更新时间:2023-08-18 GMT+08:00
安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了DRS使用过程中的安全最佳实践,旨在为数据迁移过程中的安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估DRS任务的安全状态,更加安全的完成数据迁移,提高数据迁移整体安全防御能力,使得权限最小化,数据不篡改、不泄露。
本文从以下几个维度给出建议,您可以评估DRS使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 通过细粒度授权,精细地控制DRS资源的使用范围
- 使用安全可信的网络以及加密传输协议
- 通过网络访问控制,实现数据同步网络隔离
- 配置独立的数据库迁移用户,赋予迁移最小权限
- 创建高可用任务,提高服务可用性
- 建议妥善管理认证凭证,减少因凭证泄露导致的数据泄露风险
通过细粒度授权,精细地控制DRS资源的使用范围
- 建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露或被误操作
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。
- 建议采用细粒度授权,针对用户权限进行细粒度控制
细粒度策略以API接口为粒度进行权限拆分,建议您可以根据用户DRS操作的权限自定义配置权限策略。
使用安全可信的网络以及加密传输协议
- 建议使用VPN等安全网络进行数据同步,确保数据传输网络安全
尽量不使用EIP网络,采用VPN等安全网络进行数据传输,通过防火墙、安全组、ACL规则等网络配置,减少攻击面,提升数据同步网络的安全性。
- 建议使用证书+SSL方式
证书+SSL方式连接数据库是安全的连接方式,保护数据传输过程中的完整性和机密性,但是会有一定的性能损耗。对同步性能敏感的场景下,需要平衡性能和安全的取舍。
