云上数据安全防护
1.數據安全概述
數據漏洞,數據篡改,數據丟失,數據被非法訪問,正常用戶無法訪問等
數據安全可以分為兩大類:數據本身的安全和數據防護的安全
數據本身的安全:保密性,完整性,可用性
- 保密性:控制各個可以泄密的環節,不能把數據泄露給沒有授權的個人合適。加密,證書
- 完整性:數據存儲,傳輸過程中不被修改,破壞,插入,不延遲,不亂序等特征。 完整性驗證
- 可用性:通過冗余的手段實現可用性。主備實例,異地實例
數據防護的安全:物理安全,安全防護
數據防護安全是指因存儲介質受損,人為措施竊取破壞或者病毒導致的數據泄露。包括物理安全和安全防護
- 物理安全:及時備份和恢復
- 安全防護:數據訪問授權和審批
阿里云的數據安全防護
阿里云從以下幾個方面來實現數據安全防護:數據備份和容災;數據加密;數據傳輸安全
2.數據備份,恢復和容災
常見的不同級別的備份方法
- 按地理位置
- 本地備份:不同機房,不同交換機
- 同城備份:不同數據中心,數據中心之間的電力網絡互相隔離
- 異地備份
- 按備份模式
- 物理備份:數據塊級別;以磁盤按塊為單位,將數據復制到備機,忽略了文件和結構,處理過程簡潔,開銷比較小,性能比較高。不受文件系統限制
- 邏輯備份:文件級別;以文件為單位,將數據復制到備機。比如數據庫按照庫表的級別備份就是邏輯備份。磁盤開銷比較大,性能比較低,比較難做到實時備份。會受到文件系統制約
- 按時效性:
- 熱備
- 冷備
1.云服務ECS備份與恢復--快照
云服務器ECS使用快照來現實數據的備份,恢復。
快照:就是某一時間點上某一磁盤的數據備份
阿里云提供了快照機制,通過為云盤創建快照,您可以保留一個或多個時間點的磁盤數據拷貝。
快照機制:第一個快照是全量快照,以后是增量快照
2.云數據庫RDS備份與恢復
備份與恢復:為了保證數據的安全性,必須定期進行數據庫的備份,當數據庫損壞或系統崩潰時可以將過去制作的備份恢復到數據庫服務器中。阿里云云數據庫RDS提供了備份與恢復機制:
備份:可以通過設置備份策略調整RDS數據庫備份和日志備份的周期來實現自動備份,也可以通過手動備份RDS數據。備份是保存在OSS集群中
恢復:支持按備份集和制定時間點的恢復
3.云數據庫RDS數據導入、導出
云數據庫RDS可以進行數據導入導出,以用于數據庫的備份和還原:
- 導出即將云數據庫(表)導出到本地數據庫(表)文件
- 導入即將該數據庫(表)文件導入(還原)到云數據庫中
云數據庫RDS分為兩種:
- 數據本身的導入導出:通過DMS實現
- 備份文件的導出: 通過控制臺實現,包括數據備份,日志備份
4.云數據庫RDS高可用版、災備實例
RDS產品系列有基礎版,高可用版,集群版和三節點企業版
高可用版:
RDS高可用版采用一主一備的經典高可用架構,熱備架構,物理服務器出現故障后服務秒級完成切換。整個切換過程對應用透明
災備實例:
RDS提供異地災備實例,幫助用戶提升數據可靠性。實例和災備實例均搭建主備高可用架構。主節點(Master)和備節點(Slave)均無法連接時,可將異地災備實例切換為主實例
5.云存儲OSS多副本&異地備份
OSS多副本:云存儲OSS提供多數據備份功能,可靠性達99.999999999%
異地備份:云存儲OSS提供跨區域復制功能,將本地的數據自動復制到異地的數據中心去。整個復制過程無需用戶人工參與,0運維成本,無需運維人員及托管費用
3.數據加密
介紹一下數據加密技術和阿里云上各種服務如何用數據加密技術來保障用戶數據安全。
加密的必要性
數據加密技術
1.常見的加密算法
- 對稱加密算法:加密解密用相同的密鑰
- 非對稱加密算法:加密解密用不同的密鑰,public key 和 private key
- 哈希(HASH,摘要)算法:單向,不可逆的算法,哈希值不能轉換回原來的值
2.如何選擇加密算法和密鑰
加密算法的效能通常可以按照算法本身的復雜程度,密鑰長度(密鑰越長越安全),加密解密速度等來衡量。
下面介紹一下阿里云上各種服務如何用數據加密技術來保障用戶數據安全
1.密鑰管理服務KMS
密鑰管理服務概念和優勢
密鑰管理服務KMS(Key Management Service)是阿里提供的密鑰的安全托管及密碼運算等服務。借助密鑰管理服務,用戶可安全,便捷的使用密鑰,專注于開發加解密功能場景。
功能包括:加密密鑰的托管,自帶密鑰(BYOK),自動輪轉加密密鑰,簡單的密碼運算API等。與多個阿里云產品無縫集成:云服務器ECS,云數據庫RDS,對象存儲OSS,訪問控制RAM,操作審計ActionTrail
密鑰管理服務--解決的問題
信封加密:將加密數據的加密密鑰放入信封中
密鑰管理服務--適用場景
?
?
2.阿里云加密服務
阿里云加密服務(Ali Cloud Data Encryption Service)是云上的數據安全加密解決方案,服務底層使用經國家密碼管理局檢測認證的硬件密碼機,幫助客戶滿足數據安全方面的監管合規要求,確保云上業務數據的隱私性和機密性。
客戶可以借助云加密服務實現對加密密鑰的完全控制和進行加解密操作。
金融支付領域的加解密支持。權限認證:設備與敏感信息管理分離。高可用性保障
加密服務使用方法:
加密服務支持的加密算法:全面支持國產算法以及部分國際通用密碼算法
加密服務的特點
?3.云數據庫加密存儲---TDE透明數據加密
對實例數據文件執行實時I/O加密解密:數據在寫入磁盤前加密,從磁盤讀入內存時解密
不會增加數據文件的大小,開發人員無需更改任何應用程序
會增加CPU使用率
4.云存儲OSS加密存儲---客戶端加密保護數據
客戶端加密:用戶數據在發送給遠端服務器之前就完成加密,加密所用的密鑰的明文只保留在本地。
保證用戶數據安全,即使數據泄露別人也無法解密得到原始數據
5.云存儲OSS數據完整性驗證
數據在客戶端和服務器之間傳輸時可能會出錯,OSS現在支持對各種方式上傳的object返回其CRC64值,客戶端可以和本地計算的CRC64值做對比。用到了Hash算法
4.數據傳輸安全
流量劫持
數據傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。流量就是網絡上傳輸的數據量,流量劫持就是目前最典型的數據傳輸安全風險。流量劫持包括:數據劫持和域名劫持
HTTP協議和HTTPS協議
有效的HTTPS安全傳輸
CA證書
CA是指Certificate Authority也叫證書授權中心。CA證書就是CA頒發的證書。
CA證書的作用:
CA證書的趨勢
SSL證書:避免數據劫持
SSL證書也稱為云盾證書服務Ali Cloud Certificate Service。數字證書審核成功后,可以推送到其它阿里云產品,包括CDN,DDoS高防IP,WAF,及SLB服務
適用場景
?HTTPDNS:避免域名劫持
SSL證書可以避免數據劫持,然后可以使用HTTPDNS避免域名劫持。
HTTPDNS是阿里云向移動開發者推出的一款域名解析產品,具有域名防劫持,精準調度的特性
HTTPDNS原理
HTTPDNS使用場景
由于通過HTTPSDNS進行域名解析獲取IP信息后,需要基于該IP信息進行網絡請求,即需要具備定制網絡請求的能力。因此HTTPDNS比較適用于C/S架構的應用場景
瀏覽器環境下B/S架構由于客戶端的網絡實現對于開發者而言是黑盒過程,無法定制DNS與網絡請求的實現,因此不適合在該場景下使用HTTPDNS?
如何使用HTTPDNS
5.數據庫審計
常見的數據庫攻擊手段
數據庫審計服務
數據庫審計服務是一款專業,主動,實時監控數據庫安全的審計產品,滿足對數據審計及日志數據留存的要求。可針對SQL注入,風險操作等數據風險操作行為進行記錄與告警。可用于審計阿里云平臺中的RDS云數據庫,ECS自建數據庫和NoSQL數據庫。
數據庫審計通過旁路檢測方式,不影響數據庫運行效率,實現靈活的審計與監控。
數據庫審計功能特性
數據庫審計提供用戶行為發現審計,多維度線索分析,實時報警和報表功能
?數據庫審計應用場景
可用于審計阿里云平臺中的RDS云數據庫,ECS自建數據庫和NoSQL數據庫。
數據庫審計適用流程
完成購買數據庫審計實例后,需要將數據庫添加至數據庫審計系統中并部署相應的Agent程序,將數據庫接入數據庫審計系統后,系統才能對數據庫進行審計
總結
- 上一篇: 从分歧到共识:疫情下的5G发展思考
- 下一篇: 中国电子陶瓷行业需求预测及投资竞争力研究