沟通审计结果；

 复查阶段：二次检查，提交复查报告。

7.2.6 流量采集及虚拟化网络黑白名单平台

支持虚拟机、Underlay网络与Overlay网络的流量采集，并可支持无代理方式从宿主机上直接采集网络流量，设备支持不少于40G带宽，并通过流量实际检验网络安全策略的执行状态，对不合规的流量进行拦截。

7.2.6.1 流量总览

整体显示全部公网流量的统计概况、IP统计信息。

7.2.6.2 虚拟流量采集

支持在OVS上直接采集虚拟机流量，不需通过交换机进行流量镜像。

7.2.6.3 回溯分析

检索历史数据，并展示出Flow数据在相邻两个维度的映射关系。每个维度坐标按照线性排列（如时间）或该维度的TOP排序，支持自定义维度展示顺序。

7.2.6.4 流量特征

将不同特征分析的结果进行规整，提取最有效的信息进行汇总和呈现，并表现出发展趋势。

7.2.6.5 实时分析

整体显示全部虚拟网络流量的统计概况、IP统计信息。

7.2.6.6 安全白名单

支持对意料之外的流量实时监视，对于违反规则的流量提供预警。安全白名单功能可以监控实际网络流量是否符合预期，支持通过管理白名单策略设定监控规则。

7.2.6.7 虚拟网络性能量化

分析虚拟网络中虚拟机间网络性能。

7.2.6.8 流量报表

流量报表页面列出历史已经生成的报表，提供报表的预览和下载功能。

7.2.7 深度包检测及流量分析

深度包检测技术是在传统IP数据包检测技术之上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码。通过特征匹配技术，将数据包在封装过程中所添加的各层头部信息解析并提取，然后与已有规则库中特征信息进行匹配，从而进行流量的识别。

7.2.7.1 数据检索分析要求

 能够方便的检索捕获的任意时间范围的网络通讯数据。

 能够检索捕获的流量的趋势，包括总体流量的趋势，可区分网络的上行流量和下行流量；数据包趋势，可区分网络的上行数据包和下行数据包；TCP参数趋势，包括TCP同步数据包个数、TCP同步确认数据包个数、TCP同步重置数据包个数；利用率趋势，可区分网络的上行利用率和下行利用率。

 能够检索指定时间范围的所有应用的通讯流量信息，包括接收发送流量，接收发送数据包等，用户可以根据自己的需求进行应用定义，定义条件包括IP地址、TCP/UDP端口、IP地址组和地址段、端口组或范围，以及多种条件的组合。

7.2.7.2 流量监测报警功能

 能够对网络中的异常流量进行监控和报警。通过异常流量分析模块，可以发现异常的应用流量，如异常的HTTP会话，异常的SMTP会话，可以对异常流量进行报警并分析。

 能够对网络中关键主机的流量进行监测和报警。自动发现肉鸡和木马控制者，并对其流量进行分析和报警。能够对木马主机的连接，心跳，传输文件等操作进行发现和分析警报条件：能设定>=条件、<条件，多种参数条件的与或关系时间警报。触发时间间隔：1秒，5秒，60秒。

 能够对网络中重点的应用流量进行监测和报警。能够对重点关注的应用进行监控和报警，如SMTP，POP3，HTTP，FTP，DNS等应用进行检测和报警，发现可疑的行为能够进行深入到数据包级的分析。

7.2.7.3 数据分析要求

 能够对检索到的网络通讯数据包进行深入分析。

 提供物理端点和IP端点以及IP会话分析视图。(需提供产品功能证明截图)

 提供针对IP端点的入出流量，bps、pps、总流量、总数据包数分析。

7.2.7.4 木马分析要求

 提供已知木马分析的分析视图，实时的对已知木马行为进行报警，并能够进行数据包级的回溯分析。

 可以通过定义DNS黑名单，异常的SMTP，HTTP流量等参数自动发现网络可疑木马行为，对未知木马进行分析和提取特征。

 支持自定义添加木马特征，包括16进制和ASCII码的特征，并能用偏移量，使用tcp/udp端口，网络协议，TCP标准位，数据包大小等参数对特征进行严格匹配，减少误报。

7.2.7.5 具备回查历史原始数据包能力

 新获得的攻击者使用的域名、IP、特征流等特征，可以在系统回查历史数据，发现历史数据中是否存在符合特征的攻击行为；

 能够根据设定的网络可疑行为特征，回查历史数据，发现符合可疑行为定义的网络行为。

 支持IP反查DNS的功能。对一个IP地址，通过反查功能了解该IP是由什么域名解析得来。

7.2.8 安全管理平台

安全管理平台集成反病毒、上网行为管理、入侵防御系统以及Web应用防火墙，对云上资产暴露面和暴露风险进行实时采集和监控，对安全攻防决策具有重要参考意义，是用户统一查看安全风险的入口，为招商云上用户建立完整的安全纵深防御体系，提供从网络层、主机层到应用层的纵向安全防护，具有检测、响应和加固建议的全闭环流程。安全管理平台具有以下功能：

 安全告警集中化

对云上业务的网络安全（DDOS攻击）、主机安全（主机入侵）、应用安全（WEB攻击）进行全方位的监控，集成多方面的数据（攻击、漏洞、网络流量、主机日志、应用访问记录等）进行安全分析，挖掘潜在威胁，提前规避风险。

 安全事件关联调查

安全事件的自动化分析,对历史事件回溯关联,帮用户发现事件的成因,过程,目的,对黑客行为进行全链路取证。

 安全可视化操作

电视屏幕进行安全可视化展示，汇总了所有安全相关的告警设置，让企业安全状况尽收眼底。

 实时日志检索

支持逻辑检索,支持多维度的数据逻辑组合,日志类型:HTTP流量,网络session连接,DNS解析日志。

7.2.9 安全专家服务

安全专家服务由招商金科专业的安全专家团队提供安全咨询、渗透测试、应急响应等服务，帮助用户在业务系统运营过程中获得各种安全解决方案、发现潜在安全威胁、提高用户的安全防护水平，满足全面的安全保障及监管合规要求。

7.2.9.1 安全咨询

安全咨询依据国家政策和国家信息安全标准，基于客户信息安全需求，提供企业信息安全规划与管理方面的安全咨询。招商云协助企业识别信息资产及业务流程的信息安全弱点，并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。

7.2.9.2 渗透测试

在用户授权前提下，对用户提供的业务系统、服务主机等的操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试发掘。通过模拟正常用户的使用，有效避免业务系统遭受安全漏洞攻击。服务内容：

 Web应用渗透测试

 移动APP渗透测试

 微信平台渗透测试

 漏洞解决咨询

7.2.9.3 等保合规

招商云等保合规服务联合各地等保测评中心，为您提供本地化、系统化、专业的等保测评服务；另外，招商云完备的安全合作生态，为成员企业提供一站式安全产品及服务，帮助您测评整改，提升安全防护能力，快速满足国家实行的网络安全等级保护制度。

7.2.9.4 安全应急响应

 快速响应、及时处置,将黑客攻击的影响降到最低;

 分析黑客入侵手法与入侵后行为,评估入侵损失;

 提供安全加固与安全防范指导,防止重复发生安全事件。

8. 版本历史

2018年12月:发布1.0 版本。