WUYING Workspace Enterprise Edition (Elastic Desktop Service (EDS) とも呼ばれます) は、Alibaba Cloud とお客様との間のクラウドセキュリティに関する責任共有モデルで運用されます。このトピックでは、Alibaba Cloud とお客様双方のセキュリティ責任について説明します。
クラウドセキュリティ
インターネットの急速な発展に伴い、中国では過去数十年にわたり、中華人民共和国サイバーセキュリティ法 (中国のサイバーセキュリティに関する基本法として認識) や中華人民共和国データセキュリティ法 (中国のデータセキュリティに関する基本法として認識) をはじめとする、サイバーセキュリティとデータセキュリティに関連する 200 以上の法律や規制が整備・導入され、企業のビジネスセキュリティとデータセキュリティに厳しい要件と基準が課されています。お客様がクラウドコンピューティングアプリケーションを導入するにつれて、その焦点は「クラウドへの移行方法」から「クラウドでビジネスを継続的かつ安全に運用する方法」へと移り、ビジネスとユーザー情報の両方のセキュリティを保護することに関心が集まっています。このような背景から、クラウドのセキュリティとコンプライアンスは、企業からより一層注目されています。
良好なクラウドセキュリティ体制を維持するためには、一連のポリシー、制御手段、および技術的手段を総合的に用いて、クラウドインフラストラクチャ、データストレージ、データアクセス、およびアプリケーションを保護し、クラウドベースのビジネスをセキュリティの脅威から守ります。クラウドのセキュリティとコンプライアンスは、Alibaba Cloud とお客様との間で共有される責任です。Alibaba Cloud のお客様は、クラウドベースのビジネスに関連するリスクを熟知する必要があります。また、運用上の負担を軽減し、セキュリティイベントによる資産の損失を防ぐために、包括的な保護策を設計し、導入する必要があります。
EDS の責任共有モデル
Elastic Desktop Service (EDS) は、Alibaba Cloud が提供する統合されたエンドツー・クラウドソリューションです。EDS は、セキュリティが Alibaba Cloud とお客様の共同作業となる責任共有モデルを採用しています。責任は次のように分担されます:
Alibaba Cloud は「クラウドのセキュリティ」に責任を負います:Alibaba Cloud は、EDS を実行する基盤となるインフラストラクチャとサービスを保護します。これには、物理的なハードウェア、ソフトウェアサービス、ネットワーク通信、および管理制御サービスが含まれます。
お客様は「クラウド内のセキュリティ」に責任を負います:お客様は EDS 内のセキュリティに責任を負います。最小権限の原則に従って、サブ管理者とエンドユーザーの権限を設定する必要があります。また、クラウドコンピューターのポリシーを設定してファイル転送やウェブサイトへのアクセスを管理し、クラウドコンピューターのデータを迅速にバックアップする必要もあります。これらのセキュリティ設定を適切に管理・構成することが、お客様のセキュリティ責任を果たす上で不可欠です。
EDS は、Alibaba Cloud の責任共有モデルに従います。以下の図は、これらの責任がどのように実装されるかをよりよく理解するための詳細な概要を示しています。
Alibaba Cloud の責任:クラウドのセキュリティ
Alibaba Cloud は、以下のレイヤーにわたって、基礎から「クラウドのセキュリティ」を保証します:
物理セキュリティ
担当者の管理:データセンター、電力測定エリア、および保管室には、指紋などの生体認証を含む二要素認証を備えた個別のアクセス制御があります。特定のエリアでは、物理的な分離のためにケージを使用します。厳格なアカウント管理、ID 認証、権限管理、職務の分離、およびアクセス制御を徹底しています。
データセンターのディザスタリカバリ:データセンターには、火災および煙検知器、冗長電源システムを備えたデュアル商用電源、および一定の温度と湿度を維持するためのホットスタンバイ構成の精密空調が装備されています。
運用保守監査:データセンターのすべてのエリアにセキュリティ監視システムが設置されています。運用保守のための本番システムへのアクセスは、Bastionhost インスタンスに制限されています。すべての操作は完全にログに記録され、集中ログプラットフォームに保存されます。
