Alibaba Cloud должна обеспечивать безопасное управление и эксплуатацию инфраструктуры, включая (но не ограничиваясь этим) центры обработки данных, развернутые в регионах и зонах, магистральные сети Alibaba и физические устройства, включая вычислительные, запоминающие и сетевые устройства, а также Apsara, базовую распределенную облачную ОС, работающую на Alibaba Cloud, наряду со всеми различными облачными сервисами и продуктами, работающими поверх Apsara OS. В то же время Alibaba Cloud также отвечает за управление идентификацией и контролем доступа, а также за мониторинг и операционные системы на стороне платформы, чтобы предоставить клиентам высокодоступную и высокозащищенную платформу облачных услуг. В качестве примера рассмотрим вычислительный сервис Alibaba Cloud - Elastic Compute Service (ECS). Базовые физические, аппаратные и виртуализационные возможности обеспечения безопасности ECS-сервисов предоставляются непосредственно Alibaba Cloud. Для получения информации о безопасности облачной платформы и продуктов Alibaba Cloud см. Технический документ "Alibaba Cloud Security".

Клиенты должны управлять своими конфигурациями безопасности для продуктов в облаке и нести ответственность за обеспечение базовой безопасности и безопасности данных своих облачных предприятий в соответствии с их требованиями к безопасности данных. Они отвечают за безопасную настройку и безопасное использование различных облачных продуктов, а также за создание облачных приложений и предприятий безопасным и контролируемым способом в зависимости от средств обеспечения безопасности этих облачных продуктов. Они также несут ответственность за максимальное использование функций безопасности продуктов и сервисов безопасности Alibaba Cloud, а также сторонних продуктов безопасности, предоставляемых экосистемой безопасности, для защиты своих операционных систем. Например, клиенты могут использовать возможности или сервисы шифрования Alibaba Cloud для шифрования конфиденциальных данных, использовать Key Management Service (KMS) для управления ключами шифрования, включить многофакторную аутентификацию для защиты учетных данных для проверки подлинности аккаунта Alibaba Cloud или использовать ActionTrail для записи операций консоли управления и журналов вызовов OpenAPI.

Примечание: Если клиент использует базовые сервисы Alibaba Cloud, такие как Elastic Computing Service (ECS), то соответствующий экземпляр сервиса полностью контролируется клиентом, и клиент должен управлять этим экземпляром и выполнять усиление безопасности, обновлять патчи безопасности и настраивать группы безопасности для контроля доступа к сети. Однако если клиент использует на Alibaba Cloud более продвинутые сервисы, такие как платформа или облачный сервис, то ответственность клиента за обеспечение безопасности будет соответственно повышаться. Клиенту больше не нужно заботиться об обслуживании экземпляра, обновлении патчей безопасности или усилении конфигурации. Клиентам необходимо только управлять аккаунтами и авторизацией для этих сервисов и использовать функции безопасности, предоставляемые этими сервисами. Например, сервис MaxCompute предоставляет клиентам возможности контроля доступа в различных измерениях. Клиентам нужно только настроить функции безопасности в соответствии с потребностями бизнеса.

Клиентский контент (данные клиентов) относится к контенту, который клиенты отправляют или загружают в сервисы Alibaba Cloud с использованием аккаунта клиента, то есть к контенту, работающему в сервисах Alibaba Cloud.

Клиенты сохраняют право контроля, технического обслуживания и право собственности на клиентский контент. Клиенты также определяют место размещения их контента и контролируют формат, структуру и безопасность своего контента, включая экранирование, анонимность или шифрование. Они также определяют, будут ли они выбирать сервисы Alibaba Cloud, которые могут обрабатывать, хранить и размещать их клиентский контент, а также могут управлять другими средствами контроля доступа, такими как управление идентификацией, управление авторизацией и управление учетными данными безопасности. Клиенты контролируют весь жизненный цикл своего контента в Alibaba Cloud и управляют им в соответствии со своими конкретными потребностями, включая классификацию контента, контроль доступа, хранение и удаление.

Alibaba Cloud не имеет доступа к клиентскому контенту и не использует его без согласия клиента. Alibaba Cloud никогда не использует клиентский контент и не извлекает из него информацию для маркетинга, рекламы или любых других несанкционированных целей.

