京东ip查寻

113·版权声明·京东智联云2018-2019版权所有本文档著作权归京东智联云单独所有,未经京东智联云事先书面许可,任何主体或个人不得以任何形式复制、修改、摘抄、翻译、传播全部或部分本文档内容.
·商标声明·京东智联云及其它京东智联云服务相关的商标均为北京京东叁佰陆拾度电子商务有限公司及其关联公司所有.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
·法律声明·本文档仅供用户使用京东智联云产品及服务参考性指引,本文档中的所有陈述、信息和建议以及内容的准确性、适用性等不构成任何明示或暗示的担保.
任何主体和个人因使用和信赖本文档而发生任何差错或经济损失的,京东智联云不承担任何法律责任.
由于产品版本升级、调整或其他原因,本文档内容有可能变更.
京东智联云保留在没有任何通知或者提示下对本文档的内容进行修改的权利.
本文件未授予您任何京东智联云产品的任何知识产权的法律权利.
11京东智联云安全概述41.
1京东智联云简介41.
2京东智联云安全战略52安全合规和隐私保护72.
1安全合规72.
2隐私保护83安全责任共担103.
1京东智联云安全责任113.
2云用户安全责任114基础架构安全124.
1基础设施安全124.
1.
1京东智联云基础设施134.
1.
2基础设施安全134.
2物理与环境安全144.
2.
1机房物理安全14目录24.
2.
2人员访问管理154.
3网络安全154.
3.
1安全架构164.
3.
2边界网络安全164.
3.
3虚拟网络安全174.
4数据安全185云产品服务安全205.
1计算服务205.
1.
1云主机205.
1.
2原生容器235.
1.
3云硬盘245.
2网络服务245.
2.
1私有网络245.
2.
2负载均衡275.
3存储与CDN服务285.
3.
1对象存储服务OSS.
285.
3.
2内容分发网络CDN.
285.
4云数据库与缓存服务305.
4.
1云数据库MySQL.
305.
4.
2云数据库SQLServer.
305.
4.
3云数据库MongoDB.
315.
4.
4云数据库Percona.
325.
4.
5分布式数据库TiDB335.
4.
6缓存Redis.
335.
5大数据分析服务335.
5.
1数据计算服务335.
5.
2JMR.
345.
6管理与监控服务3535.
6.
1云监控服务355.
6.
2访问控制355.
6.
3DevOps375.
7内容安全服务385.
8安全产品服务385.
8.
1DDoS防护395.
8.
2主机安全405.
8.
3态势感知415.
8.
4Web应用防火墙415.
8.
5应用安全网关435.
8.
6SSL数字证书445.
8.
7密钥管理服务(KMS)456运营管理安全476.
1流程管理476.
1.
1SDL流程476.
1.
2运营运维流程486.
2风险管理486.
2.
1资产管理496.
2.
2权限管理496.
2.
3业务连续性管理496.
3安全运营506.
3.
1安全情报506.
3.
2漏洞管理506.
3.
3安全响应516.
4监控与审计516.
5服务支持527京东智联云安全生态53401京东智联云安全概述2018/111.
1京东智联云简介京东智联云(JDCloud&AI)是京东集团旗下的全平台云计算综合服务提供商,拥有全球领先的云计算技术和丰富的云计算解决方案经验.
为用户提供从IaaS、PaaS到SaaS的全栈式服务(FullStack),从IDC业务、云计算业务到综合业务的全频道服务(FullSpectrum),以及包含公有云、私有云、混合云、专有云在内的全场景服务(FullServices)以及全生态服务(FullEcosystem).
同时,京东智联云依托京东集团在云计算、大数据、物联网和移动互联网应用等多方面的长期业务实践和技术积淀,形成了从基础平台搭建、业务咨询规划,到业务平台建设及运营等全产业链的云生态格局,为用户供一站式全方位的云计算解决方案.
以下为京东智联云目前基于多年业务实践形成的云计算整体架构:图1京东智联云产品与服务架构51.
2京东智联云安全战略在"2018可信云大会"上,京东智联云获得可信云技术创新奖容器类(容器虚拟化)、存储类(数据库)两个奖项,同时依托自身政务云解决方案,助力宿迁市电子政务办公室获得"可信云十大用户奖",覆盖了公有云的几大趋势领域,京东智联云在公有云市场开始朝着更广阔的领域发展.
一直以来,京东智联云以安全为基准生命线,将保障用户在京东智联云上的数据安全、业务安全作为第一原则.
稳定和安全是旅程而非终点,京东智联云以安全、稳定高可用的基础设施,专业、全方位的产品,完善、可靠的服务获得合作伙伴和用户的信赖.
京东智联云以数据安全保护为核心,以云安全综合能力为源动力,以法律法规、业界标准遵从为坐标,以安全生态圈护航,依托京东独有的平台及资源优势,构建起面向多区域、多行业的云服务安全保障体系,并将其作为京东智联云安全发展战略.
"可信可靠、安全保障、生态赋能、用户信赖",是京东智联云安全服务的核心理念,覆盖从物理环境、访问控制、配置管理、应急响应、安全审计、持续监控、供应链等多个环节的安全控制要求,提供多维度安全防护.
·可信的安全认证合规体系京东智联云一直致力于完善云安全体系、建设安全合规能力、依据行业安全最佳实践和各种IT安全标准设计,不断完善自身的管理与机制,并通过了一系列的标准认证、第三方安全评估和审计,务求更好的向用户展提供合规、安全、稳定的云计算服务.
·完备的安全保障体系京东智联云以用户为核心,保证数据安全和用户隐私为准则,整合京东智联云专业的安全团队,基于安全总体战略、行业安全认证与合规、安全构架与安全服务、安全管理与审计、安全生态建设五项措施,形成了完整的安全保障体系,为用户提供全方位的安全防护措施,保障用户的业务安全及稳定,让用户放心上云.
·安全服务最佳实践京东智联云从保障云服务产品自身安全做起,以最佳实践为基础,依托京东海量业务技术研发沉淀,从底层架构到应用策略,对几十款用户常用的重要云服务的安全构建,涉及计算、网络、存储、数据库、大数据分析、管理与监控、应用、安全等领域.
·云安全能力全覆盖京东智联云作为京东技术和能力对外输出的重要窗口,正在逐步将安全能力和经验开放给业界.
6目前,京东智联云安全可以提供包括DDoS防护、网站安全防护、主机安全防护、大数据安全分析、内容安全、漏洞分析管理、安全监控、安全咨询等服务.
·云端安全生态圈云计算的本质是服务,生态是服务的最好表现形式.
京东智联云致力于为合作伙伴提供一个开放、合作、共赢的生态平台,为全行业提供平台支撑,通过构建安全生态让用户轻松体验京东智联云安全能力.
702安全合规和隐私保护2018/11云计算行业安全合规和用户隐私保护是提供云服务的资质保障.
通过业界通用的安全合规与标准遵从的认证,提升京东智联云的整体安全能力和业务水平.
京东智联云将确保其基础设施和云服务通过安全认证机构的审核以及业界认可的权威组织的测评,向用户展示京东智联云在基础设施和云服务的技术研发、运维运营中对组织、流程、技术等方面的安全策略及风险管控措施,使得用户能够深入了解京东智联云对用户数据隐私保护和云上业务安全保障的有效管控能力.
2.
1安全合规京东智联云在努力完善业界标准认证体系的同时,致力于建立高效的安全内控体系,务求更好的向用户展示京东智联云的合规实践.
京东智联云主要资质认证:·ISO9001:ISO质量管理体系认证·ISO27001:ISO信息安全管理体系认证·中国信息通信研究院"可信云服务认证"·中国公安部"信息安全等级保护三级"·工业和信息化部"ITSS云计算服务能力标准符合性证书"8ISO27001认证:京东智联云做为符合信息安全管理体系国际标准的云服务提供商,从网络安全、通信安全、系统安全、操作安全、数据安全等各个方面证明云平台履行的安全职责.
可信云服务认证:京东智联云的云主机、云主机安全、云数据库、对象存储和云缓存等通过工信部三大类16项严格测试并获得可信云认证.
表明这些服务在数据管理、业务质量、权益保障等方面已经拥有了最佳实践.
信息安全等级保护三级认证:信息安全等级保护是由公安部监制,由属地公安机关认可并颁发的,表明京东智联云从技术实力、安全性能、信息及业务影响力这三个层面均达到了企业范围的最高认证.
云计算服务能力标准复合型证书(ITSS):通过文档审查、功能测试、基本性能测试等测评方式,在人员、流程、资源、过程等几大方面,对京东智联云进行了全方位评估.
京东智联云私有云和公有云均获得工信部ITSS颁布云计算服务能力"增强级"认证,标志着京东智联云计算在人员配备、技术实力、产品性能、资源储备等方面表现优异.
信息安全管理体系认证可信云服务认证信息安全等级保护评测云计算服务能力标准评估2.
2隐私保护京东智联云采用符合业界标准的安全防护措施,包括建立合理的制度规范、安全技术来防止用户的个人信息遭到未经授权的访问、使用、修改,避免数据的损坏或丢失.
保护用户对于个人信息访问、更正、删除以及撤回同意的权利,以使用户拥有充分的能力保障用户的隐私和安全.
用户完全拥有并可以全权控制自己的数据,包括数据的产生、收集和使用.
京东智联云对确保用户数据隐私的特定策略、操作实践和技术保持透明.
未经用户许可,京东智联云不会触碰用户数图2京东智联云资质认证9据,并确保用户对其信息具有唯一的所有权和控制权.
为了更好地为用户提供安全、可信的云产品和云服务,京东智联云将在用户进行账号注册、管理、或实名认证等过程中适当收集用户的个人信息或企业信息,并严格按照《隐私政策》进行收集、使用、存储和分享用户的相关信息.
同时,京东智联云的信任中心提供了全面的合规信息,希望可以帮助用户更好地理解京东智联云在合规方面的各种实践.
欧盟的通用数据保护条例(GDPR)的生效,对个人信息的保护及其监管达到了前所未有的高度.
GDPR引入了强有力的要求,将提高和协调数据保护、安全性和合规性标准.
京东智联云制定了GDPR合规性规划,在努力满足GDPR要求的同时也致力于为京东智联云用户和伙伴提供支持.
10安全性与合规性是京东智联云和用户共同的责任.
京东智联云负责云平台自身的安全,用户负责云平台上的业务安全.
