关键词：

“十四五”是国家数字化战略转型建设的关键阶段，5G、人工智能、云计算、大数据等新一代信息技术进一步加快了工业和信息化领域数字化转型的步伐。与此同时，也带来了新的网络安全风险。加快推动商用密码与新一代信息技术的深度融合和协同创新，增加商用密码技术在工业和信息化领域应用推广，提升安全保障能力已达成业界广泛共识。

为进一步推动商用密码应用，促进商用密码产业供需双向对接，工业和信息化部商用密码应用产业促进联盟（CCPA）联合产学研各方力量举办了系列活动，6月24日，“工业和信息化领域商用密码应用推进技术论坛”第二期在线如期举行。本期技术论坛特邀行业专家及头部企业代表，共同探索密码在新技术领域的应用落地路径，推动商用密码技术创新应用发展。阿里云智能混合云平台高级技术专家杨晓黎应邀参加本次技术论坛，分享了「阿里云混合云密码应用分析」，深入交流了阿里云混合云对云上密码应用场景的分析，以及面临的挑战与思考。

 

混合云是实现政企数智化创新最佳选择

如今政企数字化转型全面进入“云”时代，云已经成为了数字化转型的基石和枢纽，混合云是实现政企数智化创新的优选方案。阿里云混合云是首个全自研大规模成熟商用的原生混合云。基于阿里云分布式架构，针对企业级市场使用特点，为客户量身打造的开放、统一、可信的企业级云平台，混合云与阿里云公共云同根同源，客户可在任何环境本地化部署公共云产品及服务，并具备一键弹性至公共云的能力，让客户随时随地尽享混合云产品服务。

从阿里云混合云成立至今经历了从1.0到2.0的进化。Apsara Stack 2.0在继承公共云稳定基因和一致性体验的同时，对比1.0主要有以下几个变化。首先，飞天2.0完全继承了阿里云公共云最新的技术成果，具备一云多芯、一云多Region和全场景灾备的能力。同时，对云的“管理”升级成了对云的“运营”。此外，当前的阿里云混合云不仅有中心云，也有我们的边缘云，构筑了云边一体的完整方案。今天的Apsara Stack 2.0已经从单一的私有云场景演进到服务于大型集团&行业云场景，成为企业客户上云的最佳选择。

阿里云混合云密码应用场景分析

安全面临的挑战

在数字化的整体趋势下，互联网和大数据给人们的生活方式带来了巨大的改变，随着云计算的日益普及，各行各业都在进行信息化改造和上云，这也对信息的安全提出了更高的要求。在当下，信息安全已经不仅仅只是关乎个人隐私，还会危及到国计民生，云计算做为信息的基础设施，承载的数据越来越多，数据安全影响面越来越大，仅仅从勒索软件的危害，就可见一斑，勒索团伙以窃取的数据为要挟，单次敲诈金额可达千万美金，近年来几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响  可以说有互联网的地方就可能存在攻击。

近几年来信息安全引起国家的重视，上升到了国家安全的高度，多个关系网络安全的法规陆续出台，各个行业的技术规范也都对安全提出明确的要求。这就要求我们在云计算上密码应用的范围会越来越广、越来越深入。

夯实密码基础服务，服务上层应用

应用的对象为云系统，云系统从可变更人角度分为云平台和租户侧，除了最底层的物理基础设施，云平台自身还包括云平台基础服务层、融合管控层和云服务与接口层，层和层之间、服务和服务之间存在各种相互依赖。

如何让整个云平台快速落地实现密码应用，阿里云混合云给密码应用改造确定的原则是通过“夯实密码基础服务、服务上层应用”来实现密码改造的全路径。

具体需要考虑的几个方面包括：

1.      夯实密码应用基础服务，这也是支撑整个云平台密码应用的基础；

2.      在底层基础设施能力具备的基础上，需要考虑上层云平台如何使用这些密码基础服务，以达到业务无感知；

3.      业务的连续性不受影响，可扩展性良好。

解决了以上三个方面整个云平台其实就初步具备了密码应用能力。但这还不够！接下来需要思考的是可视化能力，可见可查，以方便审查。

对云平台，由阿里云混合云提供密码技术应用，而对租户侧，是由客户来实施密码应用改造，阿里云混合云提供密码应用的能力，以方便客户对应用实施密码技术应用。

平台访问边界

我们以双机房容灾场景为分析目标。

可控机房我们视为相对安全区域，对安全区域外到安全区域内的访问，安全性要求更高；之所以称为可控机房，从技术上需要具备两个层面的的密码技术控制访问：一个是物理环境管理，另外一个是网络访问边界。

