Alibaba Cloud는 리전 및 zone에 걸쳐 배포된 데이터 센터, Alibaba 백본 네트워크, 그리고 컴퓨팅, 스토리지, 네트워크 장치를 포함한 물리적 장치, Alibaba Cloud에서 구동되며 기반이 되는 분산 클라우드 OS인 Apsara와 Apsara OS에서 실행되는 다양한 클라우드 서비스 및 제품을 포함하여(이에 국한되지 않음) 안전하게 관리되고 운영되는 인프라를 보장해야 합니다. 동시에 Alibaba Cloud는 플랫폼 측의 모니터링 및 운영 시스템뿐만 아니라 ID 및 액세스 제어 관리를 담당하여 고객에게 고가용성 및 보안성이 높은 클라우드 서비스 플랫폼을 제공합니다. Alibaba Cloud의 컴퓨팅 서비스인 ECS(Elastic Compute Service)를 예로 들어 보겠습니다. ECS 서비스의 기본 물리적, 하드웨어 및 가상화 보안 기능은 Alibaba Cloud에서 직접 제공합니다. Alibaba Cloud의 클라우드 플랫폼 및 제품 보안에 대한 정보는 Alibaba Cloud 보안 백서를 참조하세요.

고객은 클라우드에서 제품에 대한 보안 세부 사항을 관리하고 데이터 보안 요구 사항을 충족하기 위해 클라우드에서 비즈니스의 기본 보안 및 데이터 보안을 보장할 책임이 있습니다. 이들은 다양한 클라우드 제품을 안전하게 구성 및 사용하고 이러한 클라우드 제품의 보안 기능을 기반으로 안전하고 제어 가능한 방식으로 클라우드 애플리케이션 및 비즈니스를 구축할 책임이 있습니다. 또한 Alibaba Cloud 제품 및 보안 서비스의 보안 기능은 물론 보안 생태계에서 제공하는 타사 보안 제품의 보안 기능을 최대한 활용하여 비즈니스 시스템을 보호할 책임도 있습니다. 예를 들어, 고객은 Alibaba Cloud의 암호화 기능 또는 서비스를 사용하여 민감한 데이터를 암호화하고, KMS(Key Management Service)를 사용하여 암호화 키를 관리하고, 다중 요소 인증을 활성화하여 Alibaba Cloud 계정 인증 자격 증명을 보호하거나, ActionTrail을 사용하여 관리 콘솔 작업 및 OpenAPI 호출 로그를 기록할 수 있습니다.

참고: 고객이 ECS(Elastic Computing Service)와 같은 Alibaba Cloud의 기본 서비스를 사용하는 경우 해당 서비스 인스턴스는 고객이 완전히 제어하며 고객은 인스턴스를 관리하고 보안 강화를 수행하고 보안 패치를 업그레이드하며 네트워크 액세스 제어를 위한 보안 그룹을 구성해야 합니다. 그러나 고객이 Alibaba Cloud에서 플랫폼이나 클라우드 네이티브 서비스와 같은 고급 서비스를 사용하는 경우 그에 따른 고객의 보안 책임은 달라집니다. 고객은 더 이상 인스턴스를 유지 관리하거나 보안 패치를 업그레이드하거나 구성을 강화하는 방법에 집중할 필요가 없습니다. 고객은 이러한 서비스에 대한 계정 및 권한을 관리하고 이러한 서비스에서 제공하는 보안 기능을 사용하기만 하면 됩니다. 예를 들어 MaxCompute 서비스는 고객에게 다양한 차원의 액세스 제어 기능을 제공합니다. 고객은 비즈니스 니즈에 따라 보안 기능을 구성하기만 하면 됩니다.

회원 콘텐츠(고객 데이터)는 고객이 Alibaba Cloud Services 고객 계정에 제출하거나 업로드하는 콘텐츠, Alibaba Cloud Services에서 실행되는 콘텐츠를 의미합니다.

고객은 회원 콘텐츠에 대한 제어, 유지 관리 및 소유권을 보유합니다. 또한 고객은 콘텐츠의 위치를 ​​결정하고 마스킹, 익명화 또는 암호화 여부를 포함하여 콘텐츠의 형식, 구조, 보안을 제어합니다. 또한 회원 콘텐츠를 처리, 저장 및 호스팅하고 ID 관리, 권한 부여 관리 및 보안 자격 증명 관리와 같은 기타 액세스 제어를 관리할 수 있는 Alibaba Cloud 서비스를 선택할지 여부도 결정합니다. 고객은 Alibaba Cloud에서 콘텐츠의 전체 라이프사이클을 제어하고 콘텐츠 분류, 접속 제어, 보존 및 삭제를 비롯한 특정 니즈에 따라 콘텐츠를 관리합니다.

Alibaba Cloud는 고객의 동의 없이 회원 콘텐츠에 접근하거나 콘텐츠를 사용하지 않습니다. Alibaba Cloud는 마케팅, 광고 또는 기타 승인되지 않은 목적을 위해 고객 회원 콘텐츠를 사용하거나 정보를 전파하지 않습니다.

