带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(1)

本文涉及的产品
轻量应用服务器 2vCPU 4GiB,适用于搭建Web应用/小程序
资源编排,不限时长
轻量应用服务器 4vCPU 16GiB,适用于搭建游戏自建服
简介: 带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(1)

引言:本文内容整理自【弹性计算技术公开课——ECS安全季】中阿里云弹性计算技术专家陈怀可带来的课程《如何保证业务数据的全流程安全》。

  image.png

一、数据安全的基本概念

首先,来看一下数据安全的基本概念。

 

用户的云上数据安全是用户的生命线,也是云上安全整体能力最重要的表现,平台有责任和义务帮助客户保障数据的安全性。

 

数据的安全性,数据安全的要求可以用信息安全基本三要素——机密性、完整性、可用性来概括。

 

机密性是指受保护数据只可以被合法的用户访问,主要实现手段包括数据的访问控制,数据加密和密钥管理手段。完整性是保证只有合法的用户才能够修改数据,主要通过访问控制实现,同时在数据的传输和存储中可以通过校验算法来保证用户数据的完整性。可用性主要体现在数据的容灾备份能上。

 

image.png  

访问权限相关的内容,在之前的章节已经做过相关的分享,这里就不过多介绍。本次主要从完整性、可用性、机密性三个维度介绍阿里云是如何实现数据安全的。

 

数据的完整性上,通过云盘多副本技术实现了ECS数据99的可靠性,数据安全擦除机制实现数据擦除的完整性,并且提供了全链路的数据校验CRC的功能,以确保数据在传输和存储过程中数据的可靠性需求。

 

数据的可用性上,ECS在产品基础安全能力上提供了快照、镜像备份恢复能力,同时在架构上支持了多可用区部署架构,保证数据的可用性。数据的机密性上,ECS对于数据机密性提供了全链路的数据加密保护产品安全能力,包括了存储加密、传输加密以及运行态数据加密计算环境等等。

 

 

二、云平台自身保证数据的完整性

接下来详细了解云平台如何保证自身数据的完整性。

 

image.png

ECS在保证自身数据完整性上做了很多努力,比如云盘在数据传输和数据存储的层面上覆盖了全链路的数据校验功能,在数据写入和读取数据的过程中,有全链路的CRC校验,确保网络传输数据持久化的过程中数据完整,没有损坏。也会定期对持久化介质中的数据进行CRC校验和冗余一致性校验扫描,确保介质中的数据完整,没有损坏。

 

另外,除了数据全链路的CRC功能之外,在数据擦除上使用了数据擦除机制,保证数据擦除的完整性。

 

具体的实现原理是云盘底层基于顺序追加写实现删除云盘逻辑空间的时候,操作元数据记录,逻辑空间读操作的时候,存储系统会返回全部零,从物理磁盘上底层前置永久删除。云盘释放的时候,物理存储空间被释放,再次分配数据是清零过的,并且在首次使用写数据之前,云盘读取全部返回是零。

 

image.png

 

另外,云盘三副本技术通过分布式文件系统为ECS提供了稳定、高效、可靠的数据随机访问能力,为ECS实例实现了99的数据可靠性保证。当数据节点损坏或者某个数据节点上的部分硬盘发生故障的时候,会自动发起数据复制的同步任务。

 

具体的实现原理是,数据存储平台中有三类角色,MasterChunk ServerClientClient在收到写请求之后,计算出三个副本存放的数据节点,Client向三个副本存放的数据节点发出写操作,只有三个节点的数据都写成功的时候才能够返回成功。

 

同时,为了防止一个机架上的故障导致数据不可用,Master会保证三个副本分布在不同的机架下。不过需要注意的是,云盘三副本技术无法防止数据由于病毒感染、人为误删除、黑客入侵、软故障等原因造成的数据丢失问题。下面来看一个真实的国外安全事件。

 

去年的九月份,斯里兰卡国家政务云被黑了,而且还丢失了四个月的重要数据。

 

image.png

  

详细来看一下事件的前因后果。

 

斯里兰卡国家政务云使用了一款软件,这款软件已经过时并且不再维护,并且漏洞中存在一个致命的安全漏洞,攻击者通过这个软件漏洞发起了勒索攻击,最终导致了近四个月数据的永久丢失。从这个安全事件中我们可以看出问题,对于关键的业务数据缺失备份计划,导致数据一旦被黑客攻击或者误删除,无法及时的恢复数据。我们该如何避免这一类的问题?在后面的关键业务数据可用性的备份与恢复方案上会给出详细的介绍。


带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(2):

https://developer.aliyun.com/article/1441578

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
打赏
0
0
0
0
197
分享
相关文章
带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(2)
带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(2)
94 0
带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(3)
带你读《从基础到应用云上安全航行指南》——万字干货教你如何保证业务数据全流程安全(3)
97 1
三大方案推进 | 带你读《5G承载关键技术与规划设计》之五
三大电信运营商等单位通过在各个标准组织提交的 SPN、M-OTN 和 G.metro 等技术方案文稿,让世界通信行业了解到中国运营商对 5G 承载技术方案标准化的迫切需求,也让世界通信行业更加了解中国的技术实力。
三大方案推进 | 带你读《5G承载关键技术与规划设计》之五
带你读《企业级业务架构设计: 方法论与实践》之三:架构伴侣:业务模型
本书主要通过两条并行展开的线介绍了完整的企业级业务架构实践,一条为“行线”,一条为“知线”。“行线”是读者在日常工作中通常会比较关注的,其覆盖了企业级业务架构设计、实现及后期管理的完整过程;而“知线”则常常容易被忽视,尤其是在架构师或其团队之外。架构师有责任和义务持续改进、宣传架构设计方法,推动架构理念在企业以及社会范围内的磨砺、传播,实现架构工作的“知行合一”。
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.3 关键时刻保障——4.3.3 热点事件护航保障流程
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.3 关键时刻保障——4.3.3 热点事件护航保障流程
140 0
读高性能网站建设指南
原文:读高性能网站建设指南 性能黄金法则:只有10%~20%的最终用户响应时间花在了下载HTML文档上。其余的80%~90%时间花在了下载页面中所有组件上 规则1:减少HTTP请求 图片地图(Map) CSS Sprites(css精灵) 内联图片() 合并脚本和合并样式表 图片地...
1068 0
阿里如何做到在线业务百分百容器化
本文将介绍如何打造百万级的容器技术。众所周知,阿里巴巴在 “双11” 活动之前上线了数以百万计的容器,面对如此大的规模,阿里巴巴的容器技术到底有哪些功能特性来帮助它快速落地?我将从场景痛点与解决方案的角度同大家分享。
2592 0
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.3 关键时刻保障——4.3.1 图片业务保障方案
《云上社交行业技术服务白皮书》——第四章 云上社交保障与服务案例——4.3 关键时刻保障——4.3.1 图片业务保障方案
126 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等