更新时间:2025-04-10 GMT+08:00
SFS Turbo安全最佳实践
高性能弹性文件服务(SFS Turbo)提供按需扩展的高性能文件存储,用于AI训练、AIGC、自动驾驶、渲染、EDA仿真、企业NAS应用等高性能场景,为其提供共享存储访问能力,助力企业轻松应对PB级数据处理与智能时代业务挑战。
为加强SFS Turbo文件系统安全性,本文将从以下几个维度给出建议,您可以根据业务需要在本指导的基础上进行安全配置。
数据加密
当您由于业务需求从而需要对存储在文件系统的数据进行加密时,高性能弹性文件服务为您提供加密功能,可以对新创建的文件系统进行加密。
创建SFS Turbo文件系统时,建议开启加密,详情请参考“创建SFS Turbo文件系统”。
传输加密
加密传输功能可以通过TLS协议保护您的客户端与SFS Turbo服务之间网络传输链路上的数据安全。
建议使用TLS协议访问SFS Turbo文件系统数据,详情请参考“通过加密传输保护网络传输链路的数据安全”。
数据备份
当发生病毒入侵、人为误删除、数据丢失等事件时,可以使用SFS Turbo备份数据创建新的文件系统,创建后的文件系统原始数据将会和SFS Turbo备份数据内容相同。
- 创建SFS Turbo文件系统时,建议开启备份,详情请参考“创建SFS Turbo文件系统”。
- SFS Turbo文件系统如果未绑定SFS Turbo备份存储库,建议绑定SFS Turbo备份存储库,详情请参考“绑定存储库的资源”。
- SFS Turbo文件系统绑定的SFS Turbo备份存储库,如果未绑定备份策略,建议绑定备份策略,详情请参考“绑定策略至存储库”。
- SFS Turbo文件系统绑定的SFS Turbo备份存储库绑定的备份策略,如果未启用,建议启用备份策略,详情请参考“修改策略”。
网络隔离
SFS Turbo仅支持从绑定的VPC网络中直接访问SFS Turbo文件系统数据。
SFS Turbo支持通过安全组规则,限制允许访问SFS Turbo文件系统数据的客户端IP地址。
SFS Turbo支持配置IP鉴权规则,根据不同的IP或网段授予不同的权限。
为了更好地使用这些功能,建议
- 在创建SFS Turbo文件系统前,在VPC中规划不同的子网,为SFS Turbo文件系统规划一个独立的子网,为不同权限的客户端规划不同的子网,详情请参考“创建虚拟私有云和子网”。
- 在创建SFS Turbo文件系统前,规划独立的安全组,入方向仅放通访问SFS Turbo文件系统所需的端口,源IP地址为客户端规划的子网。不同规格的SFS Turbo文件系统所需端口不同,详情请参考“创建SFS Turbo文件系统”。
- 在创建SFS Turbo文件系统时,选择VPC中为SFS Turbo文件系统规划的子网,选择为SFS Turbo文件系统规划的安全组,详情请参考“创建SFS Turbo文件系统”。
- 在创建SFS Turbo文件系统后,配置IP鉴权规则,根据不同的IP或网段授予不同的权限,详情请参考“管理SFS Turbo文件系统权限”。
