产品文档

云安全白皮书

云产品服务安全

京东云为用户提供 IaaS、PaaS 和 SaaS 多类的云产品服务,涉及计算、网络、存储、数据库、大数据分析、应用、管理和安全等方面,为用户安全赋能、便捷上云提供保障。下面对各云服务做基本技术及安全性介绍,具体内容可登录京东云官网 www.jdcloud.com 查询。

1. 计算服务

1.1 云主机

云主机是京东云提供的一种云计算基础服务单元,提供处理能力可弹性伸缩的计算服务。包含CPU、内存、操作系统、磁盘、网络、安全等全部所需资源,每种资源都提供多种规格,以满足不同业务的个性化需求。京东云提供了多层次的云主机安全防护和保障。

1.1.1 用户隔离

用户实例隔离基于硬件虚拟化技术的虚拟机管理,在系统层面将多个虚拟机进行隔离。同时,在虚拟化管理层提供了存储隔离和网络层隔离。

· 虚拟机隔离

通过对服务器物理资源的抽象,将 CPU、内存、I/O 等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源,并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。

· 存储隔离

基于虚拟机的计算与存储分离,实现计算和存储的自主扩展,使提供多租户和隔离变得简单。在虚拟化层,保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机硬盘空间的安全隔离。

· 网络隔离

私有网络为用户划分一片隔离安全的私有空间,私有网络间独立隔离,将云主机部署在不同私有网络下即可实现网络隔离。用户完全掌控网络管理,支持自主划分子网、配备公网 IP 等。此外,可通过 VPN 或专线等服务将用户本地服务器与京东云主机连通,实现对现有网络部署的扩展。

1.1.2 高可用组

高可用组是京东云提供的云主机逻辑集合,高可用组内的云主机分散部署在相互隔离的物理资源上,当出现硬件故障或定时维护时只会影响部分云主机,用户的业务仍为可用状态。

· 数据高可靠

京东云主机承诺 99.95% 的服务可用性和不低于 99.9999999% 的数据可靠性。网络架构稳定,云硬盘多副本容灾,同时提供数据及镜像的快照功能,支持整机备份。

· 业务高可用

高可用组支持跨可用区,当用户选择在高可用组内部署云主机时,京东云将保证用户的云主机分散在多可用区的不同的物理故障域上,故障域之间相互隔离,当一个故障域内发生硬件故障或定时维护时仅影响部署在该故障域上云主机,其他故障域上云主机仍为可用,保障用户业务正常运行。

· 自动化运维

无需人工实时干预,动态调整云主机数量,高可用组支持根据用户预设的告警 / 定时策略动态新增和删除云主机,轻松应对业务负载波动,保障业务波峰时服务能力。

1.1.3 弹性伸缩

弹性伸缩(Auto Scaling)是根据用户的业务需求和伸缩策略,自动调整资源规模的服务。可以通过设置定时任务、监控告警策略确保用户拥有适量的资源来保证业务平稳健康的运行。在业务高峰期,自动增加云主机实例的数量,以保证业务性能不受影响;当业务需求较低时,则会减少云主机实例数量,以节省成本。

· 报警伸缩

基于云主机监控性能指标(如CPU、内存利用率、网络进出流量等)情况调整业务的部署,可以自定义告警触发策略。当业务负载使得指标达到阈值时,根据设定的策略自动增加或减少云主机实例,从而灵活应对业务负载变化,提高资源利用率。

· 定时伸缩

可以设置定时任务,对用户的资源扩/ 缩活动进行提前规划。用户可以配置周期性任务,定时地自动增加或减少云主机实例,从而灵活应对业务负载变化,提高资源利用率。当周期性需求有所波动时,可同时配置告警伸缩模式以应付不可预期的变化。

· 自动加入负载均衡

通过告警、定时策略增加的云主机实例,会直接关联已有负载均衡,分担业务流量,提高服务可用性。

1.1.4 安全防护

· 丰富的安全组件

京东云为云主机提供一体化安全服务,包括主机安全、免费的 DDoS 基础服务、付费的 DDoS 高防、入侵检测及漏洞扫描等。

· 安全组

安全组是一种分布式、有状态的虚拟防火墙,具备检测和过滤云主机进出的数据包的功能。使用安全组可以完成单台或多台云主机的网络访问控制,包括云主机之间的东西向流量以及云主机与公网通信的南北向流量。通过使用安全组功能,可以实现云主机之间的网络安全隔离。

