當前位置：云計算 → 行業動態 → 正文

互聯網企業如何構建安全可信的云上數據存儲

責任編輯：cres |來源：企業網D1Net 2019-01-08 13:24:55 原創文章企業網D1Net

云計算已經進入了高速發展的階段，公共云技術和業務架構方式被越來越多的企業級用戶接受，從最初的游戲、在線音視頻、移動App等互聯網應用，到金融、教育、工業制造、政府機構等越來越多的偏傳統機構的數字化轉型進程蓬勃發展。然而初次接觸公共云服務的用戶，通常最先關注的一個問題，就是“使用云服務，我的數據安全嗎?”

以下小編以阿里云RDS(關系型數據庫服務)為例，來分析一下，阿里云是如何進行全鏈路安全設計，進而保障用戶數據安全的;

一、阿里云RDS全鏈路安全設計

跟據數據在業務系統里流轉的途徑和時序，可以從兩個維度來對數據安全機制加以描述。數據鏈路維度，通過從存儲層到接入層的全鏈路安全設計、通過安全加密和隔離技術讓數據安全在每個環節都得到技術保障;業務處理“事前、事中、事后”的視角，則幫助企業級應用建立科學的數據安全管理制度;以下通過用戶最關注的幾個層面，來分析阿里云RDS如何提供數據安全保障;

二、數據存儲與傳輸安全

數據存儲和傳輸的安全機制，是對數據安全最核心的保障，除了安全技術的選擇，從安全機制設計上，也必須保障即便是存儲和網絡的運維管理人員，也無法窺探到用戶數據。阿里云的數據安全傳輸和存儲機制，通過了最嚴格的德國C5、及新加坡MTCS最高安全評級認證，以下簡單介紹傳輸和存儲的安全機制：

1、傳輸安全 Securing Data in Motion

· 內外部數據全鏈路加密

· 防止數據在傳輸時被竊取，最高支持TLS v1.2

· 可強制使用SSL (CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)

· 無需配置和管理證書，即開即用

2、存儲安全 Securing Data at Rest

· TDE 支持數據庫表級別存儲加密(Encrypting InnoDB Page)

· 云盤版已推出實例級存儲加密(Encrypting Storage)

· OSS中的備份數據雙層加密(InnoDB& Object)

· 密鑰(Data Key)保存在KMS中，支持BYOK

· 一鍵開啟，對應用透明、對存儲性能影響嚴格受控

三、訪問控制

1、全鏈路的訪問控制

既要保障足夠的安全，又要保證靈活的授權合法訪問，公共云服務的訪問控制策略，既保留了傳統DBA的傳統武功、又賦予了云計算特有的獨門兵器;

· 在數據庫層面，支持通過傳統sql和DMS(阿里云數據庫管理控制臺)管理對指定庫表、指定源IP的訪問權限;

· 在RDS實例層面，通過RAM機制形成API粒度的權限控制，控制對實例的訪問、登錄、修改權限，對于實例數量較多的大型組織，提供通過標簽或資源組的批量授權方式也可以通過VPC和安全組制定業務級或BU級的更大范圍的訪問控制;

· 阿里云同樣提供金融級堡壘機服務，使用阿里云數據庫服務，可以實現比傳統IDC自建方式更加完善和靈活的訪問控制策略。

2、多級授權RAM

· 基本原則，不論是用戶調用云產品、還是云產品相互調用，都需要經過資源所有者授權;

· 阿里云ABAC授權模型，可以最大靈活度滿足授權要求。

例如：

條件1，允許釋放杭州region的RDS實例(傳統ACL控制方式);

條件2，允許釋放杭州region帶有“測試”標簽的RDS實例;

條件3，要求操作人員必須經過二次驗證、并要求在指定C類網段發起請求時，才能允許釋放杭州region帶有“測試”標簽的RDS實例

四、安全審計

云服務廠商的統一管理為規范審計帶來了先天優勢，阿里云針對數據庫服務提供兩種安全審計服務：

一種是通過RDS服務的代理層實現的數據庫審計，在DMS(數據庫管理控制臺)展現，主要用于數據庫問題的追溯與排查，能夠從“人、庫、表”維度對執行sql、庫表同步、配置變更、安全規則等進行全面審計，確保對于企業核心數據的任何操作可追溯到時間和人(DMSsql審計已經升級為sql洞察，成為數據庫運行效率診斷分析專家系統);

而對于數據資產管理及合規性有更高要求的用戶，阿里云也有一個獨立的數據庫審計服務，除了更加全面的sql審計能力，也包括合規必須的用戶行為發現審計、多維度線索分析、異常操作實時報警、及各種精細化(合規)報表功能。

兩種數據庫審計方式都是通過旁路部署、不影響數據庫運行效率，可實現99%+的應用關聯審計、完整的SQL解析、精確的協議分析;同時提供高效的分析手段，每秒萬次入庫、億級數據秒級響應。配合以阿里云全鏈路的訪問審計(網絡邊界、運維操作、系統及應用、賬號權限、安全審計等)，讓任何損害企業數據資產的行為無可遁形。

五、安全資質

阿里云作為全球Iaas市場第三名、亞洲第一云計算品牌，國內市場份額超第2-5名總和;特別是在政府、金融、及傳統企業應用方面國內遙遙領先;。在Gartner2018年全球數據庫魔力象限評選中，阿里云第一次進入全球遠見者(Visionaries)象限，是這一評選自2013年推出后第一次有中國的科技企業入選，也是對阿里云數據庫服務及數據安全管理的高度認可;

自2009年成立之日起，阿里云就將安全和數據隱私視為生命，保護客戶數據隱私是阿里云的第一原則。2015年，阿里云率先發起“數據保護倡議”——“數據是客戶資產，云計算平臺不得移作它用，并有責任和義務幫助客戶保障其數據的私密性、完整性和可用性”。據悉，這是中國云計算服務商首次定義行業標準，針對用戶普遍關注的數據安全問題進行界定。