互联网企业如何构建安全可信的云上数据存储

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
云数据库 RDS MySQL,高可用系列 2核4GB
简介:    “ 使用云服务,我的数据安全吗?”     云计算已经进入了高速发展的阶段,公共云技术和业务架构方式被越来越多的企业级用户接受,从最初的游戏、在线音视频、移动App等互联网应用,到金融、教育、工业制造、政府机构等越来越多的偏传统机构的数字化转型进程蓬勃发展。

    使用云服务,我的数据安全吗? 


    云计算已经进入了高速发展的阶段,公共云技术和业务架构方式被越来越多的企业级用户接受,从最初的游戏、在线音视频、移动App等互联网应用,到金融、教育、工业制造、政府机构等越来越多的偏传统机构的数字化转型进程蓬勃发展。然而初次接触公共云服务的用户,通常最先关注的一个问题,就是使用云服务,我的数据安全吗

    以下小编以阿里云RDS(关系型数据库服务)为例,来分析一下,阿里云是如何进行全链路安全设计,进而保障用户数据安全的;

01


阿里云RDS全链路安全设计

8b97016ee9d90d1c508905384615450a532cfa06



跟据数据在业务系统里流转的途径和时序,可以从两个维度来对数据安全机制加以描述。数据链路维度,通过从存储层到接入层的全链路安全设计、通过安全加密和隔离技术让数据安全在每个环节都得到技术保障;业务处理事前、事中、事后的视角,则帮助企业级应用建立科学的数据安全管理制度;以下通过用户最关注的几个层面,来分析阿里云RDS如何提供数据安全保障;


02


数据存储与传输安全


    数据存储和传输的安全机制,是对数据安全最核心的保障,除了安全技术的选择,从安全机制设计上,也必须保障即便是存储和网络的运维管理人员,也无法窥探到用户数据。阿里云的数据安全传输和存储机制,通过了最严格的德国C5、及新加坡MTCS最高安全评级认证,以下简单介绍传输和存储的安全机制:


5e5897c8e51fc442541450c0f0501b585914e948

1、  传输安全 SecuringData in Motion

  • 内外部数据全链路加密

  • 防止数据在传输时被窃取,最高支持TLS v1.2

  • 可强制使用SSL(CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)

  • 无需配置和管理证书,即开即用

2、  存储安全 SecuringData at Rest

  • TDE 支持数据库表级别存储加密(Encrypting InnoDB Page

  • 云盘版已推出实例级存储加密(Encrypting Storage

  • OSS中的备份数据双层加密(InnoDB & Object

  • 密钥(Data Key)保存在KMS中,支持BYOK

  • 一键开启,对应用透明、对存储性能影响严格受控


03


访问控制


1、全链路的访问控制

    既要保障足够的安全,又要保证灵活的授权合法访问,公共云服务的访问控制策略,既保留了传统DBA的传统武功、又赋予了云计算特有的独门兵器;

  • 在数据库层面,支持通过传统sqlDMS(阿里云数据库管理控制台)管理对指定库表、指定源IP的访问权限;

  • RDS实例层面,通过RAM机制形成API粒度的权限控制,控制对实例的访问、登录、修改权限,对于实例数量较多的大型组织,提供通过标签或资源组的批量授权方式也可以通过VPC和安全组制定业务级或BU级的更大范围的访问控制;

  • 阿里云同样提供金融级堡垒机服务,使用阿里云数据库服务,可以实现比传统IDC自建方式更加完善和灵活的访问控制策略。


a94653d112063c69da5f483d933d8956b5d89200

2、  多级授权RAM

  • 基本原则,不论是用户调用云产品、还是云产品相互调用,都需要经过资源所有者授权;

  • 阿里云ABAC授权模型,可以最大灵活度满足授权要求。

例如:

条件1,允许释放杭州regionRDS实例(传统ACL控制方式);

条件2,允许释放杭州region带有“测试”标签RDS实例;

条件3,要求操作人员必须经过二次验证、并要求在指定C网段发起请求时,才能允许释放杭州region带有“测试”标签RDS实例

650bd5c18520632a5724d252c1c04a829153efce


04


安全审计


    云服务厂商的统一管理为规范审计带来了先天优势,阿里云针对数据库服务提供两种安全审计服务:

    一种是通过RDS服务的代理层实现的数据库审计,在DMS(数据库管理控制台)展现,主要用于数据库问题的追溯与排查,能够从“人、库、表”维度对执行sql、库表同步、配置变更、安全规则等进行全面审计,确保对于企业核心数据的任何操作可追溯到时间和人(DMS sql审计已经升级为sql洞察,成为数据库运行效率诊断分析专家系统);

    而对于数据资产管理及合规性有更高要求的用户,阿里云也有一个独立的数据库审计服务,除了更加全面的sql审计能力,也包括合规必须的用户行为发现审计、多维度线索分析、异常操作实时报警、及各种精细化(合规)报表功能。

两种数据库审计方式都是通过旁路部署、不影响数据库运行效率,可实现99%+的应用关联审计、完整的SQL解析、精确的协议分析;同时提供高效的分析手段,每秒万次入库、亿级数据秒级响应。配合以阿里云全链路的访问审计(网络边界、运维操作、系统及应用、账号权限、安全审计等),让任何损害企业数据资产的行为无可遁形。 

