安全白皮书
概述
声网致力于为全球开发者及用户提供随时随地、无处不在的实时音视频互动 (Real-Time Engagement, RTE) 服务。声网基于互联网基础设施,为音视频传输和互动设计了专门的传输网络,即软件定义的实时网络 (Software Defined Real-time Network, SD-RTN™)。在 SD-RTN™ 上,声网提供统一、标准化的应用程序接口 (Application Programming Interface, API),并为不同行业和场景提供主流操作系统和平台下适配的软件开发工具包 (Software Development Kit, SDK) 解决方案。开发者通过在其系统或应用中,集成声网 SDK,即可便捷地接入安全、稳定、可靠、高质量的 RTE 服务,以满足开发者及用户自身业务或场景下的实时音视频通话 (Real-time Communication, RTC) 等需求。
作为全球实时互动云服务开创者和引领者,数据和用户隐私安全是声网最关切的问题。声网始终将数据和用户隐私安全作为首要安全原则,并将其作为理念融入安全能力建设当中。为帮助开发者及用户感知和理解声网在 RTE 服务上的努力,了解声网 RTE 服务的安全属性,让开发者及用户安心放心地使用声网 RTE 服务,特编写《声网实时互动服务安全白皮书》(以下简称白皮书),介绍声网 RTE 服务的安全及合规保证。
1. 安全责任共担
秉持 RTE 服务的易用、高质量、安全、合规理念,声网在持续提升自身的安全能力水位的同时,也依赖开发者及用户的密切合作。为了帮助开发者及用户快速、直观、体系地了解复杂 RTE 场景中的安全责任,我们绘制了安全责任共担模型,如下图所示:
简要来说,声网作为实时互动服务提供商,会对自身 RTE PaaS 平台和 SDK 的安全进行管控;开发者作为服务的接入方,需要对自身应用和系统环境的安全进行管控,并根据自身需求,对声网 SDK 及服务的安全选项进行合理的配置,以保障自身信息、平台、程序、系统和网络的安全。
借助该责任模型,白皮书后续内容将系统性地介绍声网 RTE PaaS 平台在安全合规、隐私和数据处理以及 RTE 服务安全的属性。
2. 安全合规与隐私保护
声网致力于使平台产品遵从国内外隐私法律法规要求,包括中国《个人信息保护法》;欧盟《通用数据保护条例》(GDPR);美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)、《儿童在线隐私保护法》(COPPA)等法律要求。
为此,我们组建了专⻔的隐私合规和安全团队,建立了有效的隐私保护和安全管理体系,以保护开发者及用户的个人信息。我们的产品都经过隐私保护设计评估和安全评估,以确保产品中嵌入了隐私和安全方面的考虑;我们根据开发者及用户所在的国家区域范围和适用的隐私保护法律,在适用情况下向其提供个人数据主体权利;我们遵守隐私保护法律,使用标准合同条款来转移个人信息或将开发者及用户的个人信息转移到具有充分数据保护的国家。
同时,我们实施了适当的物理、管理和技术措施以保护开发者及用户的个人信息,避免对个人信息未授权访问、更改、披露和滥用。我们的语音和视频 SDK 提供了内置加密算法;与开发者及用户的网络通信(即 SD-RTN™)采用了加密传输协议保护;我们无法读取加密内容,也不能将其与特定开发者或用户进行关联。
此外,声网遵循国际认可的信息安全和隐私保护标准以及行业要求,致力于采用国际最佳实践来建设隐私和安全管理体系,在保障产品安全合规的同时,也为开发者及用户提供合规支持,帮助开发者及用户遵守适用法律法规和监管要求。
目前,声网已经通过了多个国际认可的信息安全和隐私管理体系认证,包括 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701 体系认证、公安部等级 2.0 保护三级;并获得了由第三方专业机构出具的 SOC2 Type II 的服务鉴证报告,以此证明自身的隐私合规和安全管理能力。