고객은 회원 콘텐츠를 관리합니다. 데이터 생성, 사용, 저장 기간 및 파기를 포함하여 Alibaba Cloud에서 회원 콘텐츠의 라이프사이클을 제어합니다. 저장소 유형 및 지리적 리전을 포함하여 회원 콘텐츠가 저장될 위치를 결정합니다. 또한 회원 콘텐츠의 보안 상태를 선택합니다. 당사는 고객에게 전송 중 및 저장 중인 회원 콘텐츠에 대한 강력한 암호화를 제공하고 귀하의 고유한 암호화 키를 관리할 수 있는 옵션을 제공합니다. 귀하는 귀하가 제어하는 ​​사용자, 그룹, 권한 및 자격 증명을 통해 회원 콘텐츠에 대한 액세스와 Alibaba Cloud 서비스 및 리소스에 대한 액세스를 관리합니다.

회원 콘텐츠(고객 데이터)는 고객이 고객 계정으로 Alibaba Cloud 서비스에 제출하거나 업로드하는 콘텐츠, 특히 Alibaba Cloud Services에서 실행되는 콘텐츠를 의미합니다. Alibaba Cloud는 고객의 동의 없이 회원 콘텐츠에 접근하거나 콘텐츠를 사용하지 않습니다. 예를 들어, 고객이 Alibaba Cloud에서 제공하는 ECS(Elastic Computing Service) 또는 Alibaba Cloud RDS(관계형 데이터베이스)를 사용하는 경우 관련 서비스 인스턴스는 고객이 완전히 제어하고 고객의 데이터는 전적으로 고객이 관리합니다. Alibaba Cloud는 고객 데이터에 액세스하지 않습니다.

Alibaba Cloud는 고객의 허가를 받은 후에만 고객 데이터에 액세스할 수 있습니다. Alibaba Cloud는 고객이 허용하는 범위 내에서만 이 데이터에 액세스하고 사용할 수 있습니다. 모든 액세스 및 사용은 기록되고 감사됩니다. 예를 들어, 고객이 ISI(Intelligent Speech Interaction) 제품을 사용하는 경우 고객의 승인을 받은 후에만 음성 인식, 음성 합성, 자연어 이해 등의 서비스를 제공하기 위해 고객이 제공한 오디오 데이터에 접근할 수 있습니다.

회원 콘텐츠(고객 데이터)는 고객이 고객 계정으로 Alibaba Cloud 서비스에 제출하거나 업로드하는 콘텐츠, 특히 Alibaba Cloud Services에서 실행되는 콘텐츠를 의미합니다.

첫째, Alibaba Cloud는 고객이 명시적으로 승인하지 않는 한 고객 데이터에 액세스하거나 사용하지 않습니다. 고객은 회원 콘텐츠와 Alibaba Cloud 서비스 및 리소스에 대한 액세스를 관리합니다.

둘째, Alibaba Cloud는 무단 액세스를 효과적으로 방지하는 데 도움이 되는 고급 액세스, 암호화 및 로깅 기능을 제공합니다. 예를 들어, 사용자는 자신의 클라우드 계정, 즉 기본 계정을 사용하거나 클라우드 계정의 RAM(Resource Access Management) 사용자 비밀번호를 사용하여 클라우드 서비스 콘솔에 로그인하고 클라우드 리소스에 대한 작업을 수행할 수 있습니다. 또한 Alibaba Cloud 액세스 키(AK)로 클라우드 서비스 API 자격 증명을 호출하여 API를 통해 Alibaba Cloud의 리소스에 액세스할 수 있습니다. 고객은 또한 보안 토큰 서비스(STS)를 통해 리소스에 대한 단기 액세스를 위한 자격 증명을 관리하거나 MFA(다단계 인증)를 사용하여 사용자 이름과 암호에 대한 보호를 추가할 수 있습니다. 클라우드 서비스의 경우, 고객은 신원 인증이 완료된 후 사용자 신원 관리 및 리소스 액세스 제어를 위해 Alibaba Cloud의 RAM(Resource Access Management) 리소스 액세스 제어 서비스를 사용할 수 있습니다.

고객이 Alibaba Cloud에 저장한 모든 데이터는 강력한 테넌트 격리 보안 및 제어 기능으로 보호됩니다. Alibaba Cloud는 강력한 멀티 테넌트 격리를 보장하기 위해 고급 데이터 액세스 제어를 제공합니다. 예를 들어 사용자는 보안 샌드박스 컨테이너를 사용하여 메모리, 네트워크 또는 IO와 같은 항목을 강력하게 격리하여 단일 호스트에서 다른 멀티 테넌트를 더 잘 격리할 수 있습니다. VPC(Virtual Private Cloud)를 사용하여 데이터 링크 계층을 격리하고 안전한 네트워크 환경을 구축할 수 있습니다. 또한 인스턴스 수준 가상화 방화벽 보안 그룹을 사용하여 각 ECS 인스턴스의 보안 도메인을 분할하거나 클라우드 방화벽을 사용하여 남북 및 동서 액세스 네트워크 트래픽을 분석할 수 있습니다. 사용자는 또한 인터넷 액세스 및 보안 그룹 트래픽과 같은 네트워크 전체 트래픽의 시각화와 적극적인 아웃리치 행동의 분석 및 차단을 지원할 수 있습니다. 특정 데이터 서비스의 보안에 대한 자세한 내용은 Alibaba Cloud 보안 백서를 참조하세요.

