LTS安全配置建议
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了LTS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估LTS的安全状态,更好的组合使用LTS提供的多种安全能力,提高对LTS的整体安全防御能力,保护存储在LTS中的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估LTS使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议妥善管理身份认证信息,减小因凭证泄漏导致的数据泄露风险
- 加强权限管理,提高访问控制
- 开通云审计服务记录LTS相关的操作事件
- 构建数据的备份、恢复能力保障数据安全可靠
- 确保您的数据在传输到LTS过程中不被窃取和篡改
- 使用最新版本的SDK获得更好的操作体验和更强的安全能力
- 保护敏感数据,降低敏感数据泄露风险
建议妥善管理身份认证信息,减小因凭证泄漏导致的数据泄露风险
无论用户通过LTS控制台还是API、SDK访问LTS,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。LTS服务基于统一身份认证服务(Identity and Access Management,IAM),支持三种身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。
- 建议使用临时AK/SK进行业务处理,减小凭证泄漏导致您数据泄露的风险
使用LTS API/SDK上报日志或者管理LTS相关资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。
- 定期轮转永久AK/SK减小凭证泄漏导致您数据泄露的风险
如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。
- 定期修改用户名密码,避免弱密码
定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略。
加强权限管理,提高访问控制
如果您需要对企业中的员工设置不同的LTS访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制LTS资源的访问。您可以通过设置LTS系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见LTS权限管理。
开通云审计服务记录LTS相关的操作事件
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录LTS相关的操作事件用于审计。详情请参见LTS审计事件。
构建数据的备份、恢复能力保障数据安全可靠
预先构建数据的容灾和恢复能力,可以有效避免异常数据处理场景下数据误删、破坏的问题。
- 日志冗余存储
LTS日志数据默认以多副本方式存储,保障数据的可靠性。
- LTS容灾方案
LTS通过AZ内实例容灾及多AZ容灾等技术方案,保障服务的持久性和可靠性。在同一个AZ内,LTS通过多实例方式实现实例容灾,快速剔除故障节点,保障LTS实例持续提供服务;同时LTS支持跨AZ容灾,当一个AZ异常时,不影响LTS实例持续提供服务。
- 合理设置日志存储时间
建议您根据业务情况合理设置日志存储时间,避免因日志老化造成不良影响。LTS支持针对日志组及日志流灵活配置日志存储时间,关闭日志流的“日志存储时间”,日志的存储时间则使用日志组设置的日志存储时间。
- 日志转储至OBS
如您需要对日志进行长期保存,您可以将日志转储至OBS进行备份。同时OBS还支持加密存储数据,对于敏感数据在配置OBS转储时可以选择OBS加密桶。详情请参见日志转储至OBS。
