安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了CSE使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CSE资源的安全状态,更好的组合使用CSE提供的多种安全能力,提高对CSE资源的整体安全防御能力,保护数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估CSE使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 使用CSE提供的访问控制能力对权限进行最小化设置
- 使用CSE提供的身份认证能力对访问进行认证
- 使用CSE的命名空间隔离不同项目或环境的配置/服务
- 使用CSE的白名单配置限制访问的IP地址
- 开启云审计服务记录CSE的所有访问操作便于事后审查
使用CSE提供的访问控制能力对权限进行最小化设置
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
CSE权限管理详情请参见权限管理。
使用CSE提供的身份认证能力对访问进行认证
CSE可以通过RBAC(Role-Based Access Control,基于角色的访问控制)认证。
RBAC认证是指权限与角色相关联,您可以使用关联了admin角色权限的账号创建新账号,根据实际业务需求把合适的角色同账号关联。使用该账号的用户则具有对该微服务引擎相应的访问和操作权限,详情请参见权限控制概述。
使用CSE的命名空间隔离不同项目或环境的配置/服务
命名空间可以实现不同环境的资源的区分隔离,例如开发测试环境和生产环境的资源(如配置、服务)隔离等。不同的命名空间下,可以存在相同的Group或Data ID的配置,详情请参见命名空间管理。
开启云审计服务记录CSE的所有访问操作便于事后审查
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录CSE的事件用于审计。CSE支持云审计的关键操作请参见CSE支持云审计的关键操作。