全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
流计算

产品安全

更新时间:2017-11-23 18:23:08

安全事关产品和业务生死,阿里云流计算从产品设计第一天就重点考量了整体全链路流计算的安全性。

账号安全

账号安全分为流计算账号安全以及数据存储账号安全,下面分别阐述:

  • 流计算账号安全

    流计算账号当前支持且仅支持阿里云账号体系(包括登录用户名+密码、签名密钥),这部分全部遵守阿里云现有安全体系,同时传输链路全部使用HTTPs协议,保证全链路的用户账户安全。

    更多系统账号管理,参看《账号管理》。

  • 数据存储账号安全

    流计算涉及到保存数据存储连接账号问题,我们提供基于RAM/STS方式,避免用户因为账户信息丢失导致的业务信息泄露。

    更多数据存储账号管理,参看《角色授权》。

业务安全

流计算涉及到业务安全部分主要包含项目隔离安全以及业务流程安全,下面分别进行阐述:

  • 项目隔离安全

    流计算对不同的项目进行了严格的项目权限区分,不同用户/项目之间是无法进行访问、操作,包括项目下属的所有子产品实体均无法操作。

    项目级别的资源隔离能够保证不同用户的资源使用情况相互之间不相互干扰影响,例如一个用户作业在运行期间随着数据量的突增提升了其作业CPU使用。阿里云流计算在底层使用虚拟化技术进行资源隔离,保证该用户的作业CPU使用率增加不会影响到其他用户作业的CPU使用情况。

  • 业务流程安全

    流计算对于流式计算开发进行了严格的流程定义,区分了数据开发和数据运维,在尽可能不影响用户使用体验基础上,保证了整体业务流程的完整和安全性:

    • 提供代码版本,支持代码版本回滚和对比,方便用户进行代码追溯、比对、排错。

    • 提供IDE单机调试容器,避免代码线下运行影响线上真实数据。用户可以对输入表、维表、输出表自行构造数据,以避免线下作业调试对于线上生产作业影响。

    • 提供发布流程,避免线下代码改动直接影响生产运行。用户调试完成后,通过上线作业将作业提交到数据运维系统。此时正在运行的流计算作业并不直接使用新代码运行,而需要用户经过人工确认后将运行作业停止并使用新代码启动,从流程上保证发布的严谨性。

数据安全

数据安全分为流计算系统数据安全和业务数据安全,阐述如下:

  • 系统数据安全

    流计算系统数据安全交由系统本身安全保证,流计算为系统安全做了诸多工作:

    • 访问链路全部HTTPs化,保证传输链路的安全。

    • 数据存储连接信息使用AES高强度加密方式,保证敏感信息不泄露。

    • 全面且深入的攻击测试,阿里云安全团队为流计算保驾护航。

  • 业务数据安全

    流计算本身不负责存储用户的业务数据,具体业务数据安全交由不同的阿里云存储系统保证,具体请参考不同的数据存储的安全模型以及最佳安全实践。

本文导读目录