产品文档

云安全白皮书

6. 管理与监控服务

6.1 云监控服务

云监控(CloudMonitor)是对用户的京东云资源进行监控和报警的服务,展现各项监控指标情况并对指标设置报警,云监控会通过短信、邮件等方式发送报警通知,还提供当前报警状态和报警历史的查看。云监控服务能够监控云主机、云数据库 Redis 和负载均衡等各种京东云服务资源。借助云监控服务,方便用户了解在京东云上的资源使用情况、性能和运行情况,通过报警,用户可以及时作出反应,保障应用程序的稳定运行。

6.2 访问控制

访问控制(Identity and Access Management,IAM)是京东云提供的一项用户身份管理与资源访问控制服务。用户可以通过 IAM 服务创建、管理子用户账号,并控制这些子用户访问京东云资源的权限。使用访问控制,用户可以向他人授权管理账户中的资源,而不必共享账户密码或访问密钥, 按需为用户分配最小粒度的操作权限,从而降低主账号的信息安全风险。

IAM 包含授权管理,身份鉴别,权限鉴别三个模块:

· 身份鉴别

当用户、应用、或资源发起对某个京东云账号下的资源访问时,准确识别发起方的身份。

· 授权管理

主账号分权操作,允许其他用户、应用、或资源在可控的权限范围内访问自己的资源、执行可控的操作。

· 权限鉴别

判定发起访问方是否有权限执行访问。

6.2.1 用户身份管理

· 子用户管理

主账户,也叫根账户,是京东云资源归属、计费的主体,在用户注册、激活京东云时由系统创建。主账户为其名下所有的资源付费,并拥有所有京东云服务和资源的全部权限。

子账户是由主账户创建的一种实体用户,有确定的身份 ID 和安全凭证。子账户不是独立的京东云账户,它归属于主账户,只能在主账号的空间下可见。子账户必须得到主账户的授权,才能登录控制台或使用 API 操作主账号授权的资源。

一个主账户可以通过 IAM 服务来创建一个或多个独立的子账户,为子账号设置、重置控制台登录密码。

· 用户组管理

也可以将多个子用户加入一个用户组,统一授权。一个子用户可以属于多个用户组,此时子用户权限为各组权限的合集。

6.2.2 授权策略管理

IAM 帮助定义用户或其他实体可在账户内执行的操作,通常称为授权。权限是通过策略授予的,在附加到身份或资源时,策略定义了它们的权限。在用户发出请求时,京东云将评估这些策略。策略中的权限确定是允许还是拒绝请求。主账号拥有其名下所有资源的全部操作权限。如果主账号未对子账号进行授权,子账号默认没有任何资源的访问权限。只有得到主账号的授权时,子账号才能通过控制台或 API 访问特定的资源。主账号授权子账号的方式,是为子账号(或其所在的群组)附加授权策略。子账号所拥有的资源访问权限,是子账号和其所在的群组附加的授权策略的合集。

· 权限粒度

支持对单个资源的读、改、删权限控制。

· 系统授权策略

系统提供各类资源的管理员和只读权限,可以直接进行分配。

· 自定义授权策略

便利化策略生成器:无需撰写 JSON,通过可视化方式选择要授权的操作和被操作的资源。策略编辑器:基于已有策略模板编辑 JSON,也可以直接生成JSON,以实现授权需求。

6.2.3 安全身份凭证

京东云通过安全凭证来验证用户是否有权访问所请求的资源或服务,安全凭证是用于证实用户真实身份的凭据,包括以下类型:

· 用户名和密码

密码是用户最初创建账户时指定的。用户在登录京东云控制台时,需要使用密码。同时,该密码也可以用于 API 方式访问京东云资源。IAM 支持用户的安全管理员设置登录策略,避免用户密码被暴力破解或者因为访问钓鱼页面等,导致账号信息泄露。

· 多因素验证(Multi-Factor Authentication - MFA)

MFA 是一种简单有效的最佳安全实践,它能够在用户名和密码之外再额外增加一层安全保护,并且在京东云进行敏感操作时,进行身份验证防止误删。

虚拟 MFA 设备是一种基于软件,产生动态验证码的应用程序,它遵循基于时间的一次性密码(TOTP)标准(RFC 6238),可以将虚拟 MFA 设备安装在不同的移动设备上,如智能手机。启用 MFA 后,用户登录京东云时,系统将要求输入用户名和密码,然后要求输入来自其 MFA 设备的6位动态验证码,即使他人盗取用户的密码,也无法登陆用户的账号,双因素的安全认证将最大限度地保障用户的账户安全。

· 访问密钥(AccessKey)

为了保证云资源的使用安全,当以 API 调用相关资源和操作时,要求使用 Access Key 验证用户和应用程序的身份,以确保访问者具有相关权限。Access Key 包含它由 Access Key ID 和 Access Key Secret 构成。拥有用户的 Access Key 的任何人将与用户拥有相同的资源访问和操作权限,可以无限制的访问用户账户中的所有资源并进行相应的操作。用户可以创建、禁用或删除用户的 Access Key,同时也建议用户定期轮换 Access Key 以保证用户的账户和资源安全。

6.3 DevOps

京东云 DevOps,是在京东多年技术积累的基础上,针对公有云的场景和特性,构建的一套 DevOps 产品。通过统一操作平台,打破开发和运维团队之间的障碍,提高应用的编译、上线、部署效率。可统一收集应用实例的日志,能够快速查询和检索,帮助快速定位问题,助力企业快速实现 DevOps,支撑企业业务快速稳定发展。

· 服务容错

自动为宕机服务器上运行的容器(云主机)重新迁移并生成新的实例,保障业务不掉线,高可靠运行。这也就意味着用户不用再为一两台服务器的宕机,而经历一个不眠之夜。系统自动监控服务健康状态,动态调整集群,实时调度相关预案,实现故障自愈。

· 智能监控

全面覆盖了基础资源到业务逻辑的监控。拥有丰富的采集功能,支持基础监控,存活监控,性能监控和业务监控。通过监控用户可以全面了解资源的使用情况,性能和运行状态。通过异常检测和多维度数据分析可及时做出反应,缩短异常 MTTR,保障业务正常运行。

· 安全运维

DevOps 提供高可用、安全高效的镜像中心服务,涵盖脚本执行、文件分发等基础操作,可以满足各种复杂运维场景一键式作业,实现真正的 Web 自动化运维。

更新时间:2020-04-28 20:48:26