1.數(shù)據(jù)安全概述

數(shù)據(jù)漏洞，數(shù)據(jù)篡改，數(shù)據(jù)丟失，數(shù)據(jù)被非法訪問(wèn)，正常用戶無(wú)法訪問(wèn)等

數(shù)據(jù)安全可以分為兩大類：數(shù)據(jù)本身的安全和數(shù)據(jù)防護(hù)的安全

數(shù)據(jù)本身的安全：保密性，完整性，可用性

• 保密性：控制各個(gè)可以泄密的環(huán)節(jié)，不能把數(shù)據(jù)泄露給沒(méi)有授權(quán)的個(gè)人合適。加密，證書
• 完整性：數(shù)據(jù)存儲(chǔ)，傳輸過(guò)程中不被修改，破壞，插入，不延遲，不亂序等特征。　完整性驗(yàn)證
• 可用性：通過(guò)冗余的手段實(shí)現(xiàn)可用性。主備實(shí)例，異地實(shí)例

數(shù)據(jù)防護(hù)的安全：物理安全，安全防護(hù)

數(shù)據(jù)防護(hù)安全是指因存儲(chǔ)介質(zhì)受損，人為措施竊取破壞或者病毒導(dǎo)致的數(shù)據(jù)泄露。包括物理安全和安全防護(hù)

• 物理安全：及時(shí)備份和恢復(fù)
• 安全防護(hù)：數(shù)據(jù)訪問(wèn)授權(quán)和審批

阿里云的數(shù)據(jù)安全防護(hù)

阿里云從以下幾個(gè)方面來(lái)實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)：數(shù)據(jù)備份和容災(zāi)；數(shù)據(jù)加密；數(shù)據(jù)傳輸安全

2.數(shù)據(jù)備份，恢復(fù)和容災(zāi)

常見的不同級(jí)別的備份方法

• 按地理位置
  • 本地備份：不同機(jī)房，不同交換機(jī)
  • 同城備份：不同數(shù)據(jù)中心，數(shù)據(jù)中心之間的電力網(wǎng)絡(luò)互相隔離
  • 異地備份
• 按備份模式
  • 物理備份：數(shù)據(jù)塊級(jí)別；以磁盤按塊為單位，將數(shù)據(jù)復(fù)制到備機(jī)，忽略了文件和結(jié)構(gòu)，處理過(guò)程簡(jiǎn)潔，開銷比較小，性能比較高。不受文件系統(tǒng)限制
  • 邏輯備份：文件級(jí)別；以文件為單位，將數(shù)據(jù)復(fù)制到備機(jī)。比如數(shù)據(jù)庫(kù)按照庫(kù)表的級(jí)別備份就是邏輯備份。磁盤開銷比較大，性能比較低，比較難做到實(shí)時(shí)備份。會(huì)受到文件系統(tǒng)制約
• 按時(shí)效性：
  • 熱備
  • 冷備

1.云服務(wù)ECS備份與恢復(fù)--快照

云服務(wù)器ECS使用快照來(lái)現(xiàn)實(shí)數(shù)據(jù)的備份，恢復(fù)。

快照：就是某一時(shí)間點(diǎn)上某一磁盤的數(shù)據(jù)備份

阿里云提供了快照機(jī)制，通過(guò)為云盤創(chuàng)建快照，您可以保留一個(gè)或多個(gè)時(shí)間點(diǎn)的磁盤數(shù)據(jù)拷貝。

快照機(jī)制：第一個(gè)快照是全量快照，以后是增量快照

2.云數(shù)據(jù)庫(kù)RDS備份與恢復(fù)

備份與恢復(fù)：為了保證數(shù)據(jù)的安全性，必須定期進(jìn)行數(shù)據(jù)庫(kù)的備份，當(dāng)數(shù)據(jù)庫(kù)損壞或系統(tǒng)崩潰時(shí)可以將過(guò)去制作的備份恢復(fù)到數(shù)據(jù)庫(kù)服務(wù)器中。阿里云云數(shù)據(jù)庫(kù)RDS提供了備份與恢復(fù)機(jī)制：

備份：可以通過(guò)設(shè)置備份策略調(diào)整RDS數(shù)據(jù)庫(kù)備份和日志備份的周期來(lái)實(shí)現(xiàn)自動(dòng)備份，也可以通過(guò)手動(dòng)備份RDS數(shù)據(jù)。備份是保存在OSS集群中

恢復(fù)：支持按備份集和制定時(shí)間點(diǎn)的恢復(fù)

