开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:1-基础设施安全-1-云上安全基础防护知识-ACA-2-阿里云产品安全(上)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18863
1-基础设施安全-1-云上安全基础防护知识-ACA-2-阿里云产品安全(上)
内容介绍
一、云产品安全-云服务器ECS
二、云产品安全-对象存储OSS
本小结学习里云云产品提供的产品相关的安全服务。
一、云产品安全-云服务器ECS
首先第云产品就是的云服务器ECS,云服务器ECS是虚拟计算环境,很多的业务都是运行在云服务器ECS里面,所以ECS的实例包含了CPU、内存、操作性、磁盘、带宽等等最基础的服务组件。
用户对所创建的实例,拥有管理员权限,可以登录,并进行使用和管理,可以在的实例上进行一些基本操作,比如说挂载磁盘,创建快照,创建镜像,部署网站的一些环境等等。
那针对于的云服机ECS来讲,提供的相应的安全服务也是比较多的,首先服务器和服务器之间会涉及到隔离,也就是租户隔离里面提到了CPU的隔离,内存的隔离,因为的云服务器ECS,其实是虚拟服务器要落在的物理服务器里面,就是大家的虚拟服务器都在一台物理机器,这个时候这一台物理服务器里面承载了多个虚拟服务器,虚拟服务器之间互相的隔离就涉及到了那个CPU的隔离,内存的隔离,存储隔离,网络的隔离,当然还有就是专用速度机。
专用速度机就是把这台物理服务器承租下来,这台物理服务器是放在阿里云机房里的,但是使用者是用户整体承租下来,外人勿用。这台高配的物理服务器100来核,几百G内存,比如说36核,128G内存的物理服务器,就是整个承租的范围了,那的ECS只落在自己里面,不和其人共享物理服务器,这是这有服务器特殊的服务。
第二个,就是网络安全,网络安全这里提到了就是安全组合防护墙。租户隔离,提到了CPU隔离,CPU隔离是基于硬件虚拟化技术,就是Intel的这个VT-X,用自己的笔记本电脑的时候,承包系统的时候进BOS界面可能会看到VT-X是否开启就是硬件的虚拟化技术,然后Hypervider,通过提供相互隔离的计算通道,控制信机与主机资源进行交互,内存隔离,使用了硬件辅助的扩展列表来确保迅息之间无法互相访问对方的内存,所有的内存会被Hypervider清零。
储隔离,整体的ECS云服务器是计算于存储分离的架构,分离设备驱动模型,磁盘空间那将会被可靠的清理,并且ECS磁盘也有落盘加密,这里包括了镜像加密和从ECS实例传输到云盘的数据加密。网络隔离,就是每个逻辑虚拟网络所有的其的虚拟网络之间都进行隔离,那利用了阿里云的APC和安全组防火墙,那发往某个虚拟机的报文只会送到这个虚拟机的虚拟网卡对应的虚拟交换机的对应端口上来,做到了网络的隔离。
网络安全刚提到了的这个安全组防火墙,提供了状态的检测和数据包过率,分为普通安全和起业安全组,企业安全组,相应的一些力度,控制的更细一些,然后,还有就是防IP,MAC,ARP欺骗功能,在数组机的数据量层和隔离由路由服器向外发起日常的协议向外访问并阻断云服务器。MAC,ARP欺骗是在数组机的网络层防止云服务器的ARP欺骗。
高可用性,提供了实力的单实力,99.975的可用性,之前也提到了,跨AZ就是跨可用区,可以达到99.995的可能性的标准,而负载均衡,就提供了整个集群,提供了ECS的集群的能力,消除故障,同时数据的高可靠性来讲,镜像文件,快照等等均是三副本的存储,包括ECS磁盘也是三副本存储,同时也拥有了故障的自动迁移能力,保护数据服务器,当发生了物理服务器发生故障的时候,可以自动的进行迁移,然后就镜像安全这里,提到ECS快照和ECS的安全的镜像,快照其实就是保留某个时间节点上数据的状态,用于做数据备份或者制作镜像来用,然后安全镜像,就是集成了已知的目前高危的一些漏洞的补丁,当发生新的高危漏洞的时候,会迅速的更新镜像,也就是在购买新的镜像的时候,自动的把一些高危的这个漏洞已经打好了,这是动态更新的,而以前用到的的镜像已经用了,就没有办法去动态去打了,这时儿怎么办?有云安装中心,可以手动的去打补丁,或者自动的通过云安全中心去打补应,然后还有就是加密镜像,ECS磁盘加密以后,制作的快照也是加密快照,制作的镜像,也是加密镜像。这是将镜像进行加密,没有密码是没有办法使用的。
访问控制,在刚刚的这个业务安全里面,就是通过IM,STS,SSH密钥对以及实例决策,还有这个实力决策等等进行访问权限的控制。补丁热修复,就是通过补丁热修复,可以进行这个修复,通过这个技术,进行这个将系统的缺陷或者漏洞,在修复过程中,用户不需要重启的系统,热修复,在企业业务的运行过程中,自动的就修复好了,这是的ECS的那个产品的安全。
二、云产品安全-对象存储OSS
对象存储oss这款云产品的安全能力,对象存储OSS是一款海量安全高可靠的云存储服务,存的是对象文件,那这里提到对象存储,这个对象是什么,跟简单的解释一下,存储的文件,分为两种,通过文件这个数据来看,就是一种叫结构化数据,一种叫非结构化数据,结构化数据,说的就是像数据库里面的这种库文件,数据库的这种表格等等库表结构,是有相对的一些关系的,这个叫做结构化文件,能看出来这个文件的结构,而非结构化文件,缺结构化数据,说的就是的图片,音视频,这种非结构化,同样一张图片,这个图片和图片之间对吧,相关的一些关系的事,比如照片,和朋友的照片,是好朋友,那这种其实在照片上是没有体现的,所以这种叫非结构化数据,是没有相关的这种依存结构的,就是单独的文件,所以叫非结构化。