ISO/IEC 27001:2022 信息安全管理标准
ISO/IEC 27001:2022 是最基础的、获得国际最广泛认可的信息安全管理体系标准。声网通过 DNV 挪威船级社的 ISO/IEC 27001 认证,证明我们具有充分的信息安全⻛险识别和控制的能力,并且能够为全球开发者及用户提供安全可靠的产品服务。
ISO/IEC 27017:2015 提供云计算安全方面的指南
ISO/IEC 27017:2015 提供了云计算信息安全方面的指导标准,提出专用于云服务的信息安全控制的实施建议,在 ISO/IEC 27001 标准的基础上提供了补充指导。声网通过 DNV 挪威船级社的 ISO/IEC 27017 认证,证明我们的云服务具有充分的信息安全管理和保障能力。
ISO/IEC 27018:2019 提供公有云中的个人信息的保护指南
ISO/IEC 27018:2019 是专注于保护公有云中个人信息的指导标准。它基于信息安全标准 ISO/IEC 27001,提供了适用于公共云中的个人信息保护的补充控制措施,加强对公有云层面的个人信息保护能力。声网建立了个人信息保护体系,从隐私权和数据生命周期两个方面保护用户的个人信息。声网通过 DNV 挪威船级社的 ISO/IEC 27018 认证,证明我们在保护企业数据和⽤户的个⼈信息⽅⾯达到业界公认的实践标准。
ISO/IEC 27701:2019 隐私信息管理体系标准
ISO/IEC 27701:2019 是 ISO/IEC 27001 信息安全管理和 ISO/IEC 27002 安全控制在隐私方面的扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息。声网在 ISO/IEC 27001 的基础上加强整体个人信息保护体系建设,从个人权利行使、第三方管理、个人信息安全事件等多方面进行流程构建。声网通过挪威船级社的 ISO/IEC 27701 认证,证明声网已具备完善有效的个人信息保护体系。
上述的三项 ISO 认证范围描述如下:
涵盖了声网实时互动云平台的欧洲、北美洲、亚洲、非洲、大洋洲及南美洲节点;
涵盖了支持全球开发者及用户在在线教育、社交泛娱乐、互动游戏、互联网医疗、线上金融、电商直播、视频会议、智能硬件、企业解决方案等场景的实时互动产品、组件、系统及服务(如 SD-RTN™、音频 SDK、视频 SDK、实时录制 SDK、实时消息 SDK、实时流媒体加速 SDK 以及水晶球等)相关的研发、测试、运营、开发者及用户支持、技术维护以及数据处理等。
SOC2
系统及组织控制 (SOC) 报告是独立的第三方服务鉴证报告,是基于美国注册会计师协会 (AICPA) 相关准则出具的服务内部控制相关的报告。声网已经获由专业第三方审核机构出具的 SOC2 Type II 服务鉴证报告,涵盖了“信任服务原则”的安全性、可⽤性、机密性和隐私性内部控制要求。声网获得此服务鉴证报告,证明我们建立和实施了有效的内部控制。声网会定期接受第三方审核,确保各产品服务均符合鉴证报告要求。
声网致力于满足国内、国外的各类安全和隐私合规要求。声网建立专⻔的隐私合规和安全团队,并对产品安全、产品隐私设计、⽤户隐私保护等都建立了有效的管理措施和机制,以保障声网产品与服务的隐私合规性。
公安部信息安全等级保护三级认证
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》简称安全等级保护,是中国国家标准化管理委员会发布的信息安全标准,是中华人民共和国信息安全保障的一项基本制度。等级根据信息系统的重要程度,从低到高分为 1 至 5 个等级,不同安全等级实施不同的保护策略和要求。声网采用的是 3 级信息系统的保护策略,并顺利通过了国家网络与信息系统安全产品质量监督检验中心(公安部第三研究所)的测评,标志着我们从在物理环境、主机、网络、业务应用系统、安全管理制度和人员等方面,均具有被权威机构认可的安全防护能力,并且达到了行业内较高水平。
