阿里自动备份

阿里云云数据库RDS版安全技术白皮书阿里云云数据库RDS版安全技术白皮书法律声明法律声明阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解本法律声明各条款的内容.
如果您阅读或使用本文档,您的阅读或使用行为将被视为对本声明全部内容的认可.
1.
您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档,且仅能用于自身的合法合规的业务活动.
本文档的内容视为阿里云的保密信息,您应当严格遵守保密义务;未经阿里云事先书面同意,您不得向任何第三方披露本手册内容或提供给任何第三方使用.
2.
未经阿里云事先书面许可,任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容的部分或全部,不得以任何方式或途径进行传播和宣传.
3.
由于产品版本升级、调整或其他原因,本文档内容有可能变更.
阿里云保留在没有任何通知或者提示下对本文档的内容进行修改的权利,并在阿里云授权通道中不时发布更新后的用户文档.
您应当实时关注用户文档的版本变更并通过阿里云授权渠道下载、获取最新版的用户文档.
4.
本文档仅作为用户使用阿里云产品及服务的参考性指引,阿里云以产品及服务的"现状"、"有缺陷"和"当前功能"的状态提供本文档.
阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引,但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证.
任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的,阿里云不承担任何法律责任.
在任何情况下,阿里云均不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害,包括用户使用或信赖本文档而遭受的利润损失,承担责任(即使阿里云已被告知该等损失的可能性).
5.
阿里云网站上所有内容,包括但不限于著作、产品、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计,均由阿里云和/或其关联公司依法拥有其知识产权,包括但不限于商标权、专利权、著作权、商业秘密等.
非经阿里云和/或其关联公司书面同意,任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表阿里云网站、产品程序或内容.
此外,未经阿里云事先书面同意,任何人不得为了任何营销、广告、促销或其他目的使用、公布或复制阿里云的名称(包括但不限于单独为或以组合形式包含"阿里云"、"Aliyun"、"万网"等阿里云和/或其关联公司品牌,上述品牌的附属标志及图案或任何类似公司名称、商号、商标、产品或服务名称、域名、图案标示、标志、标识或通过特定描述使第三方能够识别阿里云和/或其关联公司).
6.
如若发现本文档存在任何错误,请与阿里云取得直接联系.
文档版本:20160630I阿里云云数据库RDS版安全技术白皮书前言前言概述本文档介绍阿里云数据库RDS版产品的安全能力.
应用范围阿里云对外输出文档,适用于专有云V2.
0.
0版本.
文档版本:20160630II阿里云云数据库RDS版安全技术白皮书目录目录法律声明I前言.
2目录.
III1.
产品介绍12.
产品安全方案22.
1.
访问控制22.
1.
1.
数据库账号22.
2.
IP白名单22.
3.
网络隔离22.
3.
1.
VPC.
22.
3.
2.
Internet32.
4.
数据加密32.
4.
1.
SSL.
32.
4.
2.
TDE.
32.
5.
备份恢复42.
5.
1.
备份功能42.
5.
2.
恢复功能42.
6.
实例容灾52.
6.
1.
多可用区实例52.
6.
2.
跨域容灾实例52.
7.
软件升级52.
8.
服务授权62.
8.
1.
权限管理62.
8.
2.
过期时间6文档版本:20160630III阿里云云数据库RDS版安全技术白皮书产品介绍1.
产品介绍云数据库RDS(RelationalDatabaseService)是一种稳定可靠、可弹性伸缩的在线数据库服务.
基于飞天分布式系统和全SSD盘高性能存储,支持MySQL、SQLServer、PostgreSQL和PPAS(高度兼容Oracle)引擎,默认部署主备架构且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼.
云数据库RDS提供了多样化的安全加固功能来保障用户数据的安全,其中包括但不限于:网络:IP白名单、VPC网络、SSL(安全套接层协议)、SQL防火墙存储:TDE(透明数据加密)、自动备份容灾:同城容灾(多可用区实例)、异地容灾(两地多中心)文档版本:201606301阿里云云数据库RDS版安全技术白皮书产品安全方案2.
产品安全方案2.
1.
访问控制2.
1.
1.
数据库账号当用户创建实例后,RDS并不会为用户创建任何初始的数据库账号.
有以下两种方式来创建数据库帐号:1用户可以通过控制台或者OpenAPI来创建普通数据库账号,并设置数据库级别的读写权限.
2如果用户需要更细粒度的权限控制,比如表、视图,字段级别的权限,也可以通过控制台或者OpenAPI先创建超级数据库账号,并使用数据库客户端和超级数据库账号来创建普通数据库账号.
