云服务安全

发布于:2025-06-27 ⋅ 阅读:(20) ⋅ 点赞:(0)

云服务,顾名思义就是云上的服务,按照部署方法分为公有云,私有云,混合云,社区云(较少见)

云服务(Cloud Services)
├── 一、按服务内容分类(服务模型 - Service Models)
│     ├── IaaS:基础设施即服务(如 ECS、VPC、磁盘)
│     ├── PaaS:平台即服务(如数据库、函数计算)
│     └── SaaS:软件即服务(如企业微信、飞书)
│
└── 二、按部署方式分类(部署模型 - Deployment Models)
      ├── 公有云(Public Cloud)
      ├── 私有云(Private Cloud)
      ├── 混合云(Hybrid Cloud)
      └── 社区云(Community Cloud,较少见)

公有云

公有云(Public Cloud) 是由第三方云服务商(如阿里云、腾讯云、AWS、华为云等)建设并运营的云计算平台,面向所有用户开放,你只需注册账号、付费租用资源,就能使用它提供的计算、存储、网络、安全等一整套 IT 能力

目前国内云厂商有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等等,国外有亚马逊的 AWS、Google 的 GCP、微软的 Azure 等等。

各个云厂商对云服务的叫法都不统一,为方便下文统一称为AWS

S3 对象存储Simple Storage Service,简单理解就是网盘,但是当然技术原理不一样

EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机

RDS 云数据库Relational Database Service,简单的说就是云上的一个数据库

IAM 身份和访问管理Identity and Access Management,简单的说就是云控制台上的一套身份管理服务,可以用来管理每个子账号的权限

可以看出这些都是原本本地的东西改个名字上个云,那么相应的就会产生安全风险

这里再以阿里云的产品为例,简单介绍几个名词:

  • ECS
    • 云服务器ECS(Elastic Compute Service)
    • 实例:云上的虚拟计算服务器,内含vCPU、内存、操作系统、网络、磁盘等基础组件。
    • 阿里云服务器叫ECS,而我们在腾讯云官网看到的云服务器简称为CVM。阿里云对象存储简称OSS,而腾讯云对象存储称COS,所以每个厂商的叫法不同
  • SLB
    • 云负载均衡(Server Load Balancer,简称SLB)是云原生时代应用高可用的基本要素。通过对多台云服务器进行均衡的流量分发调度,消除单点故障提升应用系统的可靠性与吞吐力。
  • OSS对象存储
    • 对象存储(Object Storage Service),是阿里云对外提供的海量、安全和高可靠的云存储服务。
    • RESTFul API 的平台无关性,容量和处理能力的弹性扩展,按实际容量付费真正使您专注于核心业务。
    • Web应用资源、提供数据下载等
  • 安全组
    • 安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。
    • 同一安全组内的ECS实例之间默认内网网络互通。
  • RDS(云数据库)
    • 关系型数据库服务(Relational Database Service,简称 RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。
    • RDS 采用即开即用方式,兼容 MySQL、 SQL Server 两种关系型数据库,并提供数据库在线扩容、备份回滚、性能监测 及分析功能。
    • RDS 与云服务器搭配使用 I/O 性能倍增,内网互通避免网络瓶颈。
  • VPC
    • 专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。
  • RAM
    • 访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。
    • RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。
  • AccessKey
    • 阿里云用户可以在管理控制台里自行创建 Access Key,Access Key是由AccessKey ID 和 AccessKey Secret 组成。
    • 其中 ID 是公开的,用于标识用户身份,Secret 是秘密的,用于用户鉴别。
    • 当用户向 OSS 发送请求时,需要首先将发送的请求按照 OSS 指定的格式生成签名字符串;
    • 然后使用 AccessKey Secret 对签名字符串进行加密(基于HMAC 算法)产生验证码。
    • 验证码带时间戳,以防止重放攻击。
    • OSS 收到请求以后,通过 AccessKey ID 找到对应的 AccessKey Secret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一样即认为该请求是有效的;否则,OSS 将拒绝处理这次请求,并返回 HTTP 403 错误。

私有云

私有云是企业或机构自己搭建、拥有、运维的云平台,云资源只在企业内部使用,不对外公开,具有更强的安全性和控制力

适合场景:

  • 金融、医疗、政府等对数据安全极高要求的行业
  • 对运维、定制化有极强掌控需求的公司
  • 对某些合规要求(如数据不得出境)必须落地部署

混合云

混合云是将公有云与私有云组合在一起的架构,实现数据和应用在二者之间协同运行。企业可以灵活使用二者的优点

适合场景:

  • 企业已有私有云,希望借用公有云弹性能力
  • 需要容灾备份、云上云下联动
  • 部分数据受限(如合规在本地),但部分业务需上云扩展

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布