图3京东智联云安全责任共担模型03安全责任共担2018/11113.
1京东智联云安全责任京东智联云负责基础设施、物理设备资源、云操作系统及云服务产品的安全控制和管理,并基于安全合规、高可用最佳实践、安全的云产品及安全服务,构建基础设施、平台及应用和身份管理与资源访问控制的多维立体安全防护体系,并保障其运维运营安全.
3.
2云用户安全责任云用户基于京东智联云提供的服务构建云端应用系统,并运用京东智联云安全的云产品和安全服务以及安全生态第三方安全产品保护自己的业务系统.
云用户负责对在云平台上使用的网络、系统、应用、管理、数据、安全等服务的定制配置、自行部署及运维运营.
云用户负责安全的使用云平台,确保业务的安全设计、数据保护、认证加密等必要的安全措施和功能实现,管理好账号密码和人员授权,安全的开发应用、运营业务.
1204基础架构安全2018/11京东智联云从数据中心自身的安全容灾,到设备的选型和测试、产品和平台的研发设计、数据和网络的访问及控制,经过了严格设计和全面测试,最终为用户提供安全、可靠、稳定易用的云服务.
此外,还提供广泛的可配置安全选项以及对这些选项进行控制的功能,方便用户自定义安全措施来满足组织部署的独特要求,而满足IT控制策略并遵守外部法规.
作为云计算服务提供商,京东智联云着力为每一个用户提供安全、稳定、持续、可靠的物理基础设施.
4.
1基础设施安全京东智联云全球基础设施包括机房、网络、硬件和支持这些资源的软件.
京东智联云全球基础设施是根据安全最佳实践以及各种安全合规性标准进行设计和管理的.
数据中心的广泛地理覆盖范围使得京东智联云非常靠近用户,以降低网络延迟并实现异地冗余的备份和故障转移.
为用户提供高可用、安全、可信的云计算基础设施.
134.
1.
1京东智联云基础设施·遍布全球的顶级数据中心图4京东智联云全球数据中心·中国大陆地域及可用区表1中国大陆地域及可用区4.
1.
2基础设施安全京东智联云执行更严格的IDC标准、服务器准入标准以及运维标准,以保证云计算整个基础框架的高可用性、数据的可靠性以及云主机的高可用性,提供不低于99.
95%的服务可用性.
京东智联云实现了Region区域级、AZ可用区级、FD故障域级容灾能力,在此基础上全线14产品进一步实现了不同维度的高可用架构和稳定服务品质.
·多地域可用区云数据中心华北机房、华东机房、华南机房、海外机房拥有电信、联通、移动、BGP多线接入高容量带宽动力监控系统、环境监控系统、消防监控系统、安保监控系统、网络监控系统.
·高可用的基础设施用户提供全球部署多地域多可用区的云数据中心,采用多线BGP网络提高网络接入体验,京东智联云分布式云操作系统为所有云产品提供高可用基础架构和多副本数据冗余.
·持续不间断服务全球领先的热升级技术使得产品升级、漏洞修复不影响用户业务.
高度自动化的安全运维,为用户实时分析与计算,并自主响应安全策略.
以确保云平台提供不间断的服务.
·多副本冗余京东智联云使用分布式存储,文件被分割成许多数据片段分散存储在不同的设备上,并且每个数据片段存储多个副本.
分布式存储不但提高了数据的可靠性,也提高了数据的安全性.
4.
2物理与环境安全4.
2.
1机房物理安全京东智联云制定了完善的物理和环境安全防护策略、规程和措施,满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中的T3+标准.
包含本章以下物理与环境安全控制要求.
京东智联云在数据中心里包含了多级的安全保护措施,运维运营团队严格执行访问控制、安保措施、例行监控审计、应急响应等措施,以确保京东智联云数据中心的物理和环境安全.
·机房选址京东智联云全球各数据中心均按照相关国际标准和当地安全要求进行选址、建设或租赁.
·电力保障数据中心的电源系统为充分冗余且可维护,保障京东智联云业务7*24小时持续运行,使用电力供应采用来自多变电站的双路市电供电,当市电供电中断后柴油发电机及UPS能正常接管电力,并且在机房供电线路上配置了稳压器和过压防护设备.
·温湿度控制通过精密空调、集中加湿器自动调节,数据中心机房温湿度保持在设备运行所允许的范围内,15使服务器及设备元器件处于良好的运行状态.
·防静电数据中心内部安装防静电地板,机柜、线槽等均安装接地线,用以防御静电给电器设备带来的损害.
·消防能力数据中心安装了自动火灾探测及扑救设备,以减少风险.
火灾探测系统利用所有数据中心环境中的烟雾探测传感器、机械和电气基础设施空间、冷藏室及发电设备室.
这些区域受到湿式、双重联锁预动式或气体式喷洒系统的保护.
·监控管理数据中心安装配备CCTV系统、门禁系统、环境与设备集中监控系统,监测冷通道内温湿度、配电柜开关状态、机柜电流、UPS运行状态、冷冻水空调系统运行状态、漏水和漏油监控报警系统,并执行严格日常维护保障系统机房巡检要求,安全隐患能被及时发现并修复.
4.
2.
2人员访问管理京东智联云制定完善的《机房出入管理制度》,从制度策略,到流程管理,并配合严格的监察审计,建立了一套全方位的安全管理体系,通过持续改进来保证云计算数据中心的物理和环境安全.
京东智联云各数据中心按不同级别的区域安全要求制订了严格的制度,包门禁系统、人员车辆权限及检查站,配备了7*24小时无盲点的视频监控告警系统并配备安保人员.
根据数据中心人员类别和访问权限,建立了完整的人员访问控制安全矩阵.
明确规定公司人员出入审批管理,第三方人员出入审批管理,数据中心机房出入要求,实现对数据中心的各类人员的访问、操作等行为的有效管控.
基于访问员工岗位和角色,授予员工有限的资源访问权限并遵循最小权限和职责分离原则.
所有外部人员(访客、供应商技术人员、测试人员、代维人员等)在数据中心机房等受限区域进行操作时进入机房必须由机房经理确认后方可进入机房,做好机房出入的登记,并由内部员工全程陪同,对整个过程负监护责任.
4.
3网络安全京东智联云提供成熟的网络安全架构及多层防护的安全方案,对生产网络与非生产网络、业务网络和管理网络、虚拟网络和物理网络进行了安全隔离和严格的访问控制.
京东智联云提供可靠的16网络基础结构以支持应用程序和服务连接需求,包括Internet与云平台之间、云平台中的资源之间、本地资源与托管的资源之间可能存在网络连接或访问.
4.
3.
1安全架构图5网络安全架构在Internet与云平台服务、资源组之间的边界区域提供可靠的安全组件,可防止不受信任的网络访问内部网络资源.
包括抗拒绝服务(DDoS)、应用安全网关、Web应用防火墙、以及VPN设备,同时实施防火墙策略、访问控制列表(ACL)或特定路由等安全策略.
在云平台网络资源提供了各种安全工具和功能创建相应的安全服务.
京东智联云私有网络支持用户在京东智联云上构建逻辑隔离的网络环境,在这里用户可以自主规划网络部署,包括网络范围、子网网段、路由策略等,并通过安全组和网络ACL等实现多级安全防护.
4.
3.
2边界网络安全边界网络是在Internet与云平台虚拟网络之间网络区域.
对于来自Internet的入站流量,DDoS防护可防御针对京东智联云的大规模攻击,应用安全网关,Web应用防火墙对云平台网站或APP服务进行安全防护.
用户定义的公共IP地址,可以根据这些路由保护确定哪些流量可以通过云服务进入云平台虚拟网络.
VPN网关提供基于Internet的数据加密传输服务.
在Internet流量进入虚拟网络之前,云平台本身将实施两层安全性:·边界防护DDoS防护提供高效的防护能力,保证云平台网络的稳定.
详情请见"4.
8.
1DDoS防护"章节.
17Web应用防火墙避免网站服务器被恶意入侵,保障业务的核心数据安全.
应用安全网关对云平台网站或APP服务进行可视化安全分析和应用层安全防护.
详情请见"4.
8.
4Web应用防火墙,4.
8.
5应用安全网关"章节.
·路由保护通过路由及策略、弹性公网IP、应用程序网关以及其他云平台功能启用,以便将路由到用户资源的公共IP地址呈现给Internet,使用网络地址转换(NAT)将流量路由到云平台虚拟网络上的内部地址和端口,云服务或资源组就可以公开公共InternetIP地址和端口.
此路径是外部流量进入虚拟网络的主要方式,可以对公共IP地址进行配置,确定可以传入哪种流量,如何在虚拟网络上转换该流量以及要将它路由到何处.
·其他安全防护>防火墙:对传入请求实施防火墙规则或访问控制策略.
>威胁检测和预防:检测并缓解来自Internet的恶意攻击.
>审核和日志记录:维护详细记录供审核和分析.
>反向代理:将传入请求重定向到相应的后端服务器.
此重定向涉及到将前端设备(通常是防火墙)上的目标地址映射并转换成后端服务器地址.
>VPN设备:充当跨界VPN网关,用于在本地网络上的用户与虚拟网络之间进行跨界VPN连接.
4.
3.
3虚拟网络安全虚拟网络是构建于物理云平台网络结构之上的逻辑构造.
每个虚拟网络与其他所有虚拟网络相互隔离,这可帮助确保其他云平台客户无法访问部署中的流量.
虚拟网络隔离可确保与其他所有网络完全隔离,而且流量只能流经用户配置的路径和方法.
可以使用安全组、路由转发和网络虚拟设备来创建安全边界,以保护受保护网络中的应用程序部署.
·流量隔离私有网络是云平台上的流量隔离边界.
一个私有网络中的不同虚拟机(VM)无法直接通信,即使是由同一个用户所创建.
针对虚拟网络的入站流量,隔离可确保用户VM与通信在虚拟网络中保持私密性.
·多层拓扑虚拟网络允许用户通过分配子网并为工作负荷的不同元素或"层"指定独立地址空间,来划分18多层拓扑.
这些逻辑分组和拓扑可让用户根据工作负荷类型来定义不同的访问策略,以及控制各层之间的流量.
·跨域连接用户可以在虚拟网络和多个本地站点或京东智联云中的其他虚拟网络之间创建跨域连接.
客户可以使用VNet对等互连、VPN网关、第三方网络虚拟设备或专线通道来构造连接.
