網際網路企業如何構建安全可信的雲上資料儲存
“ 使用雲服務,我的資料安全嗎?”
雲端計算已經進入了高速發展的階段,公共雲技術和業務架構方式被越來越多的企業級使用者接受,從最初的遊戲、線上音視訊、移動App等網際網路應用,到金融、教育、工業製造、政府機構等越來越多的偏傳統機構的數字化轉型程序蓬勃發展。然而初次接觸公共雲服務的使用者,通常最先關注的一個問題,就是“使用雲服務,我的資料安全嗎?”
以下小編以阿里雲RDS(關係型資料庫服務)為例,來分析一下,阿里雲是如何進行全鏈路安全設計,進而保障使用者資料安全的;
01
—
阿里雲RDS全鏈路安全設計
跟據資料在業務系統裡流轉的途徑和時序,可以從兩個維度來對資料安全機制加以描述。資料鏈路維度,通過從儲存層到接入層的全鏈路安全設計、通過安全加密和隔離技術讓資料安全在每個環節都得到技術保障;業務處理“事前、事中、事後”的視角,則幫助企業級應用建立科學的資料安全管理制度;以下通過使用者最關注的幾個層面,來分析阿里雲RDS如何提供資料安全保障;
02
—
資料儲存與傳輸安全
資料儲存和傳輸的安全機制,是對資料安全最核心的保障,除了安全技術的選擇,從安全機制設計上,也必須保障即便是儲存和網路的運維管理人員,也無法窺探到使用者資料。阿里雲的資料安全傳輸和儲存機制,通過了最嚴格的德國
1、 傳輸安全 SecuringData in Motion
-
內外部資料全鏈路加密
-
防止資料在傳輸時被竊取,最高支援TLS v1.2
-
可強制使用SSL(CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)
-
無需配置和管理證書,即開即用
2、 儲存安全 SecuringData at Rest
-
TDE 支援資料庫表級別儲存加密(Encrypting InnoDB Page)
-
雲盤版已推出例項級儲存加密(Encrypting Storage)
-
OSS中的備份資料雙層加密(InnoDB & Object)
-
金鑰(Data Key)儲存在KMS中,支援BYOK
-
一鍵開啟,對應用透明、對儲存效能影響嚴格受控
03
—
訪問控制
1、全鏈路的訪問控制
既要保障足夠的安全,又要保證靈活的授權合法訪問,公共雲服務的訪問控制策略,既保留了傳統DBA的傳統武功、又賦予了雲端計算特有的獨門兵器;
-
在資料庫層面,支援通過傳統sql和DMS(阿里雲資料庫管理控制檯)管理對指定庫表、指定源IP的訪問許可權;
-
在RDS例項層面,通過RAM機制形成API粒度的許可權控制,控制對例項的訪問、登入、修改許可權,對於例項數量較多的大型組織,提供通過標籤或資源組的批量授權方式也可以通過VPC和安全組制定業務級或BU級的更大範圍的訪問控制;
-
阿里雲同樣提供金融級堡壘機服務,使用阿里雲資料庫服務,可以實現比傳統IDC自建方式更加完善和靈活的訪問控制策略。
2、 多級授權RAM
-
基本原則,不論是使用者呼叫雲產品、還是雲產品相互呼叫,都需要經過資源所有者授權;
-
阿里雲ABAC授權模型,可以最大靈活度滿足授權要求。
例如:
條件1,允許釋放杭州region的RDS例項(傳統ACL控制方式);
條件2,允許釋放杭州region帶有“測試”標籤的RDS例項;
條件3,要求操作人員必須經過二次驗證、並要求在指定C類網段發起請求時,才能允許釋放杭州region帶有“測試”標籤的RDS例項
04
—
安全審計
雲服務廠商的統一管理為規範審計帶來了先天優勢,阿里雲針對資料庫服務提供兩種安全審計服務:
一種是通過RDS服務的代理層實現的資料庫審計,在DMS(資料庫管理控制檯)展現,主要用於資料庫問題的追溯與排查,能夠從“人、庫、表”維度對執行sql、庫表同步、配置變更、安全規則等進行全面審計,確保對於企業核心資料的任何操作可追溯到時間和人(DMS sql審計已經升級為sql洞察,成為資料庫執行效率診斷分析專家系統);
而對於資料資產管理及合規性有更高要求的使用者,阿里雲也有一個獨立的資料庫審計服務,除了更加全面的sql審計能力,也包括合規必須的使用者行為發現審計、多維度線索分析、異常操作實時報警、及各種精細化(合規)報表功能。
兩種資料庫審計方式都是通過旁路部署、不影響資料庫執行效率,可實現99%+的應用關聯審計、完整的SQL解析、精確的協議分析;同時提供高效的分析手段,每秒萬次入庫、億級資料秒級響應。配合以阿里雲全鏈路的訪問審計(網路邊界、運維操作、系統及應用、賬號許可權、安全審計等),讓任何損害企業資料資產的行為無可遁形。
05
—
安全資質
阿里雲作為全球Iaas市場第三名、亞洲第一雲端計算品牌,國內市場份額超第2-5名總和;特別是在政府、金融、及傳統企業應用方面國內遙遙領先。在Gartner2018年全球資料庫魔力象限評選中,阿里雲第一次進入全球遠見者(Visionaries)象限,是這一評選自2013年推出後第一次有中國的科技企業入選,也是對阿里雲資料庫服務及資料安全管理的高度認可;
自2009年成立之日起,阿里雲就將安全和資料隱私視為生命,保護客戶資料隱私是阿里雲的第一原則。2015年,阿里雲率先發起“資料保護倡議”——“資料是客戶資產,雲端計算平臺不得移作它用,並有責任和義務幫助客戶保障其資料的私密性、完整性和可用性”。據悉,這是中國雲端計算服務商首次定義行業標準,針對使用者普遍關注的資料安全問題進行界定。