更新时间:2025-08-05 GMT+08:00
CBR安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了CBR使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CBR资源的安全状态,更好地组合使用CBR提供的多种安全能力。
本文从以下几个维度给出建议,您可以评估CBR使用情况,并根据业务需要在本指导的基础上进行安全配置。
建议妥善管理认证凭证,减小因凭证泄漏导致的数据泄露风险
建议对AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见CBR的认证鉴权。
正确使用访问控制能力,确保备份数据不泄露或不被误删
正确使用CBR提供的数据保护能力对备份数据进行保护
- 备份数据加密:当备份的目标磁盘为加密磁盘时,如果磁盘启用备份加密,则备份数据会加密存储。当用户执行备份恢复时,存储的加密数据会先解密之后再恢复到目标磁盘。
- 跨区域复制:跨区域复制是指通过创建复制策略,将一个区域的备份自动、异步的复制到不同区域的另外一个存储库。跨区域复制能够为用户提供备份数据的跨区域容灾能力,满足用户备份数据复制到异地进行存储的需求。
- 备份锁定:备份锁定功能是指将备份数据置为WORM(一次写入,多次读取)状态。开启该功能后,存储库中的所有备份都将进入WORM状态。处于WORM状态的备份数据,任何用户都不能提前删除。
利用操作日志审计是否存在异常数据访问操作
- 开启云审计服务记录CTS的所有访问操作便于事后审查
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
开通云审计服务并创建和配置追踪器后,CTS可记录CBR的管理事件和数据事件用于审计。详情请参见审计与日志。
- 使用云监控服务对安全事件进行实时监控、告警
云监控(Cloud Eye, CES)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解华为云上的资源使用情况、业务的运行状况,并及时收到异常报警做出反应,保证业务顺畅运行。
开通云监控服务,CES帮助用户监控账号下的存储库和备份情况,详情请参见审计与日志。