阿里云安全团队研发主管
在Kubernetes集群中,我们通常使用Secrets模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets对象数据存储在集群对应的etcd中。阿里云容器服务Kubernetes版(简称ACK)通过用户指定的KMS主密钥,对K8s集群Secrets进行落盘加密,用户只需要一键配置就可以实现对K8s集群的纵深安全保护。
支付宝开放平台的应用体系中,应用私钥是最核心的安全要素,使用阿里云KMS保护私钥不泄露,可以极大的提高应用和小程序的安全性,帮主应用开发者企业保障业务和资金安全。
当您的 ECS 工作负载用于处理生产数据时,它通常会接触到您的关键业务机密、您的客户隐私信息或者关键系统凭证,因此需要对工作负载进行保护防范信息泄露。阿里云 KMS 支持您通过一键加密的方式,围绕工作负载,保护计算环境中产生的临时和持久数据,满足您对数据安全、隐私以及合规的要求。 对负责运维和安全的团队来说,加密 ECS 工作负载的资源是 DevOps 研发模式下,简单而有效的安全兜底方案。
云上数据安全的挑战 数据是企业的生命,对数据提供必备的保护,就是保护企业的生命,因此数据安全是企业上云的刚需。 在原来传统的IT系统中,企业是将应用系统跟数据放在自己的IDC里,认为在这样的环境下其系统和硬件、数据安全是可控的。
阿里云访问密钥(Access Key)的轮转对于安全风险的防范(prevention)和缓解(mitigation)具有重要的意义,但是具有一定的运维成本。我们不希望因噎废食,害怕出现运维风险而永久使用同一个Access Key。
在文章合规与安全:阿里云与企业身份系统的集成中,我们介绍了阿里云与企业身份系统的集成,可以配置云账号下的子账号通过企业身份系统登陆。本文以Windows Server 2012 R2为例,介绍如何配置Microsoft AD作为阿里云的单点登录IdP。
在阿里云的产品体系中,提供了免费的访问控制(RAM:Resource Access Management)服务来满足企业的合规与安全需求。正如本博客的所有文章都提到的一样,我们希望和鼓励广大阿里云客户充分使用访问控制服务提供的功能,完善企业云上IT设施的安全管理。