平台侧安全设计

最近更新时间:2023-08-25 09:55:42

我的收藏
本文为您介绍平台侧安全隔离、鉴权认证、传输加密的安全设计。

安全隔离

不同地域之间网络完全隔离,不同地域之间的云产品默认不能通过内网通信。此外,采用安全组和私有网络 VPC 措施进行网络隔离。
安全组:是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。 用户可以使用如下方法来控制 MariaDB 实例的访问权限:
创建多个安全组,并给每个安全组指定不同的规则。
每个 MariaDB 实例分配一个或多个安全组,将按照这些规则确定:哪些流量可访问 MariaDB 实例、MariaDB 实例可以访问哪些资源。
配置安全组,以便只有特定的 IP 地址可以访问 MariaDB 实例。
私有网络 VPC:是一块用户在腾讯云上自定义的逻辑隔离网络空间。即使在相同地域下,不同的私有网络之间默认无法内网通信。

鉴权认证

访问管理(Cloud Access Management,CAM)是腾讯云提供的一套 Web 服务,主要用于帮助用户安全管理腾讯云账户下资源的访问权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制指定用户可以使用的腾讯云资源。
当用户使用 CAM 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。
如果用户在产品中使用到了云服务器、私有网络、数据库等服务,这些服务由不同的人管理,但都共享用户的云账号密钥,将存在以下问题:
用户的密钥由多人共享,泄密风险高。
用户无法限制其它人的访问权限,易产生误操作造成安全风险。
您可以通过子账号实现不同的人管理不同的服务来规避以上的问题。默认情况下,子账号没有使用云服务的权利或者相关资源的权限。因此,我们就需要创建策略来允许子账号使用他们所需要的资源或权限。

传输加密

MariaDB 控制台支持 HTTPS 传输协议,通过支持网络访问的标准协议,保障用户的访问安全,满足用户敏感数据加密传输的需求。