而对象存储,存的就是海量的图片,音视频,这种文件,安装包等等,oss对象存储,它是支持rECSt API平台的无关性容量和处理能力的弹性扩展,按实际容量付费的特点,使用的用户,专注于核心业务,因为服务器,磁盘存储图片音视频大量的文件都会造成经常会困扰的问题,就是磁盘退出码,造成业务的无法对外提供服务,以至于业务的崩溃等等,而这种云产品,对应存储OSS,对用户来讲是无限的存储,因为其实存储是有有这种空间限制的,因为肯定是放在物理服务器上,但是换思路来看,就是物理服务器是由阿里云的云服务商提供的,直接用就好,不用关心整个阿里云的oss,有多少空间,只要用就要给提供相应的存储空间,所以对用户来讲,海量,是无限空间无限去使用的这么存储服务。
对于这个存储服务来讲,因为存储的是数据,所以说对于数据,只要用数据,用数据是有身份和访问的控制,第二个就是用数据,什么时候想用就能用,也就是数据的高可用性,还有就是这么多用户去用的数据,要租户的隔离,然后就是既然用数据,谁用的数据,数据如何去用的,就要有日志和记录,然后就是访问的安全,不可能说让谁都可以用,都免费去用等等,全部公开了,有些数据还有一些隐私的,比如说一些图片、音视频是放在自己网站上的,不希望别人去用,不希望别人去盗的图片等等,就有访问安全,以及说这个数据的加密的情况,这里就提到了首先第一,身份与访问的控制,谁用的数据这个有身份的认证,刚刚提到了阿里云OSS可以使用作为身份认证,因为经常用oss的使用方法,就是通过RESful API,也就是阿里云给提供open API来做,这个时候做身份认证的时候,最常用的就是APSK了,来做身份认证凭证,对每个非匿名的API访问进行访问需求的认证。访问身份的认证,然后访问控制,对oss访问资源,进行这个应用者的访问,还有第三方用户的访问,还有就是匿名访问,代签名访问等等,首先阿里云的oss,提供了这个多种的权限控制,包括ACL访问控制,包括这个IM的这个权限,包括bucket的权限等等,权限分为了比如说公共读写,公共读和私有三种权限,在创建这个Bucket的时候,就要设置的权限了,公共读写说的就是匿名用户都可以对bucket,包括里面的内容,进行一些读写的操作,然后公共读,就是匿名用户可以读,但是不能写,写需要进行身份的验证码,然后私有,就是无论是读和写都要进行这个权限的认证,然后这个对于那个object来讲,还多了叫做defect,这个defect,说的就是跟随的这个object是存在bucket里的,所以object跟随的用户上传权限的时候,用户上传object的时候如果设置成bucket权限是一致的,然后IM和STS,IM刚刚提到了,是将云账号下的OSS资源的访问及管理权限授予给了的IM这个子用户IM里面的用户,而使用STS服务以后,就可以通过临时的访问凭证来进行权限的管理,也就是临时的设备,应用,想要访问的oss,会临时给token,基于这个token,去临时访问的OSS,这token是有有效期的,比如说是一次,或者说只能访问一次,第二次这个token就失效了,每次都申请新的token,或者说在多少秒,多少分钟内这个token是可以用的等等,这是STS,整体来讲就是的那个身份与所用控制了。
高可用性,这个是非常重要的,因为的数据存在oss里,不希望说什么事,想用的时还得看oss的情况,OSS不能用业务就行了,所以说高可用性是非常重要的,是基于这个多可用区,叫多AZ的机制,可以将用户的数据分散到同地域下三个可用区,那数据的可靠性,可以达到12个九,而数据的可能性达到了99.95,同城级的用于容灾,提供了机房期的容灾能力,然后租户隔离,和刚才ECS类似,也就是提供了用户数据,首先进行切片,然后打上用户的标签,然后离散存储在分布式文件系统,也就是盘古里面,然后用户认证,采用AK的这种认证方式,对于每个请求的验证签名通过以后,根据用户的标签重组离散的数据。然后将这个完整的数据再返回给的用户,然后日志和记录,也就是提供了访问日志的能力,其实阿里云下很多产品,可以说是每一款产品都提供了日志的能力,提供了日志存储,Oss本身是做存储的,所以也提供了日志存储的功能,bucket的拥有者可以为所拥有的bucket开启和日志记录的功能,这个日志实时的查询,允许用户所在OSS平台的查询oss访问的情况,并且做到合规保留,支持OWRM,也就一次写入多次读取的特性,允许用户以这种不可删除,不可抗改的方式来保存使用数据,针对这种存储空间bucket设置基于时间的合规策略要求,因为有些合规,比如说存储十年,存储15年等等,还有也支持的这是版本控制,也就是同文件名的数据多次存储的时候,对数据的覆盖和删除的操作,可以历史版本的形式保存下来,而不是说删掉就没了,然后刚刚也提到了访问的安全,访问安全就支持attp的head中的这个标头的字段防盗链,并不是说所有用户比如说都能访问的这个图片,比如图片是部署在了的网站上想访问这个图片,必须基于这个网站的访问来做到,其余的这个网站想盗用链接,盗用图片是盗不了的,然后还有跨域访问的安全操作,然后数据加密,跟ECS一样支持服务器端的加密,在服务器端上传的数据进行这个加密,并且客户端也可以进行加密,用户数据在发送给远端服务器之前就完成了加密,而加密所用的这个铭文,是保留在用户的本地,这是对象存储oss整体提供的云产品安全的能力。
以上就是本小节的全部内容。