インターネット企業はどのようにして安全で信頼性の高いクラウド データ ストレージを構築するのでしょうか?

インターネット企業はどのようにして安全で信頼性の高いクラウド データ ストレージを構築するのでしょうか?

クラウドコンピューティングは急速な発展段階に入りました。パブリック クラウド テクノロジーとビジネス アーキテクチャは、ますます多くのエンタープライズ レベルのユーザーに受け入れられるようになりました。ゲーム、オンラインオーディオやビデオ、モバイルアプリなどの初期のインターネットアプリケーションから、金融、教育、工業製造、政府機関などの伝統的な機関に至るまで、デジタル変革プロセスが急速に進んでいます。しかし、パブリック クラウド サービスを使用するユーザーが最初に尋ねる質問は、「クラウド サービスを使用する場合、データは安全ですか?」です。

次のエディターでは、Alibaba Cloud RDS (リレーショナル データベース サービス) を例に、Alibaba Cloud がユーザー データのセキュリティを確保するためにフルリンク セキュリティ設計をどのように実施しているかを分析します。

1. Alibaba Cloud RDS フルリンクセキュリティ設計

ビジネス システム内のデータ フローのパスとタイミングに基づいて、データ セキュリティ メカニズムを 2 つの次元から説明できます。データリンクに関しては、ストレージ層からアクセス層までのフルリンクセキュリティ設計と、安全な暗号化および分離技術により、あらゆる段階でデータセキュリティが技術的に保証されています。ビジネス処理の「前、中、後」の観点から、エンタープライズ レベルのアプリケーションが科学的なデータ セキュリティ管理システムを確立するのに役立ちます。以下では、ユーザーが最も懸念する観点から、Alibaba Cloud RDS がどのようにデータ セキュリティ保証を提供しているかを分析します。

2. データの保存と送信のセキュリティ

データの保存と転送のセキュリティ メカニズムは、データ セキュリティの最も重要な保証です。セキュリティ技術の選択に加えて、セキュリティ メカニズムの設計では、ストレージおよびネットワークの運用および保守管理者であってもユーザー データをスパイできないようにする必要があります。 Alibaba Cloud のデータセキュリティ伝送および保存メカニズムは、最も厳格なドイツの C5 およびシンガポールの MTCS*** セキュリティ評価認証に合格しています。以下に、送信および保存のセキュリティ メカニズムの簡単な紹介を示します。

1. 移動中のデータの保護

  • 内部および外部データのフルリンク暗号化
  • 送信中にデータが盗まれるのを防ぎます。***TLS v1.2 をサポート
  • SSL の使用を強制することができます (CREATE USER 'jeffrey'@'localhost' REQUIRE SSL;)
  • 証明書の設定や管理は不要で、すぐに使用できます。

保存データの保護

  • TDE はデータベース テーブル レベルのストレージ暗号化 (InnoDB ページの暗号化) をサポートします。
  • クラウドディスクバージョンでは、インスタンスレベルのストレージ暗号化(ストレージの暗号化)が開始されました。
  • OSS(InnoDB & Object)でのバックアップデータの二重暗号化
  • キー(データキー)はKMSに保存され、BYOKをサポートします。
  • ワンクリックでアクティベーション、アプリケーションに対して透過的、ストレージパフォーマンスへの影響を厳密に制御

3. アクセス制御

1. フルリンクアクセス制御

十分なセキュリティと柔軟な認可された法的アクセスの両方を確保するために、パブリック クラウド サービスのアクセス制御戦略では、従来の DBA の従来のスキルを維持しながら、クラウド コンピューティングに独自の武器を提供します。

  • データベース レベルでは、従来の SQL と DMS (Alibaba Cloud Database Management Console) を通じて、指定されたデータベース テーブルと指定されたソース IP アドレスへのアクセス権を管理するためのサポートが提供されます。
  • RDS インスタンス レベルでは、RAM メカニズムを使用して API レベルの権限制御を形成し、インスタンスのアクセス、ログイン、および変更権限を制御します。多数のインスタンスを持つ大規模な組織の場合、タグまたはリソース グループによるバッチ認証が提供されます。 VPC とセキュリティ グループを通じて、ビジネス レベルまたは BU レベルでのより広範囲のアクセス制御も策定できます。
  • Alibaba Cloud は金融グレードの要塞ホスト サービスも提供しています。 Alibaba Cloud データベース サービスを使用すると、従来の IDC 自己構築方式よりも完全かつ柔軟なアクセス制御戦略を実装できます。

2. マルチレベル認証RAM

  • 基本原則は、ユーザーがクラウド製品を呼び出す場合も、クラウド製品同士が呼び出す場合も、リソース所有者による承認が必要であるということです。
  • Alibaba Cloud の ABAC 認証モデルは、最大限の柔軟性で認証要件を満たすことができます。

例えば:

条件 1: 杭州リージョンの RDS インスタンスのリリースを許可する (従来の ACL 制御方法)。

条件 2: 杭州地域の「test」タグが付いた RDS インスタンスのリリースが許可されます。

条件 3 では、オペレーターが杭州地域で「テスト」タグ付きの RDS インスタンスをリリースする前に、二次検証を受け、指定されたクラス C ネットワーク セグメントでリクエストを開始する必要があることが規定されています。

4. セキュリティ監査

クラウド サービス プロバイダーの統合管理により、標準化された監査に固有の利点がもたらされます。 Alibaba Cloud は、データベース サービスに対して 2 つのセキュリティ監査サービスを提供しています。

