网络世界不断诞生、跳动的数据字节们
他们随着业务游走虚拟世界
在应用间穿梭
复杂环境里
数据安全 应处于
精细设计的系统中
数据的一生
应当被这样保护

文章图片

一、云的物理机房
数据的「金钟罩、铁布衫」
云对数据的保护 ， 从这里就开始了 。
我们来看下 ， 阿里云堪称“森严”的物理防护：
物理中心：
作为“基建狂魔”的阿里云 ， 在全球24个地域开通了78个可用区 ， 为遍布全球的数据提供多个灵活可掌控的“容身之所”；
安防设备：
从物理中心的选址、内部分区划分 ， 到火灾报警系统的防误报功能 ， 再到覆盖人员、车辆、仪器、运维管控等等 ， 执行全球最高级别的物理安防制度；
内部管控：
通过分类分级管控、工单驱动授权、行为数据化分析等建立了内部管控体系 ， 严控内外部任何可能发生的威胁；
维护保障：
定期进行维护检查 ， 对物理设施、云服务平台进行定期更新 ， 【永不宕机】不是一句口号 。
（图：阿里云数据中心安防体系）
二、云平台
收敛数据风险
#01
什么叫安全融入基础设施？
不喊口号 ， 从数据保护维度看一下是怎么实现的 。
如果说物理机房为云上数据打好了坚硬的地基 ， 那由虚拟化的存储、网络、计算等共同构建的云平台 ， 则是为数据提供居住、传输、计算的场所 。
存储：
主流的存储类型（例如OSS、文件存储、表格存储等）和数据库服务 ， 阿里云均支持落盘加密 ， 在数据写入的一刻 ， 即保护其安全；
网络：
阿里云全球部署的3000余个POP节点 ， 在每个节点中都融入了诸如IP隔离、DNS防护、单节点60000QPS能力以抵御DDoS攻击 ， 此外还有单独的SCDN能力 ， 提供加密网络传输 ， 交织起一张安全的防护网络；
计算：
虚拟化ECS实例 ， 既要 保证其本身的高可用 ， 也要 具备从底层透穿而上的可信环境 ， 让数据在此环境中可以安全地流动 ， 并创造价值 。 阿里云在可信环境上 ， 基于TPM\VTPM技术 ， 构建了基于芯片的云平台可信链 ， 形成“ 一级加载一级 ， 一级检查一级”的逻辑链条 ， 为云上数据提供安全可信的处理环境 。 在机密计算侧 ， 通过虚拟化Enclave技术 ， 在ECS实例内部创建可信隔离空间 ， 实现数据可用不可见 ， 让数据能够高效流动起来 ， 从而产生价值 。

文章图片

（图：阿里云全链路可信环境）
#02
容灾备份：数据的“兜底”保障
孤品 ， 应该如何保护？
备份 ， 似乎是个不错的选择 。
数据 ， 道理也是共通的 。 数据的备份容灾 ， 可以很好地帮其避免丢失、勒索的命运 ， 是安全的“兜底”保障 。 而云 ， 随用随取的海量弹性资源 ， 简单易用的计算、存储、网络、数据库、大数据服务 ， 让它成为了 天然的备份容灾中心 。
勒索顽疾 ， 迎刃而解
勒索软件正在成为数据的头号威胁 ， 报告显示 ， 以数据加密为主要攻击手段的勒索软件在2021上半年比去年同期 平均增长了93% ， 受害者在2020年所支付的赎金比2019年 增长了171% 。
阿里云上 ， 「无处不在」的数据备份让勒索病毒无用武之地 。
块存储、文件存储、对象存储、数据库、HBR等等等等 ， 都设计了冗余数据存储机制 ， 可默认/手动开启的多副本冗余存储 ， 例如 ， OSS存储即采用多可用区（AZ）机制 ， 将客户的数据分散存放在同一地域（Region）的3个可用区内 。 当某个区不可用时 ， 仍然能够保障数据的正常访问 ， 极大降低数据丢失率 。