インターネット企業はどのようにして安全で信頼性の高いクラウド データ ストレージを構築するのでしょうか?

クラウドコンピューティングは急速な発展段階に入りました。パブリック クラウド テクノロジーとビジネス アーキテクチャは、ますます多くのエンタープライズ レベルのユーザーに受け入れられるようになりました。ゲーム、オンラインオーディオやビデオ、モバイルアプリなどの初期のインターネットアプリケーションから、金融、教育、工業製造、政府機関などの伝統的な機関に至るまで、デジタル変革プロセスが急速に進んでいます。しかし、パブリック クラウド サービスを使用するユーザーが最初に尋ねる質問は、「クラウド サービスを使用する場合、データは安全ですか?」です。

次のエディターでは、Alibaba Cloud RDS (リレーショナル データベース サービス) を例に、Alibaba Cloud がユーザー データのセキュリティを確保するためにフルリンク セキュリティ設計をどのように実施しているかを分析します。

1. Alibaba Cloud RDS フルリンクセキュリティ設計

ビジネス システム内のデータ フローのパスとタイミングに基づいて、データ セキュリティ メカニズムを 2 つの次元から説明できます。データリンクに関しては、ストレージ層からアクセス層までのフルリンクセキュリティ設計と、安全な暗号化および分離技術により、あらゆる段階でデータセキュリティが技術的に保証されています。ビジネス処理の「前、中、後」の観点から、エンタープライズ レベルのアプリケーションが科学的なデータ セキュリティ管理システムを確立するのに役立ちます。以下では、ユーザーが最も懸念する観点から、Alibaba Cloud RDS がどのようにデータ セキュリティ保証を提供しているかを分析します。

2. データの保存と送信のセキュリティ

データの保存と転送のセキュリティ メカニズムは、データ セキュリティの最も重要な保証です。セキュリティ技術の選択に加えて、セキュリティ メカニズムの設計では、ストレージおよびネットワークの運用および保守管理者であってもユーザー データをスパイできないようにする必要があります。 Alibaba Cloud のデータセキュリティ伝送および保存メカニズムは、最も厳格なドイツの C5 およびシンガポールの MTCS*** セキュリティ評価認証に合格しています。以下に、送信および保存のセキュリティ メカニズムの簡単な紹介を示します。

1. 移動中のデータの保護

• 内部および外部データのフルリンク暗号化
• 送信中にデータが盗まれるのを防ぎます。***TLS v1.2 をサポート
• SSL の使用を強制することができます (CREATE USER 'jeffrey'@'localhost' REQUIRE SSL;)
• 証明書の設定や管理は不要で、すぐに使用できます。

保存データの保護

• TDE はデータベース テーブル レベルのストレージ暗号化 (InnoDB ページの暗号化) をサポートします。
• クラウドディスクバージョンでは、インスタンスレベルのストレージ暗号化（ストレージの暗号化）が開始されました。
• OSS（InnoDB & Object）でのバックアップデータの二重暗号化
• キー（データキー）はKMSに保存され、BYOKをサポートします。
• ワンクリックでアクティベーション、アプリケーションに対して透過的、ストレージパフォーマンスへの影響を厳密に制御

3. アクセス制御

1. フルリンクアクセス制御

十分なセキュリティと柔軟な認可された法的アクセスの両方を確保するために、パブリック クラウド サービスのアクセス制御戦略では、従来の DBA の従来のスキルを維持しながら、クラウド コンピューティングに独自の武器を提供します。

• データベース レベルでは、従来の SQL と DMS (Alibaba Cloud Database Management Console) を通じて、指定されたデータベース テーブルと指定されたソース IP アドレスへのアクセス権を管理するためのサポートが提供されます。
• RDS インスタンス レベルでは、RAM メカニズムを使用して API レベルの権限制御を形成し、インスタンスのアクセス、ログイン、および変更権限を制御します。多数のインスタンスを持つ大規模な組織の場合、タグまたはリソース グループによるバッチ認証が提供されます。 VPC とセキュリティ グループを通じて、ビジネス レベルまたは BU レベルでのより広範囲のアクセス制御も策定できます。
• Alibaba Cloud は金融グレードの要塞ホスト サービスも提供しています。 Alibaba Cloud データベース サービスを使用すると、従来の IDC 自己構築方式よりも完全かつ柔軟なアクセス制御戦略を実装できます。

