《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(下)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
对象存储 OSS,20GB 3个月
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
简介: 《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(下)

《云上社交行业技术服务白皮书》——第三章 云上社交典型场景与架构——3.3 社交安全——3.3.2 云上数据信息安全(上) https://developer.aliyun.com/article/1232340?groupCode=supportservice



3.3.2.2.3 云上数据生命周期管理


敏感数据主要包括客户资料、技术资料、个人信息等高价值数据,这些数据以不 同形式存在于资产中。敏感数据的泄露会给企业带来严重的经济和品牌损失。因此数 全是云上数据的核心能力,我们建议根据《数据安全能力成熟度模型》  (Data security capability maturity model,简称DSMM),将数据按照其生命周期分阶段采 用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处 理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程 术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个 等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级, 形成一个三维立体模型,全方面对数据安全进行能力建设。阿里云建议云上数据安全 参考DSMM进行安全防护,制定数据安全策略,通过组织、人员和技术推动数据 落地。


具体操作,请参见《阿里云企业上云数据安全最佳实践》  (https://www.ali- yun.com/acts/best-practice/preview? id=105355&aly_as=526Yy-z)。


1、数据采集安全


数据分类分级是数据安全工作的源头,良好的数据分类分级能极大提高数据安全 工作的准确性。阿里云敏感数据保护系统(SDDP)能够自动检测MaxCompute、关系 据库(RDS)和对象存储(OSS)中存储的敏感数据,自动扫描资产的海量数据并快快速发现和定位敏感数据,追踪敏感数据的使用情况,并根据选择的安全管理规则, 系统化的数据总览图,以确保实时了解资产数据的安全状态。此外,DataWorks 以及MaxCompute也支持数据的分类分级和打标工作。


2、数据传输安全


阿里云产品控制台访问均通过HTTPS加密。各产品均对外提供加密的HTTPS EndpointAPI调用,全链路通信进行SSL/TLS安全加密处理。强烈建议SLB CDNOSSRDSMaxComputeDatahub用产品开启链路加密功能。


3、数据存储安全


落盘加密主要指数据以加密的状态落盘存储,其中又分为默认服务密钥落盘加密 和自选秘钥加密,其安全强度逐次增强。阿里云ECS云盘、RDS  for  MySQL、RDS for SQLSever、OSSRDS for PostgreSQLNASMaxComputeTableStore 产品均提供了存储加密能力。


•云服务器ECS中的云盘:支持服务密钥和BYOK密钥落盘加密

•云数据库MongoDB版:支持TDE服务密钥落盘加密

•云数据库RDS for MySQL:支持服务密钥和BYOK密钥落盘加密

•云数据RDS for SQLServer版:支持服务密钥和BYOK密钥落盘加密

•云数据库RDS for PostgreSQL云盘版:支持服务密钥和BYOK密钥落盘加密

•通用件存储(NAS):支持服务密钥落盘加密 OSS:支持服务密钥和BYOK密钥落盘加

MaxCompute:支持项目(Project)级别与表(Table)级别加密,支持服务密钥和 BYOK密钥落盘加密(即将上线)

•表格存储(TableStore):支持服务密钥和BYOK密钥落盘加密(后者即将上线)


4、数据处理安全


阿里云不同产品提供了不同层次的数据处理安全能力。例如,MaxCoumpute和 Dataworks提供了安全沙箱的隔离能力、OSS通过不ACL策略进行读写分离,  不同 品间数据处理通过RAM权限管理进行隔离和控制,通过安全组和VPC进行数据处 理环境的隔离。此外,还可以通过敏感数据保护(SDDP)和DataWorks保护伞监控云境的隔离。此外,还可以通过敏感数据保护(SDDP)和DataWorks保护伞监控云 上数据权限变动和异常情况、以及对敏感数据进行脱敏处理,保障数据处理安全。


5、数据交换安全


数据的值是通过交换和共享来实现的。阿里云上数据交换建议通过脱敏、隔 离、以及API网关的形式进行数据交换,以可用不可见的方式实现数据共享。对于大 数据场景,建议在MaxComputeDataWorks中开启项目保护模式实现数据的下载 控制,通过可信设置保障数据交换安全。