Как клиент, вы контролируете ваш клиентский контент. Вы контролируете жизненный цикл вашего клиентского контента в Alibaba Cloud, включая создание, использование, период хранения и уничтожение данных. Вы выбираете место хранения вашего клиентского контента, включая тип хранилища и географический регион. Вы выбираете безопасное состояние вашего клиентского контента. Мы предлагаем клиентам надежное шифрование для статического и динамического клиентского контента, а также предоставляем вам возможность управлять собственными ключами шифрования. Вы управляете доступом к вашему клиентскому контенту, а также доступом к сервисам и ресурсам Alibaba Cloud с помощью пользователей, групп, разрешений и учетных данных, которыми вы управляете.

Клиентский контент (данные клиентов) относится к контенту, который клиенты отправляют или загружают в сервисы Alibaba Cloud с использованием аккаунта клиента, в частности к контенту, работающему в сервисах Alibaba Cloud. Alibaba Cloud не имеет доступа к клиентскому контенту и не использует его без согласия клиента. Например, когда клиенты используют Elastic Computing Service (ECS) или Alibaba Cloud Relational Database Service (RDS), предоставляемые Alibaba Cloud, соответствующие экземпляры обслуживания полностью контролируются клиентом, данные клиентов также находятся под полным управлением клиента. Alibaba Cloud не получит доступа ни к каким данным клиентов.

Alibaba Cloud может получить доступ к данным клиентов только после получения разрешения клиента. Alibaba Cloud может получать доступ к этим данным и использовать их только в той мере, в какой это разрешено клиентом. Все такие доступы и использование регистрируются и проверяются. Например, когда клиент использует продукт Intelligent Speech Interaction (ISI), данный продукт может получить доступ к аудиоданным, предоставленным клиентом, только после получения от клиента разрешения на предоставление услуг, таких как распознавание голоса, синтез речи и понимание естественного языка.

Клиентский контент (данные клиентов) относится к контенту, который клиенты отправляют или загружают в сервисы Alibaba Cloud с использованием аккаунта клиента, в частности к контенту, работающему в сервисах Alibaba Cloud.

Во-первых, Alibaba Cloud не будет получать доступ к данным клиентов или использовать их без явного разрешения клиента. Клиенты управляют доступом к своему клиентскому контенту, а также сервисам и ресурсам Alibaba Cloud.

Во-вторых, Alibaba Cloud предоставляет усовершенствованный набор функций доступа, шифрования и ведения журналов, которые помогут вам эффективно предотвратить несанкционированный доступ. Например, пользователи могут использовать свой облачный аккаунт, то есть основной аккаунт, или пароль пользователя Resource Access Management (RAM) под его аккаунтом в облаке для входа в консоль облачного сервиса и выполнения операций со своими облачными ресурсами. Они также могут вызвать учетные данные API облачного сервиса с помощью ключа доступа Alibaba Cloud Access Key (AK) для доступа к ресурсам Alibaba Cloud через API. Клиент также может управлять учетными данными для краткосрочного доступа к ресурсам через службу маркеров безопасности (STS) или использовать многофакторную аутентификацию (MFA) для дополнительной защиты имени пользователя и пароля. В отношении облачных сервисов, после завершения аутентификации личности клиенты могут использовать службу управления доступом к ресурсам Resource Access Management (RAM) Alibaba Cloud для управления идентификацией пользователей и контроля доступа к ресурсам.

Все данные, хранящиеся клиентами на Alibaba Cloud, обладают мощными возможностями защиты и контроля изоляции арендаторов. Alibaba Cloud предоставляет ряд передовых решений для контроля доступа к данным, которые обеспечивают изоляцию между арендаторами. Например, пользователи могут использовать контейнеры с безопасной средой для строгой изоляции элементов, таких как память, сеть или ввод-вывод, для осуществления лучшей изоляции других арендаторов на одном хосте. Они могут использовать Virtual Private Cloud (VPC) для изоляции уровня канала передачи данных и создания безопасной сетевой среды. Они также могут использовать группы безопасности-брандмауэры виртуализации на уровне экземпляра для разделения доменов безопасности каждого экземпляра ECS или использовать облачные брандмауэры для анализа сетевого трафика доступа север-юг и восток-запад. Пользователи также могут поддерживать визуализацию сетевого трафика, такого как доступ в Интернет или трафик групп безопасности, а также поддерживать анализ и блокирование активных аутрич-действий. См. Технический документ Alibaba Cloud Security для получения дополнительной информации о безопасности конкретных сервисов передачи данных.

Дата-центры Alibaba Cloud (регионы и зоны) строятся кластерами в различных регионах мира. Клиенты могут выбрать регион(ы) или зону(ы) Alibaba Cloud, где будет располагаться их контент. (Полный список регионов и зон, см. https://www.alibabacloud.com/global-locations).

Клиенты могут поддерживать эффективный контроль над своим контентом, независимо от того, какой регион(ы) или зону(ы) они используют для своего контента. Клиент должен решить, следует ли раскрывать физическим лицам (субъектам данных) места хранения или обработки своих персональных данных и при необходимости получить согласие на такие места от соответствующих физических лиц.

Alibaba Cloud хранит и обрабатывает контент каждого клиента только в том регионе (регионах) Alibaba Cloud, который выбран клиентом. Alibaba Cloud не будет перемещать контент клиента без его согласия. Если клиент решает хранить контент в нескольких регионах или копировать или перемещать контент между регионами, это исключительно его выбор. Клиент должен будет учитывать правовые требования, применимые к таким операциям, куда бы ни перемещался и где бы ни обрабатывался контент.

Если клиенту необходимо воспользоваться сервисами Alibaba Cloud, предоставляемыми в других регионах, Alibaba Cloud примет необходимые меры для обеспечения соответствия трансграничной передачи применимому законодательству о защите данных. Например, Alibaba Cloud предоставляет GDPR Addendum, которое содержит Стандартные договорные условия, упомянутые в Решении Европейской комиссии 2010/87/EU (или в любых последующих решениях) или в статье 46 GDPR, применимые к клиентам Alibaba Cloud, передающим контент, содержащий персональные данные (как определено в GDPR), из ЕС в страну за пределами Европейской экономической зоны.

Все данные, хранящиеся клиентами на Alibaba Cloud, обладают мощными возможностями защиты и контроля изоляции арендаторов. Alibaba Cloud предоставляет ряд передовых решений для контроля доступа к данным. Например, пользователи могут использовать контейнеры с безопасной средой для строгой изоляции элементов, таких как память, сеть или ввод-вывод, для осуществления лучшей изоляции других арендаторов на одном хосте, а также могут использовать Virtual Private Cloud (VPC) для изоляции уровня канала передачи данных и создания безопасной сетевой среды. Они могут использовать группы безопасности-брандмауэры виртуализации на уровне экземпляра для разделения доменов безопасности каждого экземпляра ECS или использовать облачные брандмауэры для анализа сетевого трафика доступа север-юг и восток-запад. Пользователи также могут поддерживать визуализацию сетевого трафика, такого как доступ в Интернет или трафик групп безопасности, а также поддерживать анализ и блокирование активных аутрич-действий. См. Технический документ Alibaba Cloud Security для получения дополнительной информации о безопасности конкретных сервисов передачи данных.

Спрос на облачные продукты физического разделения в первую очередь обусловлен опасениями по поводу стороннего или иного несанкционированного доступа к приложениям, контенту или данным. Однако для систем, доступных через сеть или Интернет, физическое разделение этих систем не обеспечивает дополнительной безопасности или контроля доступа. Проще говоря, все средства контроля доступа для подключенных систем управляются с помощью логического контроля доступа, управления разрешениями, маршрутизации сетевого трафика и шифрования. Alibaba Cloud решает любые проблемы физического разделения с помощью предоставления всем клиентам логических возможностей безопасности и средств контроля безопасности, которые мы используем для защиты данных клиентов. По сравнению с коммерческими центрами обработки данных, развернутыми в разных регионах, к недостаткам также относятся более высокая структура затрат и более низкий коэффициент использования в результате менее эффективного использования пространства, а также ограниченных возможностей и функций резервирования.

Клиенты могут использовать различные решения по обеспечению безопасности для достижения результатов безопасности, эквивалентных физическому разделению. Например, они могут использовать Virtual Private Cloud (VPC) для создания эквивалента полностью отдельных сетевых доменов для каждого клиента или использовать решения шифрования для шифрования статических и динамических данных. См. Технический документ Alibaba Cloud Security для получения дополнительной информации о безопасности конкретных сервисов передачи данных.