数据开放是聚石塔作为一个开放平台价值所在。如何能让聚石塔内的应用处于一个安全的消费、生产数据的环境,如何能更安全地开放数据,一直是我们追求的目标。御城河安全解决方案应运而生,它提供旨在为聚石塔建立更安全的计算环境,阻防各类攻击,让数据开放无忧。用户可按需为其聚石塔资源(如ECS)配置安全策略,提升安全防护能力,同时获得访问高价值数据(如“御膳房”的数据)的能力。
产品特点:
a) 访问安全:御城河提供“安全边界”功能,用户可以将ECS划分到多个安全边界里,边界间网络隔离,避免因一台ECS被入侵所有资源面临高风险的问题。安全边界还严格限定外界对边界内ECS的访问,只开放少数必须的端口(如登录端口22/3389、web服务端口80/443,后台管理端口8080)。同时,若登录安全边界内的ECS以及访问8080端口的管理后台,还必须通过千牛PC客户端的“ECS远程登录”和“应用后台”插件、或者使用御城河VPN来实现,大大降低了ECS和管理后台被入侵的概率。
b) 主机和应用安全:御城河提供了全面的应用保护和主机监控功能,限制、监控和记录ECS上运行的应用的行为,及时发现ECS上各类异常事件,降低主机被注入恶意代码的风险,对诸如数据偷窃等各类入侵事件及时止血;即使仍发生了安全事故,也能对案发现场及时复盘。
c) 客户端风险控制:御城河还提供了“孔明锁”应用客户端风险控制解决方案。通过为应用程序配置“孔明锁”,用户可以精准及时地阻止恶意的客户端访问,而无需下线整个应用。
御城河的各项防护功能均可灵活配置,用户可有选择地根据业务需求、安全需求、数据访问合规需求、以及应用程序特点有选择地配置或取消配置御城河各项安全策略。
阿里巴巴平台上的高价值数据提供方(Data provider,以下简称DP,如御膳房),因考虑到数据开放的安全问题,不希望把数据开放给处于高风险的访问者。DP对数据访问者(如聚石塔ECS)有安全合规要求,希望这些访问数据的主机都配置足够的安全措施。通过使用御城河安全方案,就可以满足对这些DP安全合规,从而获得访问数据的能力。