全部产品
Search

搜索本产品

    Elastic Compute Service:Model Tanggung Jawab Keamanan Bersama ECS

    文档中心

    Elastic Compute Service:Model Tanggung Jawab Keamanan Bersama ECS

    更新时间:Jul 02, 2025

    Topik ini menjelaskan tanggung jawab keamanan yang harus dipenuhi oleh Elastic Compute Service (ECS) dan pelanggan.

    Keamanan Cloud

    Seiring dengan perkembangan pesat Internet, Tiongkok telah menyempurnakan lebih dari dua ratus undang-undang dan peraturan terkait keamanan siber dan keamanan data dalam beberapa dekade terakhir. Contohnya adalah Undang-Undang Keamanan Siber Republik Rakyat Tiongkok (diakui sebagai dasar hukum untuk keamanan siber di Tiongkok) dan Undang-Undang Keamanan Data Republik Rakyat Tiongkok (diakui sebagai dasar hukum untuk keamanan data di Tiongkok). Regulasi ini menetapkan persyaratan ketat bagi perusahaan dalam menjaga keamanan bisnis dan data. Saat pelanggan mengadopsi aplikasi komputasi awan, fokus mereka bergeser dari cara bermigrasi ke cloud menjadi cara beroperasi secara berkelanjutan dan aman di cloud guna melindungi keamanan bisnis dan informasi pengguna. Dalam konteks ini, keamanan cloud dan kepatuhan semakin mendapatkan perhatian dari perusahaan.

    Untuk memastikan postur keamanan cloud yang baik, kombinasi kebijakan, sarana kontrol, dan teknologi digunakan untuk melindungi infrastruktur cloud, penyimpanan data, akses data, serta aplikasi, sekaligus melindungi bisnis berbasis cloud dari ancaman keamanan. Keamanan cloud dan kepatuhan merupakan tanggung jawab bersama antara Alibaba Cloud dan pelanggan. Sebagai pelanggan Alibaba Cloud, Anda harus memahami risiko terkait bisnis berbasis cloud Anda. Selain itu, Anda harus merancang dan menerapkan perlindungan menyeluruh untuk mengurangi beban operasional dan mencegah kerugian aset akibat insiden keamanan.

    Model Tanggung Jawab Keamanan Bersama ECS

    ECS adalah penawaran IaaS dari Alibaba Cloud. Keamanan ECS merupakan tanggung jawab bersama antara Alibaba Cloud dan pelanggan. Model tanggung jawab keamanan bersama menjelaskan keamanan ECS sebagai keamanan cloud itu sendiri dan keamanan di dalam cloud:

    • Keamanan cloud itu sendiri: Alibaba Cloud bertanggung jawab atas keamanan cloud itu sendiri. Alibaba Cloud melindungi infrastruktur yang menjalankan ECS dan menyediakan layanan serta sumber daya yang dapat digunakan dengan aman, seperti perangkat keras fisik yang menampung instance ECS, layanan perangkat lunak, perangkat jaringan, dan layanan manajemen.

    • Keamanan di dalam cloud: Anda bertanggung jawab atas keamanan di dalam ECS. Secara khusus, Anda harus mengelola sistem operasi tamu (termasuk pembaruan dan patch keamanan), melindungi aplikasi atau alat yang berjalan di ECS, serta memantau dan menjaga aliran informasi masuk dan keluar dari ECS. Anda juga harus mengonfigurasi dan mengakses ECS serta layanan yang dihosting pada instance ECS dengan aman, seperti melakukan konfigurasi jaringan sesuai aturan keamanan dan mengelola izin ECS berdasarkan prinsip hak istimewa minimal.

    Gambar berikut menunjukkan model tanggung jawab keamanan bersama ECS.

    Tanggung jawab Alibaba Cloud untuk keamanan cloud itu sendiri

    Alibaba Cloud menyediakan empat lapisan perlindungan berikut untuk memperkuat keamanan cloud itu sendiri:

    • Keamanan pusat data: Pusat data Alibaba Cloud dibangun sesuai standar Kelas A GB50174 Code for Design of Electronic Information System Room dan standar Tier 3+ TIA-942 Telecommunications Infrastructure Standard for Data Centers.

      • Pemulihan bencana pusat data: Pusat data Alibaba Cloud dilengkapi dengan sensor api, sensor asap, dan sistem pendingin udara presisi dalam mode siaga panas untuk menjaga suhu dan kelembapan tetap konstan. Pusat data tersebut ditenagai oleh utilitas listrik publik yang didukung oleh sistem daya cadangan redundan.

      • Manajemen personel: Otentikasi dua faktor, seperti sidik jari dan verifikasi identitas, digunakan untuk mengakses ruang mesin, area pengukuran, dan ruang penyimpanan. Area tertentu diisolasi secara fisik menggunakan sangkar besi. Manajemen akun yang ketat, otentikasi identitas, manajemen otorisasi, pemisahan tugas, dan kontrol akses diterapkan.

      • Audit O&M: Sistem pemantauan keamanan ditempatkan di berbagai area pusat data. Sistem produksi hanya dapat dioperasikan dan dipelihara melalui host bastion. Semua catatan operasi dicatat dan disimpan di platform log.

