CBR安全最佳实践

建议妥善管理认证凭证，减小因凭证泄漏导致的数据泄露风险

建议对AK/SK进行定期凭证轮转，同时加密存储，避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见CBR的认证鉴权。

正确使用访问控制能力，确保备份数据不泄露或不被误删

• 建议根据CBR常用操作与系统权限的授权关系，对IAM用户设置最小权限，避免由于IAM用户权限过大导致备份数据泄露或被误删。详情请参见CBR的权限管理。
• CBR支持敏感操作保护，开启后执行删除备份等敏感操作时，系统会进行身份验证，进一步保证云备份配置和数据的安全性。详情请参见敏感操作。

正确使用CBR提供的数据保护能力对备份数据进行保护

• 备份数据加密：当备份的目标磁盘为加密磁盘时，如果磁盘启用备份加密，则备份数据会加密存储。当用户执行备份恢复时，存储的加密数据会先解密之后再恢复到目标磁盘。
• 跨区域复制：跨区域复制是指通过创建复制策略，将一个区域的备份自动、异步的复制到不同区域的另外一个存储库。跨区域复制能够为用户提供备份数据的跨区域容灾能力，满足用户备份数据复制到异地进行存储的需求。
• 备份锁定：备份锁定功能是指将备份数据置为WORM（一次写入，多次读取）状态。开启该功能后，存储库中的所有备份都将进入WORM状态。处于WORM状态的备份数据，任何用户都不能提前删除。

利用操作日志审计是否存在异常数据访问操作

• 开启云审计服务记录CTS的所有访问操作便于事后审查

  云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

  开通云审计服务并创建和配置追踪器后，CTS可记录CBR的管理事件和数据事件用于审计。详情请参见审计与日志。

• 使用云监控服务对安全事件进行实时监控、告警

  云监控（Cloud Eye， CES）为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解华为云上的资源使用情况、业务的运行状况，并及时收到异常报警做出反应，保证业务顺畅运行。

  开通云监控服务，CES帮助用户监控账号下的存储库和备份情况，详情请参见审计与日志。