ROMA Connect安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力,对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了使用ROMA Connect过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。
本文从以下几个维度给出建议,您可以评估ROMA Connect的使用情况,并根据业务需要在本指导的基础上进行安全配置。
实例安全访问配置
组合应用连接器配置
- 触发器中包含多种类型,下面以OpenAPI、Kafka、SQL Server为例,列举推荐连接方式。
- 触发器选择“Open API”时,“安全认证”推荐选择“APP认证”,或者“IAM认证”。保证接口数据的安全性。配置指导参考Open API。
- 触发器选择“Kafka”时,“认证方式”推荐使用“SSL认证”模式,并且“SASL鉴权方式”推荐使用“SCRAM-SHA-512”、“SCRAM-SHA-256”。保证数据加密传输,防止数据泄露,被篡改。配置指导参考Kafka。
- 触发器选择“SQL Server”时,“连接与安全”推荐选择“专业”模式。保证数据访问权限安全,使用加密传输通道。保证数据不会泄露和防止被篡改。配置指导参考Sql Server。
- 创建HTTP请求连接时,“基本地址”推荐配置https协议的请求地址,保证数据传输通道为加密通道,防止数据泄露或者被篡改。“安全认证”模式推荐使用“APP认证”,“Client Credentials认证”,“Basic Auth认证”,“Secret认证” 认证模式,防止保证API权限安全,不会被无权限用户访问。配置指导参考HTTP请求。
组合应用自定义变量
在组合应用的流任务编排中,以及连接器和处理器配置中涉及到大量的输入输出信息,还涉及到大量的配置信息需要填写。用户在编辑设计组合应用时,可以通过变量的方式快速引用流任务中的输入输出信息和配置信息,帮助用户便捷高效的设计组合应用。
在配置自定义变量时,当配置内容是敏感信息时,包括但不限于“密码”,“密钥”,“公钥”,“私钥”等。需要将自定义变量的类型设置为“密码”类型。保证数据加密存储,避免泄露风险。配置方式参考引用变量中“自定义变量”章节。
服务集成开放API配置
- 创建API
目前服务集成在创建API时“URL”中的“请求协议”推荐“HTTPS”模式。“安全配置”中的“安全认证”推荐使用“APP认证”,“华为IAM认证”模式。保证数据访问需要有权限,数据传输通道为加密通道。配置指导参考创建API。
- 绑定域名
推荐对API分组进行绑定域名,并且在配置绑定域名时选择用户的“SSL证书”。并且推荐配置CA证书,用来做HTTPS双向认证。保障API请求的安全性。防止非法客户端访问开放的API。并且数据通道加密处理,保证数据不会泄露,或者被篡改。配置指导参考绑定域名。
- 配置API的控制策略
API提供流量控制、访问控制能力。在部署API成功后推荐用户根据业务量配置流控,根据外部业务配置访问白名单。具体配置参考配置API的流量控制和配置API的访问控制。
流量控制:
- 支持高精度流控,高性能流控,单机流控;
- 支持针对单API生效,API共享生效。
访问控制:
- 支持IP地址,账号ID,账号名的类型;
- 支持允许和禁止,白名单和黑名单的方式控制数据类型是否支持访问当前API。