物理环境管理主要为机房的门禁、监控等措施，能够从物理上隔离开风险；

网络访问边界包含三个场景：

1.      通过互联网到云平台的访问：这种场景主要为通过VPN接入；

2.      局域网访问：也就是通过办公网接入运营、运维平台等实施运营和运维操作；

3.      机房间的通信：这种通信包含了不同云产品之间的访问以及产品内部不同机房间的数据同步等。

云平台上的应用

混合云管理平台（Apsara Uni-manager）的主要作用是提供产品和服务给客户使用，并不是为了直接提供应用。是面向阿里云专有云和混合云场景的企业级云管理平台。它提供全方位的云资源供给、运维和运营管理能力，具备一体化管控、智能化运维、精细化运营及个性化扩展等核心竞争力，简化混合云管理，提升用户体验，加速企业数字化转型。

混合云管理平台（Apsara Uni-manager）由以下几部分组成：

运营控制台：通过一体化的管控入口，提供精细化资源治理、智能化数据分析和个性化功能扩展等能力，降低企业的云管理成本。

运维控制台：通过自动化的运维流程，提供主动式监控告警、根源问题定位和故障自动修复等能力，降低云环境的运维成本，保障云环境安全稳定运行。

智能指挥官：通过高可视化的数据大屏，为企业IT的决策者提供了混合云多维度的全景数据展示，包括混合云总体运行状态和资源使用情况，并支持针对不同角色设置不同的首页仪表盘。

混合云平台密码应用技术

定义了边界和平台上的应用，那么密码应用的范围就清楚了，对于云平台密码技术应用，密码应用基础服务是基础设施，提供服务给上层云产品，满足身份鉴别、信息传输加密、重要数据落盘加密、和日志完整性等对密码技术的需要。

引入的密码基础服务包含：云服务密码机、密钥管理服务、证书基础服务、认证和鉴权服务、国密算法库以及协议栈里的国密算法套件。

具体到平台改造上，包含了如下几个场景：

1.      互联网访问场景下的用户登录身份鉴别、数据传输加密、重要信息落盘加密保护和日志完整性以达到从用户登录开始到操作可追溯，数据有保护；

2.      局域网访问场景下，控制台和堡垒机的身份鉴别、传输加密、账密和个人信息等落盘加密、日志的完整性保护；

3.      机房间通信的传输加密。

混合云租户侧密码应用技术

平台的密码应用是租户侧的能力，阿里云混合云在租户侧主要提供密码应用的能力，整体建设思路：

1.      全面合规对标，分别建设面向云平台和云租户的独立密码服务体系；

2.      IAAS层密码服务体系以符合安全等级要求的密码硬件方式提供，满足密评要求；

3.      提供密码PaaS层服务，面向各租户提供合规密码服务，满足密评要求；

4.      租户层面统一实现对底层密码资源、密钥资源的合规管理，满足密评要求；

5.      提供统一、标准、流程化的密码服务接口及指南，快速与应用体系整合。

客户可以使用这些能力来实现密码改造，分为两种方式提供：第一种是密码服务，借助密码产品，提供如签名验签、数据加解密等服务；第二种是云产品本身提供的密码应用能力，如WAF上的SSL卸载，存储落盘加密能力等。

国内首家通过商用密码应用安全性评估

在密码法颁布之后，阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商,客户在阿里云上能享受到更安全、合规的云服务。

阿里云一直重视密码标准工作,密切关注密码领域相关技术标准要求,并按照密评标准要求对云平台进行了持续、彻底的改造,使云平台在底座架构的关键数据链路上能够符合密评标准要求。

更多产品资讯欢迎访问#阿里云混合云或加入钉群（32450454）交流。

阿里云混合云密码应用分析

“十四五”是国家数字化战略转型建设的关键阶段，5G、人工智能、云计算、大数据等新一代信息技术进一步加快了工业和信息化领域数字化转型的步伐。与此同时，也带来了新的网络安全风险。加快推动商用密码与新一... 查看详情

阿里云混合云精彩亮相中国信通院2021混合云大会

...享。深耕混合云领域多年，作为云计算厂商重要代表阿里云应邀参加了本次大会。12月23日上午主论坛，阿里云智能混合云产品总经理谢宁进行了【混合云建管用一体化探索实践】的主题分享。谢宁指出，阿里云混合... 查看详情

一图看懂|2021阿里云混合云的高能时刻

 更多阿里云混合云产品，欢迎前往【混合云官网】混合云_HybridCloud_解决方案_数字化转型-阿里云更多混合云最佳实践，欢迎前往【混合云体验营】阿里云混合云体验营 查看详情

一图看懂|2021阿里云混合云的高能时刻

 更多阿里云混合云产品，欢迎前往【混合云官网】混合云_HybridCloud_解决方案_数字化转型-阿里云更多混合云最佳实践，欢迎前往【混合云体验营】阿里云混合云体验营 查看详情