ストレージデバイスの資産管理:資産管理は、個々のストレージコンポーネントまで細分化されています。各コンポーネントには、記憶媒体またはそれを含む最小単位を正確に追跡するための固有のハードウェア識別子が割り当てられています。記憶媒体は、標準的な手順に従って安全に消去されるか物理的に破壊されない限り、データセンターまたは安全な管理エリアから持ち出すことはできません。
データ破壊:NIST SP 800-88 標準に基づいた記憶媒体のデータ消去メカニズムを確立しています。お客様のクラウドサービスが終了すると、データ資産は迅速に削除されます。記憶媒体に対して複数回の消去を行い、完全なデータ破壊を保証します。
ネットワーク分離:本番ネットワークと非本番ネットワークは安全に分離されています。ネットワーク ACL により、クラウドサービスネットワークが物理ネットワークにアクセスするのを防ぎます。本番ネットワークの境界には Bastionhost インスタンスがデプロイされています。オフィスネットワークの運用保守エンジニアは、Bastionhost を介してのみ運用保守タスクのために本番ネットワークにアクセスできます。その際、ドメインアカウントのパスワードと動的パスワードを組み合わせた多要素認証を使用する必要があります。
ハードウェアセキュリティ
ハードウェアファームウェアセキュリティ:WUYING ハードウェア端末は、セキュアブートとシステムイメージのアップグレードをサポートしています。アップグレードパッケージは TLS を介して送信され、端末で署名と完全性チェックを受けます。これにより、重要なハードウェアデバイスのファームウェアセキュリティが保証されます。
セキュアブート
WUYING 端末システムは、ARM および x86 プラットフォームでセキュアブートをサポートしています。セキュアブートは、デバイスが起動時に信頼できるファームウェアとオペレーティングシステムのみをロードすることを保証するセキュリティ機能です。このプロセスはハードウェアレベルで開始され、OS のロードまで続き、起動プロセス中にマルウェアが植え付けられたり、システムコンポーネントが変更されたりするのを防ぎます。
システム完全性検証
セキュアブートの信頼範囲は、通常、基盤となるファームウェアからオペレーティングシステム (カーネル) までのレイヤーのみをカバーします。WUYING は、Integrity Measurement Architecture (IMA) と DM-Verity を使用して、この信頼の連鎖を `system` や `vendor` などの読み取り専用パーティションにまで拡張します。これにより、システムの完全性がさらに保証され、悪意のある改ざんが防止されます。
カーネルの強化
カーネルアドレス空間配置のランダム化 (KASLR):カーネルのアドレス空間レイアウトをランダム化します。これにより、固定レイアウトの使用を回避し、コード再利用攻撃をより困難にし、多くの複雑な攻撃の可能性を低減します。
スタック保護:バッファオーバーフロー攻撃を防ぐために使用されるセキュリティ技術です。これらの攻撃は、多くの場合、プログラムのスタック上のバッファサイズの制限が不適切であることに起因する脆弱性を悪用します。スタック保護は、スタックフレームに追加のセキュリティチェックを挿入することで、プログラムのセキュリティを強化します。
データ実行防止 (DEP):オーバーフロー攻撃によって悪意のあるコードがメモリ内で実行されるのを防ぐために設計されたコンピュータセキュリティ技術です。DEP は、データ領域とコード領域を区別することで機能し、データ領域のコンテンツが実行されることを許可しません。これにより、特定の種類のセキュリティ脅威が軽減されます。
暗号化コンピューティング:WUYING ハードウェア端末は、セキュアエレメント (SE) チップを使用しています。SE は、機密情報を安全に保存および処理するために特別に設計されたマイクロコントローラであり、金融や決済のシナリオで広く使用されています。SE は、改ざん、プロービング、分析などの物理的攻撃に耐えることができる耐タンパー性のハードウェアに封入されています。また、AES、RSA、ECC などのさまざまな暗号化アルゴリズムをサポートする強力な暗号化エンジンを内蔵しており、データの暗号化と復号を行います。これにより、高レベルの物理的および論理的なセキュリティ保護が提供されます。
トラステッドコンピューティング:
Trusted Platform Module (TPM):TPM は、コンピュータシステムにハードウェアレベルのセキュリティ機能を提供するために設計された専用のマイクロコントローラです。TPM は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で開発した標準 (ISO/IEC 11889) です。その主な目標は、コンピューティングデバイスの信頼の基点を確立し、維持することです。WUYING システムでは、TPM は起動プロセスに参加します。起動時のソフトウェアとハードウェアの状態を記録するプラットフォーム構成レジスタ (PCR) を生成および検証し、不正な変更が行われていないことを確認します。また、ブートローダーと OS イメージの完全性を検証し、起動時のマルウェアの注入を防ぐのにも役立ちます。
信頼できる実行環境 (TEE/TrustZone):TEE は、ハードウェア支援のセキュリティアーキテクチャです。一般的なコンピューティング環境 (通常は CPU) の外部に隔離された領域を作成し、保護されたアプリケーションとサービスを実行します。これは、オペレーティングシステムとユーザーアプリケーションを含む、しばしば Rich Execution Environment (REE) と呼ばれる非信頼環境とは対照的です。
デバイス制御:すべての WUYING 端末は、耐タンパー性、偽造不可能、かつグローバルに一意な、組み込みの信頼できる ID を持って製造されています。この一意の ID に基づいて、WUYING クラウドプラットフォームは、端末デバイスのオンライン登録、オンライン管理、およびセキュリティ監査を実行します。これにより、不正な使用とアクセスが防止されます。デバイスが紛失または盗難にあった場合、ブラックリストに追加してアクセスを禁止し、データをリモートで消去することができます。
システム完全性検証:セキュアブートの信頼範囲は、通常、基盤となるファームウェアからオペレーティングシステム (カーネル) までのレイヤーのみをカバーします。WUYING は、Integrity Measurement Architecture (IMA) と DM-Verity を使用して、この信頼の連鎖を `system` や `vendor` などの読み取り専用パーティションにまで拡張します。これにより、システムの完全性がさらに保証され、悪意のある改ざんが防止されます。
仮想化セキュリティ
テナント分離:ハードウェア仮想化技術に基づき、複数の計算ノード上の仮想マシンはシステムレベルで分離されます。テナントは、互いの不正なシステムリソースにアクセスすることはできません。
コンピュート分離:管理システムは顧客の VM から分離され、顧客の VM は互いに分離されます。
ネットワーク分離:各仮想ネットワークは他の仮想ネットワークから分離されます。
ストレージ分離:コンピュートとストレージは分離されています。VM は、割り当てられた物理ディスク領域にのみアクセスできます。
セキュリティ強化:仮想化ハイパーバイザーとホスト OS/カーネルは強化されています。仮想化ソフトウェアは、チェーン全体のセキュリティを確保するために、信頼できる実行環境でコンパイルおよび実行される必要があります。
エスケープ検出:高度な VM レイアウトアルゴリズムを使用して、悪意のあるユーザーの VM が特定の物理マシンで実行されるのを防ぎます。VM は、その物理ホスト環境を能動的に調査することはできません。また、異常な VM の動作を検出し、脆弱性が発見された場合にはホットパッチを適用します。
ホットパッチ:仮想化プラットフォームはホットパッチ技術をサポートしています。パッチ適用プロセスでは、システムを再起動する必要がなく、サービスに影響を与えません。
データゼロ化:インスタンスサーバーがリリースされた後、その記憶媒体は信頼性の高いデータ消去操作を受け、ユーザーデータのセキュリティを確保します。
仮想化システムのセキュリティ:仮想化は、クラウドコンピューティングを支える主要な技術です。コンピュート、ストレージ、およびネットワークの仮想化を通じて、マルチテナントのリソース分離を実現します。
クラウドプラットフォームのセキュリティコンプライアンス
コンプライアンス資格:Alibaba Cloud は、国内外の厳格なコンプライアンス基準を満たしており、規制要件の厳しい業界にサービスを提供しています。Alibaba Cloud のセキュリティコンプライアンスとコンプライアンス文書の詳細については、「Alibaba Cloud トラストセンター」をご参照ください。
