CES安全配置建议
本文提供了CES使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CES资源的安全状态,更好的组合使用CES提供的多种安全能力,提高对运维数据的整体安全防御能力,保护存储在平台内的运维数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估使用情况,并根据业务需要在本指导的基础上进行安全配置。
通过CES提供的访问控制能力合理分配用户权限
建议对不同角色的IAM用户设置不同的权限,避免权限过大导致数据泄露或被误操作
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。详情请参见登录保护及登录验证策略。
通过数据脱敏进行隐私及敏感信息数据保护
当业务调用请求中包含用户敏感信息时,建议您通过数据脱敏功能对敏感信息进行脱敏处理。 您可以前往数据脱敏界面创建针对业务组件的自定义脱敏配置,平台将通过标志化、掩码的能力将调用链中的敏感信息进行标志化、或者掩码转化。完成配置评生效后,您可前往调用链界面查看上报数据详情。
开启云审计服务记录CES的所有访问操作便于事后审查
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录CES的事件用于审计。CES支持审计的操作事件请参见云审计服务支持的Cloud Eye操作列表。