混合云小知识混合云应用场景包含哪些？

...伸缩。2、云上云下、多地互通：多分支机构就近接入阿里云、华为云等等，网络打通互访，共享云上资源。3、数据上云、分发备份：影音、照片、文件，云上存储或备份、分发。4、混合云容灾：数据备份... 查看详情

行业场景智能应用，解锁边缘计算时代新机遇

简介：阿里云混合云（ApsaraStack）首个全自研原生混合云，与阿里云公共云同宗同源、经过大规模商用验证、历经多年双11考验，是阿里云建管用一体化的全栈混合云平台，助力企业级客户全栈建云、智能... 查看详情

重磅发布:阿里云waf日志实时分析上线(含视频)

...用层***也在大幅度翻倍（参考Imperva2017Q4的DDoS风险报告）阿里云WAF阿里云云盾Web应用防火墙(WebApplicationFirewall,简称WAF)基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、***上传、非授权核心资源... 查看详情

直播预告|阿里云混合云管理平台2.0升级发布

...的私有云场景向大型集团云&行业云场景的升级，阿里云混合云重磅发布「混合云管理平台2.0」。本次混合云管理平台从产品理念、技术能力进行了全方位升级，帮助客户实现可运营和自运维，从一朵可管理的云平... 查看详情

网络分层架构灵活应对企业上云挑战

2022年F5多云应用服务科技峰会于4月正式召开。阿里云智能混合云平台高级网络架构师张然（然犀）应邀于合作伙伴生态专场分享了阿里云混合云在开放网络生态领域的探索与实践。混合云：政企数智创新首选近年来&#... 查看详情

阿里云混合云apsarastack重磅升级为政企搭建上云高速

...旨在更全面的为云化各阶段政企服务，7月14日，阿里云混合云产品总监谢宁正式宣布ApsaraStack重磅升级：企业版能力全面升级、敏捷版场景化新品发布，为政企搭建上云高速。企业版能力全面升级1）一云多芯&# 查看详情

阿里云总监课第四期时髦的云原生应用怎么写？

...的云计算行业协会，在今年6月份给出了云原生的定义，阿里云牵头做了一个官方的翻译：“云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、... 查看详情

阿里云混合云apsarastack重磅升级，为政企搭建上云高速

...旨在更全面的为云化各阶段政企服务，7月14日，阿里云混合云产品总监谢宁正式宣布ApsaraStack重磅升级：企业版能力全面升级、敏捷版场景化新品发布，为政企搭建上云高速。观看发布会：h 查看详情

网络分层架构灵活应对企业上云挑战

2022年F5多云应用服务科技峰会于4月正式召开。阿里云智能混合云平台高级网络架构师张然（然犀）应邀于合作伙伴生态专场分享了阿里云混合云在开放网络生态领域的探索与实践。混合云：政企数智创新首选近年来&#... 查看详情

阿里云上数据统一备份–混合云备份服务解析

...的核心手段，更是等级保护，行业合规的硬性要求。 阿里云混合云备份服务（HybridBackupRecovery,简称HBR）是一种简单易用且高性价比的云备份服务，可以为阿里云ECS，NAS，OSS上的文件，数据库以及自建机房内的文件，VMware虚拟... 查看详情

阿里云混合云管理平台多region架构

...作，如何实现各个数据中心之间的资源联动和共享。阿里云混合云是如何通过专有云的区域Region逻辑来形成多Region架构+混合云多云管理平台能力，以此实现多区域部署一朵专有云，解决大型用户多数据中心部署产... 查看详情

阿里云混合云apsarastack2.0发布加速政企数智创新

2021年10月21日，杭州–今日，阿里云于云栖大会正式发布ApsaraStack2.0，从面向单一私有云场景，升级为服务大型集团云&行业云场景。新一代ApsaraStack不仅可以为政企定制稳定、安全、开放、智能的数字底座，... 查看详情

阿里云混合云联合信通院发布《基于云计算的数字化业务安全工程要求》

...安全工程要求》标准在2021可信云大会上发布。该标准由阿里云混合云和中国信通院联合牵头，多家国内知名企业参与制定，填补了数字化业务安全生产标准的空白，标志着该领域进入到了有标可依的新阶段。7月28日&#... 查看详情

阿里云混合云apsarastack2.0发布加速政企数智创新

简介： 2021年10月21日，杭州–今日，阿里云于云栖大会正式发布ApsaraStack2.0，从面向单一私有云场景，升级为服务大型集团云&行业云场景。新一代ApsaraStack不仅可以为政企定制稳定、安全、开放、智能的数... 查看详情