了解大數(shù)據(jù)，吧！

每個(gè)想了解最新大數(shù)據(jù)資訊的人，都了我

文 / 數(shù)據(jù)君

一、阿里云RDS全鏈路安全設(shè)計(jì)

根據(jù)數(shù)據(jù)在業(yè)務(wù)系統(tǒng)里流轉(zhuǎn)的途徑和時(shí)序，可以從兩個(gè)維度來(lái)對(duì)數(shù)據(jù)安全機(jī)制加以描述。數(shù)據(jù)鏈路維度，通過(guò)從存儲(chǔ)層到接入層的全鏈路安全設(shè)計(jì)、通過(guò)安全加密和隔離技術(shù)讓數(shù)據(jù)安全在每個(gè)環(huán)節(jié)都得到技術(shù)保障;業(yè)務(wù)處理“事前、事中、事后”的視角，則幫助企業(yè)級(jí)應(yīng)用建立科學(xué)的數(shù)據(jù)安全管理制度;以下通過(guò)用戶最的幾個(gè)層面，來(lái)分析阿里云RDS如何提供數(shù)據(jù)安全保障;

二、數(shù)據(jù)存儲(chǔ)與傳輸安全

數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩珯C(jī)制，是對(duì)數(shù)據(jù)安全最核心的保障，除了安全技術(shù)的選擇，從安全機(jī)制設(shè)計(jì)上，也必須保障即便是存儲(chǔ)和網(wǎng)絡(luò)的運(yùn)維管理人員，也無(wú)法窺探到用戶數(shù)據(jù)。阿里云的數(shù)據(jù)安全傳輸和存儲(chǔ)機(jī)制，通過(guò)了最嚴(yán)格的德國(guó)C5、及新加坡MTCS最高安全評(píng)級(jí)認(rèn)證，以下簡(jiǎn)單介紹傳輸和存儲(chǔ)的安全機(jī)制：

1、傳輸安全 Securing Data in Motion

內(nèi)外部數(shù)據(jù)全鏈路加密

防止數(shù)據(jù)在傳輸時(shí)被竊取，最高支持TLS v1.2

可強(qiáng)制使用SSL (CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)

無(wú)需配置和管理證書，即開(kāi)即用

2、 存儲(chǔ)安全 Securing Data at Rest

TDE 支持?jǐn)?shù)據(jù)庫(kù)表級(jí)別存儲(chǔ)加密(Encrypting InnoDB Page)

云盤版已推出實(shí)例級(jí)存儲(chǔ)加密(Encrypting Storage)

OSS中的備份數(shù)據(jù)雙層加密(InnoDB& Object)

密鑰(Data Key)保存在KMS中，支持BYOK

一鍵開(kāi)啟，對(duì)應(yīng)用透明、對(duì)存儲(chǔ)性能影響嚴(yán)格受控

三、訪問(wèn)控制

1、全鏈路的訪問(wèn)控制

既要保障足夠的安全，又要保證靈活的授權(quán)合法訪問(wèn)，公共云服務(wù)的訪問(wèn)控制策略，既保留了傳統(tǒng)DBA的傳統(tǒng)武功、又賦予了云計(jì)算特有的獨(dú)門兵器;

在數(shù)據(jù)庫(kù)層面，支持通過(guò)傳統(tǒng)sql和DMS(阿里云數(shù)據(jù)庫(kù)管理控制臺(tái))管理對(duì)指定庫(kù)表、指定源IP的訪問(wèn)權(quán)限;

在RDS實(shí)例層面，通過(guò)RAM機(jī)制形成API粒度的權(quán)限控制，控制對(duì)實(shí)例的訪問(wèn)、登錄、修改權(quán)限，對(duì)于實(shí)例數(shù)量較多的大型組織，提供通過(guò)標(biāo)簽或資源組的批量授權(quán)方式也可以通過(guò)VPC和安全組制定業(yè)務(wù)級(jí)或BU級(jí)的更大范圍的訪問(wèn)控制;

阿里云同樣提供金融級(jí)堡壘機(jī)服務(wù)，使用阿里云數(shù)據(jù)庫(kù)服務(wù)，可以實(shí)現(xiàn)比傳統(tǒng)IDC自建方式更加完善和靈活的訪問(wèn)控制策略。

2、 多級(jí)授權(quán)RAM

基本原則，不論是用戶調(diào)用云產(chǎn)品、還是云產(chǎn)品相互調(diào)用，都需要經(jīng)過(guò)資源所有者授權(quán);

阿里云ABAC授權(quán)模型，可以最大靈活度滿足授權(quán)要求。

例如：

條件1，允許釋放杭州region的RDS實(shí)例(傳統(tǒng)ACL控制方式);

條件2，允許釋放杭州region帶有“測(cè)試”標(biāo)簽的RDS實(shí)例;

條件3，要求操作人員必須經(jīng)過(guò)二次驗(yàn)證、并要求在指定C類網(wǎng)段發(fā)起請(qǐng)求時(shí)，才能允許釋放杭州region帶有“測(cè)試”標(biāo)簽的RDS實(shí)例

主題|云計(jì)算

插圖 | 網(wǎng)絡(luò)來(lái)源

作 者 介 紹

數(shù)據(jù)君：）

了解大數(shù)據(jù)，

部分圖文來(lái)自網(wǎng)絡(luò)，侵權(quán)則刪

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： idc ssl 安全 大數(shù)據(jù) 金融 權(quán)限 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 云服務(wù) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。