《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(上)

本文涉及的产品
数据安全中心,免费版
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(上)

3.3.2 云上数据信息安全

 

3.3.2.1 云上数据安全需求分析


《刑法》第286条规定网络服务提供者不履行法律、行政法规规定的信网络安 全管理义务,经监管部门负责令采取改正措施而拒不改正的行为,具有“致使违法信 息大量播”的情形,“致使用户信息泄露,造成严重后果”的情形,“致使刑事案件 证据灭失情节严重”的情形,“有其他严重情节”的情形均构成犯罪。无论是处于法 律法规,还是人们对于隐私的保护,社交媒体平台对信息安全保护的重要性是不言而 的。


云上安全问题本质上都是由线下传统安全问题衍生而来的,但由于云计算平台的 相对开放性又引入了新的安全风险。例如,虚拟机逃逸造成新的安全威胁,原本封闭 IDC需要开放的通道而造成防护边界模糊,本地的身份认证系统与云上集成的风 险,云产品配置错误或云账号AccessKey使用不当导致的数据泄漏风险,因缺乏专业 云安全运营人员导致云上安全防护形同虚设等风险。

 

3.3.2.2 云上安全防护体系

 

3.3.2.2.1 迁云安全设计


用户在拟向云计算平台迁移或部署其业务和数据时,应选择通过第三方安全审查 或认证的云服务商,确保其满足云计算安全服务能力和合规能力的要求。企业应对各 需要IT支持的业务和流程进行投入产出比(ROI)分析,而风险与收益的评估也同 样重要,还应考虑合规和隐私保护的影响。


云上安全防护策略是企业上云和云上资产管理的起点,提前定义完善的防护策略 将显著降低被攻击或数据泄漏的风险。云上安全防护策略应考虑组织规模、组织业务 安全需求、防护目标、防护边界、合规和法律等因素。在评估得到要部署的云上业务 形态,即需要分析和定义云上资产。

 


3.3.2.2.2 云上安全防护体系原则及框架


1、云上资产访问和管理应遵从以下云上安全原则:


•网络隔离(纵深防御):通过云产品的安全隔离和访问控制功能,实现网络、 统、应用和数据不同维度的隔离以实现纵深防御


•认证授(最小权限):仅授权使用者必须的云账户和子账户权限,并开启双因 素认证措施和关键操作二次认证能力。


•安全加密(开启加密措施):通过传输加密和存储加密措施实现数据在云上全程 密。


监控告警:通过日志和监控措施及时发现配置变动、异常登录和操作、数据泄 及异常攻击等。


阿里云提供了全面的安全基础设施能力,覆盖虚拟化安全、主机安全、应用安 全、数据安全、业务安全以及各种监控审计措施的云盾系列安全产品,满足云上安全 合规和风控需求。其中,以账户为核心的身份认证措施是云上安全的核心,正确地设 置云账户能消除大部分安全风险;以加密为基础的防护措施是云上安全的基石,正确 使用KMS能降低数据泄露的风险。下面主要介绍阿里云访问控制(RAM)和密钥 理服务(KMS)最佳实践。


2、阿里云提供了以下两类身份认证服务:


•云盾应用身份服务IDaaS(Alibaba Cloud Identity as a Service,简称IDaaS) , 是阿里云为企业用户提供的一套集中式身份、权限、应用管理服务,帮助用户整合部 署在本地或云端的内部办公系统、业务系统及三方SaaS系统的所有身份,实现一 账号打通所有应用服务。


•访问控制(Resource Access Management简称RAM)是阿里云提供的一项管 理用户身与资源访问权限的服务,RAM是阿里云资源认证的核心。


3密钥管理服务(Ke1Management1Service,简称KMS)是云上数据安全的核 心,提供密钥的安全托管、密码运算等基本功能,内置密钥轮转等安全实践,同时支 持其他云产品通过一方集成的方式对云产品管理的用户数据进行加密保护。主要提供 下两种能力:

 

主密钥在线加解密:用户可以直接调用KMSAPI,使用指定的用户主密钥 (CMK)来加、解密数据。这种场景适用于少量(少于6KB)数据的加解密,用户的 数据通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后 通过全信道返回给用户。


封本地加解密数据:用户可以直接调用KMSAPI,使用指定的用户主密钥 (CMK)来产生数据密钥,并自行使用数据密钥在本地加解密数据。这种场景适用于 大量数据的加解密,用户无需通过网络传输大量数据,可以低成本的实现大量数据的 加解密。





《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(下) https://developer.aliyun.com/article/1232339?groupCode=supportservice

