最佳实践 最佳实践套装

企业上云数据安全

Ctrl+F / Command+F 全文检索

相关产品

一键部署 免费体验
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
视频教程
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
视频教程
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
数据分析 |

针对资讯聚合类业务场景,Step by Step介绍如何搭建实时数仓

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 NAT网关 云原生数据仓库AnalyticDB MySQL版 云速搭
安全&合规 |

使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需加密存储。

专有网络 VPC 云服务器ECS 对象存储 OSS 密钥管理服务 敏感数据保护 云速搭
数据分析 |

本场景以在线教育中一个答题闯关类的应用为例,使用Web Server来模拟演示这类 日志数据的分析处理。通过Nginx和Python flask搭建Web Server,模拟应用中的关 键页面,比如登录、课程内容等,之后构造若干用户使用的模拟日志数据,投递到数 据湖进行分析后获取应用PV、UV、课程内容访问排行、平均得分等等。

专有网络 VPC 云服务器ECS 对象存储 OSS 访问控制 E-MapReduce
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
视频教程 立即咨询
数据分析 |

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。

日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI
业务上云 |

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS

专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭
视频教程
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
视频教程
中间件 |

介绍手机端通过云视频直播服务来推流和拉流实现视频直播业务,同时利用MQTT微消息、内容安全和表格存储来解决

表格存储 内容安全 视频直播 微消息队列 MQTT 版

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=220, bpId=92, name=企业上云数据安全, author=null, keyword=数据安全,数据加密,透明加密,BYOK, description=使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需加密存储。, position=null, ossUrl=bp-4FHP0PZFKM4W0SIN.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 企业是否选择上公共云,或者哪些系统或数据上 公共云,对数据安全的关心是重要因素之一。本 最佳实践重点在于介绍狭义的数据加密存储安 全范畴,即首先使用SDDP产品进行敏感数据发 现和分级分类,然后对高级别敏感数据进行按 需、不同类型的全链路加密存储。 解决问题 1.帮助客户发现敏感数据 2.对敏感数据进行分类、分级 3.对不同级别的数据如何选择加密方式 4.具体如何进行加密 产品列表 敏感数据识别SDDP 密钥管理服务KMS 云数据库RDS 对象存储OSS