Alibaba Cloud 데이터 센터(리전 및 zone)는 다양한 글로벌 리전의 클러스터에 구축됩니다. 고객은 콘텐츠가 위치할 Alibaba Cloud 리전 또는 zone을 선택할 수 있습니다. (리전 및 zone의 전체 목록은 https://www.alibabacloud.com/global-locations 참조).

고객은 콘텐츠에 사용하는 리전 또는 zone에 관계없이 콘텐츠를 효과적으로 제어할 수 있습니다. 고객은 개인(데이터 주체)에게 자신의 개인 데이터를 저장 또는 처리하는 위치를 공개해야 하는지 여부를 고려하고 필요한 경우 해당 위치에 관한 동의를 받아야 합니다.

Alibaba Cloud는 고객이 선택한 Alibaba Cloud 리전에서만 각 고객의 콘텐츠를 저장하고 처리합니다. Alibaba Cloud는 고객의 동의 없이 고객 콘텐츠를 이동하지 않습니다. 고객이 둘 이상의 리전에 콘텐츠를 저장하거나 리전 간에 콘텐츠를 복사 또는 이동하도록 선택하는 경우 이는 전적으로 고객의 선택입니다. 고객은 콘텐츠가 이동되고 처리되는 모든 곳에서 이러한 작업에 적용되는 법적 요구 사항을 고려해야 합니다.

고객이 다른 지역에서 제공되는 Alibaba Cloud Services를 사용해야 하는 경우 Alibaba Cloud는 국가 간 전송이 해당 데이터보호법을 준수하는지 확인하기 위해 필요한 조치를 취합니다. 예를 들어 Alibaba Cloud는 개인정보(GDPR에 정의됨)가 포함된 콘텐츠를 EU에서 유럽경제지역 외부로 전송하는 Alibaba Cloud 고객에게 European Commission Decision 2010/87/EU(또는 모든 후속 결정) 또는 GDPR 46조에 언급된 대로 승인된 표준 계약 조항을 포함하는 GDPR 부록을 제공합니다.

고객이 Alibaba Cloud에 저장한 모든 데이터에는 강력한 테넌트 격리 보안 및 제어 기능이 있습니다. Alibaba Cloud는 고급 데이터 액세스 제어를 제공합니다. 예를 들어 사용자는 보안 샌드박스 컨테이너를 사용하여 메모리, 네트워크 또는 IO와 같은 항목을 강력하게 격리하여 단일 호스트에서 다른 멀티 테넌트를 더 잘 격리하고 VPC(Virtual Private Cloud)를 사용하여 데이터 링크 계층을 격리하고 안전한 네트워크 환경을 구축합니다. 인스턴스 수준 가상화 방화벽 보안 그룹을 사용하여 각 ECS 인스턴스의 보안 도메인을 분할하거나 클라우드 방화벽을 사용하여 남북 및 동서 액세스 네트워크 트래픽을 분석할 수 있습니다. 사용자는 또한 인터넷 액세스 또는 보안 그룹 트래픽과 같은 네트워크 전체 트래픽의 시각화와 적극적인 아웃리치 행동의 분석 및 차단을 지원할 수 있습니다. 특정 데이터 서비스의 보안에 대한 자세한 내용은 Alibaba Cloud 보안 백서를 참조하세요.

물리적 분리 클라우드 제품의 요건은 주로 애플리케이션, 콘텐츠 또는 데이터에 대한 타사 또는 기타 무단 액세스에 대한 우려로 인해 발생합니다. 그러나 네트워크나 인터넷을 통해 액세스할 수 있는 시스템의 경우 이러한 시스템을 물리적으로 분리해도 액세스에 대한 추가 보안이나 제어가 제공되지 않습니다. 간단히 말해서 연결된 시스템에 대한 모든 액세스 제어는 논리적 액세스 제어, 권한 관리, 네트워크 트래픽 라우팅 및 암호화를 통해 관리됩니다. Alibaba Cloud는 모든 고객에게 제공하는 논리적 보안 기능과 고객 데이터를 보호하기 위해 마련한 보안 제어를 통해 물리적 분리 문제를 해결합니다. 또한 단점으로는 상용 데이터 센터 지역의 지리적 다양성에 비해 제한된 중복 옵션 및 기능, 덜 효율적인 공간 사용으로 인한 더 높은 비용 구조 및 더 낮은 활용도가 있습니다.

고객은 물리적 분리와 동일한 보안 결과를 달성하기 위해 다양한 보안 접근 방식을 활용할 수 있습니다. 예를 들어, VPC(Virtual Private Cloud)를 사용하여 각 테넌트에 대해 완전히 별도의 네트워크 도메인을 생성하거나 암호화 솔루션을 사용하여 저장 데이터 및 전송 데이터를 암호화할 수 있습니다. 특정 데이터 서비스의 보안에 대한 자세한 내용은 Alibaba Cloud 보안 백서를 참조하세요.