开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(二)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18866
03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(二)
四、PCA:私有证书
再看 PCA ,P private ,也就是阿里云的 SSL 证书是支持私有的这种CA,这样的服务我们通过简单的可视化操作就可以搭建属于自己的CA,个人自己或者企业自己的CA,实现在企业内部来签发跟管理自签名的私有证书,用于企业内部的应用身份认证和数据的加解密。正常的使用流程就是我们这个下面的图所列。 
我们先购买 PCA 服务来创建一个私有的CA,然后来启用它,启用它后我们就可以来申请私有用户的证书,并且导出证书后就可以分发给具体的用户来去进行安装使用,所以使用起来都是比较简单的。
五、可信计算
可信计算,所谓的可信计算就是在我们的云环境里,比如我们的 ECS 虚拟机这一层,或者是我们专有云环境里面的 NC 物理机这一层,提供专门的实例,比如 ECS 提供了里面包含着虚拟可信安全芯片的这种专门的ECS,或者在专员环境里面,我们客户选配了专门增加了物理可信安全芯片设备的这种 NC 主机。 可信计算主要有两大类的服务,一类是系统可信,也就是我们购买的 ECS 或者神农服务器,或者专有云里面的 NC 主机,里去启动可信的这个功能。比如我购买ECS,我创建的是可信ECS,就创建 ECS 的时候选择可信系统,这时候就开通了这个功能,这样我们在 ECS 的控制台就可以看到这个 ECS 是可信的ECS,我们这样的可信实例在云安全中心里面就可以去进行管理,应用可信是指针对用户指定的应用程序,我们通过专门的 agent 来监控启动时候这些程序的完整性。这个功能也是包含在云安全中心里。
可信计算它也是国家等保 2. 0 相关的一些规范要求,它会要求为用户来提供可信计算的技术来保护计算环境,用户可以通过我们去购买可信 ECS 等这种方式去开通系统可信,这样客户就可以高分的去通过这种合规的测评。
六、隐私增强计算
隐私增强计算,它也是一个计算平台,它最主要的目的是保障我们的数据隐私跟安全,让我们的数据可以用于计算而得到结果,但是敏感的原文是全局不可见的,也就是所谓的可用而不可见。为什么要这么做?
因为数据它本身是具有一次泄露就永远泄露这样的特点,所以数据的安全性就非常的重要,尤其是一些非常涉及我们数据敏感信息的这样的场景,比如像风控场景、政务场景、医疗场景这些都亟待这种数据可用而不可见的这种隐私增强计算的方案。 隐私增强计算主要用到的核心技术有这么几个,第一个是向可信执行的环境 T E, T E 是一种硬件提供的环境,它保证在一个独立的安全环境当中来确保代码跟数据的机密性和完整性。联邦学习是一种有多个参与方在保证各自原始私有数据不出数据定义的这个边界的前提下,来协作完成机器学习的某个任务的这种方式,这是机器学习里面的一种训练的方式。
NPC 又叫做安全的多方计算, NPC 其实是密码学里面的定义,它其实是表示在没有可信计算方参与的情况下,多个参与方持有各自的秘密,然后来去完成这个秘密的输入,但是每个参与方只能拿到跟自己有关的这个结果,这样来保证数据可以得到有效的保护。 最后一个差分隐私,这实际上是一种随机扰动的方式,当然跟普通的随机扰动的方式不太一样,差分隐私是在原始数据层面去进行随机的扰动,所以这样可以保证我们的结果就是所谓的数据传输不可见,数据存储不可见跟数据计算不可见。因此我们的隐私增强计算 data trust 就是基于这些行业领先的安全技术来打造的隐私增强计算平台,在保障数据隐私跟安全的前提下,来完成数据的联合分析、联合训练、联合预测等,从而来实现数据价值的流通。
七、阿里云数据安全整体解决方案
回顾阿里云在数据安全的整体解决方案,也就是覆盖了我们前面所介绍的 8 款产品。
首先在数据安全中心里提供像数据审计、防泄漏、数据发现跟分类分级这样的一些能力,包括一些动态脱敏、数据水印,静态脱敏等数据的脱敏发现这样的能力,像KMS、HSM,这个主要是密钥管理跟加密服务,这个主要是在我们图上所列举到像数据加密的这个部分,证书主要是用于我们的这个SSL,主要是用于我们的访问,第四个我们去确保我们的底层环境是基于可信的环境。
第五个隐私增强计算,第六个数据库方面我们可以去使用数据库的防火墙来去确保我们的数据库层面上的一些安全。第八部分属于这种内部访问,这个像 APP 隐私治理, CSAS 就是现在叫做 SASE 云安全访问服务,这两个是属于叫做 0 信任办公解决方案里面的产品,这个我们在后面的章节会跟大家进行讲解。
大家因为在内部访问或者外部访问的时候也都是涉及到一些数据方面的安全,所以在这个图里面一并画出来。所以我们从这个架构图可以看到阿里云提供了非常丰富多样的数据安全的产品,支持我们从底层到中间件,然后到上层的应用,都可对我们的数据得到很好的保护,来帮助我们去无论你是满足合规的要求,或者是保护我们的数据的隐私,都能够起到很好的支持作用。
以上就是关于数据安全这个章节的全部内容。
