更新时间:2025-04-23 GMT+08:00
SWR安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了容器镜像服务(SWR)使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估SWR的安全状态,更好的组合使用SWR服务提供的多种安全能力,提高对SWR的整体安全防御能力,保护存储在SWR中的镜像不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估SWR使用情况,并根据业务需要在本指导的基础上进行安全配置。
通过镜像扫描,提前发现容器镜像漏洞及安全风险,减少被攻击的风险
建议定期对存储在SWR中的镜像进行安全扫描。通过扫描系统漏洞、应用漏洞、恶意文件、软件信息、文件信息、基线配置、弱口令、敏感信息、软件合规和基础镜像信息,帮助用户识别并修复潜在的风险问题,确保所有部署到生产环境的镜像都已通过严格的安全检查,从而保障系统和应用安全稳定的运行。
加强权限管理,减少相关风险
- 禁止子用户通过管理员权限访问SWR。
通过合理创建华为云子账号并根据业务需要配置各个子账号对不同容器镜像的访问权限,以达到不同员工之间的权限隔离 。
- 通过VPCEP访问SWR,对不同组织进行精细化控制。
通过VPCEP访问SWR用户场景可以对SWR进行更加精细的数据边界控制,通过VPCEP策略和IAM策略配置,可以实现指定VPC上传/下载权限控制、VPC内只允许下载固定组织下的镜像。
开启镜像访问审计,便于事后回溯
SWR审计功能可以实时记录用户对SWR的所有相关操作。通过对用户访问SWR行为的记录、分析和汇报,用来帮助您事后生成合规报告、事故追根溯源,提高数据资产安全性。详情请参见查看云审计日志。
