前言
配置審計(Config)将您分散在各地域的資源整合為全局資源清單,可便捷地搜尋全局資源;同時幫助您記錄雲上 IT 資源的配置變更曆史,持續自動地評估雲上資源配置的合規性,實作雲上 IT 合規治理。本文介紹如何使用
幫助您快速發現未配置防盜鍊的 OSS Bucket 并修複的案例。
實際案例
公司 A 有 10 個垂直的業務部門,每個業務部門配置設定了 1~2 個 OSS Bucket 用于存儲營運圖檔,并直接在網頁上使用的 OSS 生成的連結做圖檔内容的展示。我們知道 OSS 的費用分為存儲費和流量費,當大量的外部請求擷取圖檔資源時,産生的流量費用需要客戶自行承擔。為了杜絕不法網站盜用圖檔資源,OSS 開發了“防盜鍊”功能,詳細的功能說明請參考:
防盜鍊公司 A 打算使用該技術方案,需要為 OSS Bucket 開啟防盜鍊,并且設定 referer 白名單為
*.alibaba.com
和
*.aliyun.com
。作為公司的運維同學,非常不希望每個 Bucket 都檢查并參考文檔配置一遍,同時還需要額外制定對策防止 Bucket 配置被二次修改。
這時候,他想起了阿裡雲的一款雲産品:
。
我們可以将配置審計(Config)的能力簡單概括為3點:
- 統一的資源視角,多地域,甚至跨賬号;
- 規則(Rule)檢測資源配置是否滿足要求;
- 持續檢測資源及修複能力;
配置審計(Config)是如何工作的?
配置審計(Config)配合開啟OSS防盜鍊功能
資源的配置資料通過異步消息通知會中心化的存儲在
的資料庫中。規則會采用定時、變更被動觸發、使用者主動觸發的方式來對資料庫的資源配置進行評估, 将評估結果展現給使用者,同時會根據規則設定判斷是否需要進行修正,如執行修正任務,新的資源配置資料會重新被
感覺進入到下一次的評估循環中。我們一起來看看公司 A 的運維同學是如何通過
完成任務的。
設定規則
打開
配置審計控制台,進入
規則清單,點選
建立規則,即可看到
為使用者提供的大量的托管規則(托管規則由平台開發并提供給使用者使用),搜尋“防盜鍊”或“referer”都可以搜尋到該規則:OSS 存儲空間開啟防盜鍊功能。
點選應用規則,
第一步:設定規則名稱、自定義風險等級、自定義備注資訊;
第二步:可以根據實際的業務場景限定需要檢查的資源的範圍;可選項包括資源 ID、資源組 ID、地域、标簽等;
第三步:設定允許的 referer 白名單及是否允許 referer 為空;
第四步: 設定是否開啟自動修複,我們暫時先跳過,後續再讨論;
第五步:預覽并送出
規則評估
規則建立完成後,規則便開始對存量的 Bucket 配置進行合規性的評估,參考規則的評估說明, “OSS 存儲空間開啟防盜鍊功能,視為合規”,該規則通過檢查 Bucket 配置資訊中的
RefererList.Referer
不為空判定開啟防盜鍊功能是否合規。
規則評估完成後會生成一份評估結果,标注累計評估資源數、合規資源數、不合規資源數;您可以基于這份檢查結果去手動配置。注意:對于新增的 OSS Bucket 同樣會自動檢測其合規性。
下圖為檢測結果:累計檢測 23 個 OSS Bucket,23 個不合規,表示這 23 個 OSS Bucket 均未開啟防盜鍊功能。
如何修複
如果 Bucket 的數量很多,繁重的人工配置可能會帶來操作上的失誤,别着急,
提供修正能力,對于規則評估出的不合規資源結合
運維編排(OOS)将其修複。可在規則詳情頁->修正詳情,然後點選“修正配置”,完成修正配置。
注意有一個選項為:“自動修正/手動修正”,我們暫時勾選為“手動修正”。
這時候,在修正詳情 tab,将會出現“執行手動修正”的按鈕,點選此按鈕,則手動觸發對不合規資源的修複任務。
由于修複任務是異步發起的,您可以直接去對象存儲的控制台->存儲桶-> 權限管理 -> 防盜鍊檢視是否修正成功,也可稍微等待一段時間(10分鐘左右)再來
控制台檢視最新的配置資訊。
如上圖所示,修複動作已經執行完成,OSS Bucket 防盜鍊已經正常設定, 回到
,繼續等待片刻,修複觸發的資源變更資料會回流到
觸發規則的再一次評估,這時候我們發現所有的資源都變成合規狀态。
持續評估并修複
如何保證其他運維人員在後續的時間裡不再改變該配置呢?組織内部運作機制能夠勉強完成任務,但是人總是會犯錯誤的。我們可以借助
的持續檢測及修複能力。 在剛才配置修複設定中,将“手動執行”修改為“自動執行”,一旦資源發生了不合理的變更,
将會識别并将其自動糾正為正确的配置,防止異常修改。
如,我們在 OSS 控制台将某個 OSS Bucket 的配置規則修改為,改動點:
*.alibaba.com
改成了
*.alibaba-inc.com
稍微等待幾分鐘,我們會發現:
這裡出現了我們剛才設定的錯誤的防盜鍊名單的 OSS Bucket,此時,自動修正已經觸發,之是以還有 1 個顯示為不合規,是因為
需要等待修正後的正确置到達中心化的資料庫才能進行再一次的規則評估,将不合規資源評估為合規狀态。
如上圖,經過大約 10 分鐘的時間,最新的 Bucket 配置資訊已經到達配置審計,規則評估觸發認定為“合規”。
我們再次回到 OSS Bucket 控制台檢視最新的資源配置是否生效。
配置被重新設定回了
*.alibaba.com
*.aliyun.com
總結
以上就是使用
檢測不合規配置并持續自動修複的全部内容,我們通過設定規則,規則評估及修複等完成從發現問題,定位資源,到手動、自動變配,形成了問題在
的閉環。
另外,我們還有很多适用于更複雜業務場景的規則及合規包,可以幫助企業運維、企業合規項目的同學們更高效地完成工作。
立即前往->