超级数据库账号可以为普通数据库账号设置表级别的读写权限.
注意:通过超级数据库账号创建的普通数据库账号无法通过控制台或者OpenAPI管理.
2.
2.
IP白名单虽然RDS不支持ECS的安全组功能,但是RDS提供了"IP白名单"来实现网络安全访问控制.
默认情况下,RDS实例被设置为不允许任何IP访问,即127.
0.
0.
1.
用户可以通过控制台的数据安全性模块或者OpenAPI来添加IP白名单规则.
IP白名单的更新无需重启RDS实例,因此不会影响用户的使用.
IP白名单可以设置多个分组,每个分组可配置1000个IP或IP段.
2.
3.
网络隔离2.
3.
1.
VPC除了IP白名单外,RDS还支持用户使用VPC来获取更高程度的网络访问控制.
VPC是用户在公共云里设定的私有网络环境,通过底层网络协议严格地将用户的网络包隔离,在网络2层完成访问控制;用户可以通过VPN或者专线,将自建IDC的服务器资源接入阿里云,并使用VPC自定义的RDSIP段来解决IP资源冲突的问题,实现自有服务器和阿里云ECS同时访问RDS的目的.
文档版本:201606302阿里云云数据库RDS版安全技术白皮书产品安全方案使用VPC和IP白名单将极大程度提升RDS实例的安全性.
2.
3.
2.
Internet部署在VPC中的RDS实例默认只能被同一个VPC中的ECS实例访问.
如果有需要也可以通过申请公网IP的方式接受来自公网的访问(不推荐),包括但不限于:1来自ECSEIP的访问2来自用户自建IDC公网出口的访问IP白名单对RDS实例的所有连接方式生效,建议在申请公网IP前先设置相应白名单规则.
2.
4.
数据加密2.
4.
1.
SSLRDS提供MySQL和SQLServer的安全套接层协议.
用户可以使用RDS提供的服务器端根证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击.
除此之外,RDS还提供了服务器端SSL证书的启用和更新能力,以便用户按需更替SSL证书以保障安全有效性.
需要注意的是,虽然RDS提供了应用到数据库之间的连接加密功能,但是SSL需要应用开启服务器端验证才能正常运转.
另外SSL也会带来额外的CPU开销,RDS实例的吞吐量和响应时间都会受到一定程度的影响,具体影响视用户的连接次数和数据传输频度而定.
2.
4.
2.
TDERDS提供MySQL和SQLServer的透明数据加密功能.
RDSforMySQL的TDE由阿里云自研,RDSforSQLServer的TDE基于SQLServer企业版的功能改造而来.
在开启了透明数据加密功能的RDS实例上,用户可以指定参与加密的数据库或者表.
这些数据库或者表中的数据在写入到任何设备(磁盘、SSD、PCIE卡)或者服务(OSS、OAS)前都会进行加密,因此实例对应的数据文件、备份都是以密文形式存在.
TDE加密采用国际流行的AES算法,秘钥长度为128比特.
秘钥由KMS服务加密保存,RDS只在启动实例和迁移实例的动态读取一次秘钥.
用户可自行通过KMS控制台对秘钥进行更替.
文档版本:201606303阿里云云数据库RDS版安全技术白皮书产品安全方案2.
5.
备份恢复2.
5.
1.
备份功能为了保证数据完整可靠,数据库需要常规的自动备份来保证数据的可恢复性.
RDS提供两种备份功能,分别为数据备份和日志备份.
数据备份为强制项,用户一定要在一周七天内选定两天或两天以上的某一个时间段执行全量的常规物理备份.
另外用户也可以根据运维需要,通过控制台或者OpenAPI随时发起全量的临时物理备份.
日志备份为可选项,用户可以选择开启或者关闭.
如果日志备份关闭,那么数据恢复时只能恢复到数据备份集所在时间点;数据备份和日志备份使用相同的过期删除策略.
用户可将备份过期的天数设置为7到730中的任何一个数字,也可以通过调整过期策略实时删掉较老的备份.
2.
5.
2.
恢复功能数据可恢复性是一个数据库可靠运维的关键指标.
RDS提供三种恢复功能,分别为覆盖性恢复、按备份集恢复和按时间点恢复.
按备份集恢复:用户可以将指定备份集的数据恢复到一个过期时间为2天的临时实例上.
用户可以在临时实例上检查自己的数据是否完好.
按时间点恢复:用户可以选择临近时间点,系统根据全量备份以及之后的日志备份,将数据重放到一个过期时间为2天的临时实例上.
