Gitee 如何保护你的数据 —— 系统和网络篇
之前我们介绍了 Gitee 团队内部如果通过管理机制来确保用户数据的安全,详情请看《Gitee 如何保护你的数据——内部安全治理篇》。这是 Gitee 的主动安全防御措施。本文主要介绍 Gitee 在被动安全防御方面的工作,如何通过技术手段来防范攻击、数据传输安全、灾难预防和数据可靠存储等。
一. 数据可靠性
代码是企业的核心资产,如何确保代码可靠安全的存储是每个企业都非常关注的核心。
在可靠数据存储方面,Gitee 主要通过以下措施来保证:
1. 企业仓库独立存储
在 Gitee 上,企业的仓库和个人仓库是分开不同的服务器进行存储。磁盘 IO 性能是 Git 仓库读写性能最关键的指标,通过隔离企业和个人的仓库,可避免企业仓库在 IO 方面受到大量个人仓库高并发磁盘读写的影响。
2. 企业仓库多节点存储
Gitee 企业仓库在可靠性方面比个人仓库要高很多,主要体现在企业的仓库是可扩展多个节点镜像存储的,每个节点采用 RAID 10 磁盘冗余阵列,目前 Gitee 至少为企业仓库提供两个存储节点。此举首先可以保证存储不会出现单点故障;其次,一旦出现仓库读取对磁盘压力很大时,可以通过扩充存储节点来降低磁盘的 IO 。
3. 企业仓库自动快照
数据备份以及多点存储是解决存储故障导致数据不可用的问题,而仓库快照是为了解决人为损坏导致代码数据丢失的问题。仓库快照会自动定期对企业的仓库数据进行独立的备份。一旦企业误删了某些仓库,或者对仓库做了什么不可撤回的改动后,可以从快照中的数据进行恢复。
Gitee 的仓库快照会自动为企业的仓库保存最近半年内每周一个快照版本。
二. 攻击防范措施
Gitee 目前接入腾讯大禹 DDoS 防护系统,可以抵御流量攻击和 CC 等 DDoS 分布式拒绝服务攻击。腾讯大禹 DDoS 防护系统是针对互联网服务器(包括非腾讯云主机)在遭受大流量 DDoS 攻击后导致服务不可用的情况下,推出的防御服务,用户可通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
腾讯大禹 DDoS 防护系统支持防护节点30线链路接入,海量防护带宽,轻松抵御 DDoS 攻击,下图是典型的防御架构:
通过使用腾讯大禹 DDoS 防护系统,Gitee 在用户无感知的情况下每年抵御上百次不同规模的 DDoS 攻击。
三. 数据传输安全
1.Gitee 全站强制使用全球可信的 SSL 证书,确保数据传输的安全性。
2.Gitee 已通过 IS0/IEC 27001:2013
3.Gitee 已通过 ISO9001:2015
四. 最高等级数据中心
Gitee 目前托管在无锡国际数据中心,是江苏省等级最高的数据中心。
整个数据中心按照 Tier4 最高级别行业标准建造五星级数据中心。数据中心实行7×24小时专业安保巡视制度,所有房间由安全摄像头通过数字录像和存档,实行 24×365 全年监控数据保留,符合 ISO20000 和 ISO27001 的安全标准。此外,多级网络安全监控预警体系、运营商级自动流量过滤与清洗体系也起到了屏障作用,一路为数据安全保驾护航。
在电力方面,数据中心UPS高压器内侧的配电采用了母线直连,可靠性更高。电缆采用的是单芯软电缆,进一步提升载流量的冗余空间。XDC+与ABB联合设计,首次将重型柜MNS3.0用在了末端精密配电上,鱼骨设计代替了原来的电缆软连接,作为末端配电,简化了结构,方便更换,并大大提高了可靠性。主流电路采用两个35kV独立变电站的中压电力经过不同路由传输到数据中心的2N配置变电中心,数据中心共有10台2N配置的2000kVA变压器以及2台2N配置的2500kVA变压器。在备用电力方面,共有6台专用的2N配置的1800kW发电机随时待命;柴油发电机的地下储油罐,可以满足数据中心24小时满载运行,保障数据中心的高可靠、不间断运行。
无锡国际数据中心采用封闭冷通道地板下送风的制冷模式,满足ASHRAE TC 9.9 2011要求;每个数据机房配置16台大功率机房专用精密空调,精确控制机房通风、恒温和恒湿,并完全采用标准的2N系统,任何一路制冷设备、末端或是管路出现故障,均可由另一路实现数据机房的空调冷源需求。在高架地板送风、封闭冷通道的基础上,数据中心还独创性的使用了风墙系统,两侧风墙同时运行,出风量大、送风距离长、送风均匀,具有显著的降温效果。
同时,Gitee 与多个安全团队保持合作,定期进行安全防范措施的审计,确保在系统稳定可靠的运行,为企业代码管理保驾护航。
了解如何从内部保护代码安全请点击 → 《Gitee 如何保护你的数据——内部安全治理篇》
本文系作者 @Gitee 原创发布在 Gitee 官方博客。未经许可,禁止转载。