點擊下載《不一樣的 雙11 技術(shù):阿里巴巴經(jīng)濟體云原生實踐》
網(wǎng)站的建設(shè)成都創(chuàng)新互聯(lián)專注網(wǎng)站定制,經(jīng)驗豐富,不做模板,主營網(wǎng)站定制開發(fā).小程序定制開發(fā),H5頁面制作!給你煥然一新的設(shè)計體驗!已為成都崗?fù)?/a>等企業(yè)提供專業(yè)服務(wù)。本文節(jié)選自《不一樣的 雙11 技術(shù):阿里巴巴經(jīng)濟體云原生實踐》一書,點擊上方圖片即可下載!
作者
李鵬(壯懷)阿里云容器服務(wù)高級技術(shù)專家
黃瑞瑞? 阿里云技術(shù)架構(gòu)部資深技術(shù)專家
導(dǎo)讀:對于云上客戶而言,其云上數(shù)據(jù)被妥善的安全保護是其最重要的安全需求,也是云上綜合安全能力最具象的體現(xiàn)。本文作者將從云安全體系出發(fā),到云數(shù)據(jù)安全,再到云原生安全體系對全鏈路加密進行一次梳理,從而回答:在云原生時代,全鏈路加密需要做什么?如何做到?以及未來要做什么?
數(shù)據(jù)安全在云上的要求,可以用信息安全基本三要素 "CIA"來概括,即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
在三要素中,第一要素機密性(Confidentiality)最常見也是最常被要求的技術(shù)實現(xiàn)手段就是數(shù)據(jù)加密。具體到云原生維度,需要實現(xiàn)的就是云原生的全鏈路加密能力。
“全鏈路”指的是數(shù)據(jù)在傳輸 (in Transit,也叫 in-motion)、計算 (Runtime,也叫 in-process),存儲 (in storage,也叫 at-rest) 的過程,而“全鏈路加密”指的是端到端的數(shù)據(jù)加密保護能力,即從云下到云上和云上單元之間的傳輸過程、到數(shù)據(jù)在應(yīng)用運行時的計算過程(使用/交換),和到數(shù)據(jù)最終被持久化落盤的存儲過程中的加密能力。
? 數(shù)據(jù)傳輸 (數(shù)據(jù)通信加密,微服務(wù)通信加密,應(yīng)用證書和密鑰的管理);
? 數(shù)據(jù)處理(運行時安全沙箱 runV, 可信計算安全沙箱 runE);
? 數(shù)據(jù)存儲 (云原生存儲的 CMK/BYOK 加密支持、密文/密鑰的存儲管理、容器鏡像的存儲加密、容器操作/審計日志安全)。
本文中的技術(shù)描述針對的是在云原生全鏈路加密中已有的和未來需要實現(xiàn)的技術(shù)目標。
針對用戶群體的不同,對安全鏈路有不同的層次定義,云安全涵蓋了云客戶安全和云廠商安全在 IaaS 的軟件、硬件以及物理數(shù)據(jù)中心等的安全。
云原生安全首先需要遵循云數(shù)據(jù)安全標準,在復(fù)用了云基礎(chǔ)架構(gòu)安全能力的前提下,同時在安全運行時,軟件供應(yīng)鏈上有進一步的安全支持。
云原生存儲是通過聲明式 API 來描述了云數(shù)據(jù)的生命周期,并不對用戶透出底層 IaaS 的數(shù)據(jù)加密細節(jié)。不同的云原生存儲一般作為云數(shù)據(jù)的載體,復(fù)用了云 IaaS 基礎(chǔ)安全能力,還需要包括軟件供應(yīng)鏈中的鏡像安全,和容器運行時 root 文件系統(tǒng)安全和容器網(wǎng)絡(luò)安全。
云用戶數(shù)據(jù)安全包括以下的三個方面的工作:
數(shù)據(jù)保護:RAM ACL 控制細粒度的數(shù)據(jù)的訪問權(quán)限;敏感數(shù)據(jù)保護(Sensitive
Data Discovery and Protection,簡稱?SDDP)、數(shù)據(jù)脫敏、數(shù)據(jù)分級分類。
數(shù)據(jù)加密:CMK 加密數(shù)據(jù)能力;BYOK 加密數(shù)據(jù)能力。
為了更好的理解數(shù)據(jù)保護,需要對數(shù)據(jù)安全的生命周期有一個了解,因為數(shù)據(jù)保護貫穿于整個的數(shù)據(jù)生命周期:
云原生數(shù)據(jù)生命周期,以 ACK(容器服務(wù) Kubernetes)掛載阿里云云盤為例:
在狹義上來說是對數(shù)據(jù)端到端的加密,主要集中在了數(shù)據(jù)生命周期中的三個階段:
安全通信設(shè)計,密文/密鑰的安全管理和傳輸,既要滿足云環(huán)境下的安全傳輸、云原生引入的容器網(wǎng)絡(luò)、微服務(wù)、區(qū)塊鏈場景,又對云原生數(shù)據(jù)安全傳輸提出了進一步的要求。
在云環(huán)境下 VPC/安全組的使用,密文/密鑰的安全管理 KMS 南北向流量通過 SSL 證書服務(wù)獲取可信有效的 CA,對南北流量實現(xiàn) HTTPS 加密和卸載,以及對 RPC/gRPC 通信使用?SSL 加密,?減小 VPC 的***面,通過?***/SAG Gateway 來實現(xiàn)安全訪問鏈路。
云原生場景,單一集群允許多租戶的同時共享網(wǎng)絡(luò)、系統(tǒng)組件權(quán)限控制、數(shù)據(jù)通信加密、證書輪轉(zhuǎn)管理,多租場景下東西流量的網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)清洗;云原生微服務(wù)場景,應(yīng)用/微服務(wù)間通信加密,和證書管理;云原生場景下密鑰、密文的獨立管理和三方集成、KMS 與 Vault CA, fabric-ca, istio-certmanager 等的集成。
數(shù)據(jù)處理階段,對內(nèi)存級的可信計算,既有云安全虛擬化安全運行的要求,又有容器安全沙箱和可信安全沙箱的需求。
既有云安全對云存儲加密、云數(shù)據(jù)服務(wù)加密需求,又有對容器鏡像存儲加密,審計日志、應(yīng)用日志加密和三方集成的需求,以及對密文密碼的不落盤存儲支持。
云存儲加密方式:
云存儲數(shù)據(jù),以服務(wù)端加密為主;安全的密鑰管理 KMS/HSM;安全的加密算法,全面支持國產(chǎn)算法以及部分國際通用密碼算法,滿足用戶各種加密算法需求:
阿里云只能管理設(shè)備硬件,主要包括監(jiān)控設(shè)備可用性指標、開通、停止服務(wù)等。密鑰完全由客戶管理,阿里云沒有任何方法可以獲取客戶密鑰。
云存儲加密支持:
云原生存儲加密:目前阿里云容器服務(wù) ACK 可以托管的主要以塊存儲、文件存儲和對象存儲為主,其他類型的 RDS、OTS 等數(shù)據(jù)服務(wù)是通過 Service Broker 等方式支持。
云原生全鏈路的數(shù)據(jù)安全、云安全體系下的全鏈路加密已經(jīng)成為了基礎(chǔ)配置,新的容器化基礎(chǔ)架構(gòu)和應(yīng)用架構(gòu)的變化,結(jié)合云原生技術(shù)體系的特征,在數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)存儲階段都需要增加相應(yīng)云原生環(huán)境對網(wǎng)絡(luò)、運行時、存儲的全鏈路加密需求。
本書亮點
“阿里巴巴云原生關(guān)注微服務(wù)、Serverless、容器、Service Mesh 等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢、云原生大規(guī)模的落地實踐,做最懂云原生開發(fā)者的技術(shù)圈。”
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
當前文章:如何保障云上數(shù)據(jù)安全?一文詳解云原生全鏈路加密-創(chuàng)新互聯(lián)
網(wǎng)頁URL:http://www.muchs.cn/article20/dgisjo.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供App開發(fā)、網(wǎng)站營銷、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站排名、品牌網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)