    • Keamanan infrastruktur fisik: Infrastruktur fisik mencakup server fisik, perangkat jaringan, dan perangkat penyimpanan. Keamanan infrastruktur fisik bergantung pada keamanan pusat data di cloud dan menambahkan lapisan keamanan tambahan untuk layanan di cloud publik. Langkah-langkah berikut diambil untuk melindungi infrastruktur fisik Alibaba Cloud:

      • Penghapusan data: Alibaba Cloud mengembangkan mekanisme berdasarkan standar NIST Special Publication 800-88, Guidelines for Media Sanitization untuk menghapus data secara aman dari media penyimpanan. Mekanisme ini memungkinkan Alibaba Cloud menghapus aset data secepat mungkin dan sepenuhnya menghancurkan data dengan membersihkan data dari media penyimpanan beberapa kali ketika Alibaba Cloud mengakhiri layanan untuk pelanggan.

      • Manajemen aset penyimpanan: Alibaba Cloud menyediakan manajemen tingkat komponen penyimpanan yang halus dan mengalokasikan informasi identifikasi perangkat keras unik untuk memudahkan pencarian media penyimpanan atau perangkat kecil tempat media penyimpanan berada. Media penyimpanan yang tidak dibersihkan secara aman atau dihancurkan secara fisik berdasarkan persyaratan tertentu tidak dapat meninggalkan pusat data atau area kontrol keamanan.

      • Isolasi jaringan: Alibaba Cloud mengisolasi jaringan produksi dari jaringan non-produksi dan menggunakan daftar kontrol akses jaringan (ACL) untuk memblokir akses dari jaringan layanan cloud ke jaringan fisik. Host bastion ditempatkan di tepi jaringan produksi, dan personel O&M dari jaringan kantor hanya dapat mengakses jaringan produksi dengan melakukan langkah otentikasi multi-faktor menggunakan akun domain dan kata sandi dinamis di host bastion.

    • Keamanan sistem virtualisasi: Virtualisasi adalah teknologi inti dalam komputasi awan yang memungkinkan Anda membuat representasi virtual dari sumber daya komputasi, penyimpanan, dan jaringan untuk mengisolasi tenant di lingkungan komputasi awan. Alibaba Cloud menyediakan teknik keamanan virtualisasi, termasuk isolasi tenant, penguatan keamanan, deteksi dan perbaikan escape, patch langsung, dan penghapusan data, untuk mengamankan lapisan virtualisasi.

      • Patch langsung: Platform virtualisasi mendukung teknik patch langsung yang memungkinkan Anda menerapkan patch keamanan ke sistem yang sedang berjalan tanpa perlu reboot atau mengganggu waktu proses.

      • Penghapusan data: Setelah instance dilepaskan, data sepenuhnya dihapus dari media penyimpanan yang terkait dengan instance tersebut. Ini adalah langkah penting menuju keamanan data.

      • Isolasi tenant: Teknologi virtualisasi berbasis perangkat keras menyediakan isolasi tingkat sistem operasi untuk mengisolasi setiap mesin virtual dari mesin virtual lain yang berjalan pada perangkat keras yang sama. Tenant yang memiliki akses ke sistem operasi tamu mesin virtual tidak dapat melanggar lapisan isolasi ini untuk mengakses mesin virtual lain yang tidak dimiliki oleh tenant tersebut.

        • Isolasi komputasi: Mesin virtual Anda diisolasi dari sistem manajemen dan mesin virtual pelanggan lain.

        • Isolasi jaringan: Setiap jaringan virtual diisolasi dari jaringan lain.

        • Isolasi penyimpanan: Isolasi komputasi-penyimpanan memastikan bahwa setiap mesin virtual hanya dapat mengakses disk fisik yang Anda sediakan untuknya.

      • Penguatan keamanan: Program manajemen virtualisasi dan sistem operasi host atau kernel diperkuat keamanannya. Perangkat lunak virtualisasi harus dikompilasi dan dijalankan dalam lingkungan eksekusi tepercaya untuk melindungi seluruh tautan.

      • Deteksi dan perbaikan escape: Algoritma tata letak mesin virtual canggih digunakan untuk mencegah pengguna jahat menjalankan mesin virtual pada mesin fisik tertentu dan mesin virtual mendeteksi lingkungan host fisik tempat mesin virtual berjalan. Perilaku mencurigakan mesin virtual diselidiki, dan kerentanan diperbaiki secara cepat.

    • Keamanan platform cloud: Platform cloud menyediakan layanan manajemen akun berbasis cloud, termasuk manajemen akun Alibaba Cloud dan pengguna RAM serta otentikasi multi-faktor untuk login. Platform cloud juga menyediakan layanan kontrol akses, termasuk otorisasi akses granular dan akses aman.

    Tanggung jawab pelanggan untuk keamanan di ECS

    Anda bertanggung jawab atas keamanan di ECS dan harus mengamankan apa yang Anda masukkan atau hubungkan ke ECS. Anda harus menginstal patch pembaruan sistem operasi pada instance ECS, mengonfigurasi aturan grup keamanan yang sesuai untuk memblokir akses tidak sah ke instance ECS, dan mengenkripsi data di ECS untuk meningkatkan keamanan data.

    Alibaba Cloud menyediakan serangkaian alat manajemen dan konfigurasi keamanan yang membantu Anda melakukan konfigurasi keamanan berdasarkan kebutuhan Anda untuk meningkatkan keamanan bisnis. Untuk informasi lebih lanjut, lihat topik-topik berikut: