HSS安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了HSS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估HSS的安全状态,提高对HSS的整体安全防御能力。
本文从以下几个维度给出建议,您可以评估HSS使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议妥善管理身份认证信息,减小因凭证泄漏导致的数据泄露风险
- 加强权限管理,提高访问控制
- 通过云审计服务记录HSS相关的操作事件
- 通过云监控服务监控HSS防护的服务器情况
- 使用最新版本的SDK获得更好的操作体验和更强的安全能力
- 开启HSS自保护
建议妥善管理身份认证信息,减小因凭证泄漏导致的数据泄露风险
无论用户通过HSS控制台还是API、SDK访问HSS,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。HSS服务基于统一身份认证服务(Identity and Access Management,IAM),支持三种身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。
- 建议使用临时AK/SK进行业务处理,减小凭证泄漏导致您数据泄露的风险
使用HSS API/SDK管理HSS相关资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。
- 定期轮转永久AK/SK减小凭证泄漏导致您数据泄露的风险
如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。
- 定期修改用户名密码,避免弱密码
定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略。
加强权限管理,提高访问控制
如果您需要对华为云上购买的HSS资源为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制HSS云资源的访问。详情请参见HSS权限管理。
通过云审计服务记录HSS相关的操作事件
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。
HSS通过云审计服务为用户提供云服务资源的操作记录,记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果,详情见支持云审计的HSS操作列表,供用户查询、审计和回溯使用,操作详情请参见在CTS事件列表查看云审计事件。
通过云监控服务监控HSS防护的服务器情况
云监控服务(Cloud Eye,CES)为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。
HSS提供基于云监控服务的资源监控能力,帮助用户监控账号下的服务器防护情况,执行自动实时监控、告警和通知操作。用户可以实时监控未开启防护服务器数量、有风险服务器数量和未安装/已离线Agent数量等信息。
关于HSS支持的监控指标,以及如何创建监控告警规则等内容,请参见监控。
开启HSS自保护
自保护是HSS的自我保护功能,在Windows服务器上可防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程,在Linux服务器上可以防止恶意程序停止企业主机安全进程、卸载Agent。详情请参见如何开启/关闭企业主机安全自保护。