·安全组用户根据所需的粒度(网络接口、单个VM或虚拟子网)创建规则(ACL).
通过跨域连接或直接Internet通信来允许或拒绝虚拟网络内的工作负荷,以控制访问.
·自定义路由和IP转发允许用户定义虚拟网络中不同层之间的通信路径.
用户可以部署防火墙、IDS/IPS和其他虚拟设备,并通过这些安全设备来路由网络流量,以实施安全边界策略、审核和检查.
·其他网络虚拟安全设备云市场和VM映像库中提供了防火墙、负载均衡器和IDS/IPS、堡垒机等安全设备.
用户可将这些设备部署到其虚拟私有网络,特别是安全边界(包括外围网络子网),以实现多层安全网络环境.
4.
4数据安全京东智联云遵循数据安全生命周期管理的业界先进标准,采取管理和技术两方面的手段进行全面数据安全体系建设.
在身份认证、权限管理、访问控制、数据加密、数据隔离、传输安全、存储安全、数据销毁等方面,保证用户对其数据的隐私权、所有权和控制权不受侵犯,为用户提供最切实有效的数据保护.
·身份认证和访问控制京东智联云提供的一项用户身份管理与资源访问控制服务(IAM).
用户可以通过IAM服务创建、管理子用户账号,并控制这些子用户访问京东智联云资源的权限.
详情请见"4.
6.
2访问控制"章节.
·静态数据保护用户负责确保按标准加密云平台中存储的数据.
云平台提供各种加密功能,便于用户选择满足自己需求的最佳解决方案.
帮助用户保持对密钥的控制,以便云应用程序和服务用于加密数据,使用云磁盘加密来加密虚拟机,存储服务加密可以加密用户存储帐户中的所有数据.
提供各种数据19存储解决方案,以满足不同需求,包括文件、磁盘和表存储等.
·数据隔离对云端数据的隔离是通过私有网络(VPC)实施的,此私有网络空间由用户完全掌控,它将不同租户间的网络深度隔离,保证了不同租户间的数据不会被越权获取.
详情请见"4.
2.
1私有网络"章节.
·传输中数据保护云产品控制台上的通信都受到了HTTPS安全协议的加密保护.
使用行业标准传输层安全性的SSL/TLS加密在用户与云、云平台系统和数据中心之间的内部通信,保护传入或传出组件的数据,以及在内部传输的数据.
·数据冗余出现网络攻击或者数据中心遭到物理损坏时,可确保数据受到保护.
数据可在选定的地理区域中进行复制以实现冗余,但不会传输到此区域以外.
用户可以使用多个选项来复制数据,包括指定副本数量,以及复制数据中心的数量和位置.
·数据销毁在用户提出请求和合同终止时,京东智联云会执行完全数据删除.
当用户删除数据或离开京东智联云时,将根据行业标准实践对所有退役的磁性存储设备进行消磁和物理销毁.
当某个存储设备已达到其使用寿命的最后时期时,京东智联云程序中包括的退役流程可防止用户数据暴露给未授权的个人.
2005云产品服务安全2018/11京东智联云为用户提供IaaS、PaaS和SaaS多类的云产品服务,涉及计算、网络、存储、数据库、大数据分析、应用、管理和安全等方面,为用户安全赋能、便捷上云提供保障.
下面对各云服务做基本技术及安全性介绍,具体内容可登录京东智联云官网www.
jdcloud.
com查询.
5.
1计算服务5.
1.
1云主机云主机是京东智联云提供的一种云计算基础服务单元,提供处理能力可弹性伸缩的计算服务.
包含CPU、内存、操作系统、磁盘、网络、安全等全部所需资源,每种资源都提供多种规格,以满足不同业务的个性化需求.
京东智联云提供了多层次的云主机安全防护和保障.
5.
1.
1.
1用户隔离用户实例隔离基于硬件虚拟化技术的虚拟机管理,在系统层面将多个虚拟机进行隔离.
同时,在虚拟化管理层提供了存储隔离和网络层隔离.
·虚拟机隔离通过对服务器物理资源的抽象,将CPU、内存、I/O等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源,并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境.
·存储隔离基于虚拟机的计算与存储分离,实现计算和存储的自主扩展,使提供多租户和隔离变得简单.
21在虚拟化层,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机硬盘空间的安全隔离.
·网络隔离私有网络为用户划分一片隔离安全的私有空间,私有网络间独立隔离,将云主机部署在不同私有网络下即可实现网络隔离.
用户完全掌控网络管理,支持自主划分子网、配备公网IP等.
此外,可通过VPN或专线等服务将用户本地服务器与京东智联云主机连通,实现对现有网络部署的扩展.
5.
1.
1.
2高可用组高可用组是京东智联云提供的云主机逻辑集合,高可用组内的云主机分散部署在相互隔离的物理资源上,当出现硬件故障或定时维护时只会影响部分云主机,用户的业务仍为可用状态.
·数据高可靠京东智联云主机承诺99.
95%的服务可用性和不低于99.
9999999%的数据可靠性.
网络架构稳定,云硬盘多副本容灾,同时提供数据及镜像的快照功能,支持整机备份.
·业务高可用高可用组支持跨可用区,当用户选择在高可用组内部署云主机时,京东智联云将保证用户的云主机分散在多可用区的不同的物理故障域上,故障域之间相互隔离,当一个故障域内发生硬件故障或定时维护时仅影响部署在该故障域上云主机,其他故障域上云主机仍为可用,保障用户业务正常运行.
·自动化运维无需人工实时干预,动态调整云主机数量,高可用组支持根据用户预设的告警/定时策略动态新增和删除云主机,轻松应对业务负载波动,保障业务波峰时服务能力.
5.
1.
1.
3弹性伸缩弹性伸缩(AutoScaling)是根据用户的业务需求和伸缩策略,自动调整资源规模的服务.
可以通过设置定时任务、监控告警策略确保用户拥有适量的资源来保证业务平稳健康的运行.
在业务高峰期,自动增加云主机实例的数量,以保证业务性能不受影响;当业务需求较低时,则会减少云主机实例数量,以节省成本.
·报警伸缩基于云主机监控性能指标(如CPU、内存利用率、网络进出流量等)情况调整业务的部署,可以自定义告警触发策略.
当业务负载使得指标达到阈值时,根据设定的策略自动增加或减少云主机实例,从而灵活应对业务负载变化,提高资源利用率.
22·定时伸缩可以设置定时任务,对用户的资源扩/缩活动进行提前规划.
用户可以配置周期性任务,定时地自动增加或减少云主机实例,从而灵活应对业务负载变化,提高资源利用率.
当周期性需求有所波动时,可同时配置告警伸缩模式以应付不可预期的变化.
·自动加入负载均衡通过告警、定时策略增加的云主机实例,会直接关联已有负载均衡,分担业务流量,提高服务可用性.
5.
1.
1.
4安全防护·丰富的安全组件京东智联云为云主机提供一体化安全服务,包括主机安全、免费的DDoS基础服务、付费的DDoS高防、入侵检测及漏洞扫描等.
·安全组安全组是一种分布式、有状态的虚拟防火墙,具备检测和过滤云主机进出的数据包的功能.
使用安全组可以完成单台或多台云主机的网络访问控制,包括云主机之间的东西向流量以及云主机与公网通信的南北向流量.
通过使用安全组功能,可以实现云主机之间的网络安全隔离.
·SSH秘钥京东智联云允许使用密钥加密解密基Linux系统的主机登录信息,进一步提升云主机的安全.
SSH密钥登录是指使用密钥技术对登录信息进行加密解密,用户需要创建一对唯一匹配密钥对:"公钥"和"私钥".
公钥需存储在京东智联云上,用于对数据进行加密,公钥是公开的,可以按需将其配置到目标服务器上自己的相应帐号中.
私钥需用户存储,私钥只能对与之匹配的公钥所加密的数据进行解密,SSH客户端使用私钥向服务器证明自已的身份.
·漏洞修复实时监控主机安全风险,对于操作系统官方发布漏洞及高危漏洞,京东智联云会第一时间通知用户,并提供漏洞修复方案,保障用户业务不受影响.
5.
1.
1.
5安全镜像镜像是云主机运行环境的模板,包含操作系统和预装的软件以及相关配置.
可以基于镜像启动任意数量云主机,也可以根据需求从任意多个不同的镜像启动云主机.
·批量部署软件环境对已经部署好环境的云主机自定义制作镜像,然后基于此镜像批量创建云主机,主机创建之后,23拥有和之前云主机一致的软件环境,以此可以达到批量部署软件环境的目的.
·服务器运行环境备份对一台云主机制作镜像,如果该云主机在后续使用过程中软件环境被损坏无法正常运行,则可以使用该镜像恢复受损的云主机.
5.
1.
2原生容器原生容器是基于京东在容器技术方面的深厚积淀的创新型容器产品.
充分融合了容器和虚拟机的优点,无需管理虚拟机或集群,为用户打造安全、易用的容器服务,灵活计费方式,有效降低用户的投入成本.
·安全隔离采用独立内核技术,基于虚拟机的隔离性,避免容器间共享内核的安全隐患;基于SDN技术实现不同租户实现完全隔离.
·可靠存储可扩展云硬盘及快照.
支持按需设置云硬盘的容量并随时扩展以满足业务快速增长.
通过对云硬盘数据制作快照可进一步满足数据备份、批量部署、快速恢复等需求场景.
·网络隔离私有网络为用户划分一片隔离安全的私有空间,私有网络间独立隔离,将容器部署在不同私有网络下即可实现网络隔离.
用户完全掌控网络管理,支持自主划分子网、配备公网IP等.
此外,可通过VPN或专线等服务将用户本地服务器与京东智联云容器连通,实现对现有网络部署的扩展.
·弹性公网IP弹性公网IP与京东智联云账户关联,用户可以将其余同地域下的任意容器关联,实现容器的外网访问,同时可根据网络实际使用情况调整带宽带宽、更改绑定容器.
·安全组安全组是一种分布式、有状态的虚拟防火墙,具备检测和过滤容器进出的数据包的功能.
使用安全组可以完成单台或多台容器的网络访问控制,包括容器之间的东西向流量以及容器与公网通信的南北向流量.
通过使用安全组功能,可以实现容器之间的网络安全隔离.
·安全镜像支持Docker标准镜像,可选择DockerHub下载镜像或从私有镜像仓库下载镜像.
可以保存第三方镜像仓库认证信息.
