安全云脑 SECMASTER-内置检查项:华为云安全配置基线—存储
下载安全云脑 SECMASTER用户手册完整版
华为 云安全 配置基线—存储
|
检查子项目 |
检查项目 |
|
|---|---|---|
|
对象存储服务 OBS |
使用OBS的服务端加密存储对象 |
启用OBS桶的服务端加密后,用户在上传对象时,数据会在服务端加密成密文后存储。 |
|
合规场景开启WORM功能 |
OBS提供了合规模式的WORM(Write Once Read Many)功能,即一次写入多次读取,可以确保指定时间内不能覆盖或删除指定对象版本的数据。 |
|
|
在需要在线预览OBS对象的场景使用自定义 域名 |
基于安全合规要求,华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象,即使用上述域名从浏览器访问桶内对象(如视频、图片、网页等)时,不会显示对象内容,而是以附件形式下载;在用户需要在线预览OBS对象的场景,建议使用自定义域名实现。 |
|
|
禁用匿名访问 |
OBS桶对于匿名用户禁用对外公开访问的权限,可以防止桶中数据被开放给所有人,保护私有数据不泄露(静态网站等需要对外开放的场景例外)。 |
|
|
使用OBS的数据临时分享功能来快速分享指定数据 |
当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,可以使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效。 |
|
|
使用双端固定对OBS的资源进行权限控制 |
设置 VPC终端节点 策略可以限制VPC中的服务器(E CS /CCE/BMS)访问OBS中的特定资源,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,实现访问控制的双向限定。 |
|
|
启用多版本控制功能 |
利用OBS多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。 |
|
|
启用防盗链功能 |
建议启动OBS提供的防盗链能力,可以防止用户在OBS的数据被其他人盗链。 |
|
|
使用桶策略限制对OBS桶的访问必须使用HTTPS协议 |
通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作,可确保数据上传下载的传输安全。 |
|
|
避免在私有桶创建公开对象 |
避免在OBS桶中对匿名用户提供对象的公共读权限,可以防止对象被对外开放给所有人员,防止对象数据泄漏。 |
|
|
启用跨区域复制功能 |
启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。 |
|
|
弹性文件服务 SFS |
确保SFS Turbo文件系统是加密的 |
SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密,从SFS Turbo文件系统读取数据时自动解密。 |
|
云硬盘 EVS |
确保云硬盘是加密的 |
云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。 |
|
云备份 CBR |
开启跨区域复制备份功能 |
开启跨区域复制功能,更安全可靠。 |
|
开启强制备份 |
开启强制备份,最大限度保障用户数据的安全性和正确性,确保业务安全。 |
|
|
备份数据删除建议开启二次确认 |
为防止备份数据误删,建议开启二次确认机制。 |
|
|
承载备份数据的云硬盘选择加密盘 |
CBR备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。 |
|
