“ 使用雲服務，我的資料安全嗎？” 

    雲端計算已經進入了高速發展的階段，公共雲技術和業務架構方式被越來越多的企業級使用者接受，從最初的遊戲、線上音視訊、移動App等網際網路應用，到金融、教育、工業製造、政府機構等越來越多的偏傳統機構的數字化轉型程序蓬勃發展。然而初次接觸公共雲服務的使用者，通常最先關注的一個問題，就是“使用雲服務，我的資料安全嗎？”

    以下小編以阿里雲RDS（關係型資料庫服務）為例，來分析一下，阿里雲是如何進行全鏈路安全設計，進而保障使用者資料安全的；

01

—

阿里雲RDS全鏈路安全設計

跟據資料在業務系統裡流轉的途徑和時序，可以從兩個維度來對資料安全機制加以描述。資料鏈路維度，通過從儲存層到接入層的全鏈路安全設計、通過安全加密和隔離技術讓資料安全在每個環節都得到技術保障；業務處理“事前、事中、事後”的視角，則幫助企業級應用建立科學的資料安全管理制度；以下通過使用者最關注的幾個層面，來分析阿里雲RDS如何提供資料安全保障；

02

—

資料儲存與傳輸安全

    資料儲存和傳輸的安全機制，是對資料安全最核心的保障，除了安全技術的選擇，從安全機制設計上，也必須保障即便是儲存和網路的運維管理人員，也無法窺探到使用者資料。阿里雲的資料安全傳輸和儲存機制，通過了最嚴格的德國

1、  傳輸安全 SecuringData in Motion

• 內外部資料全鏈路加密

• 防止資料在傳輸時被竊取，最高支援TLS v1.2

• 可強制使用SSL(CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)

• 無需配置和管理證書，即開即用

2、  儲存安全 SecuringData at Rest

• TDE 支援資料庫表級別儲存加密（Encrypting InnoDB Page）

• 雲盤版已推出例項級儲存加密（Encrypting Storage）

• OSS中的備份資料雙層加密（InnoDB & Object）

• 金鑰（Data Key）儲存在KMS中，支援BYOK

• 一鍵開啟，對應用透明、對儲存效能影響嚴格受控

03

—

訪問控制

1、全鏈路的訪問控制

    既要保障足夠的安全，又要保證靈活的授權合法訪問，公共雲服務的訪問控制策略，既保留了傳統DBA的傳統武功、又賦予了雲端計算特有的獨門兵器；

• 在資料庫層面，支援通過傳統sql和DMS（阿里雲資料庫管理控制檯）管理對指定庫表、指定源IP的訪問許可權；

• 在RDS例項層面，通過RAM機制形成API粒度的許可權控制，控制對例項的訪問、登入、修改許可權，對於例項數量較多的大型組織，提供通過標籤或資源組的批量授權方式也可以通過VPC和安全組制定業務級或BU級的更大範圍的訪問控制；

• 阿里雲同樣提供金融級堡壘機服務，使用阿里雲資料庫服務，可以實現比傳統IDC自建方式更加完善和靈活的訪問控制策略。

2、  多級授權RAM

• 基本原則，不論是使用者呼叫雲產品、還是雲產品相互呼叫，都需要經過資源所有者授權；

• 阿里雲ABAC授權模型，可以最大靈活度滿足授權要求。

例如：

條件1，允許釋放杭州region的RDS例項（傳統ACL控制方式）；

條件2，允許釋放杭州region帶有“測試”標籤的RDS例項；

條件3，要求操作人員必須經過二次驗證、並要求在指定C類網段發起請求時，才能允許釋放杭州region帶有“測試”標籤的RDS例項

04

—

安全審計

    雲服務廠商的統一管理為規範審計帶來了先天優勢，阿里雲針對資料庫服務提供兩種安全審計服務：

    一種是通過RDS服務的代理層實現的資料庫審計，在DMS（資料庫管理控制檯）展現，主要用於資料庫問題的追溯與排查，能夠從“人、庫、表”維度對執行sql、庫表同步、配置變更、安全規則等進行全面審計，確保對於企業核心資料的任何操作可追溯到時間和人（DMS sql審計已經升級為sql洞察，成為資料庫執行效率診斷分析專家系統）；

    而對於資料資產管理及合規性有更高要求的使用者，阿里雲也有一個獨立的資料庫審計服務，除了更加全面的sql審計能力，也包括合規必須的使用者行為發現審計、多維度線索分析、異常操作實時報警、及各種精細化（合規）報表功能。

兩種資料庫審計方式都是通過旁路部署、不影響資料庫執行效率，可實現99%+的應用關聯審計、完整的SQL解析、精確的協議分析；同時提供高效的分析手段，每秒萬次入庫、億級資料秒級響應。配合以阿里雲全鏈路的訪問審計（網路邊界、運維操作、系統及應用、賬號許可權、安全審計等），讓任何損害企業資料資產的行為無可遁形。 

05

—

安全資質

    阿里雲作為全球Iaas市場第三名、亞洲第一雲端計算品牌，國內市場份額超第2-5名總和；特別是在政府、金融、及傳統企業應用方面國內遙遙領先。在Gartner2018年全球資料庫魔力象限評選中，阿里雲第一次進入全球遠見者（Visionaries）象限，是這一評選自2013年推出後第一次有中國的科技企業入選，也是對阿里雲資料庫服務及資料安全管理的高度認可；

      自2009年成立之日起，阿里雲就將安全和資料隱私視為生命，保護客戶資料隱私是阿里雲的第一原則。2015年，阿里雲率先發起“資料保護倡議”——“資料是客戶資產，雲端計算平臺不得移作它用，並有責任和義務幫助客戶保障其資料的私密性、完整性和可用性”。據悉，這是中國雲端計算服務商首次定義行業標準，針對使用者普遍關注的資料安全問題進行界定。