安全云脑 SECMASTER-内置检查项:华为云安全配置基线—存储

时间:2024-11-19 19:07:17

华为 云安全 配置基线—存储

表38 存储风险项检查项

检查子项目

检查项目

对象存储服务 OBS

使用OBS的服务端加密存储对象

启用OBS桶的服务端加密后,用户在上传对象时,数据会在服务端加密成密文后存储。

合规场景开启WORM功能

OBS提供了合规模式的WORM(Write Once Read Many)功能,即一次写入多次读取,可以确保指定时间内不能覆盖或删除指定对象版本的数据。

在需要在线预览OBS对象的场景使用自定义 域名

基于安全合规要求,华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象,即使用上述域名从浏览器访问桶内对象(如视频、图片、网页等)时,不会显示对象内容,而是以附件形式下载;在用户需要在线预览OBS对象的场景,建议使用自定义域名实现。

禁用匿名访问

OBS桶对于匿名用户禁用对外公开访问的权限,可以防止桶中数据被开放给所有人,保护私有数据不泄露(静态网站等需要对外开放的场景例外)。

使用OBS的数据临时分享功能来快速分享指定数据

当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,可以使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效。

使用双端固定对OBS的资源进行权限控制

设置 VPC终端节点 策略可以限制VPC中的服务器(E CS /CCE/BMS)访问OBS中的特定资源,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,实现访问控制的双向限定。

启用多版本控制功能

利用OBS多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。

启用防盗链功能

建议启动OBS提供的防盗链能力,可以防止用户在OBS的数据被其他人盗链。

使用桶策略限制对OBS桶的访问必须使用HTTPS协议

通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作,可确保数据上传下载的传输安全。

避免在私有桶创建公开对象

避免在OBS桶中对匿名用户提供对象的公共读权限,可以防止对象被对外开放给所有人员,防止对象数据泄漏。

启用跨区域复制功能

启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。

弹性文件服务 SFS

确保SFS Turbo文件系统是加密的

SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密,从SFS Turbo文件系统读取数据时自动解密。

云硬盘 EVS

确保云硬盘是加密的

云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。

云备份 CBR

开启跨区域复制备份功能

开启跨区域复制功能,更安全可靠。

开启强制备份

开启强制备份,最大限度保障用户数据的安全性和正确性,确保业务安全。

备份数据删除建议开启二次确认

为防止备份数据误删,建议开启二次确认机制。

承载备份数据的云硬盘选择加密盘

CBR备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html