2. マルチレベル認証RAM

• 基本原則は、ユーザーがクラウド製品を呼び出す場合も、クラウド製品同士が呼び出す場合も、リソース所有者による承認が必要であるということです。
• Alibaba Cloud の ABAC 認証モデルは、最大限の柔軟性で認証要件を満たすことができます。

例えば：

条件 1: 杭州リージョンの RDS インスタンスのリリースを許可する (従来の ACL 制御方法)。

条件 2: 杭州地域の「test」タグが付いた RDS インスタンスのリリースが許可されます。

条件 3 では、オペレーターが杭州地域で「テスト」タグ付きの RDS インスタンスをリリースする前に、二次検証を受け、指定されたクラス C ネットワーク セグメントでリクエストを開始する必要があることが規定されています。

4. セキュリティ監査

クラウド サービス プロバイダーの統合管理により、標準化された監査に固有の利点がもたらされます。 Alibaba Cloud は、データベース サービスに対して 2 つのセキュリティ監査サービスを提供しています。

1 つは、DMS (データベース管理コンソール) に表示される RDS サービスのプロキシ層を通じて実装されるデータベース監査です。これは主にデータベースの問題のトレースとトラブルシューティングに使用されます。 「人、データベース、テーブル」の次元から、SQL 実行、データベース テーブル同期、構成変更、セキュリティ ルールなどについて包括的な監査を実施し、企業のコア データに対するあらゆる操作を時間と人にまで遡って追跡できるようにします (DMS SQL 監査は SQL インサイトにアップグレードされ、データベース操作の効率を診断および分析するエキスパート システムになりました)。

データ資産管理とコンプライアンスに対してより高い要件を持つユーザー向けに、Alibaba Cloud には独立したデータベース監査サービスも用意されています。より包括的な SQL 監査機能に加えて、コンプライアンスに必要なユーザー動作検出監査、多次元手がかり分析、異常な操作に対するリアルタイム アラーム、およびさまざまな洗練された (コンプライアンス) レポート機能も含まれています。

両方のデータベース監査方法は、データベース操作の効率に影響を与えることなくバイパス方式で展開されます。 99% 以上のアプリケーション関連監査、完全な SQL 解析、正確なプロトコル分析を実現できます。同時に、1 秒あたり 10,000 件の取得と 1 億のデータ ポイントに数秒で応答する効率的な分析方法も提供します。 Alibaba Cloud のフルリンク アクセス監査 (ネットワーク境界、運用と保守、システムとアプリケーション、アカウント権限、セキュリティ監査など) と組み合わせることで、企業のデータ資産に損害を与えるあらゆる行為が明らかにされます。

5. 安全資格

Alibaba Cloud は、世界第 3 位の Iaas 市場であり、アジア最大のクラウド コンピューティング ブランドであり、国内市場シェアは第 2 位から第 5 位のブランドの合計よりも大きくなっています。特に、政府、金融、従来のエンタープライズ アプリケーションの分野で有名です。ガートナー社の 2018 年グローバル データベースのマジック クアドラントで、Alibaba Cloud は初めてビジョナリー クアドラントに選出されました。 2013年に選定が開始されて以来、中国のテクノロジー企業が選定されるのは初めてであり、アリババクラウドのデータベースサービスとデータセキュリティ管理が高く評価されたことも意味している。

Alibaba Cloud は 2009 年の設立以来、セキュリティとデータプライバシーを生命線と位置付けており、顧客データのプライバシー保護は Alibaba Cloud の最優先事項です。 2015年、アリババクラウドは「データは顧客の資産であり、クラウドコンピューティングプラットフォームは他の目的に使用してはならず、顧客のデータのプライバシー、整合性、可用性を保護する責任と義務がある」という「データ保護イニシアチブ」の立ち上げを主導しました。これは、ユーザーが一般的に懸念しているデータセキュリティの問題を定義した、中国のクラウドコンピューティングサービスプロバイダーによって定義された最初の業界標準であると報告されています。