全部产品
Search

搜索本产品

    Elastic Desktop Service:Mengamankan EDS Enterprise melalui kolaborasi

    文档中心

    Elastic Desktop Service:Mengamankan EDS Enterprise melalui kolaborasi

    更新时间:Jul 02, 2025

    Keamanan untuk Elastic Desktop Service (EDS) Enterprise merupakan tanggung jawab bersama antara Alibaba Cloud dan pelanggan. Topik ini menjelaskan kewajiban keamanan spesifik untuk masing-masing pihak.

    Keamanan cloud

    Dengan perkembangan pesat Internet, Tiongkok telah menyempurnakan dan memperkenalkan lebih dari dua ratus undang-undang dan peraturan terkait keamanan siber dan keamanan data dalam beberapa dekade terakhir, termasuk Undang-Undang Keamanan Siber Republik Rakyat Tiongkok (diakui sebagai undang-undang dasar tentang keamanan siber di Tiongkok) dan Undang-Undang Keamanan Data Republik Rakyat Tiongkok (diakui sebagai undang-undang dasar tentang keamanan data di Tiongkok), untuk memberlakukan persyaratan ketat dan standar pada keamanan bisnis serta keamanan data perusahaan. Saat pelanggan mengadopsi aplikasi komputasi awan, mereka mengalihkan fokus dari cara bermigrasi ke cloud menjadi cara beroperasi secara berkelanjutan dan aman di cloud guna melindungi keamanan bisnis dan informasi pengguna mereka. Dalam konteks ini, keamanan cloud dan kepatuhan semakin mendapatkan perhatian dari perusahaan.

    Untuk mempertahankan postur keamanan cloud yang baik, seperangkat kebijakan, sarana kontrol, dan sarana teknis digunakan secara kolektif untuk melindungi infrastruktur cloud, penyimpanan data, akses data, dan aplikasi, serta melindungi bisnis berbasis cloud dari ancaman keamanan. Keamanan cloud dan kepatuhan adalah tanggung jawab bersama antara Alibaba Cloud dan pelanggan. Sebagai pelanggan Alibaba Cloud, Anda harus memahami risiko yang terkait dengan bisnis berbasis cloud Anda. Anda juga harus merancang dan menerapkan perlindungan menyeluruh untuk mengurangi beban operasional dan mencegah hilangnya aset yang disebabkan oleh insiden keamanan.

    Tanggung jawab keamanan bersama

    EDS Enterprise adalah solusi terpadu end-to-cloud milik Alibaba Cloud yang menggunakan model tanggung jawab keamanan bersama. Dalam kerangka ini:

    • Alibaba Cloud mengamankan infrastruktur dasar, termasuk perangkat keras fisik, layanan perangkat lunak, komunikasi jaringan, dan sistem manajemen yang mendukung operasi EDS Enterprise.

    • Pelanggan mempertahankan penggunaan cloud yang aman dengan menerapkan akses hak istimewa minimal untuk sub-administrator dan pengguna akhir, mengonfigurasi kebijakan komputer awan yang sesuai untuk kontrol transfer file dan akses web, serta memelihara cadangan data reguler dari komputer awan. Pelanggan bertanggung jawab untuk mengelola dan mengonfigurasi pengaturan keamanan EDS Enterprise untuk memenuhi kewajiban keamanan mereka.

    EDS Enterprise mematuhi model tanggung jawab keamanan bersama Alibaba Cloud. Gambar berikut menggambarkan kewajiban spesifik masing-masing pihak untuk referensi Anda.

    EDS安全责任共担模型

    Tanggung jawab Alibaba Cloud: menyediakan platform cloud yang aman

    Alibaba Cloud menerapkan perlindungan keamanan multi-lapis untuk melindungi lingkungan cloud Anda:

    • Keamanan Fisik

      • Manajemen Personel: Sistem manajemen personel Alibaba Cloud menerapkan kontrol keamanan menyeluruh di area sensitif, termasuk pusat data, zona pengukuran listrik, dan gudang. Alibaba Cloud menegakkan autentikasi dua faktor melalui sistem kontrol akses yang dikombinasikan dengan verifikasi biometrik. Keamanan fisik dipertahankan melalui isolasi berpagar di zona yang ditentukan. Sistem ini mematuhi protokol operasional ketat yang mencakup manajemen akun, verifikasi identitas, otorisasi berbasis peran, pemisahan tugas, dan izin akses terkendali.

