GeminiDB Cassandra 安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了GeminiDB Cassandra使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估GeminiDB Cassandra的安全状态,更好地组合使用GeminiDB Cassandra提供的多种安全能力,提高对GeminiDB Cassandra的整体安全防御能力,保护存储在GeminiDB Cassandra的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估GeminiDB Cassandra使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议避免绑定EIP直接通过互联网访问GeminiDB Cassandra。
- 避免使用常用密码。
- 禁止使用默认端口号。
- 建议配置实例访问日志功能。
- 建议开启加密通信。
- 开启磁盘加密。
- 开启备份功能。
- 设置秒级监控和告警规则。
- 版本升级。
建议避免绑定EIP直接通过互联网访问GeminiDB Cassandra
避免GeminiDB Cassandra部署在互联网或者DMZ里,应该将GeminiDB Cassandra部署在公司内部网络,使用路由器或者防火墙技术把GeminiDB Cassandra保护起来,避免直接绑定EIP方式从互联网访问GeminiDB Cassandra。通过这种方式防止未授权的访问及DDos攻击等。不推荐绑定弹性公网IP,如果业务必需,请务必设置安全组。
建议配置实例访问日志功能
配置访问日志后,GeminiDB Cassandra实例新生成的审计日志、错误日志和慢日志记录会上传到LTS进行管理。您可以查看GeminiDB Cassandra实例审计日志、错误日志和慢日志的详细信息,包括搜索日志、日志可视化、下载日志和查看实时日志等功能,提高系统运维效率。详情请参见日志配置管理。
建议开启加密通信
如果未配置SSL加密通信,那么在Cassandra客户端和服务器之间传输的数据,容易受到窃听、篡改和"中间人"攻击。为了提高数据传输的安全性,建议您开启SSL加密通信。详情请参见设置SSL数据加密。
开启备份功能
GeminiDB Cassandra实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。详情请参见数据备份。
设置秒级监控和告警规则
GeminiDB Cassandra默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云账号联系人,帮助您及时了解GeminiDB Cassandra实例的运行状况。请您结合实际的业务,设置合适的监控和告警规则。详情请参见监控与告警。