24·监控管理多维度监控,实时掌握实例运行状态,提供CPU使用率、内存使用率、系统盘读写流量、网络进出流量,可针对不同监控参数设置报警功能,实时预警,方便用户快速感知业务高峰及时调整实例规格.
·日志查看提供容器标准日志查询功能,日志最大容量为10M.
5.
1.
3云硬盘云硬盘是京东智联云为云主机提供的低时延、持久性、高可靠的数据块级存储.
云硬盘内的数据以多重实时副本的方式存储,避免因组件故障导致数据不可用,同时为用户提供高可用数据存储服务.
云硬盘容量可弹性扩展,用户可以在几分钟内以低廉的价格扩充数据存储空间,并实现数据的持久化存储.
·高性能单盘最大提供20000随机IOPS,100MB/s吞吐量,帮助用户轻松应对业务侧高吞吐量的数据访问需求.
·可靠性基于数据多重实时副本保证数据可靠性高达99.
9999999%,为用户提供安全可靠的数据存储服务.
·易扩展用户可以自由配置云硬盘存储容量,单磁盘容量范围为20-3000GB,支持按需扩容.
5.
2网络服务5.
2.
1私有网络京东智联云私有网络(VirtualPrivateCloud,简称VPC),是用户在京东公有云上自定义的逻辑隔离的网络空间,此私有网络空间由用户完全掌控,支持自定义网段划分、路由策略等.
用户可以在VPC内创建和管理多种云产品,如云主机、负载均衡等,同时可配置网络内的资源连接Internet.
私有网络VPC整体架构如下:25图6私有网络逻辑架构图私有网络VPC是用户网络在京东智联云上的表现形式,包含了一系列的网络及安全功能,与其他的VPC逻辑隔离.
在实例级别实现安全组一级防护,在子网级别实现网络ACL二级防护,在VPC间实现网络100%安全隔离,达到访问控制的目的.
5.
2.
1.
1自定义网络京东智联云提供安全隔离的私有网络,不同VPC之间完全隔离,且用户可自定义VPC网段范围,自主配置VPC内的子网、路由表、ACL等.
5.
2.
1.
2子网路由策略京东智联云提供可灵活配置的路由策略,可实现基于子网的路由策略编辑,精确控制进出子网的网络流量.
路由表是一系列路由规则的集合,用于控制私有网络中子网的流量流出方向.
京东智联云共有两种类型的路由表:默认路由表和自定义路由表.
随私有网络创建时自动创建的路由表为默认路由表,用户主动创建的路由表为自定义路由表.
5.
2.
1.
3ACL网络访问控制列表(AccessControlList,ACL)是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度,可用作防火墙来控制进出一个或多个子网的流量.
ACL实现在虚拟路由器Vrouter上,Vrouter本身并未对用户暴露,用户可以通过ACL配置26子网级别东西向和南北向的访问控制.
具有相同网络流量控制的子网可以关联同一个网络ACL,通过设置出站和入站允许规则,对进出子网的流量进行精确控制.
5.
2.
1.
4安全组安全组是一种分布式、有状态的包过滤功能的虚拟防火墙,可实现对云主机和容器的网络访问控制,从而控制一台或多台云主机和容器的访问流量.
创建云主机和容器时,可以关联相应的安全组,将同一地域内具有相同网络安全隔离需求的云主机和容器加到同一个安全组内.
通过配置安全组策略对云主机和容器的出入流量进行安全过滤.
新建安全组默认对所有出口/入口流量执行Alldrop规则,出口包含一条缺省配置允许所有流量.
用户可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有云主机和容器.
可以在每个区域每个私有网络下创建50个安全组,每个安全组双向最多可添加100条规则,以满足用户对网络安全隔离的需求.
5.
2.
1.
5VPNVPN网关提供基于Internet的数据加密传输服务,可实现不同VPC的网络互连,打通企业IDC和京东智联云内网,实现混合云部署.
使用带有VPN功能的镜像,可创建VPN网关.
·提供加密数据传输通道京东智联云VPN使用IPSEC、IKE、预共享密钥方式对数据进行加密,基于公网提供安全可靠的通信隧道.
·灵活的组网方式,支持多隧道共享网关支持VPN网关下组建多条隧道(需不同的对端网关),提供相对灵活的组网方式,应对不同业务场景需求.
·隧道连通性检测,自动修复隧道功能VPN默认提供隧道连通性自动检测,定时检测隧道的连通状况,一旦发现隧道连接断开自动重新连接保证隧道可用性.
5.
2.
1.
6NAT网关同一VPC内的多台云主机同时有访问Internet的需求且公网IP资源不足时,可通过创建NAT网关解决此问题.
京东智联云支持自建NAT网关,实现SNAT功能.
京东智联云私有网络的NAT网关提供IP的安全转换,帮助与用户隐藏私有网络内主机的公网IP以避免暴露其网络部署.
5.
2.
1.
7弹性网卡弹性网卡是一种虚拟网络接口,用户可以在云主机上绑定弹性网卡以使云主机接入不同网络.
27弹性网卡可以在构建业务流量分离、多业务承载以及网络高可用等应用场景时提供支持.
京东智联云提供地域级属性弹性网卡,弹性网卡可以绑定私有网络内任意一台云主机.
单台云主机可以绑定多块弹性网卡,绑定数量需依据云主机规格而定.
·路由控制云主机可挂载多块分属不同子网的弹性网卡,每个子网可分别设置访问控制策略与路由转发策略,实现业务与网络隔离.
·业务安全云主机挂载多块弹性网卡,特定业务可由特定弹性网卡承载流量,不同弹性网卡可分别绑定安全组,应用不同安全策略,实现对业务流量的精确管控.
·容错可靠提供无可用区属性弹性网卡,支持弹性网卡在不同可用区云主机间动态迁移,实现可用区级的高可用方案,缩短故障时间,提升系统可靠性.
5.
2.
2负载均衡负载均衡可将大并发流量分发到多台云主机,调整资源利用情况,消除由于单台云主机故障对系统的影响,提高系统可用性、扩展系统服务能力.
·高可用性京东智联云负载均衡通过自动冗余机制提供高可用服务,创建负载均衡实例后会自动提供双活的负载均衡服务,保证服务的高可用性.
·自动健康检查,保证可用性负载均衡服务会检查云服务器池中云主机的健康状态,自动隔离、挂载后端提供服务的云主机,消除服务器单点故障,保障业务正常运行.
·弹性公网IP绑定,内网保护负载均衡可配置在内网环境,通过绑定公网IP提供对外服务,因此可隐藏内部网络结构,增强系统安全性;并且因内网部署,可通过设置防火墙等构建更加安全的防护体系.
·防DDoS攻击提供基于公网IP的抗DDoS攻击能力,提升服务的安全性能.
285.
3存储与CDN服务5.
3.
1对象存储服务OSS京东智联云对象存储(ObjectStorageService,简称OSS)是利用京东在分布式存储领域多年的深厚技术积累,为用户提供安全、稳定、海量、便捷的对象存储服务.
提供简单方便的RESTful接口与方便易用的SDK.
提供包括文件上传、存储、下载、分发、在线处理在内的全系列产品,从几字节到数TB的数据,提供完整的存储方案.
·访问控制OSS提供权限控制BucketPolicy,在创建存储空间的时候选择相应的权限控制,也可以在创建之后,在权限设置中修改BucketPolicy.
·防盗链机制OSS针对Bucket提供防盗链配置功能,为了减少用户存储于OSS的数据被其他人盗链而产生额外费用,OSS支持设置基于HTTPheader中表头字段Referer的防盗链方法.
可通过控制台设置Referer字段的白名单,以约束访问来源.
·跨域访问跨源资源共享CORS(Cross-OriginResourceSharing)定义了在一个域中加载的用户端Web应用程序与另一个域中的资源交互的方式.
这种机制让Web应用服务器能支持跨站访问控制,使跨站数据传输更加安全,减轻跨域HTTP请求的风险.
OSS提供HTML5协议中的跨域资源共享CORS设置,帮助用户实现跨域访问.
5.
3.
2内容分发网络CDN京东智联云CDN(ContentDeliveryNetwork),基于京东优质网络基础设施和智能云计算技术,向用户提供低成本、高性能、可扩展的互联网内容分发服务.
利用广泛的节点覆盖和先进的云调度、云存储技术,将海量内容更快、更可靠地投递给互联网终端用户,降低网站运营成本,提升用户互联网应用体验.
京东智联云CDN的前身是服务于京东商城的自建CDN平台,历经多年618和11.
11等大促业务活动考验,京东智联云600+节点广泛覆盖于全国各区域和运营商,精选全网优质基础设施,边缘节点覆盖全网、全地域,真正实现就近接流、就近推流.
29图7京东智联云内容分发网络节点示意图CDN在访问控制、安全协议与网络攻击防护方面实现了以下功能:·Referer防盗链防盗链功能基于HTTP协议支持的Referer机制,通过Referer跟踪来源,对来源进行识别和判断,用户可以通过配置访问的Referer黑白名单来对访问者身份进行识别和过滤,从而限制CDN资源被访问的情况.
·URL鉴权URL鉴权功能是通过京东智联云CDN加速节点与用户资源站点配合实现的一种更为安全可靠的源站资源防盗方法.
由CDN用户站点提供给用户加密URL(包含权限验证信息),用户使用加密后的URL向加速节点发起请求,加速节点对加密URL中的权限信息进行验证以判断请求的合法性,对合法请求给予正常响应,拒绝非法请求,从而有效保护CDN用户站点资源.
·IP黑名单当用户域名受到攻击或暴力访问时,IP黑名单可以对来源IP做访问限制,拒绝其访问.
·安全防护提供HTTPS加密内容分发,及强大的抗DDoS攻击、CC防护等安全防护能力.
·安全审计日志下载:支持对过去30天指定域名或全部域名访问日志的查询和下载,日志打包的时间周30期可以是小时粒度或是天粒度.
访客分析:可分析指定时间范围内,访问量的地域分布,以及各地域的流量、访问量、流量占比、平均下载速度、首包响应时间、命中率等信息.
热点分析:支持对热点域名的流量、访问量及带宽查询分析.
5.
4云数据库与缓存服务5.
4.
1云数据库MySQL云数据库MySQL是京东智联云基于全球广受欢迎的MySQL数据库提供的稳定可靠的云数据库服务.
云数据库MySQL易于部署、管理和扩展,默认支持主从热备架构,提供数据备份、故障恢复、监控等全套解决方案.
