产品文档

数据安全白皮书

2.网络与基础设施保障

网络安全是保证数据安全传输和交换的基础,基础设施安全是数据安全的基石。京东云网络与基础设施提供了强大的保护措施来保护用户数据及业务。京东云为用户提供全球部署、多地域、多可用区的云数据中心,实现了 Region 区域级、AZ 可用区级、FD 故障域级容灾能力。采用多线 BGP 网络提高网络接入体验,分布式云操作系统为所有云产品提供高可用基础架构和多副本数据冗余。保证云计算整个基础框架的高可用性、高可靠性以及云主机的高可用性,同时确保云平台提供不间断的服务,不但提高了数据的可靠性,也提高了数据的安全性。

2.1 对云平台的安全保障

云端数据的安全需要安全可靠的云平台环境。京东云提供成熟的网络安全架构及多层防护安全方案,对生产网络与非生产网络、业务网络和管理网络、虚拟网络和物理网络进行了安全隔离和严格的访问控制。为了保障云平台的安全,京东云从底层云平台基础架构安全性入手,结合大数据处理的能力,以及业界优秀的第三方安全厂商打造完整的安全生态体系,实现云平台、网络、系统、数据和应用系统安全的全面覆盖。

  • 网络安全保障

在Internet与云平台服务、资源组之间的边界区域提供可靠的安全组件,可防止不受信任的网络访问内部网络资源。云平台使用抗拒绝服务 (DDoS)、应用安全网关、Web应用防火墙、以及VPN设备防护,同时实施防火墙策略、访问控制列表 (ACL) 或特定路由等安全策略。

  • 安全隔离保障

云平台网络隔离,各级网络以及虚拟设备之间的有效隔离是确保用户数据安全的关键控制。京东云通过网络访问控制列表(ACL)技术将对外提供服务的“云服务网络”和支撑云服务的“物理网络”进行安全隔离。

网络隔离服务,京东云私有网络(VPC)是用户在京东公有云上自定义的逻辑隔离的网络空间,此私有网络空间由用户完全掌控,用户在京东云上构建逻辑隔离的网络环境,可以自主规划网络部署,并通过安全组和网络 ACL 等实现多级安全防护。实例默认部署在用户自定义的VPC私有网络内,在TCP层直接进行网络隔离保护,确保数据安全。

用户隔离,用户实例隔离基于硬件虚拟化技术的虚拟机管理,在系统层面将多个虚拟机进行隔离。通过对服务器物理资源的抽象,将CPU、内存、I/O等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源,并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。在虚拟化层,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机磁盘空间的安全隔离。

  • 云平台监测与防护

京东云安全运营机制可以及时获知并解决外部安全威胁及内部安全漏洞,云平台利用安全自动监测系统,搭配威胁情报、反欺诈功能以及态势感知分析模型,有效阻止黑客入侵、恶意攻击等问题,并会在第一时间处理相关安全事件,保证京东云平台的安全稳定及用户数据业务安全。

  • 云平台安全审计

京东云审计机制进行监控、审计、分析,及时发现异常数据流向及操作行为,一旦出现可能导致数据外泄、受损的恶意行为时,审计机制可以第一时间发出威胁告警。生产环境的运维操作通过堡垒机进行,后台运维操作记录均有统一的日志记录,并进行自动化安全审计。同时操作记录实时传输到集中日志平台,通过违规事项审计规则,主动发现异常或违规行为。

2.2 对用户提供的安全服务

为了确保用户在使用云服务的过程中数据受到实时的保护,京东云在云平台的各个层面提供了用户能够感知和应用的云安全产品及服务,以帮助云用户快速高效地部署云端安全防护。

products-services

  • 网络安全

京东云免费为用户提供最高 2Gb 的默认 DDoS 基础防护能力,针对遭受大流量的DDoS攻击的用户,机房集群高达1.5T的清洗能力,能从容应对各种大流量DDoS攻击,保证用户的业务能够平稳安全地运行。VPN连接利用公网架设专用网络,通过加密通道实现外部用户内网访问、跨地域内网互通等。私有网络支持用户在京东云上构建逻辑隔离的网络环境,用户可以自主规划网络部署,包括网络范围、子网网段、路由策略等,并通过安全组和网络ACL等实现多级安全防护。

  • 系统安全

主机安全为用户提供的云主机安全管理,采用轻量级安全防护进程实现主机风险实时监测、安全威胁及时预警, 恶意入侵精准防护,有效提升主机安全防御能力,保障用户云主机业务安全。

  • 应用安全

Web 应用防火墙,针对网站业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障用户业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

应用安全网关,对网站或APP服务进行可视化安全分析和应用层威胁防护的产品。通过提供WAF、用户访问审计、业务安全可视和合规性检查等功能,保障业务稳定可持续运行,提升用户体验,为网络服务提供者解决HTTP/HTTPS业务因攻击导致的异常或合规性问题。

  • 数据安全

密钥管理服务KMS(Key Management Service),为用户提供的一款安全管理类产品,使用硬件安全模块(HSM)来保护用户的密钥安全。用户可安全、可控、便捷的使用托管密钥,专注于开发需要加解密功能的场景。

SSL数字证书,为用户提供安全套接层(SSL)证书的一站式服务,包括证书上传、下载、管理、申请购买等功能,基于京东云与顶级数字证书授权(CA)机构和权威经销商合作,为用户提供数字证书的全生命周期管理,实现网站的可信身份认证及数据安全传输。

数据加密,加密服务基于国家密码局认证的硬件加密机,提供了云上数据加解密解决方案,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对云上业务的数据进行可靠的加解密运算。

  • 安全管理

态势感知系统,为用户提供大数据安全分析。通过数据建模、行为学习、情报关联分析,全面洞悉安全全景、发现入侵和攻击威胁,帮助用户建设自己的安全监控和防御体系。对多维度海量安全和业务数据进行快速、自动化的关联分析,通过图形化、可视化的技术将威胁和异常的总体安全态势呈现给用户。

  • 安全服务

基线检测服务,在用户充分授权的情况下,对用户云上系统进行全面的安全基线检测,帮助用户掌握云上系统整体的安全脆弱性状况,并依据检测结果与用户业务模式特点,提供有针对性的安全修补建议,降低系统的安全威胁。

漏洞扫描服务,在用户充分授权的情况下,对用户指定的操作系统、Web服务、数据库等提供全面的漏洞扫描服务,由京东云安全专家对扫描结果进行解读,并提供专业的漏洞扫描报告和修复指导建议,帮助用户有效地降低业务安全风险。

渗透测试服务,对现有系统不造成任何损害的前提下,以攻击者视角,模拟黑客入侵的技术手段对用户指定系统进行全面深入的攻击测试,发现系统中潜在的风险威胁,帮助用户降低因黑客入侵带来的经济损失。

应急响应服务,当用户遭遇网络攻击、木马病毒、数据窃取等黑客入侵事件时,京东云能够提供包括抑制止损、事件分析、系统加固、事件溯源等应急响应服务,帮助用户降低安全事件对自身造成的影响与损失。

更新时间:2019-11-18 17:28:00