6、数据销毁安全


阿里云建立了对设备全生命周期(包含接收、保存、安置、维护、转移以及或报废)的安全管理。设备的访问控制和运行状况监控有着严格管理,并定期进行备维护和盘点。特别是当设备重用或报废时,阿里云会对存储介质进行覆写、消磁或 折弯等数据清除处理。阿里云的数据清除技术满足行业标准,  清除操作留有完整 录,确保用户数据不被未授权访问。


RDS:在制台释放实例或者删除数据库。更多详细信息,请参见删除数据库 (https://help . aliyun . com/document_ detail/26191 . html)和释放实例 ( https://help.aliyun.com/document_detail/26184.html)。


ADS:执行sql drop table xxx命令。


•MaxCompute:在DataWorks上执行delete project命令(异步操作)。


Datahub:控制台删除project和topic,次日凌晨4点会自动删除。


OSS:控制台删除文件,然后回收站删除,删除bucket。更多详细信息,请参 见删除文件( https://help.aliyun.com/document_detail/31914.html)、回收站删除 ( https://help.aliyun.com/knowledge_detail/39627.html )   、删除bucket ( https://help.aliyun.com/document_detail/31889.html)。

相关文章
|
7天前
|
消息中间件 存储 缓存
十万订单每秒热点数据架构优化实践深度解析
【11月更文挑战第20天】随着互联网技术的飞速发展,电子商务平台在高峰时段需要处理海量订单,这对系统的性能、稳定性和扩展性提出了极高的要求。尤其是在“双十一”、“618”等大型促销活动中,每秒需要处理数万甚至数十万笔订单,这对系统的热点数据处理能力构成了严峻挑战。本文将深入探讨如何优化架构以应对每秒十万订单级别的热点数据处理,从历史背景、功能点、业务场景、底层原理以及使用Java模拟示例等多个维度进行剖析。
28 8
|
9天前
|
存储 分布式计算 数据挖掘
数据架构 ODPS 是什么?
数据架构 ODPS 是什么?
68 7
|
9天前
|
数据采集 搜索推荐 数据管理
数据架构 CDP 是什么?
数据架构 CDP 是什么?
31 2
|
1月前
|
Cloud Native Java API
聊聊从单体到微服务架构服务演化过程
本文介绍了从单体应用到微服务再到云原生架构的演进过程。单体应用虽易于搭建和部署,但难以局部更新;面向服务架构(SOA)通过模块化和服务总线提升了组件复用性和分布式部署能力;微服务则进一步实现了服务的独立开发与部署,提高了灵活性;云原生架构则利用容器化、微服务和自动化工具,实现了应用在动态环境中的弹性扩展与高效管理。这一演进体现了软件架构向着更灵活、更高效的方向发展。
|
2月前
|
存储 Linux KVM
Proxmox VE (PVE) 主要架构和重要服务介绍
Proxmox VE (PVE) 是一款开源的虚拟化平台,它基于 KVM (Kernel-based Virtual Machine) 和 LXC (Linux Containers) 技术,支持虚拟机和容器的运行。PVE 还提供高可用集群管理、软件定义存储、备份和恢复以及网络管理等企业级功能。
1074 7
|
21天前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
40 2
|
1月前
|
消息中间件 Kafka 数据库
微服务架构中,如何确保服务之间的数据一致性?
微服务架构中,如何确保服务之间的数据一致性?
|
1月前
|
SQL 存储 分布式计算
大数据-157 Apache Kylin 背景 历程 特点 场景 架构 组件 详解
大数据-157 Apache Kylin 背景 历程 特点 场景 架构 组件 详解
29 9
|
1月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
54 8
|
1月前
|
存储 分布式计算 druid
大数据-155 Apache Druid 架构与原理详解 数据存储 索引服务 压缩机制
大数据-155 Apache Druid 架构与原理详解 数据存储 索引服务 压缩机制
54 3