DMS for RocketMQ安全使用建议
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了如何安全使用DMS for RocketMQ的最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估DMS for RocketMQ资源的安全状态,更好的组合使用DMS for RocketMQ提供的多种安全能力,提高对DMS for RocketMQ资源的整体安全防御能力,保护存储在DMS for RocketMQ内的数据不泄露、不被篡改,以及数据在传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估DMS for RocketMQ的使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 通过访问控制,保护数据安全性
- 通过SSL链路传输加密方式访问DMS for RocketMQ
- 不存储敏感数据
- 构建数据的恢复和容灾能力
- 审计是否存在异常数据访问
- 使用最新版本SDK获得更好的操作体验和更强的安全能力
通过访问控制,保护数据安全性
- 建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露或被误操作。
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限,详情请参见权限管理。
- 建议配置安全组访问控制,保护您的数据不被异常读取和操作。
参照表1配置安全组的入方向规则限制,控制连接实例的网络范围,避免DMS for RocketMQ暴露给不可信的第三方。
- 建议将访问DMS for RocketMQ实例方式设置为密码访问(即开启ACL访问控制),防止未经认证的客户端误操作实例。
您可以选择如下任意一种方法开启ACL访问控制。
- 在“购买实例”页面开启ACL访问控制,具体可参考购买RocketMQ实例。
- 购买实例后,在实例的“基本信息”页面中开启ACL访问控制,具体可参考查看和修改RocketMQ实例基本信息。
- 开启敏感操作多因子认证保护您的数据不被误删。
DMS for RocketMQ支持敏感操作保护,开启后执行删除实例等敏感操作时,系统会进行身份验证,进一步对数据的高危操作进行控制,保证DMS for RocketMQ数据的安全性。详情请参见敏感操作。
通过SSL链路传输加密方式访问DMS for RocketMQ
为了确保数据传输过程中不被窃取和破坏,建议使用SSL链路传输加密方式(即开启SSL)访问DMS for RocketMQ。
您需要在“购买实例”页面选择SSL,具体可参考购买RocketMQ实例。
审计是否存在异常数据访问
- 开启云审计服务,记录DMS for RocketMQ的所有访问操作,便于后期审查。
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录DMS for RocketMQ的管理事件和数据事件用于审计。相关文档请参见查看RocketMQ审计日志。
- 使用云监控服务对安全事件进行实时监控和告警。
为使您更好地掌握DMS for RocketMQ实例状态,华为云提供了云监控服务(Cloud Eye)。您可使用该服务监控自己的DMS for RocketMQ实例,执行自动实时监控、告警和通知操作,帮助您实时掌握DMS for RocketMQ实例中所产生的请求、流量等信息。
云监控服务不需要开通,会在用户创建DMS for RocketMQ实例后自动启动。相关文档请参见RocketMQ支持的监控指标、配置RocketMQ监控告警。
使用最新版本SDK获得更好的操作体验和更强的安全能力
建议您升级SDK并使用最新版本,从客户侧对您的数据和DMS for RocketMQ使用过程提供更好的保护。最新版本SDK在各语言对应界面下载,请参见RocketMQ SDK。