·高可用性默认支持主从热备架构,故障自动转移,提供持续性的数据库访问,拥有完善的数据自动备份机制,每个实例默认每天自动备份一次,同时可根据业务情况手动创建备份,无需担心数据丢失.
·安全模式默认的云数据库MySQL实例采用的是标准模式,支持切换到高安全模式,具备一定的SQL拦截能力,同时也提供了SQL审计功能.
·实例容灾京东智联云为全球多个地域提供云计算服务,每个地域(Region)都包含多个可用区(AZ).
云数据库MySQL默认提供主从高可用架构,支持选择主从副本部署在同一可用区或不同可用区,支持可以承受机架级别的故障的可用区部署和可以承受机房级别的故障多可用区部署.
·访问控制设置IP白名单控制哪些IP地址能够访问MySQL数据库,管理员需提前对每个进入数据库的权限进行配置(读写或只读).
云数据库MySQL的域名访问地址,只允许内网访问.
5.
4.
2云数据库SQLServer云数据库SQLServer是基于微软的SQLServer打造的适合云端的数据库产品,具有:服务高可用,数据高可靠,功能丰富,高效稳定,运维省心等种种优点,是最适合政府、企业及电商的商业级云数据库.
31·身份认证云数据库SQLServer仅支持私有网络,只提供内网连接,公网不可访问.
使用云数据库SQLServer时需要有云主机.
SQL身份验证,使用用户名和密码.
·访问控制设置IP白名单控制哪些IP地址能够访问SQLServer数据库.
每个账号只能读写、只读自己的数据库.
·数据加密SQLServer提供内置的加密函数,可以进行数据加密.
京东智联云对云数据库SQLServer提供安全可靠的安全加密方式,防止数据库数据泄露、拖库等危害.
·主备高可用,故障自动切换提供基于SQLServer镜像的一主一备高可用架构,主实例数据实时同步到备实例.
发生故障时,系统可自动感知并进行主备切换.
切换可在数十秒内完成,切换过程中数据零丢失,应用几乎无感知.
·安全防护机制宿主机位于防火墙保护之下,只开放必需的端口,且安装有各种系统补丁,能够抵御各种恶意攻击,保障数据库安全.
SQLServer实例运行在逻辑隔离的私有网络(VPC)中,避免了数据库直接暴露在公网上,可规避绝大部分攻击.
通过安全组、ACL规则可定义和强化安全策略,进一步加强数据库的安全性.
·安全审计基于SQLServer原生审计,可靠性高,审计无遗漏.
审计结果为二进制格式,无法篡改.
·多维度监控,自定义告警从各个维度提供系统级和数据库实例级的监控,监控指标丰富.
可根据监控指标自定义告警规则,并通过短信,email等方式进行通知.
5.
4.
3云数据库MongoDB云数据库MongoDB是京东智联云基于全球广受欢迎的MongoDB提供的高性能NoSQL数据库服务,完全兼容MongoDB协议,提供三节点副本集的高可用架构,支持容灾切换,故障迁移自动完成,确保业务可用性.
32·安全特性实例部署在用户自定义的VPC私有拟网络内,在TCP层直接进行网络隔离保护,确保数据安全性.
支持用户自定义IP白名单,从访问源进行安全控制.
·实例容灾三节点副本集:自动搭建三节点副本集,三个数据节点位于不同的物理服务器上,自动同步数据.
自动容灾:默认Primary和Secondary节点提供服务,当Primay节点出现故障,系统自动选举新的Primary节点.
Secondary节点不可用时,由备用节点接管服务,多重保障服务可用性.
同城容灾:支持多可用区部署方式,主从节点与隐藏节点分布在不同的可用区,可以承受机房级别的故障.
·备份恢复自动备份:每天自动全量备份数据并保留7天,备份文件以三副本的方式存放在云存储.
手动备份:支持即时手动创建备份,备份数据长期保存.
备份恢复:支持一键恢复备份数据至当前实例;此外支持根据备份创建新的云数据库MongoBD实例.
5.
4.
4云数据库Percona云数据库Percona是京东智联云基于开源的Percona5.
7版本构建的稳定可靠的数据库服务.
数据库Percona易于部署、管理和扩展,默认支持主从热备架构,提供数据备份、故障恢复、监控等全套解决方案.
·高可靠性拥有完善的数据自动备份机制,每个实例默认每天自动备份一次,同时可根据业务情况手动创建备份,无需担心数据丢失.
·高可用性默认支持主从热备架构,故障自动转移,提供持续性的数据库访问,数据库自动备份和手动备份等功能有效提升数据库可用性.
·安全模式默认的云数据库Percona实例采用的是标准模式,支持切换到高安全模式,具备一定的SQL拦截能力,同时也提供了SQL审计功能.
335.
4.
5分布式数据库TiDB京东智联云联合PingCAP基于国内开源NewSQL数据TiDB打造的一款同时支持OLTP和OLAP两种场景的分布式云数据库产品,实现了自动的水平伸缩,强一致性的分布式事务,部署简单,在线异步表结构变更不影响业务,同时兼容MySQL协议,使迁移使用成本降到极低.
·服务高可用性TiDB使用多副本进行数据存储,并依赖业界最先进的Raft多数派选举算法确保数据100%强一致性和高可用.
主副本故障时自动切换,无需人工介入,自动保障业务的连续性.
·访问控制设置IP白名单控制那些IP地址能够访问TiDB数据库.
每个账号只能读写、只读自己的数据库.
5.
4.
6缓存RedisRedis是京东智联云提供的基于Redis协议的在线缓存服务,支持主从版、集群版的多种规格供用户选择.
可满足多种业务场景对可用性、可靠性和高读写性能的要求,支持双机热备,提供自动容灾切换、实例监控等服务,以降低业务风险,确保业务的连续性.
·高可用性双机热备,自动切换.
当主节点发生故障后,从节点会被迅速提升为新的主节点,继续提供服务;服务数据持久化,实例跨可用区部署,保证数据的安全和业务的不间断运行.
·监控告警为用户提供多种类型的监控,包括如使用量、连接数、QPS、Key数量等多种监控,可视化数据监控展示.
全链路监控预警,帮助用户提前预警提示风险、快速定位和解决问题.
·访问控制实例运行在私有网络(VPC)中,增强了安全性和隔离性.
提供了子网、访问控制策略等限制访问的功能.
5.
5大数据分析服务5.
5.
1数据计算服务京东智联云数据计算服务(DataComputingService,简称:DCS)是一个全托管、低使用成本的云上数据仓库服务.
数据计算服务提供开箱即用的数据管理、灵活弹性的计算资源、开放的34数据接口、细粒度的权限体系,帮助用户快速构建企业级数据分析平台,并持续聚焦在释放数据价值的工作.
能够快速的解决海量数据计算问题,有效降低企业成本,并保障数据安全.
·权限管理系统通过IAM进行用户口令管理.
使用多层次ACL数据访问授权机制,控制用户所能访问的数据内容及读写权限.
对用户进行基于角色的访问控制,用户的角色决定了用户的权限等访问控制.
对用户、群组和策略进行授权,限制数据被有限的用户所访问,使用权限方式管理用户对数据对象的访问.
·传输安全使用HTTPS/TLS进行数据传输,使用X509数字证书作为身份认证.
对于WebAPI数据采集方式,通过应用层通过HMAC-SHA1算法实现数据验证.
防止数据被非法访问、篡改、窃听、嗅探.
·数据保护对多用户的计算进行隔离,程序执行的安全沙箱,数据存储隔离,并提供加密选项.
针对用户敏感数据,采用适当的脱敏算法进行处理,防止敏感数据被滥用和泄露.
提供数据容灾热备功能,保护数据安全和提高数据的持续可用性.
5.
5.
2JMRJMR(JingDongMapReduce)是一个管托集群平台,可以在京东智联云上运行大数据框架(如ApacheHadoop和ApacheSpark)或运行这些框架相关的开源项目(如ApacheHive和ApachePig),您可便捷地使用MapReduce,Hive,Spark,Presto等服务低成本开展大规模分布式数据计算服务和海量数据分析.
JMR的应用场景非常广泛,可应用于数据仓库、日志分析、ETL处理、临时性处理分析、即席查询分析、流式实时计算、数据对外服务等多个场景,从而为用户提供全面、实用、便捷的服务,能够有效解决企业数据来源和类型较为复杂、工作负载差异较大等问题.
·深度整合与京东智联云其他产品如云存储、云监控,大数据分析平台等深度整合,作为JMR产品中Hadoop/Spark计算引擎的输入源或者输出目的地.
·安全可靠各集群通过VPC网络隔离,自动配置防火墙管理网络访问,支持网络ACL和安全组的自动35配置;集群自带高可用方案并提供集群监控管理功能.
·全方位监控集群主要指标:提供集群的可用性、性能监控,帮助用户发现问题、解决问题,同时满足用户对集群资源调整、释放等管理需求.
集群节点指标:监控集群中的每个节点的网络状态,硬盘状态等.
集群服务进程:根据用户集群中的相关组件进行监控.
监控服务节点是否正常运转.
5.
6管理与监控服务5.
6.
1云监控服务云监控(CloudMonitor)是对用户的京东智联云资源进行监控和报警的服务,展现各项监控指标情况并对指标设置报警,云监控会通过短信、邮件等方式发送报警通知,还提供当前报警状态和报警历史的查看.
云监控服务能够监控云主机、云数据库Redis和负载均衡等各种京东智联云服务资源.
借助云监控服务,方便用户了解在京东智联云上的资源使用情况、性能和运行情况,通过报警,用户可以及时作出反应,保障应用程序的稳定运行.
5.
6.
2访问控制访问控制(IdentityandAccessManagement,IAM)是京东智联云提供的一项用户身份管理与资源访问控制服务.
用户可以通过IAM服务创建、管理子用户账号,并控制这些子用户访问京东智联云资源的权限.
使用访问控制,用户可以向他人授权管理账户中的资源,而不必共享账户密码或访问密钥,按需为用户分配最小粒度的操作权限,从而降低主账号的信息安全风险.
IAM包含授权管理,身份鉴别,权限鉴别三个模块:·身份鉴别当用户、应用、或资源发起对某个京东智联云账号下的资源访问时,准确识别发起方的身份.
·授权管理主账号分权操作,允许其他用户、应用、或资源在可控的权限范围内访问自己的资源、执行可控的操作.