クラウドプラットフォームのコンプライアンス能力:Alibaba Cloud は、包括的なプラットフォームおよび製品管理メカニズムを使用し、そのコンプライアンス管理経験と組み合わせて、クラウドプラットフォームと製品全体にコンプライアンス基準を適用します。これにより、プラットフォームとその製品が、インフラストラクチャセキュリティ、ネットワークセキュリティ、ID セキュリティ、ホストセキュリティ、データセキュリティ、個人情報保護、およびクラウド製品セキュリティなどの分野で、国内外のコンプライアンス基準を満たすことが保証されます。
クラウドプラットフォームのコンプライアンス認証:Alibaba Cloud は、グローバルなビジネス展開のためのコンプライアンスシステムの強化に専念しています。セキュリティとコンプライアンスにおける世界有数のクラウドサービスプロバイダーとして、Alibaba Cloud は独立した第三者機関によってそのコンプライアンスが検証されています。世界中で 140 以上のセキュリティおよびコンプライアンス認証に合格しています。これらの認証は、さまざまな基準の下での Alibaba Cloud の包括的なセキュリティ能力を証明しています。Alibaba Cloud は、お客様や組織がそれぞれの地域や業界のセキュリティおよびコンプライアンス要件を効率的に満たすのを支援するために、クラウドプラットフォームのセキュリティとコンプライアンスを継続的に強化しています。
クラウド製品のセキュリティ
製品ライフサイクル全体のセキュリティ保証:製品ライフサイクルを通じて、Alibaba Cloud は複数の段階でセキュリティ対策を適用します。多層防御とゼロトラストの設計原則に導かれ、自動化されたデジタルセキュリティ測定メカニズムを通じて、セキュリティ要件が満たされていることを保証します。このプロセスは、最終的にクラウドプラットフォームとその製品に高レベルのセキュリティを提供します。
包括的なレッドチーム/ブルーチームによる検証:セキュリティレベルは、攻防演習を通じて継続的に向上させる必要があります。Alibaba Cloud には、社内にレッドチーム/ブルーチームシステムがあります。ブルーチームは、クラウドプラットフォームに対して APT レベルの侵入テストを実施し、内部の視点から脆弱性を特定して修正します。一方、Alibaba Cloud には、確立された外部のホワイトハットエコシステムとバグ報奨金プログラムがあります。第三者のサービスプロバイダーを招待して侵入テストと脆弱性発見を実施し、外部の視点からクラウドプラットフォームのセキュリティ防御を検証します。
端末ハードウェア製品のセキュリティ:WUYING は、デバイス、ファームウェア、システムの各ディメンションでハードウェア端末のセキュリティ保護を追加しました:
第一に、ハードウェア端末は、複製不可能で偽造不可能な組み込みのハードウェア情報を使用して、端末デバイスの真正性と一意性を保証します。ユーザーのプライバシーデータは、デバイスごとに一意のキーで暗号化および保存され、盗難を防ぎます。ユーザーが問題に遭遇した場合、デバッグまたは診断インターフェイスを有効にできます。これはユーザーの許可がある場合にのみ有効にでき、アフターサービスの問題解決を容易にします。WUYING Workspace Cube Pro や WUYING Workspace Ark Pro などの一部の WUYING ハードウェア端末は、指紋や顔認識などの生体認証機能をサポートしています。これにより、ユーザーの ID 認証が強化され、ログインしたユーザーの ID が安全で信頼できるものであることが保証されます。
第二に、ハードウェア端末はセキュアブートとシステムイメージのアップグレードをサポートしています。アップグレードパッケージは TLS を介して送信され、端末で署名と完全性チェックを受けます。これにより、重要なハードウェアデバイスのファームウェアセキュリティが保証されます。
最後に、端末システムは、重要なカーネルの脆弱性やビジネスコードの脆弱性を含む、重要な脆弱性のスキャンと修正をサポートしています。コアシステムファイルとサービスには、改ざん防止機能と厳格な権限管理メカニズムも備わっています。
お客様の責任:クラウド内のセキュリティ
お客様は、クラウド製品を安全に使用する責任があります。セキュリティ構成を簡素化するために、Alibaba Cloud はさまざまなセキュリティ管理および構成ツールを提供しています。お客様は、必要に応じてこれらのツールを選択および構成して、EDS 上のビジネスを保護できます。お客様の責任は、以下の分野をカバーします: