ApsaraDB RDS menyediakan beberapa lapis perlindungan data bawaan. Alibaba Cloud mengamankan infrastruktur dasar, sedangkan Anda bertanggung jawab untuk mengonfigurasi kontrol akses pada instans Anda.
Cara kerja
Keamanan RDS beroperasi di tiga lapisan, dari perimeter jaringan ke arah dalam:
| Lapisan | Mekanisme | Fungsinya |
|---|---|---|
| Perimeter jaringan | Pendeteksian dan mitigasi serangan DDoS | Memblokir traffic berbahaya sebelum mencapai instans Anda |
| Kontrol akses | Daftar putih alamat IP dan isolasi akun | Membatasi siapa yang dapat terhubung dan apa yang dapat mereka akses |
| Isolasi sistem | Firewall, akses host terbatas, dan koneksi inbound-only | Membatasi permukaan serangan setiap instans |
Pencegahan serangan DDoS
Instans RDS yang terpapar Internet rentan terhadap serangan penolakan layanan terdistribusi (DDoS). Saat serangan terdeteksi, sistem keamanan merespons dalam dua tahap:
Pembersihan lalu lintas — Menyaring lalu lintas masuk berbahaya sambil tetap mengizinkan permintaan sah.
Filtering blackhole — Jika pembersihan lalu lintas tidak efektif atau volume serangan melebihi ambang batas filtering blackhole, filtering blackhole dipicu untuk melindungi ketersediaan instans.
Kami menyarankan Anda mengakses instans RDS melalui jaringan internal untuk mencegah serangan DDoS. Untuk detailnya, lihat Protection against attacks.
Kontrol akses
RDS mendukung dua mekanisme untuk mengontrol siapa yang dapat mengakses database Anda:
| Mekanisme | Deskripsi |
|---|---|
| Daftar putih alamat IP | Hanya permintaan dari alamat IP yang ada di daftar putih yang diizinkan terhubung ke instans RDS |
| Isolasi akun | Sumber daya antar Akun Alibaba Cloud diisolasi secara logis — setiap akun hanya dapat melihat dan mengelola database miliknya sendiri |
Untuk detailnya, lihat Access control.
Keamanan sistem
Setiap instans RDS dilindungi oleh kontrol tingkat sistem berikut:
| Kontrol | Deskripsi |
|---|---|
| Firewall multi-lapis | Memblokir berbagai jenis serangan berbasis jaringan sebelum mencapai instans |
| Tidak ada akses langsung ke host | Host fisik yang menjalankan instans RDS tidak dapat diakses secara langsung — instans hanya dapat dijangkau melalui titik akhir dan Port yang ditetapkan |
| Koneksi inbound-only | Instans RDS tidak dapat memulai koneksi outbound — instans hanya menerima permintaan akses masuk |
Untuk detailnya, lihat Network isolation.
Tim keamanan profesional
Ahli keamanan Alibaba Cloud memberikan dukungan teknis untuk memastikan keamanan instans ApsaraDB RDS.