文档首页/ 云日志服务 LTS/ 最佳实践/ LTS安全配置建议
更新时间:2025-03-19 GMT+08:00

LTS安全配置建议

安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担

本文提供了LTS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估LTS的安全状态,更好的组合使用LTS提供的多种安全能力,提高对LTS的整体安全防御能力,保护存储在LTS中的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。

本文从以下几个维度给出建议,您可以评估LTS使用情况,并根据业务需要在本指导的基础上进行安全配置。

建议妥善管理身份认证信息,减小因凭证泄漏导致的数据泄露风险

无论用户通过LTS控制台还是API、SDK访问LTS,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。LTS服务基于统一身份认证服务(Identity and Access Management,IAM),支持三种身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护登录验证策略

  1. 建议使用临时AK/SK进行业务处理,减小凭证泄漏导致您数据泄露的风险

    使用LTS API/SDK上报日志或者管理LTS相关资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥通过委托获取临时AK/SK

  2. 定期轮转永久AK/SK减小凭证泄漏导致您数据泄露的风险

    如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥

  3. 定期修改用户名密码,避免弱密码

    定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略

加强权限管理,提高访问控制

如果您需要对企业中的员工设置不同的LTS访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制LTS资源的访问。您可以通过设置LTS系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见LTS权限管理

开通云审计服务记录LTS相关的操作事件

云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。

您开通云审计服务并创建和配置追踪器后,CTS可记录LTS相关的操作事件用于审计。详情请参见LTS审计事件。

构建数据的备份、恢复能力保障数据安全可靠

预先构建数据的容灾和恢复能力,可以有效避免异常数据处理场景下数据误删、破坏的问题。

  1. 日志冗余存储

    LTS日志数据默认以多副本方式存储,保障数据的可靠性。

  2. LTS容灾方案

    LTS通过AZ内实例容灾及多AZ容灾等技术方案,保障服务的持久性和可靠性。在同一个AZ内,LTS通过多实例方式实现实例容灾,快速剔除故障节点,保障LTS实例持续提供服务;同时LTS支持跨AZ容灾,当一个AZ异常时,不影响LTS实例持续提供服务。

  3. 合理设置日志存储时间

    建议您根据业务情况合理设置日志存储时间,避免因日志老化造成不良影响。LTS支持针对日志组及日志流灵活配置日志存储时间,关闭日志流的“日志存储时间”,日志的存储时间则使用日志组设置的日志存储时间。

  4. 日志转储至OBS

    如您需要对日志进行长期保存,您可以将日志转储至OBS进行备份。同时OBS还支持加密存储数据,对于敏感数据在配置OBS转储时可以选择OBS加密桶。详情请参见日志转储至OBS

确保您的数据在传输到LTS过程中不被窃取和篡改

建议使用HTTPS协议访问LTS,可保护客户端与服务端之间传输的数据的完整性和机密性,确保数据传输过程中不被窃取和破坏。

使用最新版本的SDK获得更好的操作体验和更强的安全能力

建议客户升级SDK并使用最新版本,可以在您使用LTS的过程中对您的数据提供更好的操作体验和更强的保护。详情请参见LTS SDK

保护敏感数据,降低敏感数据泄露风险

数据脱敏可以有效地减少敏感数据在加工、传输、使用等环节中的暴露,降低敏感数据泄露的风险,保护用户权益。建议您在上报日志时提前进行数据脱敏,去除敏感数据,避免发生预期外的数据泄露。