零特权运维

在QingTian威胁假设与安全方法，我们假设云厂商内部人员也是一种潜在的攻击媒介，可能会通过逻辑访问方式或物理访问方式对租户数据安全造成潜在威胁。因此，QingTian系统引入“零特权运维”理念，通过技术最佳实践和运维安全管理相结合，最大化消除此类安全隐患。

• 零SSH权限：运维人员无法通过常规的远程登录方式获得对服务器的控制权，所有对服务器的运维操作均通过API方式进行，所有的运维管理API都有严格的身份认证、授权、记录和审计，这些API不支持为操作人员提供访问服务器上的客户数据。
• 零抓包工具：服务器节点的OS经过极致裁剪，去除了TCPDump等常用的抓包工具，避免租户的IO数据被监听或窃取。
• 零内存权限：通过QingTian自研的内存管理组件VRAM独立管理虚拟机的内存，不支持通过传统的virsh dump方式导出内存。

这些技术限制内置于QingTian系统本身，具有最高权限的系统管理员也无法绕过这些控制和保护。由于禁用了常规的登录访问功能，生产环境不支持就地调试。无法就地调试会给技术人员带来不便，但我们坚信这对我们的客户来说是更好的权衡。因此，我们必须在生产发布之前保持高标准的系统质量和测试。

云基础设施安全还依赖于多个关键系统的根密钥保护。根密钥保护需要应对各种威胁媒介，包括来自拥有最高权限的内部人员的潜在威胁。仅依赖单一硬件加密机的根密钥保护技术因为存在单点安全失效问题，不足以应对日益严峻的攻击挑战。QingTian 系统采用以下方法和措施来实现对关键系统密钥的保护：

• 门限数字签名：部分关键系统采用门限数字签名算法对签名密钥进行拆分，并在拆分后将原始密钥彻底销毁。拆分后的N个密钥分片由多个独立节点分别持有，其中任意T个计算节点可以按照门限签名协议协作完成对一个消息的签名，而少于T个节点则无法进行签名。签名过程中自始至终不会出现完整密钥，且没有任意单点持有完整密钥。这种方法不仅提升了密钥管理的安全性，还提升了系统的可用性。
• 多重密钥材料：部分关键系统采用多重数字签名技术（依赖多个签名密钥）来实现防篡改。另有部分系统则基于多个独立的密钥材料合成数据加解密密钥。每个独立的签名密钥或密钥材料由安全硬件提供保护，避免攻破单一密钥所导致的系统性安全风险。
• 密钥不可导出：工作密钥使用硬件身份公钥加密后被导入QingTian Cards内置的硬件密钥保护模块中，不可以明文的方式再被导出硬件，仅能通过模块API以受限的认证和授权方式被使用。
• 密钥快速轮转：系统严格保证密钥的轮转周期与其使用频率呈反比，对于被高频使用的工作密钥（如终端实体证书密钥）实现小时级轮转。
• 租户级密钥隔离：系统为不同租户分配完全独立的随机密钥材料，并基于此进行租户级密钥派生。派生后的密钥仅对单租户有效，避免攻破单一密钥材料所导致的全局性安全影响。

密钥保护问题一直以来都是一个开放的挑战，我们持续将关注最新的密码学技术进展（如门限密码学技术），率先在云工程最佳实践中引入这些新技术来提升安全门槛，并刷新当前的工程安全最佳实践。