开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(一)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18871
1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构
内容介绍
一、云上安全基础防护知识
二、阿里云为客户提供安全的云计算基础服务
三、云上安全责任共担
四、阿里云安全核心能力
五、阿里云安全架
本章开始学习云上安全基础防护知识。在这个章节里,就要学习到云上安全的基术防护的知识,以及DDos防护外部应用防护墙与云安全中心,云防火墙和云防垒机相关的内容。
一、云上安全基础防护知识
首先,来看云上安全基础防护知识,在这里提到阿里云安全架构和阿里云的安全产品。来看阿里云安全架构,下面来看一下云计算面临的安全威胁。
云计算面临的安全危险
图里面可以看到有两个圆圈,一个椭圆的,大圈里面,是云计算环境的安全威胁,里面包含了一个小的,也就是起到了云计算环境特有,或者形势更为严峻的一项安全威胁。
其实,这里可以看到外围的这个大圈儿里面的安全危险包含整个,并不是说的云计算环境有威胁,其实传统的的这种服务器角度来看,只要业务对外有业务的访问,交互等等,都会存在相应的安全威胁,在云上也可以做相应的更好的防护抵御,也就是说不仅仅是云环境遇到的威胁,同时也是互联网环境下都会面临的这些危险,提供了相应的组件,提供安全服务,可以抵御这些安全威胁,但是,要清晰的认识到这点,另外,就是说云计算环境特有的威胁,或者说更严峻的,比方说API安全。
举个例子,开发的时候对云上进行开发,可能会用到阿里云的open API,这时要通过这个阿里云的apsk通过代码登录的这种方式登录的阿里云,然后,调用API,当把这些AKSK可能写的这个项目直接写里面,写里面以后,没有通过变量,写这种配置文件,而直接写到了代码里面,而把这个代码进行开源了,这个时候就把的API整个阿里云的一个账号密码,通过API登录的都暴露出去了,这样对业务造成了相应的安全隐患。
同时,还有像云基础设施的安全,当然基础设施的安全,是不需要用户去关注的,这些云基础设施说的是这种底层的物理服务器的基础设施的安全,一般都是由公务员的厂商来提供的。
还有就是这种安全责任的共单模型了,刚提到了像这种基础设施安全是由云服务的提供商来提供的,所以说既然有服务商提供的,也有用户需要提供的,因为用户在使用的业务的时候,并不是说所有的安全都是由服务商来提供的,比如说像业务安全,肯定是要由的用户来提供,因为的服务商不能监控用户的业务,所以说这个时候,业务如果出现了故障等等。
当然作为服务商会提供相应的安全能力给到用户,用户可以选择免费版,付费版等等这些,底层的这种物理服务器的安全,当然一般都是由服务商,像阿里云这种云服务商来提供,所以这里就规划出了一个叫安全责任共担模型,这个就是云计算面临的安全威胁,这里列了很多,不一一举例,后面也会详细的去讲到里面的重点。
二、阿里云为客户提供安全的云计算基础服务
接下来,可以看到阿里云为用户提供了安全的计算基础服务,这里分为四点。第一点全球认可,根据IDC报告来看,阿里云在安全上的整体能力和市场份额是全球领先的,达到了一个全球的认可。第二点数据驱动,目前服务器可发现的恶意文件达到了两千万个,扫描上发现的已经达到两千万个。
入侵检测模型已经达到了400个,机器学习模型达到了2500个,初计算目前是以千亿几次的而且日均的攻击防御能拦截到大概是60亿次,日均的有害传播的案件能可以达到20亿次,可以看到阿里云的安全防御体系是非常强的,并且是给所有的用户提供了一个默认的安全,并不是说需要必须购买一定的产品才能达到相应的能力。
简单举个例子,就比如开通了一台ecs,基础的云服务,也会提供相应的安全能力,安全能力内嵌到了基础的架构里面,安全能力和各个云产品之间进行了一个融合,就是刚提到的云产品的安全,采用了安全的开发流程,包括安全的代码管理的用户可以达到一个原生默认的一个全方位的一个安全。
最后就是的原生安全,原生安全首先支持默数据的默认加密,并且的用户可以自主的管理密钥,同时,DDOS外部攻击以及入侵防御服务也是有相应的能力的。默认的支持5G的这种DDOS防护能力,不需要去购买这个高仿,普通的5G就够,当发生攻击的时候,再开通更加高的DDOS高仿就可以,同时,云上的网络管控和完整的纵深防御体系,在后面的一个架构图详细的去说,拥有统一的身份权限管理和应用的一个访问控制能力,以上就是阿里云为客户提供的安全的云计算的基础服务。