      • Pusat Data Tahan Bencana: Pusat data Alibaba Cloud menggunakan langkah-langkah perlindungan menyeluruh, termasuk sistem deteksi api/asap, pasokan daya redundan dengan sistem cadangan, dan unit HVAC presisi yang beroperasi dalam mode siaga panas untuk mempertahankan tingkat suhu dan kelembapan optimal setiap saat.

      • O&M dan Audit: Pusat data Alibaba Cloud menerapkan pemantauan keamanan menyeluruh di semua fasilitas. Semua akses ke sistem produksi memerlukan host bastion untuk operasi dan pemeliharaan yang aman, dengan pencatatan aktivitas penuh ke platform audit terpusat.

      • Manajemen Aset Penyimpanan: Alibaba Cloud mengelola aset penyimpanan pada tingkat komponen, menetapkan pengenal perangkat keras unik untuk setiap perangkat penyimpanan untuk pelacakan yang tepat. Media penyimpanan harus tetap berada di area pusat data yang aman kecuali jika dibersihkan dengan benar (melalui penghapusan aman) atau dihancurkan secara fisik sesuai dengan standar yang ditetapkan.

      • Penghancuran Data: Alibaba Cloud menerapkan proses penghapusan data aman yang sesuai dengan standar NIST SP 800-88. Ini memastikan penghancuran data lengkap melalui beberapa siklus sanitasi ketika layanan pelanggan dihentikan, menghapus semua aset data dari media penyimpanan pada kesempatan pertama.

      • Isolasi Jaringan: Alibaba Cloud menegakkan segregasi jaringan ketat antara lingkungan produksi dan non-produksi dengan menggunakan ACL jaringan untuk mencegah akses jaringan dari cloud ke fisik. Untuk mengakses lingkungan produksi untuk tugas O&M, personel operasi harus mengotentikasi menggunakan kredensial domain yang valid dan kode verifikasi dinamis.

    • Keamanan Perangkat Keras

      • Keamanan Firmware: Terminal perangkat keras Alibaba Cloud Workspace mendukung boot aman dan pembaruan citra sistem terenkripsi. Semua paket citra ditransmisikan melalui TLS dan menjalani verifikasi tanda tangan di terminal untuk memastikan perlindungan ujung ke ujung komponen perangkat keras kritis.

        • Boot Aman

          Terminal Alibaba Cloud Workspace mendukung boot aman di platform ARM dan x86. Fitur keamanan ini memverifikasi integritas firmware dan sistem operasi selama startup, memastikan hanya perangkat lunak tepercaya yang dimuat saat perangkat dinyalakan. Sistem ini menerapkan urutan boot terverifikasi dari perangkat keras ke OS, melindungi terhadap injeksi malware atau modifikasi tidak sah selama startup.

        • Verifikasi Integritas Sistem

          Alibaba Cloud Workspace meningkatkan boot aman dengan memperluas cakupan tepercaya melampaui verifikasi tingkat firmware dan kernel OS. Melalui Arsitektur Pengukuran Integritas (IMA) dan DM-Verity, ia melindungi integritas sistem di seluruh partisi vendor dan komponen sistem baca-saja, memberikan pertahanan menyeluruh terhadap manipulasi jahat.

        • Penguatan Kernel

          • Kernel Address Space Layout Randomization (KASLR): KASLR meningkatkan keamanan dengan merandomisasi tata letak ruang alamat kernel, mencegah serangan penggunaan ulang kode bergantung pada alamat tetap. Ini secara signifikan mengurangi risiko eksploitasi kompleks.

          • Perlindungan Stack: Perlindungan stack adalah mekanisme keamanan yang melindungi terhadap serangan luapan buffer. Serangan ini biasanya mengeksploitasi kerentanan buffer berbasis stack yang disebabkan oleh validasi ukuran yang tidak cukup dalam program. Perlindungan stack meningkatkan keamanan program dengan menambahkan pemeriksaan keamanan runtime ke frame stack.

          • Pencegahan Eksekusi Data (DEP): DEP adalah fitur keamanan yang melindungi terhadap serangan berbasis memori dengan mencegah eksekusi kode jahat di wilayah data. Dengan memisahkan kode yang dapat dieksekusi dari data secara ketat, DEP memblokir upaya jahat untuk mengeksploitasi luapan buffer, secara efektif menetralkan vektor serangan umum ini.

      • Komputasi Terenkripsi: Terminal perangkat keras Alibaba Cloud Workspace mengintegrasikan teknologi Secure Element (SE), mikrokontroler keamanan khusus yang dirancang untuk penyimpanan dan pemrosesan data yang aman. Perlindungan tingkat keuangan ini memenuhi persyaratan keamanan ketat aplikasi pembayaran dan perbankan. SE menyediakan keamanan berbasis perangkat keras yang kuat melalui perlindungan anti-tamper terhadap serangan fisik termasuk sabotase, probing, dan analisis saluran samping. Ia mengintegrasikan mesin kriptografi berperforma tinggi yang mendukung algoritma standar industri (seperti AES, RSA, dan ECC) untuk enkripsi dan dekripsi data yang aman, memberikan keamanan fisik dan logis menyeluruh.