3. 声网 RTE PaaS 安全
低延时、高质量的音视频实时互动体验,对 RTE 服务有着严苛的要求,在实际互联网环境中,各类安全威胁会干扰 RTE 服务的可用性,严重时导致服务不可用,甚至造成开发者及用户数据或隐私泄漏。声网在构建 RTE PaaS 的过程中,充分评估架构技术安全风险的同时,积极吸收安全合规标准中的安全风险控制体系,并融入 RTE PaaS 各个环节的建设实施以及运营管理之中,切实为开发者及用户提供一套稳定、安全、可信的 RTE 服务平台。
从逻辑划分,声网 RTE PaaS 服务,主要包含声网基础计算资源层、SD-RTN™ 以及提供给开发者的声网 SDK。在该章节,我们将系统性地介绍各层中的技术及运营环节的安全风险控制措施。
3.1 声网基础计算资源安全
声网计算资源是由遍布全球两百多个自有分布式数据中心 (IDC) 以及头部公有云供应商的云服务组成,以构建一个统一、高可用、高扩展、高效率、高安全的基础资源环境。
3.1.1 自有 IDC 中设备的安全管理
声网基础设施中自有 IDC 中设备的日常管理,由委托的数据中心运营商协同支持。声网基于自身 RTE 服务需求,制定了一套完备的数据中心租赁实施规范,该规范详细定义了供应商的管理办法和服务实施标准,由供应商负责选址的物理环境安全、电力保障、日常巡检、物理冗余切换、异常监控上报等。安全方面,除了选择获得 ISO27001 认证或其他同等及以上资质的供应商外,重点考察评估供应商的风险管理、事件响应、网络安全及审计监控能力,确认可以满足声网安全合规及基础安全建设要求。
在自有 IDC 设备交付使用前,声网会对所有设备进行统一的初始化处理;对交付使用中的设备,声网运营团队会实时采集运行状态相关数据,制定异常监控阈值,负责 7x24 的高可用保障;对需临时下线、维修、回收、废弃的设备,声网会实施配置和数据加密处理,再由运营供应商断电下线,统一运往声网的集中处理环境,声网完成配置和数据擦除后,并对这些设备进行封存或物理销毁。
3.1.2 网络隔离
对网络进行合理的划分,定义清晰用途,制定适配的访问控制策略,是网络安全的前提之一。声网基于 RTE PaaS 承载功能和安全级别的不同,将网络划分出了核心、边缘、IT 等几大安全区域。在不同的安全域之间,根据不同的业务访问需求和安全级别,声网制定了不同的路由策略以及严格的安全访问策略。其中,声网自有 IDC 部分,在交换机上完成策略配置;公有云上,基于 VPC (Virtual Private Cloud) 的安全组功能,完成策略配置,以实现统一的网络隔离能力。
3.1.3 防 DDoS 攻击
分布式拒绝服务攻击 (Distributed Denial of Service, DDoS) 会对 RTE 服务的系统和业务可用性产生重大影响,严重时可导致声网 RTE 服务中断或质量下降。为此,声网基于自身 RTE PaaS 服务的特性,结合公有云能力,在核心服务上部署了 DDoS 防御方案。该方案能够实时检测并防御来自网络层、传输的 DDoS 攻击。防 DDoS 攻击方案,能够自动检测、自动调度并触发清洗功能,数秒内就可以完成攻击、流量清洗动作,保证核心服务的可用性。
此外,所有 DDoS 攻击事件,都会通过邮件、短信、电话等方式,第一时间知会安全团队,以便安全团队持续关注和响应决策。
3.1.4 主机、数据库、中间件等计算资源安全
各类服务运行所依赖的资源,由操作系统或容器化为关联的后台程序、缓存、数据库等中间件,合理地调度分配 CPU、内存、磁盘等资源来满足。声网结合自身基础服务场景,在实际安全运营中,通过制定适配的安全基线、漏洞管理规范,并落地纵深威胁检测机制,确保基础运算负载资源的安全性。
