雲HBase活動福利
【雲HBase産品介紹】
更多活動内容請 參考連結
背景
受近期“
微盟員工删庫事件”的影響,大量客戶咨詢雲HBase在備份恢複方面的能力。資料是客戶的核心資産,資料安全是生命線。世界範圍内資料丢失的案件其實一直都有發生,有惡意的,但更多是操作不當造成,我們在
備份!備份!備份! 看阿裡雲HBase的企業級備份恢複如何設計一文中羅列了一些較著名的事件。本文總結了雲HBase在資料安全方面的使用實踐,希望可以幫助使用者建立更完善的資料安全政策。
雲資料安全三道防線
- 防止惡意或操作不當釋放執行個體。執行個體都被釋放了,那麼連帶伺服器和資料一起都沒了。
- 防止惡意或操作不當删除、污染資料。執行個體雖然釋放不了,但可以登陸系統去Drop表,去覆寫資料。一般這種情況需要備份資料。
- 防止備份被删除。微盟這次就是備份也被删除了。
雲HBase應對之策
删除保護&子賬号管理
雲HBase支援指定執行個體開啟删除保護,此時釋放執行個體的操作會被阻止。再加上通過RAM權限管理可以收回子賬号對“解除删除保護”的權限,最終隻有主賬号有權限解除删除保護。這個功能可以友善的保護核心資産,而且比較靈活,平時購買和釋放測試執行個體就無需開啟保護。
(子賬号的RAM配置見後面)
備份恢複
雲HBase支援備份恢複,周期性的對叢集進行全量備份,同時支援秒級RPO的實時增量備份。雲HBase備份恢複具有如下特點:
- 混合雲,支援對自建HBase進行備份
- 靈活的備份政策,支援表級别備份
- 防惡意删除,備份計劃删除前有靜默期
- 低成本,備份存儲在OSS
備份恢複入口:
詳情參考:
備份恢複使用文檔如何用RAM限制“删除保護”
1 進入RAM控制台,建立自定義權限政策HBaseDeleteProtection,這裡需要使用腳本方式建立,腳本如下:
{
"Statement": [
{
"Effect": "Deny",
"Action": "hbase:ModifyClusterDeletionProtection",
"Resource": "acs:hbase:*:*:dbinstance/*"
}
],
"Version": "1"
} 2 為子賬号授權
可以看到有兩個權限,第一個是系統權限AliyunHBaseFullAccess,第二個是我們剛剛自定義的權限,這樣就允許該子賬号執行除了“開啟、解除删除保護”之外的所有雲HBase操作。
技術交流
大家有疑問或者更多想法可掃描下面二維碼加入專家群