GeminiDB兼容DynamoDB接口安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了GeminiDB兼容DynamoDB使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估GeminiDB兼容DynamoDB的安全状态,更好地组合使用GeminiDB兼容DynamoDB提供的多种安全能力,提高对GeminiDB兼容DynamoDB的整体安全防御能力,保护存储在GeminiDB兼容DynamoDB的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估GeminiDB兼容DynamoDB使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议避免绑定EIP直接通过互联网访问GeminiDB兼容DynamoDB。
- 避免使用常用密码。
- 建议开启加密通信。
- 建议开启SSL并设置CCM PCA证书或者CCM SSL证书。
- 建议每个实例使用唯一的CCM证书。
- 请关注证书到期时间,及时更换实例证书。
- 开启磁盘加密。
- 开启备份功能。
- 设置秒级监控和告警规则。
- 版本升级。
建议避免绑定EIP直接通过互联网访问GeminiDB兼容DynamoDB
避免GeminiDB兼容DynamoDB部署在互联网或者DMZ里,应该将GeminiDB兼容DynamoDB部署在公司内部网络,使用路由器或者防火墙技术把GeminiDB兼容DynamoDB保护起来,避免直接绑定EIP方式从互联网访问GeminiDB兼容DynamoDB。通过这种方式防止未授权的访问及DDos攻击等。不推荐绑定弹性公网IP,如果业务必需,请务必设置安全组。
建议开启加密通信
如果未配置SSL加密通信,那么在DynamoDB客户端和服务器之间传输的数据,容易受到窃听、篡改和"中间人"攻击。为了提高数据传输的安全性,建议您开启SSL加密通信。详情请参见设置SSL数据加密。
建议开启SSL并设置CCM PCA证书或者CCM SSL证书
云数据库GeminiDB服务在2017年4月提供了20年有效期的新根证书,该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书,提高系统安全性。
开启备份功能
GeminiDB兼容DynamoDB实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。详情请参见数据备份。
设置秒级监控和告警规则
GeminiDB兼容DynamoDB默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云帐号联系人,帮助您及时了解GeminiDB兼容DynamoDB实例的运行状况。请您结合实际的业务,设置合适的监控和告警规则。详情请参见监控与告警。
