阿里云IDaaS CIAM为企业提供面向外部用户的统一身份管理解决方案,具备高可用性与安全性。采用微服务多可用区部署、独立VPC隔离,结合DDoS/WAF防护确保网络安全。通过多因素认证、API访问授权及加密传输协议保障身份与数据安全,支持严格的数据管理策略,构建安全可靠的网络环境。本文将介绍 IDaaS CIAM 的网络安全架构和关键安全能力。
网络安全架构
部署架构
IDaaS CIAM 的网络架构基于阿里云的多可用区部署模式,确保系统的高可用性和容灾能力:
ALB/CLB多可用区部署:IDaaS CIAM 使用 ALB/CLB 实现多可用区流量分发,后端微服务分布在不同可用区的 ECS 上,确保高可用性。
独立 VPC 隔离:IDaaS CIAM 部署在阿里云独立的虚拟私有云(VPC)中,通过隧道技术实现数据链路层隔离,提供独立且安全的网络环境。
双活灾备能力
为了应对灾难性事件,IDaaS CIAM 提供了双活灾备能力:
核心组件(如 DRDS、RDS 等)采用高可用版本,主备实例分布在不同可用区,支持分钟级切换。
网络安全防护
主机安全
IDaaS CIAM 的所有服务均运行在阿里云 ECS(弹性计算服务)上,并结合云安全中心提供主机级别的安全保障:
入侵检测:实时监控异常登录行为和恶意进程运行。
漏洞扫描:定期扫描操作系统和应用程序的漏洞,并提供修复建议。
病毒防护:内置防病毒引擎,防止恶意软件的传播。
数据传输安全
加密协议
IDaaS CIAM 在数据传输过程中使用强加密协议,确保数据在客户端与服务器之间的安全性:
TLS 1.2 及以上版本:采用传输层安全性协议(TLS)对敏感数据进行加密传输。
HTTPS 加密:所有 API 请求和用户访问均通过HTTPS协议进行通信,避免明文传输的风险 。
IP 白名单与访问控制
为了进一步增强网络安全性,IDaaS CIAM 提供了灵活的访问控制策略:
IP 限制:可通过配置 IP 白名单或黑名单,限制特定 IP 地址范围的访问。
异常检查:实时监控异常访问行为,自动触发二次认证或锁定账户。
身份认证与授权
多因素认证(MFA)
IDaaS CIAM 支持基于动态环境因素的多因素认证,提升用户身份验证的安全性:
核心参数包括 IP、登录地、常用设备、访问时段等。
当检测到异常操作时,系统会主动发起二次认证,确保是本人操作。
API 访问授权
为了防止非法访问,IDaaS CIAM 提供了严格的 API 访问授权机制:
API 安全级别划分:
应用类型:安全级别较高,可控制应用访问哪些 API(如登录、注册、发送验证码等)。
用户类型:安全级别较弱,主要涵盖用户是否可以修改手机号、邮箱、注销账号等。
应用间共享 API 范围:通过定义不同的 API Scope,将自定义的权限范围授权给指定应用,防止应用间的非法访问。
安全合规
合规认证
IDaaS CIAM 符合国内外多项权威安全标准,为企业提供坚实的安全与合规保障:
等保三级认证:符合中国公安部网络安全等级保护 2.0 三级要求。
ISO 认证:通过 ISO 27001、ISO 27018 等国际信息安全管理体系认证。
PCI DSS:满足支付卡行业数据安全标准(PCI DSS),确保敏感支付信息的安全性。
数据隐私保护
IDaaS CIAM 内置了强大的隐私保护机制,帮助企业满足《个人信息保护法》和《数据安全法》的要求:
数据加密:所有敏感数据均采用 AES-256 算法进行加密存储。
日志审计:记录所有用户和管理员的操作日志,确保数据处理过程透明可追溯
如果您需要了解更多关于IDaaS CIAM 的网络安全能力或获取私有化部署方案,请联系 IDaaS 产品团队以获取更多支持。
- 本页导读 (1)
- 网络安全架构
- 部署架构
- 双活灾备能力
- 网络安全防护
- 主机安全
- 数据传输安全
- 加密协议
- IP 白名单与访问控制
- 身份认证与授权
- 多因素认证(MFA)
- API 访问授权
- 安全合规
- 合规认证
- 数据隐私保护