数据安全

数据安全是所有云平台的重中之重，Zilliz Cloud 也不例外。为了保障数据安全，Zilliz Cloud 在各个方面都提供了强大的措施，包括认证、访问控制、网络隔离、数据加密以及备份和恢复等。

本文介绍了 Zilliz Cloud 如何在各阶段实现数据安全保护。

注册账户

从账户注册开始，Zilliz Cloud 就把数据安全放在首位。

在 Web 控制台注册账户时，Zilliz Cloud 使用多种加密技术来保护用户数据。利用强大的加密算法，如 SHA-256 和 bcrypt 等，对您的账户信息进行加密保护。

此外，Zilliz Cloud 坚持严格的政策，不在其系统中存储用户名和密码。这种方法可以确保即使发生安全漏洞的情况下，用户账密信息也能保持安全。

创建和运行集群

一旦账户准备就绪，您便可以登录 Zilliz Cloud 控制台以创建和运行集群。

从架构设计上来看，Zilliz Cloud 平台包括两个平面：控制平面和内核平面。这两个平面位于单独的安全组中，拥有隔离网络，从而增强了数据的安全性。

此外，Zilliz Cloud 还支持其他安全设置，如访问控制、白名单等，以保障集群内外部通信的安全。

认证

Zilliz Cloud 使用 OAuth2 协议实现身份验证。当访问集群时，Zilliz Cloud 要求用户提供身份凭证（或令牌）以证明用户身份。身份认证通过后，用户才能访问或操作集群资源。身份凭证通常由用户名和密码对或 API 密钥组成。

有关详细信息，请参见通过 Web UI 管理身份凭证和API 密钥。

访问控制

在大多数情况下，仅对用户进行身份验证是远远不够的。实际应用场景需要更细粒度的权限控制，即定义用户可以访问或操作资源的权限范围。

为了满足这些需求，Zilliz Cloud 启用了访问控制。该特性允许您限制用户权限，授权用户仅访问指定资源的最小权限。通过此机制，集群管理员可以向用户授予一个或多个角色，并通过角色定义用户对集群资源的访问和操作权限。这有助于避免未授权的访问。

有关详细信息，请参见用户授权。

白名单

为了公网访问的安全性，Zilliz Cloud 使用 HTTPS 协议，并提供白名单功能来实现 IP 地址过滤。

如果要限制可访问集群的 IP 地址范围，可以将指定的 CIDR 块添加到集群的白名单中。如果要完全禁止公网访问，您可以将 127.0.0.1/32 添加到集群的白名单中。

有关详细信息，请参见设置白名单。

私网连接

如果你不希望集群流量暴露在互联网上，Zilliz Cloud 支持您为您的集群添加私网连接。该功能为您 的集群提供了一层安全保障，保证只有您信任的虚拟私有网络（VPC）上的资源可以与您的集群通信。

有关详细信息，请参见创建私网连接。

数据存储和传输

针对正在运行的集群，Zilliz Cloud 会采取各种措施来保障数据的安全存储和传输。

Zilliz Cloud 集群中的向量数据存储在对象存储（如阿里云 OSS）中。对象存储已启用服务端加密，且不同租户的数据通过存储桶实现数据隔离。此外，Zilliz Cloud 利用 JumpServer 记录所有集群访问相关的操作，例如登录、查询和修改等。收集的审计日志可用于跟踪和调查潜在的安全事故或数据泄漏风险。

备份和恢复

为了保障数据完整性，Zilliz Cloud 提供可靠的数据备份和恢复机制。

Zilliz Cloud 平台提供回收站功能，回收站中的数据最长保留期为 30 天，允许您在此期间恢复意外删除的数据。此外，您可以创建自动备份，以确保意外发生时可以进行数据恢复。

有关详细信息，请参见备份与恢复。

总结

为了保证数据的机密性、完整性和可用性，Zilliz Cloud 在各阶段都将数据安全置于首位，并采用加密技术、认证协议、访问控制、白名单、服务器端加密、审计日志和备份恢复等机制来保障数据安全。