3.云數(shù)據(jù)庫(kù)RDS數(shù)據(jù)導(dǎo)入、導(dǎo)出

云數(shù)據(jù)庫(kù)RDS可以進(jìn)行數(shù)據(jù)導(dǎo)入導(dǎo)出，以用于數(shù)據(jù)庫(kù)的備份和還原：

• 導(dǎo)出即將云數(shù)據(jù)庫(kù)(表)導(dǎo)出到本地?cái)?shù)據(jù)庫(kù)(表)文件
• 導(dǎo)入即將該數(shù)據(jù)庫(kù)(表)文件導(dǎo)入（還原）到云數(shù)據(jù)庫(kù)中

云數(shù)據(jù)庫(kù)RDS分為兩種：

• 數(shù)據(jù)本身的導(dǎo)入導(dǎo)出：通過(guò)DMS實(shí)現(xiàn)
• 備份文件的導(dǎo)出： 通過(guò)控制臺(tái)實(shí)現(xiàn)，包括數(shù)據(jù)備份，日志備份

4.云數(shù)據(jù)庫(kù)RDS高可用版、災(zāi)備實(shí)例

RDS產(chǎn)品系列有基礎(chǔ)版，高可用版，集群版和三節(jié)點(diǎn)企業(yè)版

高可用版：

RDS高可用版采用一主一備的經(jīng)典高可用架構(gòu)，熱備架構(gòu)，物理服務(wù)器出現(xiàn)故障后服務(wù)秒級(jí)完成切換。整個(gè)切換過(guò)程對(duì)應(yīng)用透明

災(zāi)備實(shí)例：

RDS提供異地災(zāi)備實(shí)例，幫助用戶提升數(shù)據(jù)可靠性。實(shí)例和災(zāi)備實(shí)例均搭建主備高可用架構(gòu)。主節(jié)點(diǎn)(Master)和備節(jié)點(diǎn)(Slave)均無(wú)法連接時(shí)，可將異地災(zāi)備實(shí)例切換為主實(shí)例

5.云存儲(chǔ)OSS多副本&異地備份

OSS多副本：云存儲(chǔ)OSS提供多數(shù)據(jù)備份功能，可靠性達(dá)99.999999999%

異地備份：云存儲(chǔ)OSS提供跨區(qū)域復(fù)制功能，將本地的數(shù)據(jù)自動(dòng)復(fù)制到異地的數(shù)據(jù)中心去。整個(gè)復(fù)制過(guò)程無(wú)需用戶人工參與，0運(yùn)維成本，無(wú)需運(yùn)維人員及托管費(fèi)用

3.數(shù)據(jù)加密

介紹一下數(shù)據(jù)加密技術(shù)和阿里云上各種服務(wù)如何用數(shù)據(jù)加密技術(shù)來(lái)保障用戶數(shù)據(jù)安全。

加密的必要性

數(shù)據(jù)加密技術(shù)

1.常見的加密算法

• 對(duì)稱加密算法：加密解密用相同的密鑰
• 非對(duì)稱加密算法：加密解密用不同的密鑰，public key 和 private key
• 哈希（HASH,摘要）算法：單向，不可逆的算法，哈希值不能轉(zhuǎn)換回原來(lái)的值

2.如何選擇加密算法和密鑰

加密算法的效能通常可以按照算法本身的復(fù)雜程度，密鑰長(zhǎng)度（密鑰越長(zhǎng)越安全），加密解密速度等來(lái)衡量。

下面介紹一下阿里云上各種服務(wù)如何用數(shù)據(jù)加密技術(shù)來(lái)保障用戶數(shù)據(jù)安全

1.密鑰管理服務(wù)KMS

密鑰管理服務(wù)概念和優(yōu)勢(shì)

密鑰管理服務(wù)KMS（Key Management Service）是阿里提供的密鑰的安全托管及密碼運(yùn)算等服務(wù)。借助密鑰管理服務(wù)，用戶可安全，便捷的使用密鑰，專注于開發(fā)加解密功能場(chǎng)景。

功能包括：加密密鑰的托管，自帶密鑰（BYOK），自動(dòng)輪轉(zhuǎn)加密密鑰，簡(jiǎn)單的密碼運(yùn)算API等。與多個(gè)阿里云產(chǎn)品無(wú)縫集成：云服務(wù)器ECS，云數(shù)據(jù)庫(kù)RDS，對(duì)象存儲(chǔ)OSS，訪問(wèn)控制RAM，操作審計(jì)ActionTrail

密鑰管理服務(wù)--解決的問(wèn)題

信封加密：將加密數(shù)據(jù)的加密密鑰放入信封中

密鑰管理服務(wù)--適用場(chǎng)景

?