3.1.4.1 安全基线
声网制定了自有 IDC 和公有云的安全基线,涵盖主机操作系统、容器、数据库、存储、Web 服务等中间件,内容包括账户安全、身份认证、最小服务、最小授权、日志审计、时钟同步等。并根据不同的用途,对操作系统或中间件进行不同程度的安全配置加固,确保新交付的运算负载资源满足相关安全基线要求。对于运行中的负载资源,安全团队会进行定期的配置巡检,对比与安全基线的差异,输出不符合项,通知到关联的运维和业务技术团队,并落实整改。
3.1.4.2 漏洞管理
所有交付上线的运算负载资源,均来自统一管理的操作系统镜像或中间件软件包。对于交付使用中的资源,安全团队会采集操作系统和中间件版本信息,然后发送到安全运营系统中分析,从而识别是否存在受漏洞影响的版本。对于公有云上的主机资源,声网会部署公有云的安全客户端,实现对操作系统和中间件等软件产品的实时漏洞检测。另外,安全团队通过部署业界知名商业漏洞扫描产品,定期对运算负载资源发起扫描巡检,输出漏洞扫描报告,并将信息采集到安全运营系统。
一旦发现存在漏洞版本匹配的组件,安全团队会对漏洞的风险做综合评估,提供应急处置措施和修复建议,并联合运维及相关业务技术团队落实漏洞修复、配置加固、镜像更新,从而实现漏洞管理的闭环。
3.1.4.3 计算资源中的安全运维
-
运维账号安全
在日常运维中,声网制定并启用了 IAM(Identity and Access Management,身份和访问控制管理)机制,所有涉及运维内容的人员必须具有有效的身份和授权才可进行操作,运维账号与员工身份一一对应,其默认启用 MFA(Multi-factor authentication,多重要素验证)。
另外,公有云涉及程序对云服务 API 的使用场景,因此 声网制定了严格的控制要求。程序只允许通过授权的 Access Key 或 Assumed Role 凭据来访问,不得直接使用主账号关联的用户密码或 Access Key 进行操作,避免越权访问风险。
-
操作系统账号安全
对于系统账号,声网制定了一系列安全制度和操作规范,例如,避免使用弱口令作为密码,并要求定期更换,信息安全团队也会通过定期的安全检查。
-
运维操作审计
声网在日常运维过程中,会实时记录归档各类操作,制定实时监控告警策略,并对风险操作及时处置。
3.2 SD-RTN™ 安全
SD-RTN™ 是声网专为双向实时音视频互动而设计的全球唯一且规模最大的软件定义实时网络,具有超低延时、高质量传输以及支持百万人级实时互动的特性。SD-RTN™ 是声网 RTE PaaS 的核心服务之一, 它为 RTE 终端信源的接入、认证授权、智能路由选择、实时调度、音视频数据实时传输等环节提供支撑。
为了确保 RTE 服务的合规及安全性,SD-RTN™ 在架构设计上,充分考虑 RTE 在互联网环境面临的安全风险,通过如下控制措施为开发者及用户提供安全稳定的服务。
3.2.1 资源隔离
SD-RTN™ 为每一个 RTE 项目分配专有的资源,确保与其他项目资源彼此独立,为实时音视频的接入、运算、传输提供提供安全可靠的运算资源保证。对开发者及用户而言,在声网正式注册后,只需要在控制台 (Console) 上进行简单的操作即可新建 RTE 项目,声网会自动为该项目分配唯一标识的 APP ID,并分配对应的资源,SD-RTN™ 基于 APP ID 进行资源隔离。
3.2.2 频道隔离
声网为每种音频、视频或消息数据传输创建了独立的隔离通道,即频道。所有频道在逻辑上是分开的,只有当用户使用具有相同 App ID 的音视频互动应用和相同频道名时,用户才能加入同一频道。频道在会话开始时创建,会话结束(最后一个用户离开)后销毁。通过该机制,声网在频道层面实现了传输隔离,进而在传输链路复用的 SD-RTN™ 上实现了会话隔离。
3.2.3 加密传输