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=1OJWP81B6MWXH0K9, partner=null, partnerUrl=null, partnerLogo=null)
1 企业上云数据安全 最佳实践 场景描述 部署架构图 企业是否选择上公共云,或者哪些系统或数据 上公共云,对数据安全的关心是重要因素之 一。本最佳实践重点在于介绍狭义的数据加密 存储安全范畴,即首先使用 SDDP产品进行敏 感数据发现和分级分类,然后对高级别敏感数 据进行按需、不同类型的全链路加密存储。 解决问题 1. 帮助客户发现敏感数据 2. 对敏感数据进行分类、分级 3. 对不同级别的数据如何选择加密方式 4. 具体如何进行加密 产品列表 敏感数据识别 SDDP 密钥管理服务 KMS 云数据库 RDS 对象存储 OSS
2Error! Use the Home tab to apply 标题 to the text that 企业上云数据安全 you want to appear here. 阿里云 企业上云数据安全 最佳实践 文档版本:20150122(发布日期) II
3Error! Use the Home tab to apply 标题 to the text that 企业上云数据安全 you want to appear here. 文档版本信息 文本信息: 属性 内容 文档名称 企业上云数据安全 文档编号 092 文档版本 V1.3 版本日期 2021-08-09 文档状态 外部发布 制作人 游士 审阅人 云魁、敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019/09/03 云滴 云魁、敬海 创建 V1.1 2019/09/11 筱晖 - 文档优化 V1.2 2020/01/14 云滴 - 增加概览页、二维码 V1.3 2021/08/09 游士 使用 CADT 创建资 源,优化文档 文档版本:20210809 I
4企业上云数据安全 目录 前言 概述 宏观数据安全的范围很广泛,大部分的安全领域都和数据的安全性有关系。本最佳实践属于狭义的数据 安全,主要定位在数据的机密性和完整性方面。从敏感数据发现入手,找到敏感的数据,然后根据场景来确 定使用什么方式进行加密,以及具体的加密操作步骤等。 应用范围 本最佳实践适用于客户的研发人员和数据安全运营人员使用,也适合于云架构师做方案讲解后给客户 PoC验证使用。 名词解释 VPC:Virtual Private Cloud,简称 VPC。基于阿里云创建的自定义私有网络, 不 同的专有网络之间二层逻辑隔离,可以在自己创建的专有网络内创建和管理云产 品实例,比如 ECS、负载均衡、RDS等。在创建前,您需要结合具体业务,规划 VPC和交换机的数量及网段等。 更多信息请参考:https://help.aliyun.com/product/27706.html RDS:阿里云关系型数据库 RDS(Relational Database Service)是一种稳定可 靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解 决方案,彻底解决数据库运维的烦恼。 更多信息请参考:https://help.aliyun.com/product/26090.html OSS:对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成 本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性扩展, 多种存储类型供选择,全面优化存储成本。 更多信息请参考:https://help.aliyun.com/product/31815.html KMS:密钥管理服务(Key Management Service,简称:KMS)是阿里云提供的 一款安全、易用的管理类服务。用户无需花费大量成本来保护密钥的保密性、完整 性和可用性,借助密钥管理服务,用户可以安全、便捷的使用密钥,专注于开发加 解密功能场景。 更多信息请参考:https://help.aliyun.com/product/28933.html SDDP:阿里云敏感数据保护(Sensitive Data Discovery and Protection,简称 SDDP )可以从您资产的海量数据中快速发现和定位敏感数据,追踪敏感数据的 文档版本:202210809 III
5企业上云数据安全 目录 使用情况,并根据您选择的安全管理规则,为您呈现系统化的数据总览图,以确保 您能实时了解资产数据的安全状态。 更多信息请参考:https://help.aliyun.com/product/88674.html CADT云速搭:是一款为上云应用提供自助式云架构管理的产品,显著地降低应用 云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自 助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便 的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。详见: https://www.aliyun.com/product/developerservices/cadt 文档版本:202210809 IV
6企业上云数据安全 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 目录 ...................................................................................................................................................................... V 前置条件 ............................................................................................................................................................... 1 演示环境说明 ....................................................................................................................................................... 2 1. 基础环境搭建 ............................................................................................................................................... 3 1.1. 使用云速搭 CADT快速创建资源 ................................................................................................... 3 1.1.1. 创建数据库账号 ..................................................................................................................... 6 1.1.2. 创建数据库 ............................................................................................................................ 8 1.1.3. 新建表 user ............................................................................................................................ 9 1.1.4. 新建表 finance ...................................................................................................................... 12 1.2. 开通 KMS服务 ............................................................................................................................. 12 1.3. BYOK托管到 KMS......................................................................................................................... 14 1.3.1. 创建自己的 KEY .................................................................................................................... 15 1.3.2. 创建主密钥 .......................................................................................................................... 15 1.3.3. 获取导入密钥材料信息 ....................................................................................................... 16 1.3.4. 导入密钥材料....................................................................................................................... 18 2. SDDP敏感数据发现 .................................................................................................................................... 22 2.1. 数据准备 ...................................................................................................................................... 22 2.1.1. 开通服务 .............................................................................................................................. 22 2.1.2. 服务授权 .............................................................................................................................. 24 2.1.3. 创建 RDS敏感数据表 ........................................................................................................... 25 2.1.4. 在 OSS中增加敏感文件 ....................................................................................................... 26 2.2. 敏感数据发现 .............................................................................................................................. 26 2.2.1. RDS敏感数据发现 ............................................................................................................... 26 2.2.2. OSS敏感数据发现................................................................................................................ 27 3. OSS数据加密 .............................................................................................................................................. 28 3.1. 概述 ............................................................................................................................................. 28 3.2. OSS服务端数据加密方式 ............................................................................................................ 30 3.2.1. 设置 OSS托管的加密 bucket ............................................................................................... 30 3.2.2. 上传下载文件....................................................................................................................... 30 3.3. 客户端数据加密存储 ................................................................................................................... 33 3.3.1. python环境准备 .................................................................................................................. 34 3.3.2. 模拟客户端加密解密过程 ................................................................................................... 35 4. RDS数据安全 .............................................................................................................................................. 38 4.1. 服务端透明加密 TDE ................................................................................................................... 38 4.1.1. 开启 TDE ............................................................................................................................... 39 4.1.2. 插入数据 .............................................................................................................................. 41 文档版本:202210809 V
7企业上云数据安全 目录 4.2. 客户端某字段加密 .............................................................................................................................. 43 4.2.1. 场景描述 ...................................................................................................................................... 43 4.2.2. 模拟数据库加解密程序 ............................................................................................................... 43 文档版本:202210809 VI
8企业上云数据安全 前置条件 前置条件 在执行本文操作前,请完成以下准备工作: 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证 (https://account.console.aliyun.com/v2/#/authc/home)页面查看是否已经完成实名认证。 阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览 (https://expense.console.aliyun.com/#/account/home)页面查看账户余额。 OSS使用 KMS自建密钥的功能(BYOK),目前处于公测阶段,如需使用,需要找客户经 理或工单方式开通白名单。 文档版本:20210809 1