阿里云安全性分析与案例
一、云盾
1、云盾概述
云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云计算平台强大的数据分析能力,为客户提供DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务。购买云服务器ECS时已自动开通云盾
2、云盾优势概述
(1)免部署,免维护,即时开启
(2)无需采购昂贵的设备,免部署
(3)无需复杂配置、免维护
(4)开通云服务器即开启云盾安全防护
(5)多层防御体系
(6)网络层提供流量清洗中心
(7)主机层提供客户端防护功能
(8)应用,数据层提供防火墙功能
(9)海量数据分析
(10)收集攻击行为数据
(11)深入挖掘海量数据
(12)分析判断安全趋势决定防护决策
3、云盾功能概述
(1)DDoS防护
提供四到七层的DDoS攻击防护,防护类型包括CC、SYNflood、UDP flood等所有DDoS攻击方式。
(2)主机入侵防护
提供包括密码暴力破解、网站后门检测和处理、异地登录在内的反入侵服务。
(3)安全体检
提供Web漏洞检测、网页木马检测、端口安全检测等安全检测服务。
(4)WEB防火墙
提供WEB攻击防护防火墙,能有效拦截SQL注入,XSS跨站等类型的WEB攻击。
4、案例
北京乐汇天下科技有限公司,是一家专注于手机网游产品研发和运营的公司,拥有业内顶尖的游戏设计人才,拥有充满激情的研发团队,更拥有健康成熟的游戏理念。致力于通过数字娱乐方式提升人们的生活乐趣,为用户创造一流的娱乐产品和交流环境。
例如 游戏作品
口袋海贼王
游戏类型:角色扮演
在线人数:100000人
使用产品:云服务器、负载均衡、内容分发网络、云盾、云监控
开发语言:Java、PHP
开发引擎:Cocos2d-x 如下不熟构架图:
架构解读
web端更新是走cdn更新,应用服务器端的更新是批量脚本更新采用了多种数据库相结合的形式,既能保证数据的安全性和很高的可分析性,又保证了高效的运行效率,起初重要的玩家数据用了从库被动备份,随着玩家数据的变大,我们不得不取消从库备份,以节约不必要的内存成本,后来改成了每日备份到数据备份机器。游戏并采用了单服单库架构,以把以外损失和玩家损失降到最低。
二、云监控
1、云监控概述
云监控CMS(cloud monitor system)是一个开放性的监控平台,可实时监控您的站点和服务器,并提供多种告警方式(短信,旺旺,邮件,回调接口)以保证及时预警,为您的站点和服务器的正常运行保驾护航
2、云监控产品优势概述
(1)开放性
(2)分布式节点技术支持多IDC接入
(3)开放API保障其他云产品和服务的灵活接入
(4)开放的规则和数据接口允许用户自定义数据监控
3、云监控网络优势概述
(1)阿里云多IDC间内网数据传输,不占用客户公网资源骨干网络多线接入
(2)多节点间的可靠、高效的数据传输
4、云监控开放平台概述
(1)支持对业务数据的通用统计,从各个角度反应服务的运行情况
(2)基于云平台的无限数据存储,支持对历史数据的无限回溯,通过历史看未来
(3)支持灵活的可用性统计
5、云监控产品功能概述
实时监控您的站点和服务器,并提供多种告警方式以保证及时预警。
(1)站点监控
提供对http、ping、dns、tcp、udp、smtp、pop、ftp等服务的可用性和响应时间的统计、监控、报警服务。
(2)云服务监控
提供对ecs、rds、slb、cdn、ocs、oss等云服务的监控报警服务。
(3)自定义监控
对用户开放自定义监控的服务,允许用户自定义个性化监控需求。
(4)报警及联系人管理
提供对报警规则,报警联系人的统一、批量管理服务。支持多报警方式:短信、邮件、旺旺、接口回调。
6、案例
煎蛋以译介方式传播网络新鲜资讯,为了让中文网友了解其他国家的信息。煎蛋以高频度的持续更新获得数千万读者的支持,站内有各种奇怪的新闻及游戏、视频、图片等,用户讨论氛围热烈。成立以来总浏览量数亿,RSS订阅用户超过两百万应用服务
三、云引擎ACE
1、ACE概述
ACE(Aliyun Cloud Engine)是一款弹性、分布式的应用托管环境,支持Java、php多种语言环境。帮助开发者快速开发和部署服务端应用程序,并且简化了系统维护工作。搭载了丰富的分布式扩展服务,为应用程序提供强
