全部產品
Search

搜尋本產品

    Elastic Desktop Service:EDS的安全責任共擔模型

    文件中心

    Elastic Desktop Service:EDS的安全責任共擔模型

    更新時間:Dec 25, 2025

    無影雲電腦企業版EDS(Elastic Desktop Service)的雲上安全性是阿里雲和客戶的共同責任。本文介紹EDS與客戶在安全性方面各自應該承擔的責任。

    雲上安全的重要性

    隨著互連網的快速發展,在過去幾十年,我國持續不斷地完善並推出了兩百多部網路與資料安全相關的法律法規,包括網路安全治理的國家基本法《網路安全法》、資料安全的國家基本法《資料安全法》等,對企業的業務安全和資料安全都提出了嚴格的要求與規範。同時,隨著雲端運算應用的日益普及,客戶不再僅僅考慮如何上雲,而更關注如何在雲上持續安全地進行業務營運,既保障自身業務本身的安全性,又保障業務所服務的使用者的資訊安全。由此可見,雲上的安全合規越來越受到企業的重視。

    雲上安全通常指的是通過採取一系列策略、控制手段和技術手段,確保基礎設施、資料存放區、資料訪問和應用本身的安全性,保障雲上業務免受內部和外部安全威脅的影響。雲上業務的安全合規構建是阿里雲和客戶的共同責任,雲上客戶必須瞭解雲上業務所涉及的風險,並主動設計和實現充分的安全控制,這樣可以減輕營運負擔,並減少可能因安全事件造成的資產損失。

    EDS的安全責任共擔模型

    EDS是阿里雲提供的端雲一體綜合解決方案。EDS上的安全性需要阿里雲和客戶共同承擔,雙方的責任邊界如下:

    • 阿里雲負責提供“安全的雲”:阿里雲負責保障EDS啟動並執行底層基礎設施與服務的安全性,包括運行EDS的物理硬體裝置、軟體服務、網路通訊傳輸和管理控制服務等。

    • 客戶負責“安全用雲”:客戶負責保障EDS內的安全性,包括客戶需要遵循許可權最小化原則配置子管理員和終端使用者帳號的許可權、配置合理的雲電腦策略來管控雲電腦內的檔案傳輸許可權和網站存取權限、及時備份雲電腦資料等。這些EDS上的安全性管理與配置是客戶在履行安全責任時必須完成的工作。

    EDS遵循阿里雲的安全責任共擔模型。為方便您更清晰地瞭解對應的責任實施工作,細化責任概覽圖如下所示。

    EDS安全責任共擔模型

    阿里雲負責提供“安全的雲”

    阿里雲主要從以下幾個層面來確保提供“安全的雲”,自底向上分別為:

    • 物理安全

      • 人員管理:機房包間、測電地區、庫房間分離的門禁身份指紋等雙因素認證,特定地區採用鐵籠進行物理隔離,嚴謹的帳號管理、身份認證、授權管理、職責分離、訪問管理。

      • 機房容災:火災和煙霧感應器檢測、雙路市電電源和冗餘的電源系統、熱備冗餘模式的精密空調保持恒溫恒濕。

      • 營運審計:機房各地區設有安防監控系統,生產系統只能通過Bastionhost進行營運操作,所有操作記錄會被完整地記錄在日誌中,並儲存在日誌平台。

      • 存放裝置資產管理:資產管理精細到以儲存組件為最小單位,並分配有唯一的硬體裝置識別資訊以精準定位到該儲存介質或包含儲存介質的最小單元裝置。儲存介質在未按標準安全擦除或物理銷毀的情況下,不允許離開機房或安全控制地區。

      • 資料銷毀:參考NIST SP800-88的安全擦除標準建立了儲存介質資料安全擦除的機制,在終止客戶雲端服務時,及時刪除資料資產,嚴格執行對儲存介質上的資料進行多次清除以完成資料銷毀。

      • 網路隔離:生產網路與非生產網路進行了安全隔離,通過網路ACL確保雲端服務網路無法訪問物理網路,並在生產網路邊界部署了Bastionhost,辦公網內的營運人員只能通過Bastionhost使用域帳號密碼加動態口令方式進行多因素認證進入生產網進行營運管理。

