CAE安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。
本文提供了CAE使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CAE资源的安全状态,更好的组合使用CAE提供的多种安全能力,提高对CAE资源的整体安全防御能力,保护数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估CAE使用情况,并根据业务需要在本指导的基础上进行安全配置。
使用CAE提供的访问控制能力对权限进行最小化设置
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
CAE部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问CAE时,需要先切换至授权区域。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
CAE权限管理详情请参见权限管理。
结合CAE网络安全设计,正确规划自身业务,减少被网络攻击的风险
- 建议根据业务隔离诉求规划环境,确保不同业务之间无法互相访问
环境是用于区分业务部署场景,并自带隔离的概念。在CAE中,可根据业务需求设置开发环境、测试环境、预生产环境和生产环境。环境内网络互通,可以按环境维度来管理组件、部署服务,减少具体组件运维管理的复杂性,方便应用组件生产上线管理。
- 建议应用组件七层访问使用HTTPS协议,确保数据传输过程中不被窃取和破坏
HTTPS(超文本传输安全协议)是一种互联网通信协议,可保护客户端与服务端之间传输的数据的完整性和机密性。建议您使用HTTPS协议进行数据访问。
- 建议敏感数据托管到DEW,CAE通过DEW获取使用,确保敏感数据不泄露
每个企业都有自己的核心敏感数据,这些数据都需要被加密,从而保护它们。为了提高数据安全性,CAE通过添加对应DEW凭据,以环境变量方式注入到组件内,帮您实现数据保护。
开启云审计服务记录CAE的所有访问操作便于事后审查
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录CAE的事件用于审计。CAE支持云审计的关键操作请参见CAE支持云审计的关键操作。