1 つは、DMS (データベース管理コンソール) に表示される RDS サービスのプロキシ層を通じて実装されるデータベース監査です。これは主にデータベースの問題のトレースとトラブルシューティングに使用されます。 「人、データベース、テーブル」の次元から、SQL 実行、データベース テーブル同期、構成変更、セキュリティ ルールなどについて包括的な監査を実施し、企業のコア データに対するあらゆる操作を時間と人にまで遡って追跡できるようにします (DMS SQL 監査は SQL インサイトにアップグレードされ、データベース操作の効率を診断および分析するエキスパート システムになりました)。

データ資産管理とコンプライアンスに対してより高い要件を持つユーザー向けに、Alibaba Cloud には独立したデータベース監査サービスも用意されています。より包括的な SQL 監査機能に加えて、コンプライアンスに必要なユーザー動作検出監査、多次元手がかり分析、異常な操作に対するリアルタイム アラーム、およびさまざまな洗練された (コンプライアンス) レポート機能も含まれています。

両方のデータベース監査方法は、データベース操作の効率に影響を与えることなくバイパス方式で展開されます。 99% 以上のアプリケーション関連監査、完全な SQL 解析、正確なプロトコル分析を実現できます。同時に、1 秒あたり 10,000 件の取得と 1 億のデータ ポイントに数秒で応答する効率的な分析方法も提供します。 Alibaba Cloud のフルリンク アクセス監査 (ネットワーク境界、運用と保守、システムとアプリケーション、アカウント権限、セキュリティ監査など) と組み合わせることで、企業のデータ資産に損害を与えるあらゆる行為が明らかにされます。

5. 安全資格

Alibaba Cloud は、世界第 3 位の Iaas 市場であり、アジア最大のクラウド コンピューティング ブランドであり、国内市場シェアは第 2 位から第 5 位のブランドの合計よりも大きくなっています。特に、政府、金融、従来のエンタープライズ アプリケーションの分野で有名です。ガートナー社の 2018 年グローバル データベースのマジック クアドラントで、Alibaba Cloud は初めてビジョナリー クアドラントに選出されました。 2013年に選定が開始されて以来、中国のテクノロジー企業が選定されるのは初めてであり、アリババクラウドのデータベースサービスとデータセキュリティ管理が高く評価されたことも意味している。

Alibaba Cloud は 2009 年の設立以来、セキュリティとデータプライバシーを生命線と位置付けており、顧客データのプライバシー保護は Alibaba Cloud の最優先事項です。 2015年、アリババクラウドは「データは顧客の資産であり、クラウドコンピューティングプラットフォームは他の目的に使用してはならず、顧客のデータのプライバシー、整合性、可用性を保護する責任と義務がある」という「データ保護イニシアチブ」の立ち上げを主導しました。これは、ユーザーが一般的に懸念しているデータセキュリティの問題を定義した、中国のクラウドコンピューティングサービスプロバイダーによって定義された最初の業界標準であると報告されています。

<<:  ゴールドマン・サックスは、クラウドコンピューティングの普及率が2019年に初めて10%を超えると予測している。

>>:  2018 年の中国のクラウド コンピューティング技術アプリケーションの一覧: AI が増加、IoT が増加

推薦する

Google Cloud Platform に Kubernetes クラスターをデプロイするにはどうすればよいですか?

[51CTO.com クイック翻訳] あなたとあなたの会社は Kubernetes のトレンドに追い...

この記事の要約: 分散一貫性テクノロジーはどのように進化してきたか?

[[334877]]分散一貫性 (コンセンサス) は、分散システムの基礎として、コンピュータ システ...

羅永浩はライブ配信でグッズ販売に成功するだろうか?

老洛氏は、招商証券の権威あるライブストリーミング電子商取引レポートを読んで、ライブストリーミング電子...

シンバはセールスキャスターになりたくないんです!

偽の鳥の巣事件により、かつて人気を博した快手のトップキャスター、シンバが再び出禁となった。今回は半年...

プライベート5Gとエッジコンピューティング:製造業に最適な組み合わせ

プライベート 5G は、工場、物流センター、病院におけるミッションクリティカルなアプリケーション向け...

企業サイトが消費者を追従してSEOを行う方法の分析例

長い間、多くの最適化担当者は SEO を正確に定義しておらず、SEO は検索エンジンだけのものだと考...

B2Cクーポンプラットフォームを最適化するためのキーワードの選択方法

以前、B2C クーポン市場について触れた「国内電子クーポン市場の見通し分析」という記事を書きました。...

Kubernetes ネットワーク プラグインの詳細な説明 - Calico - ネットワークの基礎

コンテナーは、基盤となる Linux オペレーティング システムの名前空間と Cgroup カーネル...

ウェブサイトのキーワードランキングが急激に低下した理由を一つずつ確認する方法

多くの SEO 担当者は、多くのケースを経験しており、このような状況に遭遇するでしょう。懸命に努力し...

エッジコンピューティングがライフサイエンスの課題を緩和する方法

ライフサイエンス組織は、堅牢で持続可能かつ拡張可能なインフラストラクチャ システムに支えられ、驚くべ...

簡単に無視できるクラウドの落とし穴 10 選

クラウド革命は長い間続いてきたため、すべての IT リーダーは、クラウド コンピューティングによって...

Baidu の支持を簡単に得るために、セカンドレベルドメイン名を立ち上げるときに 3 つのポイントを覚えておいてください

立ち上げたばかりの新しいウェブサイトの場合、Baidu の支持を得ることはあまり現実的ではありません...

ウェブマスターネットワークからの毎日のレポート:Alipay が重大な抜け穴を暴露、360 リクエストは拒否される

1. Qihoo 360がテンセントを提訴:360の要求はすべて却下された新浪科技は3月28日朝、市...

SEO 最適化の価格はなぜこんなに高いのでしょうか?答えはすべてここにあります

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス以前、入札を行っていたク...