1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)

本文涉及的产品
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
Serverless 应用引擎免费试用套餐包,4320000 CU,有效期3个月
性能测试 PTS,5000VUM额度
简介: 1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)

课程地址https://edu.aliyun.com/course/3111981/lesson/18871


1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)


三、云上安全责任共担

图片3.png

下面,来看一下上的安全责任共担模型,在刚刚的课程内容中已经讲过了,这里主要分为了客户负责的安全部分,以及阿里云负责的安全部分,客户负责的部分都是上层业务系统相关的安全,比如说业务数据安全,应用系统安全,云服务器ecs的这种服务器级别的安全,以及网络策略的安全,这些为什要客户负责?


刚刚提到了阿里是不侵入到的客户业务的也防止客户说对这种业务有些担忧一旦入到业务以后,客户会有些担忧,比如说是不是看数据了等等这些,所以不侵入到的客户业务里,业务的安全这块需要的系统业务数据等等这些,需要的用户自己去保障的安全这是上层业务系统包括了的云服务器,其实给到用户,除了这种技术防护以外,其这种防护功能来防护业务,当然像云安全中心里面的这个agent,用户是可以安装到服务器上,也可以选择不安装,如果不安装会降低的安全能力,安装以后会抓取服务器的CPU、内存使用率,安全的情况等等,就像一个小杀毒软件


网络策略提供了安全组,可以进行自定义网络策略应用用户来负责,按照用户自己安全措施进行自定义设置。阿里云负责数据中心的基础设施,比如基础设施包括地域可用区和ABTN的骨干网络部分,以及物理资源上计算存储网络


计算——物里服务器的安全,存储就是硬盘,网络就是刚刚提到的的网络情况,然后再上层,就是的飞天系统,就是飞天分布式的云操作系统,以及虚拟户化资源操作这一块,在右边提到了的整个的阿里云安全,其实看到阿里云安全,不仅仅或者阿里负责的这种底层的安全,也包括了客户负责的相应的安全的能力。用户可以购买相应的产品,或者说用免费的产品来保证自己业务的安全。底层天然的通过的安全架构实现的底层的安全。

图片4.png

通过这张图可以看到,许多都是由阿里云安全来提供相应的安全防御能力,详细的说一下安全整体相应的一模型,这里可以看到上下分为两层,一侧是用户一侧是阿里云,刚刚提到了阿里云主要提供了虚拟化安全,云产品安全,还有身份权限管理硬件安全和物理安全这些的这种基础的底层安全,阿云主要是确保云平台的一个安全,而用户侧只是要关注业务,用户是基于安全产品和服务来关注于上层的业务与应用安全


这里关注应用安全、安全运营、业务安全、网络安全、数据安全、系统安全这几大块来进行一个保障,可以利用阿里云的安全产品,比如说DDOS,DDOS高仿,可以防DDOS能力等等来进行整体的一个安全的

 

四、阿里云安全核心能力

图片5.png

阿里云最核心的能力,图的最下面的云计算部署的三种形态,公共云,混合云和专有云,混合云放到公共云和专有云部署之间,云说的就是阿里云的公用部分,在官网直接点就可以购买服务器不需要用户自己去买硬件的服务器,去搭建虚拟化平台,专有云是将阿里云的整套生态系统也就是飞天平台搬到本地,比如说用20台服务器,50台服务器,物理服务器去搭建一套,软件用的是整个阿里云虚拟化的平台,这是放到本地的叫专有云部署,这个时候专有云,适合大型的企业单位,有一些数据安全保密的考虑不能接触到公有云上面来,需要完全是本地化,当然成本也是非常高的,公有的部分,是和这种中小型公司或者一些大型公司互联网业务非常轻便,并且优势在于弹性灵活


当然同样安全性和可靠性以及说数据的这种安全性都是非常高的,只不过专有云跟公有云是根据不同的业务以及相关的法律法规制度说做的两种形态,混合是什就是本地自己的方式,专有刚才说了需要自己维护自己的物理服务器。这个时候当服务器数量不足的时候需要进行容,可能就会比较麻烦,而公有云用户不用考虑服务器的数量,随时可以进行扩容,所以说这个时候,专有云和的公云进行打通就形成了混合云的部署。


说回的阿里云安全的核心能力来看,也是围绕着公云,混合云和专用云这三块内容来做到的,看到这三块内容,提供了物业安全,应件安全,虚拟化安全和产品安全,这是一个基于这三个部分的一个基础的底座,刚才也提到了公有云部署,也有硬件的安全部分,也要硬件的安全相应的部分,因为公云是由阿里云去维护相应的这个安全能力的,然后专有云是由用户去维护相应的一个安全能力,混合云肯定也要这个硬件的这种安全能力,就提到刚才说的物理的安全,硬件的安全,虚拟化平台的安全,和云产品的安全这四个,在这四个之上也就衍生出了六大安全产品品类。其中提到了账户安全,账户安全这里就有身份认证,访问授权,提到具体的产品有什?比如说的应用分身,爱打服都可以账号管理和操作审计具体的产品有应用分身MYDAS服务可以提供单点登录,不需要去这个登录过多的这个账号等等,还有堡垒机,操作审际这些都是对账户的一个安全,基础安全,也就是起到了的主机安全,容器安全,保护安全这三大类,这三大类具体的产品像之前说的DDOS高仿,云防火墙,安全中心这些,然后业务安全,也提到的是业务风控,内容检测,身份认证,主要就是提供的是内容安全风险视频,使用认证,爬虫的风险管理等,数据安全提到的就是数据保护,全链路的加密等等,具体的产品也比较。然后安全服务器运营这块,主要三大类,开始感知内容检测和身份认证,应用安全就是WEP应用的防护,就应用级别,企业可能接触最多的也就应用安全了,像的WEP服务的这种应用的一个保护,还有应用环境的安全等等,左边是基于这些安全,可以应对的安全合规,也就是国家以及国际上的认证,比如说等保三,等保四等等,云服务安全审查,CNAS这些是阿里之前也给大家介绍过,已经做过的这些合规的认证然后右边,是安全的解决方案,就是基于这些安全产品,为了应对的这些合规等等,出了不同的解决方案,也就是通过不同的产品组合,针对企业不同的需求,组合了不同的解决方案,有这种互联网安全解决方案,DDOS攻击防护解决方案等等不同的解决方案。这一张图,整体下来就是展现的是阿里云安全的一个核心能力。

 

五、阿里云安全架构

图片6.png

下面来看一下阿里云的安全架构,从这张图中,可以看到阿里云的安全架构,整体来看这张图分为横向和纵向两个部分,是结合到一起的,横向部分从最底层的平台层面的安全,到对外租户层面的这种用户的基础数据,基础安全,数据安全,应用安全和业务安全等等,这是一个横向的一个维度,纵向维度,竖着来看包括了租户和云平台的这种安全。首先竖着来看用户账户的安全,这里从用户账户这块,有身份认证,访问授权,账号管理,操作审计和应用管理,竖起来以后还有在于用户账户,还有平台内部的身份与访问控制。


这个用户账户是内部的账户的保护控制,然后右边是用户的安全监控和运营,这里提到的有威胁检测和响应,配置检查日志审计,安全测试,安全咨询,当然在云平台内部,还有云平台安全监控和运营,可以看到横纵之间是交织到一起的,形成了一个立体的整体的防护架构可以看到云平台安全,主要提到了就是物理安全,硬件安全,虚拟化安全,云产品安全,物理安全说的就是的物理服务器相关的这些安全的东西,然后硬件就是这个服务器的这些硬件,磁盘等等这些,物理安全和硬件安全,有些相同的地方,但是的这个视角不同,物理安全主要说的是整个集群,这些服务器集群,而件安全说的是集群里面某一个服务器的集群,虚拟化安全说的是整个集群虚拟化平台的一个安全能力,云产品,说的就是有很多像ECS2DS,Oss这些云产品,每一个产品之间也有要相应的这种安全能力的,然后就是的这些用户,基础安全就说到主机安全了,就是的云服务器,Ecs的,的安全,比如说包括系统的,主机版就包括系统的Windows linus,系统的补丁等等,系统安全包括容器,网络这些,数据安全包括说磁盘在落盘的时候的数据保护,链路的全链路的加密,就是在通信的过程中比如说计算和存储分离的这种服务,计算和存储既然是分离的之间的通信,这个链路之间的一个加密的情况,还有就是密钥管理,也就是有的这种数据罗盘加密服务会有密钥的一个管理,然后应用安全主要说的就是对外的业务的这个安全,比如说某一个网站,这个网站的安全,网站也能看作是一个应用的保护,应用配置的安全还有应用所在环境的一个安全,比如说的这个GDK这种环境安全,然后用户业务安全,主要说到的就是业务的风控,内容的检测,身份认证,这些安全的能力,这张图就体现了阿里云整体的一个安全架构以上就是本小节的全部内容

相关文章
|
7天前
|
Java Linux C语言
《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
212 89
|
1月前
|
弹性计算 运维 监控
阿里云云服务诊断工具:合作伙伴架构师的深度洞察与优化建议
作为阿里云的合作伙伴架构师,我深入体验了其云服务诊断工具,该工具通过实时监控与历史趋势分析,自动化检查并提供详细的诊断报告,极大提升了运维效率和系统稳定性,特别在处理ECS实例资源不可用等问题时表现突出。此外,它支持预防性维护,帮助识别潜在问题,减少业务中断。尽管如此,仍建议增强诊断效能、扩大云产品覆盖范围、提供自定义诊断选项、加强教育与培训资源、集成第三方工具,以进一步提升用户体验。
685 243
|
15天前
|
容灾 网络协议 数据库
云卓越架构:云上网络稳定性建设和应用稳定性治理最佳实践
本文介绍了云上网络稳定性体系建设的关键内容,包括面向失败的架构设计、可观测性与应急恢复、客户案例及阿里巴巴的核心电商架构演进。首先强调了网络稳定性的挑战及其应对策略,如责任共担模型和冗余设计。接着详细探讨了多可用区部署、弹性架构规划及跨地域容灾设计的最佳实践,特别是阿里云的产品和技术如何助力实现高可用性和快速故障恢复。最后通过具体案例展示了秒级故障转移的效果,以及同城多活架构下的实际应用。这些措施共同确保了业务在面对网络故障时的持续稳定运行。
|
16天前
|
负载均衡 Serverless 持续交付
云端问道9期实践教学-省心省钱的云上Serverless高可用架构
详细介绍了云上Serverless高可用架构的一键部署流程
45 10
|
18天前
|
运维 监控 安全
天财商龙:云上卓越架构治理实践
天财商龙成立于1998年,专注于为餐饮企业提供信息化解决方案,涵盖点餐、收银、供应链和会员系统等。自2013年起逐步实现业务上云,与阿里云合作至今已十年。通过采用阿里云的WA体系,公司在账号管理、安全保障、监控体系和成本管控等方面进行了全面优化,提升了业务稳定性与安全性,并实现了显著的成本节约。未来,公司将持续探索智能化和全球化发展,进一步提升餐饮行业的数字化水平。
|
4天前
|
监控 Serverless 测试技术
云端问道9期方案教学-省心省钱的云上Serverless高可用架构
本文介绍了省心省钱的云上Serverless高可用架构,主要分为两个部分:1. Serverless的发展历程、特点及高可用架构;2. SAE(Serverless Application Engine)产品介绍。Serverless作为一种云计算模式,让用户无需管理底层基础设施,自动弹性扩展资源,按需付费,极大提高了资源利用率和业务灵活性。SAE作为Serverless计算服务,提供了简便的应用部署、运维自动化、丰富的弹性策略和可观测性等功能,帮助企业降低运营成本、提升研发效率。通过极氪汽车、南瓜电影等客户案例展示了SAE在实际应用中的优势。
|
2月前
|
人工智能 云计算 网络架构
阿里云引领智算集群网络架构的新一轮变革
11月8日~10日在江苏张家港召开的CCF ChinaNet(即中国网络大会)上,众多院士、教授和业界技术领袖齐聚一堂,畅谈网络未来的发展方向,聚焦智算集群网络的创新变革。
阿里云引领智算集群网络架构的新一轮变革
|
1月前
|
弹性计算 Cloud Native Serverless
阿里云 SAE 邀您参加 Serverless 高可用架构挑战赛,赢取精美礼品
阿里云 SAE 邀您参加 Serverless 高可用架构挑战赛,赢取精美礼品。
|
2月前
|
人工智能 Cloud Native 算法
|
2月前
|
人工智能 运维 网络架构
阿里云引领智算集群网络架构的新一轮变革
11月8日至10日,CCF ChinaNet(中国网络大会)在江苏张家港召开,众多院士、教授和技术领袖共聚一堂,探讨网络未来发展方向。阿里云研发副总裁蔡德忠发表主题演讲,展望智算技术发展趋势,提出智算网络架构变革的新思路,发布高通量以太网协议和ENode+超节点系统规划,引起广泛关注。阿里云HPN7.0引领智算以太网生态蓬勃发展,成为业界标杆。未来,X10规模的智算集群将面临新的挑战,Ethernet将成为主流方案,推动Scale up与Scale out的融合架构,提升整体系统性能。