?

2.阿里云加密服務(wù)

阿里云加密服務(wù)（Ali Cloud Data Encryption Service）是云上的數(shù)據(jù)安全加密解決方案，服務(wù)底層使用經(jīng)國(guó)家密碼管理局檢測(cè)認(rèn)證的硬件密碼機(jī)，幫助客戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求，確保云上業(yè)務(wù)數(shù)據(jù)的隱私性和機(jī)密性。

客戶可以借助云加密服務(wù)實(shí)現(xiàn)對(duì)加密密鑰的完全控制和進(jìn)行加解密操作。

金融支付領(lǐng)域的加解密支持。權(quán)限認(rèn)證：設(shè)備與敏感信息管理分離。高可用性保障

加密服務(wù)使用方法：

購(gòu)買并創(chuàng)建加密服務(wù)實(shí)例，并分配私有IP地址（VPC網(wǎng)絡(luò)）

填寫地址，接收身份認(rèn)證卡USB key

安裝實(shí)例管理端，使用身份卡USB key對(duì)實(shí)例進(jìn)行管理

安裝安全代理程序，并通過(guò)實(shí)例管理端對(duì)其授權(quán)

通過(guò)代理程序調(diào)用加密服務(wù)實(shí)例，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行指定的加解密運(yùn)算

加密服務(wù)支持的加密算法：全面支持國(guó)產(chǎn)算法以及部分國(guó)際通用密碼算法

對(duì)稱加密算法：SM1 SM4 DES 3DES AES等

非對(duì)稱加密算法：SM2 RSA 等

摘要算法：SM3 SHA1 SHA256 SHA384等

加密服務(wù)的特點(diǎn)

?3.云數(shù)據(jù)庫(kù)加密存儲(chǔ)---TDE透明數(shù)據(jù)加密

對(duì)實(shí)例數(shù)據(jù)文件執(zhí)行實(shí)時(shí)I/O加密解密：數(shù)據(jù)在寫入磁盤前加密，從磁盤讀入內(nèi)存時(shí)解密

不會(huì)增加數(shù)據(jù)文件的大小，開發(fā)人員無(wú)需更改任何應(yīng)用程序

會(huì)增加CPU使用率

4.云存儲(chǔ)OSS加密存儲(chǔ)---客戶端加密保護(hù)數(shù)據(jù)

客戶端加密：用戶數(shù)據(jù)在發(fā)送給遠(yuǎn)端服務(wù)器之前就完成加密，加密所用的密鑰的明文只保留在本地。

保證用戶數(shù)據(jù)安全，即使數(shù)據(jù)泄露別人也無(wú)法解密得到原始數(shù)據(jù)

5.云存儲(chǔ)OSS數(shù)據(jù)完整性驗(yàn)證

數(shù)據(jù)在客戶端和服務(wù)器之間傳輸時(shí)可能會(huì)出錯(cuò)，OSS現(xiàn)在支持對(duì)各種方式上傳的object返回其CRC64值，客戶端可以和本地計(jì)算的CRC64值做對(duì)比。用到了Hash算法

4.數(shù)據(jù)傳輸安全

流量劫持

數(shù)據(jù)傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔?#xff0c;以防止被動(dòng)地和主動(dòng)地侵犯。流量就是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量，流量劫持就是目前最典型的數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)。流量劫持包括：數(shù)據(jù)劫持和域名劫持

HTTP協(xié)議和HTTPS協(xié)議

有效的HTTPS安全傳輸

CA證書

CA是指Certificate Authority也叫證書授權(quán)中心。CA證書就是CA頒發(fā)的證書。

CA證書的作用：

驗(yàn)證網(wǎng)站是否可信，針對(duì)HTTPS

驗(yàn)證某文件是否可信：是否被篡改

CA證書的趨勢(shì)

谷歌、火狐等主流瀏覽器對(duì)HTTP頁(yè)面提出警告

蘋果IOS強(qiáng)制開啟ATS標(biāo)準(zhǔn)

HTTP/2協(xié)議只支持HTTPS

HTTPS提升搜索排名

英美強(qiáng)制要求所有政府網(wǎng)站啟用HTTPS

超級(jí)權(quán)限應(yīng)用禁止適用HTTP連接

SSL證書：避免數(shù)據(jù)劫持

SSL證書也稱為云盾證書服務(wù)Ali Cloud Certificate Service。數(shù)字證書審核成功后，可以推送到其它阿里云產(chǎn)品，包括CDN，DDoS高防IP，WAF，及SLB服務(wù)

