阿里云运维工程师通过飞天运维管理平台统一运维管理政务云平台,并采取严格的访问控制、职责分离、监控审计的运维策略,来确保政务云平台的运维安全。
访问控制
阿里云运维团队进行政务云平台的运维工作时,对政务云的访问受到严格的安全合规约束,阿里政务云内部网络与阿里云内网完全隔离,运维的必访问操作须使用特定的“跳板机”才能够进行底层资源的运维工作。
职责分离与权限管理
职责分离
阿里云对运维权限分角色进行职责分离,防止权限滥用和审计失效。- 运维和审计职责分离,运维团队执行运维操作,安全团队负责审计。
- 数据库管理员和系统管理员职责分离。
账号管理和身份认证
阿里云使用统一的账号管理和身份认证系统管理员工账号生命周期:- 每个员工存在唯一的账号。
- 集中下发密码策略,强制要求员工设置符合密码长度、复杂度要求的密码,并定期修改密码。
- 支持账号密码登录、一次性口令登录、数字证书登录等多种认证登录方式。
授权
阿里云基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。
员工根据工作需要通过集中的权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限,经主管、数据或系统所有者、安全管理员以及相关部门审批后,进行授权。
监控审计与变更管理
监控
阿里云使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示阿里云关键运营指标,并可配置告警阈值,当关键运营指标超过设置的告警阈值时,自动通知运维和管理人员。
审计
员工对生产系统的所有运维操作必须且只能通过堡垒机进行。所有操作过程完整记录下来实时传输到集中日志平台。阿里云根据《帐号使用规范》及《数据安全规范》里定义的违规事项定义审计规则,发现违规行为并通知安全人员跟进。
内部使用的B/S管理和支持系统按照阿里云日志审计规范详细记录敏感操作,并把日志发送到集中日志平台。
变更管理
阿里云依据ISO/IEC 20000建立了完整的变更管理流程,根据变更紧急程度进行变更等级划分;根据变更来源、对象等进行变更分类管理,明确了可能发生的变更结果的界定标准。整个变更以流程化或自动化的系统和工具来支撑,流程涵盖变更申请、评估、审批、测试、实施及复核等阶段,并明确了变更管理流程中各角色的职责。
变更申请阶段界定了需求提出、记录、接收和判定等关键节点。
变更执行阶段主要涵盖变更方案、变更计划、变更评估和变更实施等要求,所有的变更在获准执行之前,需经过测试,变更时间窗口和变更方案等需经过评审,同时阿里云会向可能受影响的客户发出变更通知。重要的变更操作要求双人复核。
变更验证阶段明确了变更验证、配置项复核和变更结果通知等要求。阿里云完整记录变更过程中的信息,并部署了自动化配置检查工具,可自动进行基础设施和信息系统的配置校验。