文档首页/ 数据安全中心 DSC/ 最佳实践/ OBS数据安全防护最佳实践
更新时间:2024-10-31 GMT+08:00

OBS数据安全防护最佳实践

本文介绍如何使用数据安全中心(DSC),对OBS中存储的敏感数据进行识别、分类分级和保护。

背景信息

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OBS桶中,一旦发生泄漏,会给企业带来重大的经济和名誉损失。

DSC在您完成数据源识别授权后,从您存储在OBS的海量数据中快速发现和定位敏感数据,对敏感数据分类分级并统一展示,同时追踪敏感数据的使用情况,并根据预先定义的安全策略,对数据进行保护和审计,以便您随时了解OBS数据资产的安全状态。

应用场景

  • 敏感数据识别

    OBS中存储了大量的数据与文件,但无法准确获知这些OBS数据中是否包含敏感信息以及敏感数据所在的位置。

    您可以使用DSC内置算法规则,或根据其行业特点自定义规则,对其存储在OBS中的数据进行整体扫描、分类、分级,并根据结果做进一步的安全防护,如利用OBS的访问控制和加密功能等。

  • 异常检测和审计
    DSC可检测敏感数据相关的访问、操作、管理等异常,并提供告警提示信息,用户可以对异常事件进行确认和处理。通常情况下,以下行为均被视为异常事件:
    • 非法用户在未经授权的情况下对敏感数据进行了访问、下载。
    • 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。
    • 合法用户对敏感数据的桶进行权限更改、权限删除。
    • 访问敏感数据的用户登录终端异常等情况。

操作步骤

  1. 购买数据安全中心服务
  2. 登录管理控制台
  3. 在左侧导航树中,单击,选择安全 > 数据安全中心,进入“资产地图”界面。
  4. “资产地图”左上角单击云资产授权“修改”,进入“云资产委托授权”页面。
  5. 在OBS资产所在行的“操作”列,单击开启授权。
  6. 添加OBS资产,具体的操作请参见添加OBS资产
  7. 在左侧导航树中,选择敏感数据识别 > 识别任务,单击“新建任务”,配置敏感数据的扫描任务。

    “数据类型”选择6中添加的OBS资产,其他配置请参见创建敏感数据识别任务

    表1 新建任务参数说明

    参数

    说明

    取值样例

    任务名称

    您可以自定义敏感数据识别任务名称。

    任务名称需要满足以下要求:

    • 4~255个字符。
    • 字符可由中文、英文字母、数字、下划线或中划线组成。
    • 开头需为中文或者字母。
    • 任务名称不能与已有的任务名称重复。

    test

    数据类型

    选择识别的数据类型,可多选。

    • OBS:授权DSC访问您的华为云OBS资产后,DSC将对华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产
    • 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见授权数据库资产
    • 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见授权大数据资产
    • MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见授权大数据资产
    • LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流

    OBS

    识别模板

    选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板

    华为云数据安全分类分级模板

    识别周期

    设置数据识别任务的执行策略:

    • 单次:根据设置的执行计划,在设定的时间执行一次该识别任务。
    • 每天:选择该选项,即在每天的固定时间执行该识别任务。
    • 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
    • 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。

    单次

    执行计划

    “识别周期”“单次”时,显示该选项:
    • 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
    • 定时启动:在指定时间执行一次该识别任务。

    立即执行

  8. 在左侧导航树中选择敏感数据识别 > 识别任务,进入识别任务页面。
  9. 单击目标任务“操作”列的“识别结果”查看识别结果。

    在页面左上角,识别任务名称选择dsc-test、资产类型选择OBS、资产名称选择全部资产,筛选OBS敏感数据识别结果,识别结果如图1所示。

    图1 识别结果明细

  10. 在目标扫描对象所在行的“操作”列,单击“查看分类分级结果详情”,进入“分类分级结果详情”弹框,如图2所示。

    图2 分类分级结果详情
    1. 在异常告警列表中,根据风险等级查看异常情况,排查是否存在高风险事件。具体操作请参见OBS使用审计
    2. 在OBS控制台,针对存在风险的桶或文件,修改读写权限。具体操作请参见桶策略