为了保证音视频数据在传输过程的机密性,声网 SD-RTN™ 使用了声网专为 RTE 打造的传输协议 AUT(声网 Universal Transport)。该协议基于 TLS 1.3 设计,以提供传输链路的加密保证。声网 RTE PaaS 默认全局开启 AUT 协议,覆盖 SD-RTN™ 全数据链路,以保证传输通道是加密的。
3.2.4 身份认证
当用户使用实时音视频应用并接入声网 RTE PaaS 时,声网会通过基于 App ID + App 证书生成的动态令牌进行认证,以帮助有需要的开发者及用户对其用户进行强鉴权。使用动态令牌认证时,开发者及用户需要在控制台进行配置。更为详细的配置信息,可以参考开发者文档安全最佳实践。
3.3 SDK 安全
声网提供 iOS、Android、macOS、Windows、Linux、小程序、Web 等平台的 RTE SDK 支持,以满足开发者及用户的各类实时音视频互动接入需求。声网 RTE SDK 不仅仅为开发者及用户提供简单、易用、统一、可信、安全的音视频互动开发套件,也竭尽全力为开发者及用户提供合规、安全的配置选项,以提升开发者及用户在实时音视频互动场景和应用中合规监管和应对信源数据安全威胁的能力。
3.3.1 SDK 的合规与安全保证
声网在为开发者提供 SDK 时,SDK 的可信和安全是声网首要保证的内容之一。声网在评审 SDK 新增或迭代的功能时,会充分评估功能需求在合规隐私以及安全上的风险点,确保与声网合规和隐私政策的一致性。功能实现时,声网会在进行充分的质量保证 (QA) 测试时对代码进行安全审计,在涉及引用或集成第三方 SDK、库文件时进行安全检测,尤其是合规性确认,例如,是否存在恶意代码或后门,是否遵守版权或使用协议。如果检测出存在风险,SDK 只有在修复并确认无风险后,才允许进入下一阶段。在分发环节,声网会在官方渠道更新。
3.3.2 对开发者及用户的安全与合规支持
声网始终秉持“服务每一位开发者,尊重每一位终端用户”的初心,我们希望自身在安全上的能力也能对开发者及用户有所帮助。在 SDK 上,声网提供了内容加密和网络地理围栏 (geo-fencing) 的安全配置选项,以协助开发者及用户完善实时音视频数据安全及隐私合规。有需要的开发者及用户,可以参考开发者文档进行配置启用。
3.3.2.1 内容加密
声网 SDK 支持使用 AES 128/256 对称密钥对所有音视频流和消息进行数据层面的加密,被加密的数据经声网、SD-RTN™ 发送至频道中的其他节点,最终由接收末端的应用程序来解密媒体流并发送到渲染器。需要明确的是,此数据加密密钥仅应用程序的用户知晓,不会发送到声网服务器。具体文档可以参考内容加密。
3.3.2.2 网络地理围栏
为满足不同国家或地区的法律法规要求,声网 RTE PaaS 支持限定接入区域功能,确保 RTE 数据限定在某一区域范围内传输。开发者及用户可以根据自己的所在区域的需求,在 SDK 中进行开启。对应文档可以参考限定访问区域。
3.4 Web API 安全
为方便开发者高效地管理自己的项目及频道,声网 RTE PaaS 将部分控制台的功能以 RESTful API 的方式供开发者调用。在安全保障上,除了将站点接入 WAF 外,还有如下的安全控制措施。
身份鉴权
开发者在使用声网 RESTful API 前,需先登录声网控制台,创建开发者专属的客户 ID (key) 和客户密钥 (secret)。后续 API 调用,需使用对应的 key&secret 对,以区分不同项目或应用。
传输安全
RESTful API 仅支持 HTTPS 协议,以确保使用 SSL/TLS 对所有 API 通信进行加密,可以保护 API 凭据和传输的数据,以及防止一些如中间人攻击 (MITM, man in the middle) 等攻击。
API 限速
服务端对 API 请求的速率有限制,在保证正常用户请求可以得到响应的同时,限制恶意用户的 API 请求。
输入验证
