开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18871
1-基础设施安全-1-云上安全基础防护知识-ACA-1-阿里云安全架构(二)
三、云上安全责任共担
下面,来看一下云上的安全责任共担模型,在刚刚的课程内容中已经讲过了,这里主要分为了客户负责的安全部分,以及阿里云负责的安全部分,客户负责的部分都是上层业务系统相关的安全,比如说业务数据安全,应用系统安全,云服务器ecs的这种服务器级别的安全,以及网络策略的安全,这些为什要客户负责?
刚刚提到了阿里云是不侵入到的客户业务的,也防止客户说对这种业务有些担忧,一旦侵入到业务以后,客户会有些担忧,比如说是不是看数据了等等这些,所以不侵入到的客户业务里,业务的安全这块需要的系统业务数据等等这些,需要的用户自己去保障的安全这是上层业务系统包括了的云服务器,其实也给到用户,除了这种技术防护以外,其余这种防护功能来防护业务,当然像云安全中心里面的这个agent,用户是可以安装到服务器上,也可以选择不安装,如果不安装会降低的安全能力,安装以后会抓取服务器的CPU、内存使用率,安全的情况等等,就像一个小的杀毒软件。
网络策略提供了安全组,可以进行自定义网络策略。应用用户来负责,按照用户自己安全措施进行自定义设置。阿里云负责数据中心的基础设施,比如基础设施包括地域可用区和ABTN的骨干网络部分,以及物理资源上计算存储网络。
计算——物里服务器的安全,存储就是硬盘,网络就是刚刚提到的的网络情况,然后再上层,就是的飞天系统,就是飞天分布式的云操作系统,以及虚拟户化资源操作这一块,在右边提到了的整个的阿里云安全,其实看到阿里云安全,不仅仅或者阿里负责的这种底层的安全,也包括了客户负责的相应的安全的能力。用户可以购买相应的云产品,或者说用免费的云产品来保证自己业务的安全。底层天然的通过的安全架构实现的底层的安全。
通过这张图可以看到,许多都是由阿里云安全来提供相应的安全防御能力,详细的说一下安全整体相应的一模型,这里可以看到上下分为两层,一侧是用户,一侧是阿里云,刚刚提到了阿里云测主要提供了虚拟化安全,云产品安全,还有身份权限管理硬件安全和物理安全这些的这种基础的底层安全,阿里云主要是确保云平台的一个安全,而用户侧只是要关注业务,用户是基于安全产品和服务来关注于上层的业务与应用的安全。
这里关注应用安全、安全运营、业务安全、网络安全、数据安全、系统安全这几大块来进行一个保障,可以利用阿里云的安全产品,比如说DDOS,DDOS高仿,可以防DDOS能力等等来进行整体的一个安全的防护
四、阿里云安全核心能力
阿里云最核心的能力,图的最下面的云计算部署的三种形态,公共云,混合云和专有云,混合云放到公共云和专有云部署之间,公共云说的就是阿里云的公用部分,在官网直接点就可以购买服务器不需要用户自己去买硬件的服务器,去搭建虚拟化平台,专有云是将阿里云的整套生态系统也就是飞天平台搬到本地,比如说用20台服务器,50台服务器,物理服务器去搭建一套,软件用的是整个阿里云虚拟化的平台,这是放到本地的叫专有云部署,这个时候专有云,适合大型的企业单位,有一些数据安全保密的考虑不能接触到公有云上面来,需要完全是本地化,当然成本也是非常高的,公有云的部分,是和这种中小型公司或者一些大型公司互联网业务非常轻便,并且优势在于弹性灵活。
当然同样安全性和可靠性以及说数据的这种安全性都是非常高的,只不过专有云跟公有云是根据不同的业务以及相关的法律法规制度说做的两种形态,混合云是什就是本地自己的方式,专有云刚才说了需要自己维护自己的物理服务器。这个时候当服务器数量不足的时候需要进行扩容,可能就会比较麻烦,而公有云用户不用考虑服务器的数量,随时可以进行扩容,所以说这个时候,专有云和的公共云进行打通,就形成了混合云的部署。
说回的阿里云安全的核心能力来看,也是围绕着公共云,混合云和专用云这三块内容来做到的,看到这三块内容,提供了物业安全,应件安全,虚拟化安全和产品安全,这是一个基于这三个部分的一个基础的底座,刚才也提到了公有云部署,也有硬件的安全部分,也要硬件的安全相应的部分,因为公有云是由阿里云去维护相应的这个安全能力的,然后专有云是由用户去维护相应的一个安全能力,混合云肯定也要这个硬件的这种安全能力,就提到刚才说的物理的安全,硬件的安全,虚拟化平台的安全,和云产品的安全这四个,在这四个之上也就衍生出了六大安全产品品类。其中提到了账户安全,账户安全这里就有身份认证,访问授权,提到具体的产品有什?比如说的应用分身,爱打服都可以账号管理和操作审计具体的产品有应用分身MYDAS服务可以提供单点登录,不需要去这个登录过多的这个账号等等,还有堡垒机,操作审际这些都是对账户的一个安全,基础安全,也就是起到了的主机安全,容器安全,保护安全这三大类,这三大类具体的产品像之前说的DDOS高仿,云防火墙,安全中心这些,然后业务安全,也提到的是业务风控,内容检测,身份认证,主要就是提供的是内容安全风险视频,使用认证,爬虫的风险管理等,数据安全提到的就是数据保护,全链路的加密等等,具体的产品也比较多。然后安全服务器运营这块,主要三大类,开始感知,内容检测和身份认证,应用安全就是WEP应用的防护,就应用级别,企业可能接触最多的也就应用安全了,像的WEP服务的这种应用的一个保护,还有应用环境的安全等等,左边是基于这些安全,可以应对的安全合规,也就是国家以及国际上的认证,比如说等保三,等保四等等,云服务安全审查,CNAS这些是阿里云之前也给大家介绍过,已经做过的这些合规的认证。然后右边,是安全的解决方案,就是基于这些安全产品,为了应对的这些合规等等,出了不同的解决方案,也就是通过不同的产品组合,针对企业不同的需求,组合了不同的解决方案,有这种互联网安全解决方案,DDOS攻击防护解决方案等等不同的解决方案。这一张图,整体下来就是展现的是阿里云安全的一个核心能力。
五、阿里云安全架构
下面来看一下阿里云的安全架构,从这张图中,可以看到阿里云的安全架构,整体来看这张图分为横向和纵向两个部分,是结合到一起的,横向部分从最底层的平台层面的安全,到对外租户层面的这种用户的基础数据,基础安全,数据安全,应用安全和业务安全等等,这是一个横向的一个维度,纵向维度,竖着来看包括了租户侧和云平台侧的这种安全。首先竖着来看用户账户的安全,这里从用户账户这块,有身份认证,访问授权,账号管理,操作审计和应用管理,竖起来以后还有在于用户账户,还有平台内部的身份与访问控制。
这个用户账户是内部的账户的保护控制,然后右边是用户的安全监控和运营,这里提到的有威胁检测和响应,配置检查,日志审计,安全测试,安全咨询,当然在云平台内部,还有云平台安全监控和运营,可以看到横纵之间是交织到一起的,形成了一个立体的,整体的防护架构采,可以看到云平台安全,主要提到了就是物理安全,硬件安全,虚拟化安全,云产品安全,物理安全说的就是的物理服务器相关的这些安全的东西,然后硬件就是这个服务器的这些硬件,磁盘等等这些,物理安全和硬件安全,有些相同的地方,但是的这个视角不同,物理安全主要说的是整个集群,这些服务器集群,而硬件安全说的是集群里面某一个服务器的集群,虚拟化安全说的是整个集群虚拟化平台的一个安全能力,云产品,说的就是有很多像ECS,2DS,Oss这些云产品,每一个产品之间也有要相应的这种安全能力的,然后就是的这些用户,基础安全就说到主机安全了,就是的云服务器,Ecs的,的安全,比如说包括系统的,主机版就包括系统的Windows linus,系统的补丁等等,系统安全包括容器,网络这些,数据安全包括说磁盘在落盘的时候的数据保护,链路的全链路的加密,就是在通信的过程中比如说计算和存储分离的这种服务,计算和存储既然是分离的之间的通信,这个链路之间的一个加密的情况,还有就是密钥管理,也就是有的这种数据罗盘加密服务会有密钥的一个管理,然后应用安全主要说的就是对外的业务的这个安全,比如说某一个网站,这个网站的安全,网站也能看作是一个应用的保护,应用配置的安全还有应用所在环境的一个安全,比如说的这个GDK这种环境的安全,然后用户业务安全,主要说到的就是业务的风控,内容的检测,身份认证,这些安全的能力,这张图就体现了阿里云整体的一个安全架构,以上就是本小节的全部内容。
