a) 数据保护
• 数据分类:自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶 /文件对象等不同级别数据信息。通过关键字、规则、机器学习模型算法,精准 识别云环境内的敏感数据,实现云上数据基于业务内容的分类以及基于敏感程 度的分级。
• 数据脱敏:提供 Hash、加密、遮盖、替换、洗牌、变换等六大类近 30 种内置 脱敏算法,脱敏后的数据无需改变相应的业务系统逻辑,保留原有数据特征和 分布,确保数据的有效性和可用性。
• 数据防泄露:加强对数据的权限控制的完整度和数据使用中的监控和检测能力。 对云上存储产品和传输产品权限的有效管控,对用户数据的流转和操作过程有 全面的监控和检测能力,及时发现数据使用中可能的异常行为。
• 数据完整性:在数据传输和存储层面,提供全链路数据校验功能,定期对存储 介质中的数据进行完整性扫描,确保数据传输和存储过程中的数据可靠性需求。
• 数据高可用:多副本、系统备份、故障热迁移、负载均衡、DDoS 防御等多重保 护,保证用户在使用数据时的高可用性。
b) 全链路加密
• 传输加密:云产品为用户访问数据提供了 SSL/TLS 协议来保证数据传输的安全 (阿里云控制台、阿里云产品 API 访问点),网关产品提供传输链路的加密功 能(VPN 网关、SAG)。
• 存储加密:云产品(EBS、OSS、RDS、OTS、NAS、MaxCompute 等)落盘存 储加密,统一使用阿里云密钥管理服务 KMS 进行密钥管理。
• 加密计算:Intel SGX 可信执行环境。
• 加密服务:使用经国家密码管理局检测认证的硬件密码机,实现对加密密钥的 完全控制和进行加解密操作。
• SSL 证书服务:签发第三方知名 CA 证书颁发机构的 SSL 证书,实现网站 HTTPS 化。
c) 密钥管理 • 托管 HSM:支持将密钥托管在硬件安全模块 HSM 之中,利用 HSM 进行密码运 算和安全托管等功能。
• 自选密钥:通过在支持的云产品中选择自己创建或上传用户主密钥 CMK 到 KMS 中,并直接管理自选密钥的生命周期。
• 密钥轮转:KMS 支持通过配置的方式对用户主密钥进行自动轮转。自动轮转允 许用户主密钥下周期性产生新的密钥版本作为加密密钥。
以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书,点击https://developer.aliyun.com/ebook/download/7808 可下载完整版
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。