    • 硬體安全

      • 硬體韌體安全:無影硬體終端具備安全啟動以及系統鏡像升級的能力。升級鏡像包會經過TLS加密傳輸,並在終端側進行簽名校正和完整性校正,保證硬體重點裝置的韌體安全。

        • 安全啟動

          無影終端系統支援ARM及x86平台安全啟動,安全啟動(Secure Boot)是一種電腦安全功能,旨在確保裝置在開機時只載入已知良好狀態的韌體和作業系統。這一過程從硬體層面開始,一直貫穿到作業系統載入,目的是防止惡意軟體在啟動過程中植入或修改系統組件。

        • 系統完整性校正

          針對安全啟動可信範圍只覆蓋底層韌體至作業系統(kernel)層級,無影通過IMA(Integrity Measurement Architecture)和DM-Verity,將可信鏈進一步擴充至system、vendor等唯讀分區,進一步保障系統完整性,防止惡意篡改。

        • 核心加固

          • KASLR(Kernel Address Space Layout Randomization):對核心的地址空間進行隨機布局, 避免使用固定的核心的地址空間布局,提升代碼重用攻擊的難度,降低被許多複雜攻擊的可能性。

          • 棧保護:棧保護(Stack Protection):是一種安全技術,用於防止緩衝區溢位攻擊,這類攻擊通常利用程式中棧上的緩衝區大小限制不當導致的漏洞。棧保護通過在棧幀中插入額外的安全檢查來增強程式的安全性。

          • 資料執行防護:DEP(Data Execution Prevention):是一種電腦安全技術,旨在防止惡意代碼通過溢出攻擊在記憶體中執行。DEP的工作原理是區分資料和代碼地區,不允許資料區域的內容被執行,從而降低某些類型的安全威脅。

      • 加密計算:無影硬體終端採用安全晶片(Secure Element, SE),這是一種專門設計用於儲存和處理敏感資訊安全的微控制器,廣泛應用於金融及支付情境。SE封裝在防篡改的硬體中,能夠抵禦物理攻擊,如篡改、探測或分析,同時內建強大的加密引擎,支援各種密碼編譯演算法,如AES、RSA、ECC等,用於資料加密和解密,以提供進階別的物理和邏輯安全防護。

      • 可信計算:

        • 可信平台模組(TPM):可信平台模組(Trusted Platform Module, TPM)是一種專用的微控制器,設計用於提供電腦系統的硬體級安全功能。TPM是國際標準組織(ISO)和國際電子電機委員會(IEC)聯合制定的標準(ISO/IEC 11889),它的主要目標是建立和維護計算裝置的根信任(Root of Trust)。在無影系統中TPM參與系統的啟動過程,產生和驗證平台配置寄存器(PCR),記錄系統啟動時的軟體和硬體狀態,確保沒有未經授權的改動。並且協助驗證引導載入程式和作業系統映像的完整性,防止惡意軟體在啟動過程中注入。

        • 可信執行環境(TEE/TrustZone):可信執行環境(Trusted Execution Environment, TEE)是一種硬體輔助的安全架構,它在通用計算環境(通常是CPU)之外建立了一個隔離的地區,用於執行受保護的應用和服務。與之相對的是非可信執行環境(通常稱為REE,Rich Execution Environment),如作業系統和使用者應用程式。

        • 裝置管控:每一台無影終端出廠時均內建唯一的可信身份標識,具備不可篡改、不可偽造、全球唯一的安全屬性。基於唯一標識,無影雲端對終端裝置實行線上註冊、線上管控及安全審計,防止未經授權的使用和接入,以及在裝置丟失或被盜時啟用黑名單禁止接入和遠程安全擦除。

        • 系統完整性校正:針對安全啟動可信範圍只覆蓋底層韌體至作業系統(kernel)層級,無影通過IMA(Integrity Measurement Architecture)和DM-Verity,將可信鏈進一步擴充至system、vendor等唯讀分區,進一步保障系統完整性,防止惡意篡改。