      • Komputasi Tepercaya:

        • Modul Platform Tepercaya (TPM): TPM adalah mikrokontroler keamanan khusus yang menyediakan perlindungan tingkat perangkat keras untuk sistem komputer. Dikembangkan sebagai standar internasional (ISO/IEC 11889) oleh ISO dan IEC, TPM menetapkan dan memelihara root of trust untuk perangkat komputasi. Di Alibaba Cloud Workspace, TPM meningkatkan keamanan dengan berpartisipasi dalam startup sistem, menghasilkan dan memverifikasi register konfigurasi platform (PCR), mencatat status perangkat lunak dan perangkat keras sistem, dan mendeteksi perubahan tidak sah selama boot. Ia juga memvalidasi integritas bootloader dan citra OS untuk memblokir injeksi malware selama startup sistem.

        • Lingkungan Eksekusi Tepercaya (TEE/TrustZone): TEE adalah arsitektur keamanan berbasis perangkat keras yang menetapkan zona terisolasi, terpisah dari lingkungan komputasi utama (biasanya CPU), untuk menjalankan aplikasi dan layanan yang dilindungi secara aman. Sebaliknya adalah lingkungan eksekusi tidak tepercaya (biasanya disebut REE, atau Rich Execution Environment), yang mencakup sistem operasi dan aplikasi pengguna.

        • Kontrol Perangkat: Setiap perangkat memiliki identitas tepercaya yang anti-tamper, tidak dapat dipalsukan, dan unik secara global. Menggunakan pengenal ini, Alibaba Cloud Workspace memungkinkan pendaftaran dan kontrol online, audit keamanan untuk memblokir akses tidak sah, penegakan daftar hitam, dan penghapusan data jarak jauh untuk perangkat yang hilang atau dicuri.

        • Verifikasi Integritas Sistem: Untuk boot aman, cakupan tepercaya mencakup firmware hingga kernel OS. Alibaba Cloud Workspace memperluas perlindungan integritas ke partisi baca-saja (seperti sistem dan vendor) dengan menggunakan IMA dan DM-Verity, mencegah manipulasi jahat dan memastikan integritas sistem.

    • Keamanan Virtualisasi

      • Isolasi Penyewa: Virtualisasi perangkat keras memastikan isolasi tingkat sistem antara mesin virtual di node komputasi berbeda, mencegah akses tidak sah ke sumber daya penyewa lainnya.

        • Isolasi Komputasi: Mesin virtual Anda dipisahkan secara aman dari sistem manajemen dan mesin virtual pelanggan lainnya.

        • Isolasi Jaringan: Jaringan virtual diisolasi satu sama lain.

        • Isolasi Penyimpanan: Komputasi dan penyimpanan dipisahkan, membatasi mesin virtual ke ruang disk yang ditugaskan.

      • Penguatan Keamanan: Hypervisor dan host OS/kernel diperkuat, dan perangkat lunak virtualisasi harus dikompilasi dan dijalankan di lingkungan eksekusi tepercaya untuk memastikan keamanan ujung ke ujung.

      • Menghindari Deteksi: Algoritma tata letak mesin virtual tingkat lanjut mencegah pengguna jahat menjalankan mesin virtual di mesin fisik tertentu. Langkah-langkah ini memastikan mesin virtual tidak dapat mendeteksi lingkungan host mereka, memantau perilaku mesin virtual abnormal, dan menerapkan hotfix setelah mendeteksi kerentanan.

      • Hotfix: Platform virtualisasi mendukung teknologi hotfix, memungkinkan pembaruan tanpa restart sistem atau gangguan terhadap operasi pengguna.

      • Pembersihan Data: Saat pelepasan server, media penyimpanan dihapus secara aman untuk melindungi data pengguna.

      • Sistem Virtualisasi Aman: Teknologi virtualisasi, inti dari komputasi awan, memungkinkan isolasi sumber daya multi-penyewa melalui virtualisasi komputasi, penyimpanan, dan jaringan.

    • Kepatuhan Keamanan Platform

      • Kualifikasi Kepatuhan: Alibaba Cloud memenuhi standar kepatuhan domestik dan internasional yang ketat, melayani industri dengan persyaratan regulasi tinggi. Untuk informasi lebih lanjut tentang kepatuhan keamanan Alibaba Cloud, kunjungi Alibaba Cloud Trust Center.

      • Kemampuan Kepatuhan: Memanfaatkan platform komprehensifnya, sistem manajemen produk, dan keahlian tata kelola, Alibaba Cloud memastikan bahwa platform cloud dan layanannya memenuhi standar kepatuhan domestik dan internasional. Ini mencakup infrastruktur, jaringan, identitas, host, dan keamanan data, serta perlindungan informasi pribadi dan keamanan layanan cloud.

      • Sertifikasi Kepatuhan: Alibaba Cloud, pemimpin global dalam keamanan dan kepatuhan cloud, telah membangun sistem kepatuhan yang kuat untuk mendukung operasi globalnya. Diverifikasi oleh organisasi pihak ketiga independen, Alibaba Cloud memegang lebih dari 140 sertifikasi kepatuhan keamanan internasional, menunjukkan kemampuannya untuk memenuhi berbagai standar regulasi. Dengan terus meningkatkan kepatuhan keamanan platform cloudnya, Alibaba Cloud membantu pelanggan dan organisasi memenuhi persyaratan regional dan industri secara efisien.

    • Keamanan Layanan Cloud

      • Perlindungan Multi-Lapis: Alibaba Cloud memastikan keamanan layanan menyeluruh melalui pendekatan multi-lapis. Dipandu oleh prinsip pertahanan berlapis dan zero-trust, Alibaba Cloud menerapkan langkah-langkah keamanan otomatis dan digital di setiap tahap siklus hidup layanan untuk menegakkan kepatuhan keamanan. Akhirnya, platform cloud dan layanannya menawarkan keamanan tingkat tinggi.

      • Peningkatan Keamanan melalui Konfrontasi Merah-Biru: Alibaba Cloud menggunakan strategi konfrontasi merah-biru menyeluruh untuk terus meningkatkan postur keamanannya. Secara internal, Tim Biru melakukan tes penetrasi tingkat APT untuk mengidentifikasi dan memperbaiki kerentanan secara proaktif. Secara eksternal, platform memanfaatkan ekosistem topi putih yang kuat, termasuk program bug bounty dan penilaian keamanan pihak ketiga, untuk memvalidasi pertahanannya dari perspektif luar. Pendekatan ini memastikan platform mempertahankan standar keamanan tinggi terhadap ancaman yang berkembang.

      • Peningkatan Keamanan Terminal Perangkat Keras: Alibaba Cloud Workspace meningkatkan keamanan untuk terminal perangkat keras di seluruh perangkat, firmware, dan sistem.

        • Pertama, terminal perangkat keras memastikan keaslian dan keunikan dengan memanfaatkan informasi perangkat keras bawaan yang tidak dapat disalin dan dipalsukan. Data privasi pengguna dienkripsi dan disimpan secara aman menggunakan pendekatan "satu mesin, satu rahasia" untuk mencegah pencurian. Selain itu, antarmuka debugging atau diagnosis hanya dapat diakses dengan otorisasi yang tepat, memungkinkan penanganan terkendali masalah purna jual. Sebagian dari terminal perangkat keras, seperti Alibaba Cloud Workspace Terminal Pro AS06 dan Alibaba Cloud Workspace Notebook Pro NS01, lebih meningkatkan keamanan dengan autentikasi biometrik, termasuk sidik jari dan pengenalan wajah, untuk memastikan logon pengguna yang andal dan aman.

        • Kedua, terminal perangkat keras mendukung Secure Boot dan pembaruan citra sistem. Paket citra dienkripsi selama transmisi TLS dan menjalani verifikasi tanda tangan di terminal perangkat keras, memastikan keamanan firmware untuk perangkat keras kritis.

        • Akhirnya, sistem terminal juga mendukung pemindai keamanan cloud untuk kerentanan berisiko tinggi, menangani kelemahan tingkat kernel dan kelemahan kode bisnis. Pada saat yang sama, file dan layanan sistem inti memiliki perlindungan anti-tamper dan mekanisme manajemen izin yang ketat.

    Tanggung jawab pelanggan: penggunaan cloud yang patuh

    Pelanggan harus menggunakan layanan cloud secara aman dan sesuai dengan peraturan. Alibaba Cloud menawarkan berbagai alat manajemen dan konfigurasi keamanan. Alat-alat ini menyederhanakan konfigurasi keamanan, memungkinkan pelanggan memilih solusi yang tepat berdasarkan kebutuhan bisnis mereka dan memastikan keamanan operasi mereka di EDS Enterprise. Referensi: