【云计算】阿里云RDS全链路安全设计

了解大数据，吧！

每个想了解最新大数据资讯的人，都了我

文 / 数据君

一、阿里云RDS全链路安全设计

根据数据在业务系统里流转的途径和时序，可以从两个维度来对数据安全机制加以描述。数据链路维度，通过从存储层到接入层的全链路安全设计、通过安全加密和隔离技术让数据安全在每个环节都得到技术保障;业务处理“事前、事中、事后”的视角，则帮助企业级应用建立科学的数据安全管理制度;以下通过用户最的几个层面，来分析阿里云RDS如何提供数据安全保障;

二、数据存储与传输安全

数据存储和传输的安全机制，是对数据安全最核心的保障，除了安全技术的选择，从安全机制设计上，也必须保障即便是存储和网络的运维管理人员，也无法窥探到用户数据。阿里云的数据安全传输和存储机制，通过了最严格的德国C5、及新加坡MTCS最高安全评级认证，以下简单介绍传输和存储的安全机制：

1、传输安全 Securing Data in Motion

内外部数据全链路加密

防止数据在传输时被窃取，最高支持TLS v1.2

可强制使用SSL (CREATE USER ‘jeffrey’@‘localhost’ REQUIRE SSL;)

无需配置和管理证书，即开即用

2、 存储安全 Securing Data at Rest

TDE 支持数据库表级别存储加密(Encrypting InnoDB Page)

云盘版已推出实例级存储加密(Encrypting Storage)

OSS中的备份数据双层加密(InnoDB& Object)

密钥(Data Key)保存在KMS中，支持BYOK

一键开启，对应用透明、对存储性能影响严格受控

三、访问控制

1、全链路的访问控制

既要保障足够的安全，又要保证灵活的授权合法访问，公共云服务的访问控制策略，既保留了传统DBA的传统武功、又赋予了云计算特有的独门兵器;

在数据库层面，支持通过传统sql和DMS(阿里云数据库管理控制台)管理对指定库表、指定源IP的访问权限;

在RDS实例层面，通过RAM机制形成API粒度的权限控制，控制对实例的访问、登录、修改权限，对于实例数量较多的大型组织，提供通过标签或资源组的批量授权方式也可以通过VPC和安全组制定业务级或BU级的更大范围的访问控制;

阿里云同样提供金融级堡垒机服务，使用阿里云数据库服务，可以实现比传统IDC自建方式更加完善和灵活的访问控制策略。

2、 多级授权RAM

基本原则，不论是用户调用云产品、还是云产品相互调用，都需要经过资源所有者授权;

阿里云ABAC授权模型，可以最大灵活度满足授权要求。

例如：

条件1，允许释放杭州region的RDS实例(传统ACL控制方式);

条件2，允许释放杭州region带有“测试”标签的RDS实例;

条件3，要求操作人员必须经过二次验证、并要求在指定C类网段发起请求时，才能允许释放杭州region带有“测试”标签的RDS实例

主题|云计算

插图 | 网络来源

作 者 介 绍

数据君：）

了解大数据，

部分图文来自网络，侵权则删

在不久的将来，云计算一定会彻底走入我们的生活，有兴趣入行未来前沿产业的朋友，可以收藏云计算，及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识，让我们一起携手，引领人工智能的未来！

标签： idc ssl 安全 大数据 金融 权限 数据库 网络 云服务 云计算

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。