適用場(chǎng)景

場(chǎng)景1：用戶網(wǎng)站服務(wù)由HTTP協(xié)議轉(zhuǎn)換成HTTPS協(xié)議

場(chǎng)景2：阿里云CDN，SLB服務(wù)上適用HTTPS協(xié)議

?HTTPDNS：避免域名劫持

SSL證書可以避免數(shù)據(jù)劫持，然后可以使用HTTPDNS避免域名劫持。

HTTPDNS是阿里云向移動(dòng)開發(fā)者推出的一款域名解析產(chǎn)品，具有域名防劫持，精準(zhǔn)調(diào)度的特性

HTTPDNS原理

HTTPDNS使用場(chǎng)景

由于通過(guò)HTTPSDNS進(jìn)行域名解析獲取IP信息后，需要基于該IP信息進(jìn)行網(wǎng)絡(luò)請(qǐng)求，即需要具備定制網(wǎng)絡(luò)請(qǐng)求的能力。因此HTTPDNS比較適用于C/S架構(gòu)的應(yīng)用場(chǎng)景

瀏覽器環(huán)境下B/S架構(gòu)由于客戶端的網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)于開發(fā)者而言是黑盒過(guò)程，無(wú)法定制DNS與網(wǎng)絡(luò)請(qǐng)求的實(shí)現(xiàn)，因此不適合在該場(chǎng)景下使用HTTPDNS?

如何使用HTTPDNS

5.數(shù)據(jù)庫(kù)審計(jì)

常見的數(shù)據(jù)庫(kù)攻擊手段

破解弱口令或者默認(rèn)的用戶名及口令

特權(quán)提升

利用未用的和不需要的數(shù)據(jù)庫(kù)服務(wù)和功能中的漏洞

針對(duì)未打補(bǔ)丁的數(shù)據(jù)庫(kù)漏洞

SQL注入

竊取備份（未加密）的磁帶

數(shù)據(jù)庫(kù)審計(jì)主要功能

數(shù)據(jù)庫(kù)審計(jì)服務(wù)

數(shù)據(jù)庫(kù)審計(jì)服務(wù)是一款專業(yè)，主動(dòng)，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)安全的審計(jì)產(chǎn)品，滿足對(duì)數(shù)據(jù)審計(jì)及日志數(shù)據(jù)留存的要求。可針對(duì)SQL注入，風(fēng)險(xiǎn)操作等數(shù)據(jù)風(fēng)險(xiǎn)操作行為進(jìn)行記錄與告警。可用于審計(jì)阿里云平臺(tái)中的RDS云數(shù)據(jù)庫(kù)，ECS自建數(shù)據(jù)庫(kù)和NoSQL數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)審計(jì)通過(guò)旁路檢測(cè)方式，不影響數(shù)據(jù)庫(kù)運(yùn)行效率，實(shí)現(xiàn)靈活的審計(jì)與監(jiān)控。

數(shù)據(jù)庫(kù)審計(jì)功能特性

數(shù)據(jù)庫(kù)審計(jì)提供用戶行為發(fā)現(xiàn)審計(jì)，多維度線索分析，實(shí)時(shí)報(bào)警和報(bào)表功能

用戶審計(jì)：用戶行為發(fā)現(xiàn)審計(jì)

多維度線索分析

實(shí)時(shí)告警：異常操作，SQL注入，黑白名單實(shí)時(shí)告警

針對(duì)各種異常行為的精細(xì)化報(bào)表

?數(shù)據(jù)庫(kù)審計(jì)應(yīng)用場(chǎng)景

可用于審計(jì)阿里云平臺(tái)中的RDS云數(shù)據(jù)庫(kù)，ECS自建數(shù)據(jù)庫(kù)和NoSQL數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)審計(jì)適用流程

完成購(gòu)買數(shù)據(jù)庫(kù)審計(jì)實(shí)例后，需要將數(shù)據(jù)庫(kù)添加至數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中并部署相應(yīng)的Agent程序，將數(shù)據(jù)庫(kù)接入數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)后，系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)

購(gòu)買并啟用數(shù)據(jù)庫(kù)審計(jì)實(shí)例

登錄數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

添加被審計(jì)的數(shù)據(jù)庫(kù)實(shí)例

部署Agent程序

總結(jié)

以上是生活随笔為你收集整理的云上数据安全防护的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。