53b9a91f0d1c9857a1545f7dd98c4ae0e4505b6b


05


安全资质

1f29e19959c2fc659d5d27741fcb81752233e945


    
阿里云作为全球Iaas市场第三名、亚洲第一云计算品牌,国内市场份额超第2-5名总和;特别是在政府、金融、及传统企业应用方面国内遥遥领先。在Gartner2018年全球数据库魔力象限评选中,阿里云第一次进入全球远见者(Visionaries)象限,是这一评选自2013年推出后第一次有中国的科技企业入选,也是对阿里云数据库服务及数据安全管理的高度认可;


ed9e990beef23838e88e32f2620cb19e393f8524


      2009年成立之日起,阿里云就将安全和数据隐私视为生命,保护客户数据隐私是阿里云的第一原则。2015年,阿里云率先发起“数据保护倡议”——“数据是客户资产,云计算平台不得移作它用,并有责任和义务帮助客户保障其数据的私密性、完整性和可用性”。据悉,这是中国云计算服务商首次定义行业标准,针对用户普遍关注的数据安全问题进行界定。


a4af1cfd8d65d9d81a4f563be6533c0bd864cb45

目录
相关文章
|
12天前
|
存储 监控 安全
|
2月前
|
监控 安全 网络安全
云计算与网络安全:构建安全的云端未来
在当今这个数字化时代,云计算已成为推动技术创新和服务交付的重要力量。然而,随着云服务的普及,网络安全和信息安全的挑战也日益凸显。本文探讨了云计算的基本概念、面临的安全威胁以及采取的防护措施,旨在揭示如何通过先进技术和管理策略确保云环境的安全性。通过对现有技术的分析,本文展示了保护数据和基础设施免受网络攻击的可能性和重要性,为未来的云安全提供了方向。
39 1
|
1月前
|
存储 安全 网络安全
云计算与网络安全:构建安全、可靠的云服务生态
【10月更文挑战第7天】 在数字化时代,云计算已成为企业运营的核心支柱。然而,随着云服务的普及,网络安全问题也日益凸显。本文将探讨云计算与网络安全的关系,分析云服务中的安全隐患,并提出相应的解决方案。通过深入剖析云计算的发展趋势和面临的安全挑战,本文旨在为企业构建安全、可靠的云服务生态提供指导。
52 0
|
4月前
|
云安全 安全 网络安全
云安全合规:构建可信云环境的基石
自动化与智能化:随着人工智能、大数据等技术的不断发展,云安全合规将越来越趋向于自动化和智能化。通过引入自动化工具和智能算法,企业可以实现对云环境中安全风险的实时监测、预警和处置,提高合规效率和准确性。 综合化治理:未来的云安全合规将更加注重综合化治理。企业需要构建全方位、多层次的安全防护体系,将合规要求融入到业务规划、架构设计、系统开发、运维管理等各个环节中,实现全生命周期的安全合规管理。 标准化与规范化:随着云安全合规的不断发展,相关标准和规范将逐渐完善并趋于统一。这将有助于降低企业在实施云安全合规过程中的成本和难度,提高合规效率和质量。 国际合作与交流:面对全球化发展的挑战和机遇,各国政府
248 6
|
6月前
|
存储 安全 网络安全
云端防御:构建弹性云计算环境中的网络安全体系
【5月更文挑战第19天】 在当今数字化时代,随着企业逐渐迁移至云计算平台,数据和服务的安全性变得至关重要。本文深入探讨了如何在弹性云计算环境中构建一个坚固的网络安全体系。首先,文中概述了云服务的基本类型及其安全挑战;随后,详细分析了当前网络威胁的面貌以及它们如何影响云服务;最后,提出了一套综合性策略,旨在增强身份认证、数据加密、入侵检测及事件响应等方面的能力,确保云服务的信息安全。
|
6月前
|
存储 安全 网络安全
云计算与网络安全:构建安全可信的云服务环境
【4月更文挑战第22天】 随着云计算技术的迅猛发展,企业和个人越来越依赖云服务来处理和存储数据。然而,数据泄露、非法访问和服务中断等安全威胁也随之增加,这要求我们必须在云服务模式中融入更为高效和创新的网络安全措施。本文将探讨云计算环境下面临的主要安全挑战,分析现有安全技术的优势与局限性,并提出一系列策略建议,旨在为构建一个既灵活又安全的云计算服务平台提供参考。
|
云安全 存储 安全
深入解析云计算与云安全:构建安全可靠的云环境
本篇深入解析了云计算的基础知识与优势,以及云安全的概述与挑战。我们首先介绍了云计算的定义、不同类型的云服务(IaaS、PaaS、SaaS)及其优势,强调了云计算在降低成本、提高灵活性和全球化便捷性方面的重要作用。
952 0
|
存储 云计算
阿里云产品体系分为6大分类——云计算基础——存储服务——混合云存储
阿里云产品体系分为6大分类——云计算基础——存储服务——混合云存储自制脑图
186 1
阿里云产品体系分为6大分类——云计算基础——存储服务——混合云存储
|
6月前
|
Web App开发 云安全 监控
企业SaaS应用加速网络场景最佳实践
企业分支通过SAG接入阿里云SDWAN网络,企业本地员工能够通过阿里云SDWAN应用加速线路实现加速访问SaaS服务,目前方案只支持office365、salesforce、ZOOM,后续会考虑加速逐步增加其他三方应用。
209 0
企业SaaS应用加速网络场景最佳实践
|
云安全 弹性计算 人工智能
云上太空舱:在可信的环境中,让数据安全流通
作为数字经济时代的重要构成,数据已经拥有过去的种子、钢铁、服务、技术等作用,作为制造或生产产品,不可或缺的生产资料。
328 0
云上太空舱:在可信的环境中,让数据安全流通