文档首页/ 云备份 CBR/ 最佳实践/ CBR安全最佳实践
更新时间:2025-08-05 GMT+08:00

CBR安全最佳实践

安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担

本文提供了CBR使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CBR资源的安全状态,更好地组合使用CBR提供的多种安全能力。

本文从以下几个维度给出建议,您可以评估CBR使用情况,并根据业务需要在本指导的基础上进行安全配置。

建议妥善管理认证凭证,减小因凭证泄漏导致的数据泄露风险

建议对AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见CBR的认证鉴权

正确使用访问控制能力,确保备份数据不泄露或不被误删

  • 建议根据CBR常用操作与系统权限的授权关系,对IAM用户设置最小权限,避免由于IAM用户权限过大导致备份数据泄露或被误删。详情请参见CBR的权限管理
  • CBR支持敏感操作保护,开启后执行删除备份等敏感操作时,系统会进行身份验证,进一步保证云备份配置和数据的安全性。详情请参见敏感操作

正确使用CBR提供的数据保护能力对备份数据进行保护

  • 备份数据加密:当备份的目标磁盘为加密磁盘时,如果磁盘启用备份加密,则备份数据会加密存储。当用户执行备份恢复时,存储的加密数据会先解密之后再恢复到目标磁盘。
  • 跨区域复制:跨区域复制是指通过创建复制策略,将一个区域的备份自动、异步的复制到不同区域的另外一个存储库。跨区域复制能够为用户提供备份数据的跨区域容灾能力,满足用户备份数据复制到异地进行存储的需求。
  • 备份锁定:备份锁定功能是指将备份数据置为WORM(一次写入,多次读取)状态。开启该功能后,存储库中的所有备份都将进入WORM状态。处于WORM状态的备份数据,任何用户都不能提前删除。

利用操作日志审计是否存在异常数据访问操作

  • 开启云审计服务记录CTS的所有访问操作便于事后审查

    云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

    开通云审计服务并创建和配置追踪器后,CTS可记录CBR的管理事件和数据事件用于审计。详情请参见审计与日志

  • 使用云监控服务对安全事件进行实时监控、告警

    云监控(Cloud Eye, CES)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解华为云上的资源使用情况、业务的运行状况,并及时收到异常报警做出反应,保证业务顺畅运行。

    开通云监控服务,CES帮助用户监控账号下的存储库和备份情况,详情请参见审计与日志