云盒继承阿里公共云的安全可信保障和法律声明,在基础设施安全、网络安全、数据安全及合规性等方面提供全方位的安全保障。
安全能力概述
安全能力 | 说明 |
云盒物理设备部署在用户机房中,用户负责保证机房环境和云盒物理设备的安全。同时,云盒对基础设施硬件提供了动环监控、物理接口加固、系统盘加密等加固措施,进一步降低物理安全风险。 | |
云盒与公共云之间采用安全可控的网络连接方式,与本地网络互联时需经过用户的交换机,用户可以采用ACL、防火墙等措施加强安全性。同时,支持搭配阿里云的云安全产品(例如云安全中心、DDoS防护等),保护云盒中服务应对内外网的安全威胁。 | |
在数据传输、数据存储、数据访问、数据备份、数据防护等方面,云盒和相关云产品均提供了相应的能力来保障数据安全。 | |
使用RAM进行访问控制,支持通过AccessKey等方式进行身份认证,同时支持通过权限策略来控制账号对云资源的访问和操作权限,以确保云资源的安全使用。 | |
阿里云提供了各种监控与日志审计相关的服务(例如云监控、操作审计等),帮助您实时监控云资源的使用情况和业务运行状况,并在收到异常报警时及时响应。 |
安全责任共担
云盒整体遵循阿里云公共云的安全责任共担模型,但需要用户保证物理环境及设施、本地网络环境的安全性。
阿里云安全责任
阿里云负责云操作系统、云产品等基础设施软件及数据的安全、分布式云操作系统及云服务产品安全,并为用户提供保护云端应用及数据的技术手段。责任包括:
云盒搭载的云平台软件安全:保障云服务产品及底层依赖组件的安全性,及时发现安全漏洞并修复,合理配置云平台并持续进行风险评估,发现并阻止针对平台和云服务产品的入侵行为。
云盒与中心云连接的网络边界安全:阻止利用上云连接入侵中心云或云盒的行为。
访问控制与维护管理安全:日常远程运维和数据隐私遵从阿里公共云的标准和流程,不触及用户业务数据。设备维修、扩容、裁撤流程中,采取措施保障用户业务数据安全。
为用户提供认证、鉴权、审计、安全防护、数据保护等安全产品和解决方案。
用户安全责任
云盒物理服务器部署在用户本地机房,并由用户创建公网入口,需要用户在公共云用户安全责任基础上保证物理环境及设施、本地网络环境的安全性。
安全组织和人员:负责明确责任部门、责任人和联系人以加强网络安全威胁监测与处置工作;确定安全策略,并制定内部安全管理制度和操作规程,确保落地。
物理与环境安全:保障云盒运行物理环境安全,落实门禁、监控等防控措施,防止邻近网络和物理攻击、破坏。防止上云连接物理链路被破坏。保留日志并配合阿里云审计。
网络通信安全:连接公网时,用户应负责防护来自公网的安全威胁。维护好用户创建的虚拟网络、虚拟服务器、自建应用及自身数据的安全。维护安全策略、漏洞修复,按照等保、行业安全规范、阿里云的安全实践落实网络安全和信息安全保护措施。
配置安全:正确理解和使用云产品的功能、遵循云产品的安全配置建议,防止不安全的配置和使用带来安全隐患。
数据保护:负责对用户业务数据采取数据分级分类保护等安全管理措施,履行数据出境评估等合规义务。
访问控制和维护管理安全:维护好用户身份、角色,管理好资源控制访问权限,保管好云资源访问凭证。信息内容安全:用户应负责管理云盒上存储、传播的信息内容安全,防止云盒被用于实施犯罪或传播违法犯罪活动的信息。
安全合规与标准遵从
阿里云负责从云盒产品层面确保安全合规与标准遵从,用户负责从使用云盒搭建的业务系统层面确保安全合规与标准遵从。
等保合规
云盒已通过网络安全等级保护要求(三级)安全计算环境安全要求。
安全认证
云盒已通过国际权威认证机构颁发的,包含信息安全和隐私、质量和服务、业务连续性、云安全等多项认证,如ISO27001、ISO27701、ISO27017、ISO27018、CSA STAR、ISO9001、ISO20000、ISO22301、BS10012、ISO27799、ISO29151等认证要求。