本文分享自微信公衆号 - 騰訊雲存儲
相信所有企業和個人開發者在選用雲存儲産品時都把資料安全作為重要考量标準。 本文介紹了使用者如何使用騰訊雲對象存儲COS的事前防護、事中監控、事後追溯三個手段來保證自己的資料安全。
一、事前防護手段
1. 權限隔離
對上雲企業來說,賬号安全和資源合理授權是構築立體防護體系的第一道門鎖。雲上資源管理的授權應該規避如下風險:
- 使用騰訊雲主賬号進行日常操作;
- 為員工建了子賬号,但是授權過大;
- 缺乏對使用帳号權限的管理制度和流程;
- 沒有定期審計管理使用者的權限和登入資訊;
- 對高權限子賬号和高危操作沒有通路條件控制;
騰訊雲CAM通過賬戶分級、權限分級等多種措施保障權限清晰、安全可控。
賬戶分級:主賬号可以為所有合法的CAM使用者,包括子賬号、協作者等,授予程式設計通路和控制台通路等不同的通路形式;
權限分級:則通過服務級、接口級、資源級等不同級别的授權,授權CAM使用者可以在何種條件下通過何種的方式對何種資源進行何種操作;
首先,可以在主賬号裡建立子賬号,給子賬号配置設定主賬号下資源的管理權限,而不需要分享主賬号的相關的身份憑證。
另外,可以針對不同的資源,授權給不同的人員不同的通路權限。例如,可以允許某些子賬号擁有某個COS存儲桶的讀權限,而另外一些子賬号或者主賬号可以擁有某個COS存儲對象的寫權限等。這裡的資源、通路權限、使用者都可以批量打包,進而做到精細化的權限管理。
對于一些高危操作(如删除資料)的權限,也可剖離出來進行授權,僅允許使用者在控制台進行操作,同時通過開啟MFA校驗來進行二次認證。開啟MFA校驗後,使用者在執行此類高危操作時會觸發短信校驗碼進行校驗。
2. 對象鎖定
對于一些核心敏感資料,如金融交易資料、醫療影像資料等,可通過對象鎖定功能來防止檔案在上傳之後被删除或者篡改。
配置對象鎖定功能後,在配置的有效期内,存儲桶内的所有資料将處于隻讀狀态,不可覆寫或者删除,此項操作對包括主賬号在内所有CAM使用者及匿名使用者生效。
此項功能正在内測中,有需要的使用者請送出工單申請試用。
3. 資料災備
騰訊雲對象存儲提供了包括資料加密、版本控制、跨地域複制和生命周期功能等多種功能在内的資料管理能力支援。
- 敏感檔案可通過加密功能保障資料讀寫安全;
- 通過版本控制和跨地域複制實作異地容災,保障資料持久性,確定資料誤删或者被惡意删除時可從備份站點恢複資料;
- 通過生命周期進行資料沉降和删除,減少資料存儲成本;
版本控制功能還可以保障使用者的檔案不會被覆寫寫或者删除。在開啟版本控制配置後,所有同名檔案的寫操作都會視同新增不同版本的同名檔案,删除操作等同于新增一項删除标記;可以通過指定版本号通路過去任意版本的資料,可實作資料的復原操作,解決資料誤删和覆寫的風險。
此外,對象存儲還提供了跨地域複制的功能,幫助使用者将所有增量檔案通過專線複制到其他城市的資料中心,實作異地容災的作用。當主存儲桶中的資料被删除時,可從備份存儲桶中通過批量拷貝的方式恢複資料。
考慮到版本控制和跨地域複制功能都可能造成檔案數增加,使用者也可以通過生命周期功能将一些備份資料沉降至低頻或者歸檔存儲等更便宜的存儲類型,進而實作低成本存儲。綜合資料加密、版本控制、跨地域複制和生命周期功能,騰訊雲對象存儲對外提供的完整冷備方案,如下圖所示。
對于一些資料主要存儲在其他雲廠商,且對資料持久性要求苛刻的客戶,COS也提供基于雲函數的多雲災備方案。
- 首先,資料存儲在其他雲廠商上(如AWS或者OSS),客戶可通過雲函數觸發資料同步或者跨地域複制實作異地容災,保障資料持久性;
- 同時,通過雲函數觸發資料遷移,将核心資料備份到騰訊雲的對象存儲服務上,并通過騰訊雲的跨地域複制功能,實作異地災備;
- 最後,通過騰訊雲的權限管控,管理COS的資料通路權限,保障極端情況下資料可從騰訊雲COS上恢複資料;
二、事中監控手段
騰訊雲對象存儲基于雲函數提供了事件通知功能。
對于删除檔案這類高危操作,可以通過SCF針對DeleteObject這類高危操作配置雲函數,在高危操作行為發生時即刻發送通知郵件或者手機上,確定可以及時發現高危行為,并采取手段中止。
三、事後追溯手段
騰訊雲對象存儲為使用者提供了多管道低門檻的日志監控和審計功能。
對于存儲桶的使用者通路日志,如删除檔案(DeleteObject)、覆寫寫檔案(PutObjectCopy)、修改檔案權限(PutObjectACL)等操作,均可通過存儲桶通路日志功能進行追蹤,删除操作等高危行為可追溯可查證;
對于存儲桶配置管理行為,如删除存儲桶(DeleteBucket)、修改存儲桶通路控制清單(PutBucketACL)、修改存儲桶政策(PutBucketPolicy)等操作,可通過雲審計日志進行追蹤,權限配置修改等行為也可追溯查證。