覆盖性恢复:用户可以将指定备份集的数据恢复到当前RDS实例上,而并非临时实例;注意这种恢复方式一旦执行,原实例不提供2次恢复能力,谨慎使用.
数据恢复功能和备份策略紧密相关,其中:1数据恢复的早时间取决于早一个数据备份(与数据备份的频率和过期策略相关)2数据恢复的晚时间取决于后一个日志备份(与日志生成量有很大关系)3数据恢复是否支持按时间点恢复取决于日志备份是否开启4数据恢复的速度取决于数据备份的频率(也与日志生成量有很大关系)文档版本:201606304阿里云云数据库RDS版安全技术白皮书产品安全方案2.
6.
实例容灾2.
6.
1.
多可用区实例阿里云为全世界多个地域提供云计算服务,每个地域(Region)都包含多个可用区(Avzone).
同一个地域下的可用区都被设计为相互之间网络延迟很小(3ms以内)以及故障隔离的单元.
RDS单可用区主实例运行在同一个可用区下的两台物理服务器上,可用区内机柜、空调、电路、网络都有冗余.
通过异步/半同步的数据复制方式和高效的HA切换机制,RDS为用户提供了高于物理服务器极限的数据库可用性.
为了提供比单可用区实例更高的可用性,RDS支持多可用区实例(也叫做同城双机房或者同城容灾实例).
多可用区实例将物理服务器部署在不同的可用区,当一个可用区(A)出现故障时流量可以在短时间内切换到另一个可用区(B).
整个切换过程对用户透明,应用代码无需变更.
注意:发生容灾切换时应用到数据库的连接会断开,需要应用重新连接RDS.
2.
6.
2.
跨域容灾实例RDS多可用区实例的容灾能力局限在同地域的不同可用区之间.
为了提供更高的可用性,RDS还支持跨地域的数据容灾.
用户可以将地域A的RDS实例A'通过数据传输(DataTransmission)异步复制到地域B的RDS实例B'(实例B'是一个完整独立的RDS实例,拥有独立的连接地址、账号和权限).
配置了跨域容灾实例后,当实例A'所在地域发生短期不可恢复的重大故障时,用户在另外一个地域的实例B'随时可以进行容灾切换.
切换完成后,用户通过修改应用程序中的数据库连接配置,可以将应用请求转到实例B'上,进而获得高于地域极限的数据库可用性.
注意:容灾切换前用户需要先停止实例A'到实例B'的数据复制,以免造成数据错乱.
2.
7.
软件升级RDS为用户提供数据库软件的新版本.
在绝大多数情况下版本升级都是非强制性的.
只有用户主动重启了RDS实例的时候,RDS才会将被重启实例的数据库版本升级到新的兼容版本.
在极少数情况下(如致命的重大Bug、安全漏洞),RDS会在实例的可运维时间内发文档版本:201606305阿里云云数据库RDS版安全技术白皮书产品安全方案起数据库版本的强制升级.
需要注意的是,强制升级的影响仅仅是几次数据库连接闪断,在应用程序正确配置了数据库连接池的情况下不会对应用程序造成明显的影响.
用户可以通过控制台或者OpenAPI来修改可运维时间,以避免RDS在业务高峰期发生了强制升级.
2.
8.
服务授权2.
8.
1.
权限管理在没有经过用户授权的情况下,阿里云的售后团队和DBA团队只能查看RDS实例资源、资费和性能相关的信息.
举例来说,RDS实例的购买时间和到期时间,CPU、内存、存储空间的容量和消费情况,备份空间、公网流量、SQL审计的消费情况等.
只有经过用户授权了"配置权限"后,阿里云的售后团队和DBA团队才可以在用户自定义的时间段内查看和修改RDS实例的配置信息.
举例来说,RDS实例的白名单、数据复制模式、备份策略和数据库参数.
在任何情况下,阿里云的售后团队和DBA团队不会主动变更RDS实例的连接信息(含连接地址和数据库账号).
只有经过用户授权了"数据权限"后,阿里云的DBA团队才可以在用户自定义的时间段内查看RDS实例内的用户数据.
举例来说,RDS实例的库表结构、索引字段、数据样本和SQL历史.
在任何情况下,阿里云的售后团队和DBA团队不会主动更改RDS实例的库表结构、索引字段、数据.
2.
8.
2.
过期时间用户可以为阿里云的售后团队和DBA团队授予排查问题需要的权限,并设置相应的有效期来自动回收权限.
权限默认的有效期为24小时,用户可以提前回收相关的权限.
文档版本:201606306