实时计算 Flink支持整体全链路实时计算的安全。
账号安全
账号安全分为实时计算账号安全以及数据存储账号安全,下面分别阐述。
-
实时计算账号安全
实时计算账号当前仅支持阿里云账号体系(包括登录用户名+密码或签名密钥)。这部分全部遵守阿里云现有安全体系。同时传输链路全部使用HTTPs协议,保证全链路的用户账户安全。
更多系统账号管理,请您参看账号管理。 -
数据存储账号安全
实时计算涉及到将数据存储保存到连接账号的问题。实时计算提供基于RAM或STS的两种连接方式。避免您因为账户信息丢失导致的业务信息泄露。
更多数据存储账号管理,请您参看角色授权。
业务安全
实时计算涉及到业务安全部分主要包含项目隔离安全以及业务流程安全。下面分别进行阐述。
-
项目隔离安全
实时计算对不同的项目进行了严格的项目权限区分。不同用户或项目之间是无法进行跨越项目权限的访问、操作,包括项目下属的所有子产品实体。
项目级别的资源隔离能够保证您与其他用户的资源使用情况相互之间不受干扰。例如,一个用户的作业在运行期间,由于数据量的突增,提升了这个作业对CPU使用率。这种情况下,由于实时计算 Flink在底层使用虚拟化技术进行资源隔离,保证该用户的作业CPU使用率增加,不会影响到其他用户作业的CPU使用情况。 -
业务流程安全
实时计算对于流式计算开发进行了严格的流程定义,区分了数据开发和数据运维。保证了整体业务流程的完整和安全性。
-
提供代码版本
支持代码版本回滚和对比。方便用您进行代码追溯、比对、排错。 -
提供IDE单机调试容器
避免代码线下运行影响线上真实数据。您可以自行构造线下输入表、维表、输出表相关数据,而不影响线上生产作业。 -
提供发布流程
避免线下代码改动直接影响生产运行。您线下代码调试完成后,通过上线作业将作业提交到数据运维系统。已运行的实时计算作业并不会直接使用新代码,需经过您确认后,停止已运行作业并使用新代码重新运行。从流程上保证发布的严谨性。
-
数据安全
数据安全分为实时计算系统数据安全和业务数据安全,阐述如下。
-
系统数据安全
实时计算系统数据安全交由系统本身安全保证。实时计算为系统安全做了诸多工作。
-
访问链路全部使用HTTPs方式。保证传输链路的安全。
-
数据存储连接信息使用AES高强度加密方式。保证敏感信息不泄露。
-
全面且深入的攻击测试。阿里云安全团队为实时计算提供安全服务。
-
-
业务数据安全
实时计算本身不负责存储用户的业务数据。具体业务数据安全交由不同的阿里云存储系统保证。请您参考不同的数据存储的安全模型以及最佳安全实践做更多了解。