开发者请求的参数会经过服务器后台过滤,以避免一些常见的易受攻击缺陷(SQL-注入,远程代码执行等)。
输出编码
为增加保护,声网在返回头中添加了安全头。
4. 数据安全
数据作为信息活动的载体,经过合法合规且安全的处理尤为重要。数据安全是声网最为关切的问题之一,本节将介绍声网在数据安全上采取的政策及落实的管理和技术控制措施。
4.1 数据安全组织
声网的安全、法务、数据平台及管理层的主要人员成立了数据安全和隐私委员会 (DSPC) 以重点推进声网业务服务中的数据安全及隐私保护政策,监督实施公司数据安全策略和规程,提前防范和及时处置数据安全技术及隐私合规问题;同时,任命了全球数据隐私官 (DPO),负责数据分类、隐私合规及隐私保护。
4.2 数据安全政策
针对日益严峻的网络安全态势,以及逐渐趋紧的监管要求,声网坚持以数据保密、完整和高可用作为业务服务的数据安全发展战略,并将数据安全理念融入安全体系建设过程中,即:
- 保密性:防止未经授权的访问和窃听
- 完整性:防止恶意篡改和伪造数据
- 可用性:通过声网全球实时传输网络 (SD-RTN™) 保障数据高可用
因此声网对所有员工均开展信息保护、隐私合规及保密意识安全培训,并签订保密协议;对其他授权员工(由 ISSC 指派,负责操作平台和声网服务的正常运作和维护)还将执行额外的安全技术培训以提升整体数据安全水位。对违反数据安全制度和保密要求的人员,我们会视情形严重程度以采取相应的违规处理措施,包括但不限于谈话、加强培训考核、解除劳动协议及追究其他法律责任等措施。
4.3 数据采集
声网采用最小化的数据采集原则,只采集经声网用户授权同意的,且业务所必须的数据字段;而声网开发者收集的用户数据,如程序登录信息、身份识别、密码、支付信息、姓名和地址等,均由开发者自身保管,不在声网平台留存。
4.4 数据脱敏
为保护数据隐私,声网针对官网控制台的企业和个人信息均进行脱敏后的展示,此策略同样也适用于声网内部和其他产品,如声网的内部管理平台、日志打印和监控告警等数据展示渠道。
4.5 数据保护和加密传输
RTE 场景下的数据保护是声网的数据安全核心。
在声网 RTE PaaS 服务中,实时传输网络 SD-RTN™ 通过资源隔离和频道隔离,为不同的开发者提供安全可信的资源保证,并在所有传输环节基于声网 AUT 加密传输协议确保传输通道安全;同时,声网 SDK 支持信源加密,开发者可以根据自身业务需要,开启对应配置项,实现音视频数据内容加密。具体内容,可以参阅本白皮书声网 RTE PaaS 安全。
如果开发者及用户使用声网的其他服务,如 Web SDK、内容审核、转码等,加密方式将有所不同。在这种情况下,Web SDK 上的媒体加密是通过 WebRTC 标准完成的,媒体仍处于加密状态,但与声网的互操作性须使用声网的加密引擎完成(该密钥已通过 API 安全地传递到 Web SDK 服务器)。有关 WebRTC 安全性的更多信息,请参阅:webrtc-security。
4.6 数据使用和存储
声网的基础设施严格分离生产、测试和开发环境,所有真实数据不会直接用于开发和测试,同时,在开发者及用户使用声网的服务时,我们亦不会记录来自开发者及用户第三方的账户信息,如第三方连登账号信息、实名认证信息等;对于开发者及用户的机密信息,如密码,我们会以哈希加盐值 (salt) 的方式进行存储。
如果开发者及用户使用声网提供的本地服务端录制 SDK 和云端录制产品,开发者及用户可对部分或全部通话内容进行录制,且所有录像/录音内容均直接写入开发者及用户所提供的存储服务器上而非声网存储区。
对已存储的信息,声网将根据相关监管要求和制定的数据备份和存储策略,对其进行销毁;对来自开发者及用户的数据处理申请,我们将根据开发者及用户的授权及相应监管要求配合实施数据清理或转移。更多关于声网对数据采集和使用的信息,请查阅声网隐私政策及信息安全说明。
4.7 数据高可用