相关文章
|
9天前
|
运维 Kubernetes Cloud Native
云原生技术:容器化与微服务架构的完美结合
【10月更文挑战第37天】在数字化转型的浪潮中,云原生技术以其灵活性和高效性成为企业的新宠。本文将深入探讨云原生的核心概念,包括容器化技术和微服务架构,以及它们如何共同推动现代应用的发展。我们将通过实际代码示例,展示如何在Kubernetes集群上部署一个简单的微服务,揭示云原生技术的强大能力和未来潜力。
|
17天前
|
运维 持续交付 API
从零构建微服务架构:一次深度技术探索之旅####
【10月更文挑战第28天】 本文记录了作者在从零开始构建微服务架构过程中的深刻技术感悟,通过实战案例详细剖析了微服务设计、开发、部署及运维中的关键要点与挑战。文章首先概述了微服务架构的核心理念及其对企业IT架构转型的重要性,随后深入探讨了服务拆分策略、API网关选型、服务间通信协议选择、容器化部署(Docker+Kubernetes)、以及持续集成/持续部署(CI/CD)流程的设计与优化。最后,分享了在高并发场景下的性能调优经验与故障排查心得,旨在为读者提供一套可借鉴的微服务架构实施路径。 ####
55 3
|
28天前
|
边缘计算 Cloud Native 安全
构建灵活高效的下一代应用架构 随着企业数字化转型的加速,云原生技术正逐渐成为构建现代化应用程序的关键支柱。
随着企业数字化转型加速,云原生技术逐渐成为构建现代化应用的关键。本文探讨了云原生的核心概念(如容器化、微服务、DevOps)、主要应用场景(如金融、电商、IoT)及未来发展趋势(如无服务器计算、边缘计算、多云架构),并分析了面临的挑战,如架构复杂性和安全问题。云原生技术为企业提供了更灵活、高效的应用架构,助力数字化转型。
62 4
|
7天前
|
存储 分布式计算 关系型数据库
架构/技术框架调研
本文介绍了微服务间事务处理、调用、大数据处理、分库分表、大文本存储及数据缓存的最优解决方案。重点讨论了Seata、Dubbo、Hadoop生态系统、MyCat、ShardingSphere、对象存储服务和Redis等技术,提供了详细的原理、应用场景和优缺点分析。
|
1月前
|
缓存 Java 数据库
后端技术探索:从基础架构到高效开发的实践之路
【10月更文挑战第7天】 在现代软件开发中,后端技术是支撑应用运行的核心。本文将探讨如何从后端的基础架构出发,通过一系列高效的开发实践,提升系统的性能与可靠性。我们将深入分析后端框架的选择、数据库设计、接口开发等关键领域,并提供实用的代码示例和优化策略,帮助开发者构建更稳定、高效的后端系统。通过这篇文章,读者将获得关于后端开发的全面理解和实践指导,从而更好地应对复杂项目需求。
70 0
|
9天前
|
监控 API 微服务
后端技术演进:从单体架构到微服务的转变
随着互联网应用的快速增长和用户需求的不断演化,传统单体架构已难以满足现代软件开发的需求。本文深入探讨了后端技术在面对复杂系统挑战时的演进路径,重点分析了从单体架构向微服务架构转变的过程、原因及优势。通过对比分析,揭示了微服务架构如何提高系统的可扩展性、灵活性和维护效率,同时指出了实施微服务时面临的挑战和最佳实践。
28 7
|
7天前
|
传感器 算法 物联网
智能停车解决方案之停车场室内导航系统(二):核心技术与系统架构构建
随着城市化进程的加速,停车难问题日益凸显。本文深入剖析智能停车系统的关键技术,包括停车场电子地图编辑绘制、物联网与传感器技术、大数据与云计算的应用、定位技术及车辆导航路径规划,为读者提供全面的技术解决方案。系统架构分为应用层、业务层、数据层和运行环境,涵盖停车场室内导航、车位占用检测、动态更新、精准导航和路径规划等方面。
38 4
|
26天前
|
Kubernetes Cloud Native 持续交付
云端新纪元:云原生技术重塑IT架构####
【10月更文挑战第20天】 本文深入探讨了云原生技术的兴起背景、核心理念、关键技术组件以及它如何引领现代IT架构迈向更高效、灵活与可扩展的新阶段。通过剖析Kubernetes、微服务、Docker等核心技术,本文揭示了云原生架构如何优化资源利用、加速应用开发与部署流程,并促进企业数字化转型的深度实践。 ####
|
8天前
|
Kubernetes Cloud Native 持续交付
云原生技术在现代应用架构中的实践与思考
【10月更文挑战第38天】随着云计算的不断成熟和演进,云原生(Cloud-Native)已成为推动企业数字化转型的重要力量。本文从云原生的基本概念出发,深入探讨了其在现代应用架构中的实际应用,并结合代码示例,展示了云原生技术如何优化资源管理、提升系统弹性和加速开发流程。通过分析云原生的优势与面临的挑战,本文旨在为读者提供一份云原生转型的指南和启示。
24 3
|
10天前
|
网络协议 数据挖掘 5G
适用于金融和交易应用的低延迟网络:技术、架构与应用
适用于金融和交易应用的低延迟网络:技术、架构与应用
38 5