·权限鉴别判定发起访问方是否有权限执行访问.
365.
6.
2.
1用户身份管理·子用户管理主账户,也叫根账户,是京东智联云资源归属、计费的主体,在用户注册、激活京东智联云时由系统创建.
主账户为其名下所有的资源付费,并拥有所有京东智联云服务和资源的全部权限.
子账户是由主账户创建的一种实体用户,有确定的身份ID和安全凭证.
子账户不是独立的京东智联云账户,它归属于主账户,只能在主账号的空间下可见.
子账户必须得到主账户的授权,才能登录控制台或使用API操作主账号授权的资源.
一个主账户可以通过IAM服务来创建一个或多个独立的子账户,为子账号设置、重置控制台登录密码.
·用户组管理也可以将多个子用户加入一个用户组,统一授权.
一个子用户可以属于多个用户组,此时子用户权限为各组权限的合集.
5.
6.
2.
2授权策略管理IAM帮助定义用户或其他实体可在账户内执行的操作,通常称为授权.
权限是通过策略授予的,在附加到身份或资源时,策略定义了它们的权限.
在用户发出请求时,京东智联云将评估这些策略.
策略中的权限确定是允许还是拒绝请求.
主账号拥有其名下所有资源的全部操作权限.
如果主账号未对子账号进行授权,子账号默认没有任何资源的访问权限.
只有得到主账号的授权时,子账号才能通过控制台或API访问特定的资源.
主账号授权子账号的方式,是为子账号(或其所在的群组)附加授权策略.
子账号所拥有的资源访问权限,是子账号和其所在的群组附加的授权策略的合集.
·权限粒度支持对单个资源的读、改、删权限控制.
·系统授权策略系统提供各类资源的管理员和只读权限,可以直接进行分配.
·自定义授权策略便利化策略生成器:无需撰写JSON,通过可视化方式选择要授权的操作和被操作的资源.
策略编辑器:基于已有策略模板编辑JSON,也可以直接生成JSON,以实现授权需求.
5.
6.
2.
3安全身份凭证京东智联云通过安全凭证来验证用户是否有权访问所请求的资源或服务,安全凭证是用于证实用户真实身份的凭据,包括以下类型:37·用户名和密码密码是用户最初创建账户时指定的.
用户在登录京东智联云控制台时,需要使用密码.
同时,该密码也可以用于API方式访问京东智联云资源.
IAM支持用户的安全管理员设置登录策略,避免用户密码被暴力破解或者因为访问钓鱼页面等,导致账号信息泄露.
·多因素验证(Multi-FactorAuthentication-MFA)MFA是一种简单有效的最佳安全实践,它能够在用户名和密码之外再额外增加一层安全保护,并且在京东智联云进行敏感操作时,进行身份验证防止误删.
虚拟MFA设备是一种基于软件,产生动态验证码的应用程序,它遵循基于时间的一次性密码(TOTP)标准(RFC6238),可以将虚拟MFA设备安装在不同的移动设备上,如智能手机.
启用MFA后,用户登录京东智联云时,系统将要求输入用户名和密码,然后要求输入来自其MFA设备的6位动态验证码,即使他人盗取用户的密码,也无法登陆用户的账号,双因素的安全认证将最大限度地保障用户的账户安全.
·访问密钥(AccessKey)为了保证云资源的使用安全,当以API调用相关资源和操作时,要求使用AccessKey验证用户和应用程序的身份,以确保访问者具有相关权限.
AccessKey包含它由AccessKeyID和AccessKeySecret构成.
拥有用户的AccessKey的任何人将与用户拥有相同的资源访问和操作权限,可以无限制的访问用户账户中的所有资源并进行相应的操作.
用户可以创建、禁用或删除用户的AccessKey,同时也建议用户定期轮换AccessKey以保证用户的账户和资源安全.
5.
6.
3DevOps京东智联云DevOps,是在京东多年技术积累的基础上,针对公有云的场景和特性,构建的一套DevOps产品.
通过统一操作平台,打破开发和运维团队之间的障碍,提高应用的编译、上线、部署效率.
可统一收集应用实例的日志,能够快速查询和检索,帮助快速定位问题,助力企业快速实现DevOps,支撑企业业务快速稳定发展.
·服务容错自动为宕机服务器上运行的容器(云主机)重新迁移并生成新的实例,保障业务不掉线,高可靠运行.
这也就意味着用户不用再为一两台服务器的宕机,而经历一个不眠之夜.
系统自动监控服务健康状态,动态调整集群,实时调度相关预案,实现故障自愈.
·智能监控38全面覆盖了基础资源到业务逻辑的监控.
拥有丰富的采集功能,支持基础监控,存活监控,性能监控和业务监控.
通过监控用户可以全面了解资源的使用情况,性能和运行状态.
通过异常检测和多维度数据分析可及时做出反应,缩短异常MTTR,保障业务正常运行.
·安全运维DevOps提供高可用、安全高效的镜像中心服务,涵盖脚本执行、文件分发等基础操作,可以满足各种复杂运维场景一键式作业,实现真正的Web自动化运维.
5.
7内容安全服务内容安全基于业界领先的深度学习技术,使用海量的样本数据,能够高覆盖、准确识别各类图片,提供图片、视频,文字等多媒体的内容风险智能识别服务,可根据用户需求对产品进行优化,整合京东智联云其他产品,如人脸识别,图片鉴黄,BI报表,用户画像等.
帮助用户降低色情、暴恐、涉政等违规风险,提供准确、全面的业务安全保障.
·智能鉴黄智能鉴黄基于先进的深度学习和计算机视觉算法,提供精准高效的色情图片鉴别服务.
可以应用于儿童安全上网、直播色情画面审核等业务场景,减少企业审核人力成本、降低违规风险.
·文字识别OCR服务文字识别OCR服务,能够准确获取指定图片中的文字内容,通过与涉嫌违禁相关的关键词的对比分析,能够快速图片中是否有夸大宣传、政治敏感、色情文字能内容,从而帮助管理人员进行内容审核和管控.
·人脸识别人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术.
应用在人脸验证(FaceVerification)、人脸身份判断(FaceIdentification)场景,对比两张人脸图像判定相似度.
·NLP(自然语言处理)分析服务NLP能够将文本中特定类型的事物名称或符号识别出来,方便文本搜索与文本数据挖掘.
有效识别色情、暴恐涉政、广告、辱骂等文本垃圾.
5.
8安全产品服务395.
8.
1DDoS防护5.
8.
1.
1DDoS基础防护京东智联云免费为用户提供最高2Gb的默认DDoS基础防护能力,在用户成功申请公网IP后防护为用户自动开启基础服务,根据实际业务需求,可以灵活设置清洗触发值,调整防护策略.
在攻击流量超过清洗触发值后,公网IP将触发黑洞状态.
抵御SYNFlood、ICMPFlood等各种大流量攻击.
5.
8.
1.
2IP高防IP高防,是依托京东智联云安全团队雄厚的技术力量,在京东商城多年攻击防护的实战经验上,推出的一款抗DDoS攻击的安全增值服务.
旨在用户遭受大流量的DDoS攻击的情况下,保护用户服务器的安全.
图8DDoS防护示意图根据不同用户的互联网业务需求,可提供以下DDoS防御能力:·源站隐藏开启IP高防服务后,IP高防的IP地址,将代理用户对源站的访问,使用户源站不再直接暴露在外,从而有效保护源站的安全.
·防护多种类型的DDoS攻击支持电信、联通、移动、BGP等多条线路,机房集群高达1000G+的清洗能力,单线支持400G超大防护带宽.
能从容应对SYNFlood、ACKFlood、ICMPFlood等各种类型大流量DDoS攻击和CC防护.
·快速接入,弹性防护只需用户在DNS服务商处,将待保护的域名在CNAME解析到京东智联云IP高防服务上,40即可完成接入.
开启弹性防护后,当用户受到的攻击超过购买套餐的峰值时,用户的业务仍可继续得到京东智联云的防护.
使用弹性防护功能,用户无需再担心因为攻击超过套餐峰值导致服务中断的问题.
·全业务支持非网站类+网站类场景全面覆盖,支持TCP/UDP/HTTP/HTTPS协议,覆盖金融、电商、政府、移动APP等各种业务场景.
5.
8.
2主机安全主机安全是京东智联云基于京东智联云安全在电商防御和安全大数据分析方面的积累,推出的云主机安全管理产品,通过在云主机上部署轻量级Agent实时感知主机安全风险,有效防御恶意攻击行为,提供包括高危漏洞检测、异地登录提醒、Webshell查杀和暴力防破解在内主机防御和检测功能,保障公有云主机安全.
·弱口令检测系统内置弱口令字典,根据字典规则对账号口令进行检测,通过云平台展示存在弱口令风险,提醒用户修改,避免系统账号被破解.
·异常登录提醒根据系统设置规则自动识别异常登录行为并预警,用户可以设置常用登录地区,当出现登录地址为非常用登录地,则产生告警记录,上报到云平台提醒用户存在异地登录风险.
·防暴力破解有效阻断暴力破解行为,包括远程登录暴力破、数据库防暴力破解、FTP防暴力破解,通过系统日志、网络数据包协议分析、端口等方式获取尝试暴力破解的IP,并判断其是否满足防护规则若满足规则,则进行拦截并上报云平台.
·高危漏洞检测定期检测系统高危漏洞上报云主机漏洞详情,产品提供Windows系统漏洞修复功能,Linux提供漏洞修复建议需手动完成漏洞修复.
·Webshell检测京东智联云主机安全会对服务器上新创建的Web程序文件进行可疑风险判断,对有风险的WebShell文件进行预警,用户可以根据预警信息对Webshell文件进行处理.
415.
8.
3态势感知云态势感知(CloudSituationAwareness)是一种基于公有云计算环境的、在用户充分授权的情况下,收集各个安全组件的海量数据,通过大数据关联分析和机器学习技术,从全局视角提升对安全威胁的发现识别、理解分析、响应处置,最终提供用户安全决策能力.
云态势感知具有以下功能:·安全能力提供安全事件闭环处理工作流,探测应用层攻击、暴力破解、系统弱口令等25种安全威胁并且提供详细证据和安全建议,提供免费的上百种威胁模型.
·数据接入能力提供云基础防护DDoS检测数据,网络入侵检测引擎数据,主机入侵检测引擎数据.
·大数据分析能力提供海量重复事件聚合能力以及定向攻击关联分析.