依托 SD-RTN™ ,声网可以为开发者及用户提供具有如下特性的高可用 RTE PaaS 数据服务:
海量数据中心:在全球范围内部署有多个数据中心以提供服务,任一数据中心遭受攻击都不会影响其他数据节点的正常运转,从而保障整体服务的稳定;
故障自愈:如果遭遇拒绝服务 (Denial of Service, DoS) 等恶意攻击导致服务器故障,声网会自动隔离故障机器,保障服务不受影响;
DDoS 防范:声网在每个核心的云数据中心配置了Anti-DDoS 服务,同时在全球部署了两百多个分布式数据中心,以防范和控制 DDoS 安全风险。
5. 安全运营
安全是一个持续的过程,在实际安全运营中,声网基于自身业务特性,通过如下维度来开展。
5.1 安全开发生命周期管理 SDL
声网在软件开发生命周期中,嵌入了安全和隐私的相关要求,结合当前流行的 DevSecOps,让 SDL 流程更自动化,从而在原有的安全开发生命周期的基础上,更高效的进行安全和隐私的检查。
5.1.1 威胁建模
在设计和架构阶段,为了能够更早的发现风险,声网通过威胁建模来识别潜在的安全问题并实施响应环节措施。为了有效发现并解决设计阶段的潜在风险,声网参考 STRIDE 的威胁建模方法,主要聚焦攻击面最小化,基本隐私,权限最小化,默认安全,数据加密等。
5.1.2 CI/CD 黑白盒检测
声网在安全测试层面更注重 DevSecOps 崇尚的内置安全防护,且已在 CI/CD 层面进行了黑白盒工具的集成,包含开源代码扫描工具 SonarQube,组件及合规扫描商业工具 BlackDuck,App/Sdk 扫描工具 MobSF 等,从而完善在集成发布过程中的风险监测。
5.2 反入侵和安全监控
声网 RTE PaaS 的各类运算负载系统、业务应用服务每天都会产生海量的日志数据。在落实纵深防御以应对威胁的基础之上,安全团队也会在最小权限范围内采集用于安全分析的日志。基于这些日志,声网通过安全监控分析平台实时运算。对识别的安全异常事件,会及时告警,安全运营人员会进一步展开关联以及溯源分析复核;对确认的风险,会根据声网应急响应机制进行处置和追踪,以保障业务系统的安全性和可用性。
5.3 安全应急响应机制
声网基于自身 RTE 业务特性,对服务类型进行分类分级,系统性地安全评估和威胁识别,制定不同的安全事件分类标准,以及响应时效和处置流程,以确保及时有效地处理安全异常。
简要来说,声网安全团队对安全异常会进行如下环节处理:
5.4 业务连续性管理
低延时、高质量的 RTE 场景对声网 RTE PaaS 的可用性有着极高的要求,因此服务必须持续可用。为了保障声网能够 7 × 24 小时不间断地向开发者及用户提供 RTE 服务,声网组建了专业高效的运维管理团队来负责 RTE 服务的连续性支撑和管理。
5.4.1 监控
在业务服务和系统运行监控方面,声网建立了 7 × 24 小时的高效监控机制。通过统一搭建的监控工具,对各业务服务对应用、中间件、运算负载、数据库和网络设备等系统组件的运行状态和资源水位等指标进行事件监控和自动化告警,并联动消息机器人通知值班人员及时处置,尽早遏制异常扩散,以恢复服务,保证可用性。
此外,声网还对核心服务指标进行集中量化展示,通过监控看板的方式对总体服务情况进行监控,以便运维管理团队能对业务资源用量做出及时合理的扩容决策。
5.4.2 灾备与冗余
声网基础设施层,在网络结构、运算负载等方面充分考虑各种极端业务场景下的解决方案,自有核心 IDC 以冗余架构建设。为了进一步保障声网基础资源的可用性,继自有 IDC 提供 RTE 服务的基础上,通过选择头部公有云来进行补充,用于在突发情况下保障 RTE 的高可用。混合云模式的运维基础架构,是声网 RTE PaaS 服务高可用的重要保证。
5.4.3 连续性演练
声网为保障 RTE 重要业务系统持续有效运行,会定期对网络、运算负载、中间件、业务系统等开展应急演练,根据每次应急演练的效果及数据,复盘分析,以持续驱动关联的团队不断优化技术架构、流程和应急预案。
