AOM安全配置建议
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了AOM使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估AOM的安全状态,更好的组合使用AOM提供的多种安全能力,提高对AOM的整体安全防御能力,保护存储在AOM的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估AOM使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议妥善管理身份认证信息,减小因凭证泄露导致的数据泄露风险
- 加强权限管理,提高访问控制
- 开通云审计服务记录AOM相关的操作事件
- 推荐开启采集插件的普罗高可用配置实现数据采集端的容灾能力
- 确保您的数据在传输到AOM过程中不被窃取和篡改
- 使用最新版本的SDK获得更好的操作体验和更强的安全能力
- 保护敏感数据,降低敏感数据泄露风险
建议妥善管理身份认证信息,减小因凭证泄露导致的数据泄露风险
无论用户通过AOM控制台还是API、SDK访问AOM,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。AOM服务基于统一身份认证服务(Identity and Access Management,IAM),支持四种身份认证方式:用户名密码、访问密钥、临时访问密钥、AccessCode凭证。同时还提供登录保护及登录验证策略。
- 建议使用临时AK/SK进行业务处理,减小凭证泄露导致数据泄露的风险
使用AOM API或SDK查询指标、告警等资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。
- 定期轮转永久AK/SK减小凭证泄露导致数据泄露的风险
如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。
- 定期更换AccessCode,减少凭据泄露导致数据泄露的风险
通过AOM的采集器底座UniAgent安装ICAgent插件时,需要使AccessCode进行鉴权;同时AccessCode也作为调用API的身份凭据,以及Prometheus实例的调用凭证,建议定期更换AccessCode,减少凭据泄露导致数据泄露的风险。详情请参见管理AccessCode。
- 定期修改用户名密码,避免弱密码
定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略。
加强权限管理,提高访问控制
如果您需要对企业中的员工设置不同的AOM访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制AOM资源的访问。您可以通过设置AOM系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见AOM权限管理。
开通云审计服务记录AOM相关的操作事件
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录AOM相关的操作事件用于审计。详情请参见AOM审计事件。
推荐开启采集插件的普罗高可用配置实现数据采集端的容灾能力
如果您使用了CCE的云原生监控插件来采集指标,建议开启“普罗高可用”配置,以实现采集组件的多实例方式部署。在高可用模式下,指标将同时上报多份数据,进而实现数据采集端的容灾能力。详情请参见CCE云原生监控插件配置普罗高可用。
