之前我们介绍了码云团队内部如果通过管理机制来确保用户数据的安全,详情请看《码云如何保护你的数据——内部安全治理篇》。这是码云的主动安全防御措施。本文主要介绍码云在被动安全防御方面的工作,如何通过技术手段来防范攻击、数据传输安全、灾难预防和数据可靠存储等。

 

一. 数据可靠性

代码是企业的核心资产,如何确保代码可靠安全的存储是每个企业都非常关注的核心。

在可靠数据存储方面,码云主要通过以下措施来保证:

1. 企业仓库独立存储

在码云平台上,企业的仓库和个人仓库是分开不同的服务器进行存储。磁盘 IO 性能是 Git 仓库读写性能最关键的指标,通过隔离企业和个人的仓库,可避免企业仓库在 IO 方面受到大量个人仓库高并发磁盘读写的影响。

2. 企业仓库多节点存储

码云企业仓库在可靠性方面比个人仓库要高很多,主要体现在企业的仓库是可扩展多个节点镜像存储的,每个节点采用 RAID 10 磁盘冗余阵列,目前码云至少为企业仓库提供两个存储节点。此举首先可以保证存储不会出现单点故障;其次,一旦出现仓库读取对磁盘压力很大时,可以通过扩充存储节点来降低磁盘的 IO 。

3. 企业仓库自动快照

数据备份以及多点存储是解决存储故障导致数据不可用的问题,而仓库快照是为了解决人为损坏导致代码数据丢失的问题。仓库快照会自动定期对企业的仓库数据进行独立的备份。一旦企业误删了某些仓库,或者对仓库做了什么不可撤回的改动后,可以从快照中的数据进行恢复。

码云的仓库快照会自动为企业的仓库保存最近半年内每周一个快照版本。

二. 攻击防范措施

码云目前接入阿里云盾高防系统(高防 IP),可以抵御流量攻击和 CC 等 DDoS 分布式拒绝服务攻击。阿里云 DDoS 高防 IP 是针对互联网服务器(包括非阿里云主机)在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的防御服务,用户可通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。

阿里云盾提供 10T+ 防御带宽,电信、联通、移动、教育网等 8 线独家防御,下图是典型的防御架构:

通过使用阿里云高防服务,码云在用户无感知的情况下每年抵御上百次不同规模的 DDoS 攻击。

三. 数据传输安全

码云全站强制使用全球可信的 SSL 证书,确保数据传输的安全性。

四. 最高等级数据中心

码云平台目前托管在无锡国际数据中心,是江苏省等级最高的数据中心。

整个数据中心按照 Tier4 最高级别行业标准建造五星级数据中心。数据中心实行7×24小时专业安保巡视制度,所有房间由安全摄像头通过数字录像和存档,实行 24×365 全年监控数据保留,符合 ISO20000 和 ISO27001 的安全标准。此外,多级网络安全监控预警体系、运营商级自动流量过滤与清洗体系也起到了屏障作用,一路为数据安全保驾护航。

在电力方面,数据中心UPS高压器内侧的配电采用了母线直连,可靠性更高。电缆采用的是单芯软电缆,进一步提升载流量的冗余空间。XDC+与ABB联合设计,首次将重型柜MNS3.0用在了末端精密配电上,鱼骨设计代替了原来的电缆软连接,作为末端配电,简化了结构,方便更换,并大大提高了可靠性。主流电路采用两个35kV独立变电站的中压电力经过不同路由传输到数据中心的2N配置变电中心,数据中心共有10台2N配置的2000kVA变压器以及2台2N配置的2500kVA变压器。在备用电力方面,共有6台专用的2N配置的1800kW发电机随时待命;柴油发电机的地下储油罐,可以满足数据中心24小时满载运行,保障数据中心的高可靠、不间断运行。

无锡国际数据中心采用封闭冷通道地板下送风的制冷模式,满足ASHRAE TC 9.9 2011要求;每个数据机房配置16台大功率机房专用精密空调,精确控制机房通风、恒温和恒湿,并完全采用标准的2N系统,任何一路制冷设备、末端或是管路出现故障,均可由另一路实现数据机房的空调冷源需求。在高架地板送风、封闭冷通道的基础上,数据中心还独创性的使用了风墙系统,两侧风墙同时运行,出风量大、送风距离长、送风均匀,具有显著的降温效果。

 

同时,码云与多个安全团队保持合作,定期进行安全防范措施的审计,确保在系统稳定可靠的运行,为企业代码管理保驾护航。

了解如何从内部保护代码安全请点击  码云如何保护你的数据——内部安全治理篇》