·威胁概览提供用户业务安全状态量化指标,提供以攻击者视角的单一攻击事件、定向攻击事件,以防御者视角的安全引擎开启覆盖率、弱点事件指标与变化.
同时提供Top10被攻击资产,Top10威胁分类.
·单一攻击事件分析提供基于账号资产、详情时间段、攻击类型、等级和处理状态的查询,事件详情列表,以及事件处理状态更细.
同时提供具体事件详情和修复建议.
·定向攻击事件分析提供基于账号资产、详情时间段、威胁模型、等级和处理状态的查询,事件详情列表,以及事件处理状态更细,同时提供具体事件详情.
·弱点事件提供基于主机漏洞详情,以漏洞为统计维度向用户展示主机弱点.
督促用户修复相关漏洞.
·云上网络和主机资产关联提供云上网络和主机资产关联,提供基于内外网IP查询,以及网络检测引擎开放和关闭功能.
5.
8.
4Web应用防火墙Web应用防火墙(WebApplicationFirewall,简称WAF)是京东智联云推出的专业的安全防42护服务.
可以防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传等OWASP常见攻击,抵御恶意CC攻击,避免网站资产数据泄露,保障网站的安全与可用性.
京东智联云WAF服务多地域部署.
每个WAF接入节点采用BGP多线接入,智能选择最优路径,毫秒级响应延迟.
能根据源站地址列表智能选择访问体验最优的WAF接入节点.
站点无须安装任何硬软件,只需修改DNS记录,即可对网站开启防护.
并且支持配置WAF为旁路观察模式,对于攻击请求只记录日志不阻断,便于用户观察WAF在实际业务中的工作情况.
图9Web应用防火墙安全防护示意图WAF主要功能:·网站隐身通过域名DNS牵引流量,不对攻击者暴露源站地址,从而有效保护源站的安全.
·常见Web应用攻击防护防御OWASPTOP10常见威胁攻击,包括但不限于:SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等.
·CC攻击防御对单一源IP的访问频率进行控制、重定向跳转验证、人机识别.
通过建立威胁情报与可信访问分析模型、快速识别恶意流量.
·精准访问控制支持IP、URL、Referer等HTTP常见字段的条件组合,轻松依据需求,设置精准访问控制策略,43识别可信与恶意流量.
·0day补丁定期及时更新及时更新最新漏洞补丁,第一时间全球同步下发最新补丁,对网站进行安全防护.
5.
8.
5应用安全网关应用安全网关(VPC-WAF)是基于京东智联云高性能负载均衡集群的Web应用安全防护产品,通过提供WAF功能、业务安全可视、BOT行为管理和合规性检查等功能,保障业务稳定可持续运行,提升用户体验,为网络服务提供者解决Web或APP业务因攻击导致的异常或合规性问题.
图10应用安全网关防护示意图应用安全网关主要功能:·Web应用防火墙OWASPTOP10威胁防护:有效防御SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASPTOP10攻击.
0Day漏洞防护:专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护.
·CC攻击防护京东智联云应用安全网关提供多种CC防护模式,通过Cookie验证、验证码挑战等更多种挑战验证算法,能够有效的防护CC攻击行为.
通过自定义CC规则,能够对特定URI或页面进行CC精细化防护,满足大型Web站点特定页面的应用层DOS防护需求.
·精准访问控制策略44支持自定义检测:支持灵活的检测对象定义,包括任意HTTP协议字段与HTTPBODY字段,支持各种检测运算.
支持条件组合检测:支持多个检测条件的逻辑组合,以支持复杂规则的定义.
支持防护规则自定义:提供全面覆盖复杂应用交互场景的自定义规则,能作用于具体的防护对象之上,大大提高了规则的有效性和精准度.
·BOT管理对搜索引擎爬虫行为,进行友好和恶意判断,对恶意的机器行为进行甄别和处置,有效提供网站运行的稳定性.
通过对HTTP协议分析和大数据建模,对暴力破解、拖库、撞库等机器人行为进行分析和和处理,保障网站业务安全.
>预定定义BOT行为管理:支持爬虫防护、暴力破解防护等功能,有效保障网站业务安全.
>自定义BOT管理策略:用户可以根据Web站点的业务特性,添加自定义BOT规则,选择访问频次和动作类型,对特定的关键字或者URI进行机器人行为判断,提供业务防护准确性和有效率.
·Web站点合规性京东智联云应用安全网关提供通过提供网页防篡改、敏感信息防泄漏、协议合规性检查等功能,提供Web站点合规性检查和防护.
·业务安全可视化>攻击分类报表:攻击类型分布一目了然,针对攻击类型分类,制定安全加固策略.
>攻击趋势图:查看攻击趋势图,了解黑客对业务的关注程度.
>CC攻击防护趋势:CC攻击趋势统计,实时查看防护效果和统计.
>访问控制趋势:对用户制定的访问控制规则进行统计分析,实时查询用户访问情况.
·便捷管理>RESTfulAPI支持:提供全套RESTfulAPI接口,可实现页面自定义.
>无DNS修改:无需修改DNS实现业务防护和监控,和负载均衡一起实现证书自主管理和SSL卸载功能.
5.
8.
6SSL数字证书京东智联云SSL证书(JDSSLCertificates)提供证书上传、下载、管理等功能,在云上可签发Symantec、GlobalSign、GeoTrust证书,为网站、移动应用提供完善的HTTPS解决方案,45提升网站的可信度,有效防范劫持、篡改和监听等攻击行为,使业务安全保护和优良体验如影随形.
同时,SSL数字证书产品可为京东智联云和互联网用户提供丰富的证书品牌和证书类型,支持云上证书对生成、证书申请签发和续费,还可以提供证书管理和详情查看,支持与京东智联云平台上其他产品业务进行绑定(如负载均衡、CDN),为京东智联云用户提供一站式证书安全存管和便捷使用的服务.
·网站安全防护实现网站HTTPS化,加密用户与网站间的交互访问,强化网站用户侧可信展示程度,有效防范会话劫持、恶意监听.
·在线证书签发可以在一个京东智联云平台购买不同品牌、不同类型和不同安全级别的数字证书,可以按照不同使用需求和习惯购买适合自己业务的数字证书.
·在线证书管理提供在数字证书管理功能,用户可以在京东智联云平台查看所有证书的情况,包括证书类型、域名信息、证书颁发时间、证书到期时间等.
5.
8.
7密钥管理服务(KMS)密钥管理服务(KeyManagementService,KMS)作为安全管理服务产品.
借助密钥管理服务,用户可以安全、便捷的使用密钥,专注于业务需要的加解密功能场景及应用.
京东智联云KMS为用户提供的功能如下:·密钥管理与轮换用户主密钥CMK管理,提供云上密钥的全生命周期管理,包括创建、禁用、轮换、删除等.
数据密钥,提供数据密钥DEK的生成、加密、解密,用于云上数据的加解密.
服务密钥,KMS会为云上服务(如OSS、EBS、RDS)的加密创建服务密钥.
·数据加解密KMS提供小数据加解密与信封加解密两种使用方式.
对于小于4K的数据,用户可以直接使用CMK对数据进行加解密,对于超过4K的数据,用户可以使用信封加密的方式对数据进行加解密.
KMS已实现与云上多种产品集成,用户可以使用自己的CMK对云上产品的数据进行加密,即可实现云端数据的加密存储.
·机密数据加密托管46机密数据托管,是一种私密数据加密管理服务,使用服务密钥对指定机密数据进行加密存储,以标识ID代替明文数据进行访问应用程序、服务和IT资源所需的私密信息.
借助该服务,用户可以在整个生命周期内,轮换、管理和检索数据库凭证、API密钥和其他机密信息.
用户和应用程序通过调用API来检索机密信息,从而无需对明文形式的敏感信息进行编码.
·多用户与细颗粒度应用授权,弹性分配资源基于京东智联云IAM系统角色授权,KMS可以支持多用户的应用与身份鉴权.
只有通过身份认证与应用操作鉴权,才可以对KMS存储的CMK进行操作.
另外KMS对CMK进行了东西向隔离,每个用户只能访问与管理自己的CMK,无法操作其他用户的CMK,保证用户密钥的安全.
·密钥HSM硬件模块保护KMS创建的密钥都会由服务端HSM硬件模块提供保护,并且由硬件产生真随机数,保障密钥的随机性.
·支持API调用KMS提供丰富的API接口,用户可以根据自身需求进行调用,并且支持对API资源操作的鉴权,保障对资源操作的可靠与安全.
·操作日志审计对密钥的所有操作,都会产生日志并记录在服务端,用户可以对全部操作进行审计.
·高可用性与容灾备份KMS通过完善的技术方案,保障服务的高可用性,并且拥有完善的容灾与备份措施,以保障密钥不会因为不可抗力而丢失.
4706运营管理安全2018/116.
1流程管理6.
1.
1SDL流程京东智联云非常注重内部流程的安全性.
所有为用户提供服务的云产品,在开发过程中严格遵循产品的安全开发生命周期(SDL)安全开发流程.
京东智联云的安全开发基于业界安全开发的最佳实践,并专门针对其中的几个环节做了优化.
在产品开发各个阶段中消除信息安全和隐私问题,确保所有的云产品在其生命周期内均能获得足够的安全管控与评估.
图11京东智联云安全开发流程示意图如上图所示,整个云产品安全生命周期分为七个阶段:培训阶段、分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、事件响应阶段.
·培训阶段:开发团队的所有成员都接受适当的安全培训,了解相关的安全知识,培训对象包括开发人员、测试人员、项目经理、产品经理等.
·分析阶段:在项目确立之前,提前与项目经理或者产品owner进行沟通,确定安全的要求48和需要做的事情,确认项目计划和里程碑.
·设计阶段:安全团队进行威胁建模,评估现有的需求和设计架构,沟通设计中的安全问题及应对方式.
·开发阶段:项目组严格遵守安全编码规范或指南,最大限度减少编码时出现的安全漏洞.
项目组使用安全团队提供的安全评测工具,确保开发编码的安全性.
·验证阶段:安全团队提供对产品的人工渗透测试工作和白盒代码审计工作,并修复其漏洞.
·发布阶段:产品上线前,需经过产品安全部的最终审查后,产品才能发布到线上环境.
安全团队发现存在安全需求落地执行不到位等情况时,将告知项目组产品的发布流程终止.
