TDSQL·专家篇·平台侧安全设计

本文为您介绍平台侧安全隔离、鉴权认证、传输加密的安全设计。

安全隔离

不同地域之间网络完全隔离，不同地域之间的云产品默认不能通过内网通信。此外，采用安全组和私有网络 VPC 措施进行网络隔离。

• 安全组：是一种有状态的包过滤功能虚拟防火墙，用于设置单台或多台云服务的网络访问控制，是腾讯云提供的重要的网络安全隔离手段。
  用户可以使用如下方法来控制 MariaDB 实例的访问权限：

  • 创建多个安全组，并给每个安全组指定不同的规则。
  • 每个 MariaDB 实例分配一个或多个安全组，将按照这些规则确定：哪些流量可访问 MariaDB 实例、MariaDB 实例可以访问哪些资源。
  • 配置安全组，以便只有特定的 IP 地址可以访问 MariaDB 实例。

• 私有网络 VPC：是一块用户在腾讯云上自定义的逻辑隔离网络空间。即使在相同地域下，不同的私有网络之间默认无法内网通信。

鉴权认证

访问管理（Cloud Access Management，CAM）是腾讯云提供的一套 Web 服务，主要用于帮助用户安全管理腾讯云账户下资源的访问权限。通过 CAM，您可以创建、管理和销毁用户（组），并通过身份管理和策略管理控制指定用户可以使用的腾讯云资源。

当用户使用 CAM 的时候，可以将策略与一个用户或一组用户关联起来，策略能够授权或者拒绝用户使用指定资源完成指定任务。

如果用户在中使用到了云服务器、私有网络、数据库等服务，这些服务由不同的人管理，但都共享用户的云账号密钥，将存在以下问题：

• 用户的密钥由多人共享，泄密风险高。
• 用户无法限制其它人的访问权限，易产生误操作造成安全风险。

您可以通过子帐号实现不同的人管理不同的服务来规避以上的问题。默认情况下，子帐号没有使用云服务的权利或者相关资源的权限。因此，我们就需要创建策略来允许子帐号使用他们所需要的资源或权限。

传输加密

MariaDB 控制台支持 HTTPS 传输协议，通过支持网络访问的标准协议，保障用户的访问安全，满足用户敏感数据加密传输的需求。

更多可见：https://cloud.tencent.com/document/product/237/46503