    • 虛擬化安全

      • 租戶隔離:基於硬體虛擬化技術將多個計算節點的虛擬機器在系統層面進行隔離,租戶不能訪問彼此未授權的系統資源。

        • 計算隔離:管理系統與客戶虛擬機器,以及客戶虛擬機器之間相互隔離。

        • 網路隔離:每個虛擬網路與其他網路之間相互隔離。

        • 儲存隔離:計算與儲存分離,虛擬機器只能訪問分配好的物理磁碟空間。

      • 安全強化:虛擬化管理程式和宿主機OS/核心層級進行相應的安全強化,並且虛擬化軟體必須編譯和運行在一個可信的執行環境中,以保障整個鏈路的安全性。

      • 逃逸檢測:通過使用進階虛擬機器布局演算法以防止惡意使用者的虛擬機器運行在特定物理機上,虛擬機器無法主動探測自身所處的物理主機環境,並且會對虛擬機器異常行為進行檢測,發現漏洞後進行補丁熱修複。

      • 補丁熱修複:虛擬化平台支援補丁熱修複技術,修複過程不需要使用者重啟系統,不影響使用者的業務。

      • 資料清零:執行個體伺服器釋放後,其原有的儲存介質將會被可靠地執行資料擦除操作,以保障使用者資料的安全。

      • 虛擬化系統安全:虛擬化技術是雲端運算的主要技術支撐,通過計算虛擬化、儲存虛擬化、網路虛擬化實現雲端運算環境下的多租戶資源隔離。

    • 雲平台安全合規

      • 雲平台合規資質:阿里雲致力於滿足雲上高合規要求行業客戶的需求,滿足境內外多項合規資質的要求。更多關於阿里雲的安全合規資訊以及合規文檔,可參見阿里雲信任中心

      • 雲平台合規能力:阿里雲基於完整的平台與產品管理機制,結合自身合規治理經驗,推動內外部合規標準在雲平台與產品中落地,確保雲平台與產品在基礎設施安全、網路安全、身份安全、主機安全、資料安全與個人資訊保護、雲產品安全等方面均符合海內外合規標準。

      • 雲平台合規認證:阿里雲致力於加強全球化業務布局的合規體系建設。作為全球安全合規水平領先的雲端服務商,阿里雲通過獨立第三方機構驗證其安全合規的符合性,並在全球範圍內通過了140多項安全合規認證。這些認證展現了阿里雲在各體系標準下的全面安全能力。阿里雲不斷提升雲平台安全合規水位,以此支援雲上客戶及組織高效滿足所在地區和相關行業的安全合規要求。

    • 雲產品自身安全

      • 全流程產品安全保障建設:阿里雲在產品全生命週期中,通過多環節幹預,以縱深防禦、零信任架構設計理念為指導,並通過自動化、數字化安全分度量機制,切實保障安全要求的落地。最終,使雲平台、雲產品具備高安全水位。

      • 全方位紅藍對抗反向校正:安全水位需在攻防對抗過程中不斷提升,阿里雲在內部建設了紅藍對抗體系,藍軍團隊採用 APT級強度對雲平台開展滲透測試,從內部視角查漏補缺。另一方面,阿里雲擁有完善的外部白帽生態及漏洞懸賞機制,邀請第三方服務商來進行滲透測試、漏洞挖掘,從外部視角驗證雲平台安全防禦水位。

      • 終端硬體產品安全:無影針對硬體終端增加了裝置、韌體、系統等維度安全防護:

        • 首先,硬體終端使用內建的不可複製且不可偽造的硬體資訊保證終端裝置真實性和唯一性。使用者隱私資料採用一機一密進行加密儲存,防止被盜用。在使用者遇到問題時可以開啟調試或診斷介面,且只有在使用者授權情況下才可以開啟,方便售後問題處理。部分無影硬體終端裝置(例如無影魔方Pro無影方舟Pro )支援指紋、Face Service等生物識別技術能力,藉助增強使用者身分識別驗證,保證登入使用者的身份安全可靠。

        • 其次,硬體終端具備安全啟動以及系統鏡像升級的能力。升級鏡像包會經過TLS加密傳輸,並在終端側進行簽名校正和完整性校正,保證硬體重點裝置的韌體安全。

        • 最後,終端系統支援高危漏洞掃描與修複,包括核心的高危漏洞、業務代碼的漏洞。同時核心系統檔案、服務具備防篡改能力和嚴格的許可權管理機制。

    客戶負責“安全用雲”

    客戶需要以安全的方式使用雲產品。為了進一步降低客戶進行安全配置的門檻,阿里雲提供了一系列安全管理與組態工具,客戶可以根據業務需要選擇合適的工具進行配置,保障EDS上的業務安全性。具體說明如下: