互联网企业如何构建安全可信的云上数据存储

云计算
云计算已经进入了高速发展的阶段,公共云技术和业务架构方式被越来越多的企业级用户接受,从最初的游戏、在线音视频、移动App等互联网应用,到金融、教育、工业制造、政府机构等越来越多的偏传统机构的数字化转型进程蓬勃发展。然而初次接触公共云服务的用户,通常最先关注的一个问题,就是“使用云服务,我的数据安全吗?”

云计算已经进入了高速发展的阶段,公共云技术和业务架构方式被越来越多的企业级用户接受,从最初的游戏、在线音视频、移动App等互联网应用,到金融、教育、工业制造、政府机构等越来越多的偏传统机构的数字化转型进程蓬勃发展。然而初次接触公共云服务的用户,通常***关注的一个问题,就是“使用云服务,我的数据安全吗?”

以下小编以阿里云RDS(关系型数据库服务)为例,来分析一下,阿里云是如何进行全链路安全设计,进而保障用户数据安全的;

一、阿里云RDS全链路安全设计

跟据数据在业务系统里流转的途径和时序,可以从两个维度来对数据安全机制加以描述。数据链路维度,通过从存储层到接入层的全链路安全设计、通过安全加密和隔离技术让数据安全在每个环节都得到技术保障;业务处理“事前、事中、事后”的视角,则帮助企业级应用建立科学的数据安全管理制度;以下通过用户最关注的几个层面,来分析阿里云RDS如何提供数据安全保障;

二、数据存储与传输安全

数据存储和传输的安全机制,是对数据安全最核心的保障,除了安全技术的选择,从安全机制设计上,也必须保障即便是存储和网络的运维管理人员,也无法窥探到用户数据。阿里云的数据安全传输和存储机制,通过了最严格的德国C5、及新加坡MTCS***安全评级认证,以下简单介绍传输和存储的安全机制:

1、 传输安全 Securing Data in Motion

  • 内外部数据全链路加密
  • 防止数据在传输时被窃取,***支持TLS v1.2
  • 可强制使用SSL (CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)
  • 无需配置和管理证书,即开即用

2、 存储安全 Securing Data at Rest

  • TDE 支持数据库表级别存储加密(Encrypting InnoDB Page)
  • 云盘版已推出实例级存储加密(Encrypting Storage)
  • OSS中的备份数据双层加密(InnoDB & Object)
  • 密钥(Data Key)保存在KMS中,支持BYOK
  • 一键开启,对应用透明、对存储性能影响严格受控

三、访问控制

1、全链路的访问控制

既要保障足够的安全,又要保证灵活的授权合法访问,公共云服务的访问控制策略,既保留了传统DBA的传统武功、又赋予了云计算特有的独门兵器;

  • 在数据库层面,支持通过传统sql和DMS(阿里云数据库管理控制台)管理对指定库表、指定源IP的访问权限;
  • 在RDS实例层面,通过RAM机制形成API粒度的权限控制,控制对实例的访问、登录、修改权限,对于实例数量较多的大型组织,提供通过标签或资源组的批量授权方式也可以通过VPC和安全组制定业务级或BU级的更大范围的访问控制;
  • 阿里云同样提供金融级堡垒机服务,使用阿里云数据库服务,可以实现比传统IDC自建方式更加完善和灵活的访问控制策略。

2、 多级授权RAM

  • 基本原则,不论是用户调用云产品、还是云产品相互调用,都需要经过资源所有者授权;
  • 阿里云ABAC授权模型,可以***灵活度满足授权要求。

例如:

条件1,允许释放杭州region的RDS实例(传统ACL控制方式);

条件2,允许释放杭州region带有“测试”标签的RDS实例;

条件3,要求操作人员必须经过二次验证、并要求在指定C类网段发起请求时,才能允许释放杭州region带有“测试”标签的RDS实例

四、安全审计

云服务厂商的统一管理为规范审计带来了先天优势,阿里云针对数据库服务提供两种安全审计服务:

一种是通过RDS服务的代理层实现的数据库审计,在DMS(数据库管理控制台)展现,主要用于数据库问题的追溯与排查,能够从“人、库、表”维度对执行sql、库表同步、配置变更、安全规则等进行全面审计,确保对于企业核心数据的任何操作可追溯到时间和人(DMS sql审计已经升级为sql洞察,成为数据库运行效率诊断分析专家系统);

而对于数据资产管理及合规性有更高要求的用户,阿里云也有一个独立的数据库审计服务,除了更加全面的sql审计能力,也包括合规必须的用户行为发现审计、多维度线索分析、异常操作实时报警、及各种精细化(合规)报表功能。

两种数据库审计方式都是通过旁路部署、不影响数据库运行效率,可实现99%+的应用关联审计、完整的SQL解析、精确的协议分析;同时提供高效的分析手段,每秒万次入库、亿级数据秒级响应。配合以阿里云全链路的访问审计(网络边界、运维操作、系统及应用、账号权限、安全审计等),让任何损害企业数据资产的行为无可遁形。

五、安全资质

阿里云作为全球Iaas市场第三名、亚洲***云计算品牌,国内市场份额超第2-5名总和;特别是在政府、金融、及传统企业应用方面国内***;。在Gartner2018年全球数据库魔力象限评选中,阿里云***次进入全球远见者(Visionaries)象限,是这一评选自2013年推出后***次有中国的科技企业入选,也是对阿里云数据库服务及数据安全管理的高度认可;

自2009年成立之日起,阿里云就将安全和数据隐私视为生命,保护客户数据隐私是阿里云的***原则。2015年,阿里云率先发起“数据保护倡议”——“数据是客户资产,云计算平台不得移作它用,并有责任和义务帮助客户保障其数据的私密性、完整性和可用性”。据悉,这是中国云计算服务商***定义行业标准,针对用户普遍关注的数据安全问题进行界定。

责任编辑:王雪燕 来源: 阿里云
相关推荐

2022-03-01 11:26:38

安全产业互联网技术

2018-05-26 16:31:31

2022-02-23 23:43:15

网络安全IT云安全

2018-08-28 06:32:35

数据安全互联网金融行业

2018-12-05 10:07:06

互联网

2015-12-07 09:58:45

初志科技云存储

2015-05-20 14:50:36

互联网

2013-04-12 13:29:54

互联网安全

2015-08-19 14:49:23

够快云库互联网转型

2015-07-07 14:31:07

互联网+信锐技术深信服

2015-11-18 21:04:38

2014-10-24 18:36:39

企业安全网康科技

2012-11-18 18:44:59

大数据阿里云

2019-11-13 10:45:43

互联网安全运维

2015-03-25 18:31:20

互联网+

2024-10-16 10:35:52

2011-08-19 11:33:32

2011-03-15 16:11:21

2023-09-03 14:10:17

2019-03-05 22:57:20

华云数据云安全
点赞
收藏

51CTO技术栈公众号