· SSH 密钥

京东云允许使用密钥加密解密基 Linux 系统的主机登录信息,进一步提升云主机的安全。SSH 密钥登录是指使用密钥技术对登录信息进行加密解密,用户需要创建一对唯一匹配密钥对:“公钥” 和 “私钥” 。公钥需存储在京东云上,用于对数据进行加密,公钥是公开的,可以按需将其配置到目标服务器上自己的相应帐号中。私钥需用户存储,私钥只能对与之匹配的公钥所加密的数据进行解密,SSH 客户端使用私钥向服务器证明自已的身份。

· 漏洞修复

实时监控主机安全风险,对于操作系统官方发布漏洞及高危漏洞,京东云会第一时间通知用户,并提供漏洞修复方案,保障用户业务不受影响。

1.1.5 安全镜像

镜像是云主机运行环境的模板,包含操作系统和预装的软件以及相关配置。可以基于镜像启动任意数量云主机,也可以根据需求从任意多个不同的镜像启动云主机。

· 批量部署软件环境

对已经部署好环境的云主机自定义制作镜像,然后基于此镜像批量创建云主机,主机创建之后,拥有和之前云主机一致的软件环境,以此可以达到批量部署软件环境的目的。

· 服务器运行环境备份

对一台云主机制作镜像,如果该云主机在后续使用过程中软件环境被损坏无法正常运行,则可以使用该镜像恢复受损的云主机。

1.2 原生容器

原生容器是基于京东在容器技术方面的深厚积淀的创新型容器产品。充分融合了容器和虚拟机的优点,无需管理虚拟机或集群,为用户打造安全、易用的容器服务,灵活计费方式,有效降低用户的投入成本。

· 安全隔离

采用独立内核技术,基于虚拟机的隔离性,避免容器间共享内核的安全隐患;基于 SDN 技术实现不同租户实现完全隔离。

· 可靠存储

可扩展云硬盘及快照。支持按需设置云硬盘的容量并随时扩展以满足业务快速增长。通过对云硬盘数据制作快照可进一步满足数据备份、批量部署、快速恢复等需求场景。

· 网络隔离

私有网络为用户划分一片隔离安全的私有空间,私有网络间独立隔离,将容器部署在不同私有网络下即可实现网络隔离。用户完全掌控网络管理,支持自主划分子网、配备公网 IP 等。此外,可通过 VPN 或专线等服务将用户本地服务器与京东云容器连通,实现对现有网络部署的扩展。

· 弹性公网 IP

弹性公网 IP与京东云账户关联,用户可以将其余同地域下的任意容器关联,实现容器的外网访问,同时可根据网络实际使用情况调整带宽、更改绑定容器。

· 安全组

安全组是一种分布式、有状态的虚拟防火墙,具备检测和过滤容器进出的数据包的功能。使用安全组可以完成单台或多台容器的网络访问控制,包括容器之间的东西向流量以及容器与公网通信的南北向流量。通过使用安全组功能,可以实现容器之间的网络安全隔离。

· 安全镜像

支持 Docker 标准镜像,可选择 Docker Hub 下载镜像或从私有镜像仓库下载镜像。可以保存第三方镜像仓库认证信息。

· 监控管理

多维度监控,实时掌握实例运行状态,提供 CPU 使用率、内存使用率、系统盘读写流量、网络进出流量,可针对不同监控参数设置报警功能,实时预警,方便用户快速感知业务高峰及时调整实例规格。

· 日志查看

提供容器标准日志查询功能,日志最大容量为 10M。

1.3 云硬盘

云硬盘是京东云为云主机提供的低时延、持久性、高可靠的数据块级存储。云硬盘内的数据以多重实时副本的方式存储,避免因组件故障导致数据不可用,同时为用户提供高可用数据存储服务。云硬盘容量可弹性扩展,用户可以在几分钟内以低廉的价格扩充数据存储空间,并实现数据的持久化存储。

· 高性能

单盘最大提供 20000 随机 IOPS,100MB/s吞吐量,帮助用户轻松应对业务侧高吞吐量的数据访问需求。

· 可靠性

基于数据多重实时副本保证数据可靠性高达 99.9999999% ,为用户提供安全可靠的数据存储服务。

· 易扩展

用户可以自由配置云硬盘存储容量,单磁盘容量范围为 20-3000GB,支持按需扩容。

更新时间:2020-04-28 20:48:26