6. 安全文化
信息安全是一个系统性的工程,不仅需要公司战略层面的支持,也需要全体员工的参与,更离不开行业生态中的开发者、用户、第三方组织团体或个人的合作。声网在日常的运营和管理过程中,充分遵循这一原则。
6.1 安全组织
声网充分认识到信息安全在公司长期业务发展中的战略地位以及对业务发展的支撑作用,设立了独立的信息安全团队,负责声网安全能力的建设和完善。同时,声网还跨技术、管理、法务等团队组建了信息安全管理小组、安全合规隐私小组、安全内控小组、数据安全小组等虚拟组织,确保信息安全从公司战略层面能够全局统筹,安全政策能够有效的逐级传递,确保各项安全措施能贯彻落地。
6.2 人员安全
声网重视员工对开发者和用户服务以及对企业发展的影响与贡献,充分认识到人员安全在整体信息安全以及公司战略层面的重要性,在招聘、入职、培训、离职等流程,采取多种方式,确保成功入职的候选人品行端正,具备良好的职业道德和素养,符合声网的价值观,满足整体信息安全要求和业务发展的战略需要。
招聘
在候选人正式成为我们的新员工之前,声网会聘请专业机构对候选人的教育学历、过往工作经历和表现进行真实性确认。同时,对于特定岗位,我们会在地方劳动法或相关法律允许的情况下,对候选人进行犯罪、信用、移民等信息的检查确认。
入职
新员工在入职时,需学习员工安全行为规范,了解声网对员工在遵守公司信息安全管理的要求;同时,根据岗位要求,声网会同每一个员工签署了不同级别的保密协议。针对涉及重要数据或开发者及用户信息的岗位员工,会要求其签署最高级别的保密协议并充分理解其岗位的安全责任。
在职
在职员工,需参加在线的安全和隐私保护意识培训,包括 GDPR、HIPAA 等法规常识、日常办公安全意识教育,并通过培训学习后的考试。另外,声网会不定期组织开展内部安全隐私相关的活动,以不断提升全员的安全意识。
离职
离职员工须按照既定离职流程移交或关闭其物理及逻辑访问权限,声网将依照该员工签署的保密协议,审计其脱密期的执行情况,并明确告知其在离职后的信息安全保密责任;对于关键岗位,视情况签署竞业协议。离职员工在完成工作交接、数据清理,并通过审核后,方可离职。
6.3 安全合作
声网旨在为开发者及用户提供一套安全可信的 RTE 服务平台。对声网而言,我们在自身内部安全建设的基础上,已与 Trustwave 等多家第三方安全厂商合作,定期进行渗透测试,代码审查,逆向工程等来帮助声网发现线上应用、系统、服务以及 SDK 等层面的安全漏洞和各类潜在风险,从而提升声网整体服务安全性和系统健壮性。
同时,我们也非常重视与开发者、用户、安全研究社区、白帽子团队及个人的紧密合作,声网在官网、GitHub 官方账户创建了声网 Bug Bounty Program,来公开接收这些伙伴提交的安全漏洞或安全风险。为了感谢这些伙伴,我们特制定了 Bug Bounties 机制,对不同等级的漏洞给予奖励,具体标准可以参考:声网 Bug Bounty Program。
此外,邮箱 security@agora.io 也为安全伙伴提供额外的协作联系,有任何安全相关的漏洞、建议等,都可以通过它提交给我们,我们在此恭候各位合作伙伴的来信。
总结
为开发者提供合规、安全、可信的 RTE 平台,是声网所有架构和产品服务首要考虑的要素之一。声网从人员、技术、管理、流程等多个方面系统性推进信息安全政策的落地,履行监管合规义务,与行业客户以及第三方社区或团体个人紧密合作,同时积极探索新的技术,推进安全自动化、智能化,实现安全防护能力高效输出。
在日趋复杂的互联网环境下,技术迭代周期越来越短,新型攻击手段层出不穷,我们无时不刻都在面临各类安全威胁。为保障 RTE 服务的持续高可用,捍卫 RTE 末端用户的合法权益,声网恪尽职守,时刻待命。
声网将与开发者一起,帮助人们跨越距离实时互动,如聚一堂。