2、ACE优势概述
稳定ACE提供了安全、稳定、高效、经济的full stack应用托管平台
(1)应用管理
Java和php应用的创建、代码上传、部署、重启、停止、启动、删除;支持多版本的管理,可以在历史版本之间切换部署
(2)自动伸缩
应用运行过程中,ACE通过判断负载情况自动伸缩它所使用的资源,伸缩过程不影响应用对外服务,也无需用户干预
(3)监控和日志查询
提供应用的性能分析数据,包括JVM的各项参数、网络流量等;提供运行日志的查询和下载
(4)调试工具
提供离线开发和测试工具:ACE依赖SDK、本地模拟运行容器(仅Java应用)
3、案例
会员购是一个帮助卖家快速提升销量,为用户精心挑选高性价比商品的优站。随着系统业务逻辑的复杂度提升,对硬件、软件、网络等各方面资源的需求也是更苛刻,能有效利用资源就是摆在我们面前需要解决的重要问题。通过阿里小二了解到该业务,并建立了与阿里云的业务合作。
目前主要问题有我们回馈注册用户举办的抽奖活动,用户使用量大,需要较高的实时性和承受大流量压力的能力。以前的这类活动经常出现请求无法及时响应而超时出错,所以我们后面的设计是在ECS上部署我们的项目,用阿里云数据库作为基础数据提供者,在活动期间,所有的请求均通过阿里云缓存直接与用户交换数据,这大大减轻了数据库服务器的压力,提高了系统实时性。
活动期间,大流量还是造成访问缓慢,我们立刻向阿里云升级ECS、数据库和缓存配置以提高整体性能,升级后问题得到解决。
搭配使用阿里云提供的产品和服务可谓黄金搭档,一直以来以其稳定、安全、便捷让我们能安心把时间用于处理业务逻辑上,面对双十一、双十二等年终大促也毫无压力轻松应对!提供的控制台中有安全检查确保代码安全;有性能压力检测工具可轻松定位系统瓶颈;还有各种系统日志记录供分析;部署系统操作方便快捷!总的来说,阿里云产品用起来放心,操作起来顺心!
2014年11月19日消息,运行在阿里云计算上的“中国药品电子监管网”,正式通过国家信息安全等级保护三级测评。这是全国首例部署在“云端”的部委级应用系统通过国家权威机构测评,意味着阿里云数据安全通过严格考验。
四、阿里云数据安全性通过考验
中国药品电子监管网是我国唯一的药品追溯监管平台,通过类似于药品“身份证”的电子监管码,实现对生产、流通、销售、使用全过程的监控。该平台在药品安全领域发挥着重要作用,目前已覆盖疫苗、基本药物等大多数高风险和常用药品,每天新增上亿条药品记录。
作为中国药品电子监管网的主管单位,国家食品药品监督管理总局对支撑其运转的阿里云计算,提出了严格的数据安全保护要求,并希望由国家权威测评机构验证其安全性。今年8月,公安部信息安全等级保护评估中心(构建国家信息安全保障体系的专业技术支撑机构,承担国家信息安全等级保护标准体系设计和重要技术标准的编制)启动测评项目,并开展云计算环境数据安全专项评估。评估小组针对用户数据隔离、容灾技术进行重点检查和验证,累计测评点超过2154个。
测评结论显示:中国药品电子监管网基本具备三级安全保护能力;阿里云数据安全保护措施,通过了测评专家实际检验。阿里云在提供单表百TB级别的存储能力下,可做到高并发、低延迟,能支撑业务实时查询能力;多份数据副本特性及异地容灾(两地共6份数据),存储做到数据高可靠性。
此外,为确保数据不被运维人员非法接触,中国药品电子监管网和阿里云均采用堡垒机登录运维数据库,制定了严格的系统安全管理制度,从技术上和管理上两个角度保障数据安全。
截至2014年6月,中国药品电子监管网有超过800亿条的药品生产、流通数据存储在阿里云计算平台,并可被实时调取查询。如此海量、实时的数据,要实现异地数据灾备,且经国家权威安全测评机构检测,对中国药品电子监管网和阿里云均是一次严格的考验。测评结果证明:中国药品电子监管网这样国家部委级的应用系统在云上也是安全的。
业内人士表示,这是全国首例基于云计算技术的应用系统,通过国家权威等保三级测评,且涉及关系国计民生的重要数据,具有突破性意义。这将帮助一些政府部门和企业,消除对云计算数据安全性的担忧,加速中国云计算产业的发展。
2013年12月,阿里云曾获由英国标准协会(BSI)颁发的全球首张云安全国际认证金牌。