·事件响应:受SDL要求约束的每个软件在发布时都必须包含事件响应计划.
6.
1.
2运营运维流程京东智联云运营管理团队的运维流程包括发布管理,变更管理,问题管理,和配置管理.
发布管理是对产品服务上线前到上线后的准确流程.
变更管理是针对生产环境中的变化,提出的有序流程.
问题管理包括漏洞管理、事件处置流程和应急响应流程.
配置管理则是对业务中所需的所有组件做配置的管理.
6.
2风险管理京东智联云通过十多年互联网电商安全经验自主研发的云安全运营平台,通过多层次、多维度的实时监控和离线分析,为云用户提供体系化的安全服务,解决出现的各种突发性安全事件,以增强云用户业务系统的抗风险能力,防止系统发生重大安全事件.
并根据漏洞提供有针对性的安全修复方案,尽最大可能确保云用户业务系统在上云后不发生安全入侵事件,系统能够安全可靠的运行和帮助云用户安全.
为保障数据中心基础设施及云平台的安全稳定运行,由京东智联云安全团队负责云平台日常运行与维护,并提供云平台的技术支撑及远程维护工作.
京东智联云安全运营机制可以及时获知最新网络安全、监管、攻防手段,会在第一时间处理相关安全事件,保证京东智联云平台的安全稳定及用户数据业务安全.
京东智联云安全运营服务体系主要分为两大板块:·基础安全运营服务:依托平台防护体系提供的基础安全运营服务,为用户提供更专注、更49可靠的基础安全运营服务.
·增值安全运营服务:在基础安全运营服务之上建立高级、定制化的保障服务,为用户提供更为专注性的服务.
包括用户上云安全保障服务、高级应急响应服务、安全培训服务、安全咨询等服务.
6.
2.
1资产管理京东智联云致力于为用户掌握和可视化展现全网网络的全部网络设备资产信息.
资产维护包括资产的发现以及资产管理,资产发现提供了一套切实有效的资产探知系统,采用以大数据为基础的空间扫描技术,获取用户位于不同站点的所有资产信息.
资产管理对所有资产信息集中管理,提供统一的管理平台,为用户掌控、监察资产建立了完善而科学的资产维护体系.
6.
2.
2权限管理京东智联云团队为保障云平台的平稳运行,建立了一套严格的、细粒度的权限管理机制.
结合自动化的运营管理机制,京东智联云提出了统一的云安全运维规范,所有对产品的运维操作都受到严密的权限控制和监控.
京东智联云要求权限管理分离到具体的运维操作,例如操作内容的平台化管理时,要求操作步骤按照操作规范,且经过2人以上评估通过后方可发起操作,并禁止在线上环境测试操作内容.
京东智联云同样看重每位运营管理团队成员的权限管理,对于职责必须的权限,例如堡垒机管理审计权限,京东智联云要求运维人员的堡垒的管理审计权限必须每隔三个月重新申请一次.
对于职责转变的情况,京东智联云将立刻撤销与该员工原职责相关的权限.
京东智联云为保障运维管理的安全质量,十分关注运营管理团队的安全意识培养.
运营管理团队为每一位新加入的成员指派导师,导师均是行业内经验丰富的安全专家,导师对运维操作结果负责.
京东智联云定期为运营管理团队做安全意识培训,定期进行运维操作规范更新及团队规范学习,使团队的安全意识和安全技术可持续的增长.
6.
2.
3业务连续性管理京东智联云十分关注用户的业务连续性,最大限度避免问题给用户的业务运行造成影响.
京东智联云提供DNS、负载均衡等网络服务;应用、数据库、缓存、云存储、云硬盘等均采用集群架构部署,保证各个应用层、数据层、网络层等多个层次均具备冗余和高可用能力,保障业务连续性.
50京东智联云针对不同场景,精心为用户设计了基础架构、信息架构和应用结构的不同业务解决方案,提供业务连续性和灾难恢复管理服务.
6.
3安全运营6.
3.
1安全情报京东智联云建立了多层次立体的安全情报系统.
结合内部的威胁情报分析系统,京东智联云将在互联网中关联分析网络攻击的特征,即时定位到网络攻击的源头.
京东智联云的安全情报信息收集来自权威机构认证的外部威胁情报源,包含安全事件的信息、威胁事件的级别、IP地址信誉等等.
内部情报分析来自于京东的态势感知系统,可以收集到具体的操作日志和威胁特征等.
6.
3.
2漏洞管理京东智联云的漏洞管理包括漏洞感知、漏洞响应机制.
京东智联云安全运营团队依托强健完备的漏洞管理平台,确保从基础设施、服务器,网络设备,操作系统,应用系统和云服务的自研和第三方漏洞在SLA时间内完成响应和修复,保障用户业务不受漏洞影响的风险.
京东智联云的漏洞感知系统利用安全扫描评估工具扫描公有云服务器及重要的网络设备,以对网络设备进行安全漏洞检测和分析,对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的漏洞,提醒管理员,及时完善安全策略,降低安全风险.
漏洞感知的流程中遵循以下原则:·规范性安全扫描的实施由专业的安全扫描人员依照规范的操作流程进行,对操作过程和结果要提供规范的记录,并形成完整的服务记录、报告和成果.
·可控性安全扫描的工具、方法和过程要在双方认可的范围之内,保证双方对于服务过程的可控性.
安全工程师要在双方认可的情况下提供服务支持.
·最小影响确保安全扫描工作对本项目范围内系统和网络正常运行的可能影响降低到最低限度,不会对网络的运行和业务的正常提供产生显著影响.
京东智联云的漏洞响应工单系统,直接接受漏洞感知系统的漏洞报警.
应急响应团队初步确定51入侵路径、木马行为、是否影响数据、影响范围、感染用户,初步确定是否为安全事件,及事件等级(特大、重大、严重、一般),第一时间响应.
应急响应团队与业务方研发、业务运维和IT资源服务安全官和涉及人员共同参与讨论止损策略可行性、受影响环境规模、进一步确认风险、业务环境等.
同时,应急响应团队针对该漏洞,结合外界信息和专业分析,确定修复方案.
6.
3.
3安全响应云安全事件是由于自然或者人为以及软硬件本身缺陷或故障的原因,对品牌、数据、用户、财务、业务、系统造成危害,或对社会造成负面影响的事件.
一般特指因黑客入侵系统造成的安全事件.
这些攻击行为包括但不仅限于植入病毒和后门、IDC服务器多台机器感染木马、被挂Webshell等成功控制服务器行为.
京东智联云安全运营团队会从事件发现之前,对入侵的可能:隐患、漏洞、风险、盲点做整改并推进,减少安全事件的发生.
一旦安全事件发生,安全运营团队第一时间发现该入侵情况,发现立即响应.
安全运营团队评估事件的影响范围和危害程度,根据安全事件的影响范围和危害程度进行紧急处置,深入分析安全事件的根本原因;进一步调查处理事件涉及的业务和系统,降低事件影响和损失.
针对存在问题和隐患的系统,进行安全修复及复测;帮助用户快速解决安全问题.
6.
4监控与审计京东智联云要求对内部运营管理团队的运营操作实现全自动监控,监控范围覆盖内部、外部的关键服务组件,关键上下游服务组件等.
监控对不同的服务组件设置了内存、磁盘、网卡等核心资源使用率等监控,设置更为严格的异常阈值线.
及时告知运营团队通过错误统计结果,快速评估解决问题.
监控的新增、删除、编辑需要有明确的流程,监控新增要明确监控等级、目标、监控接收人、异常处理预案,确保警报发生时的应急响应计划能第一时间进行.
为了确定监控的有效性,京东智联云会定期触发测试报警进行监控有效性确认.
京东智联云自主研发一套基于服务树角色授权的线上机器认证登录系统,通过该系统对云平台所有的主机进行访问控制、操作历史记录等.
运营管理团队人员通过该系统对服务器进行运维操作时,一旦出现高危命令,该系统能实时审计报警.
统一日志审计系统将运营管理团队的所有后台运维操作记录加密存储,内部审计团队定期对运维操作记录进一步审核.
52安全运维中应针对用户管理、系统认证、系统授权、系统登陆、数据获取/访问/修改等行为有完整的日志记录.
记录内容包含如下必要信息:日志标签、时间、操作、用户ID、用户名、用户组、IP地址、访问方式,访问内容、访问结果.
确保日志字段能够定位用户对组件访问时的具体操作.
安全日志按照规定留存事件不少于180天.
6.
5服务支持京东智联云的运营安全能力完备强大,可以提供全天候7x24小时专业技术支持服务,以及强大的解决方案支持能力,最大化满足用户需求.
在标准服务的基础上,针对大型用户或特殊用户,京东智联云能够确保提供一对一的专家服务,帮助用户更好地应用京东智联云提供的云产品.
京东智联云365天全方位为用户护航,为用户建立短信、邮件、站内信、公告等渠道推送通知、告警和安全事件等.
5307京东智联云安全生态2018/11云安全不是靠单一某个企业就能全部完成,云安全需要有云服务供应商、安全合作伙伴与用户的共同打造.
希望通过构建云服务安全生态与云服务安全大数据共享平台来提升整个中国云计算安全服务能力,让的安全合作伙伴从单一安全产品功能和性能的比拼升级到云计算安全数据运营能力竞争,从业务角度洞悉安全问题,做到全面覆盖、合作共赢.
·云安全生态构建京东智联云为了保障云平台的安全,从底层云平台基础架构安全性入手,结合大数据处理的能力,以及业界最优秀的第三方安全厂商打造完整的安全生态圈,实现云平台,网络,系统,数据和应用系统安全的全面覆盖.
·大数据共享京东智联云具有最佳的业务数据分析实践,结合信息安全行业特点,将为第三方安全合作伙伴打造云平台上的安全大数据分享平台,包括安全运营数据的分享与安全大数据分析平台的共享,实现智能化的安全大数据分析和业务层面的用户安全态势分析.
·预见无限可能,共建安全生态京东智联云搭建公正、透明的渠道合作体系,在销售支持、技术支持、市场支持、商机支持、培训支持等方面,为合作伙伴提供全方面的业务支撑,并本着"不碰用户、不碰数据、不碰应用"的原则,与安全合作伙伴能力共享、资源共享、利润共享、生态共享,与合作伙伴展开深层次的合作,创造全新的"互联网+"解决方案,培养行业基因,将积极联合全球安全伙伴打造一个开放、协作、共赢的云端安全生态圈.
54