正确的使用DCS提供的访问控制能力,可以有效预防您的数据被异常窃取或者损坏。
-
白名单/安全组
-
权限管理对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露或被误操作。
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。
IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。
-
命令重命名建议不使用高危命令,避免攻击者直接对Redis进行严重性损坏。
为避免攻击者直接对Redis进行严重性损坏,如果业务没有使用场景,建议通过命令重命名的方式对其进行禁用。
-
自定义端口建议使用非默认端口,避免端口被扫描攻击。
Redis Server的端口默认为6379,容易被扫描攻击,建议将端口设置为非默认端口。支持修改的端口范围:1~65535之间的其它端口号。
-
密码访问建议将访问缓存实例方式设置为密码访问,防止未经认证的客户端误操作实例。
分布式缓存服务支持在购买Redis实例时进行设置访问密码,也可以对已创建的免密实例进行密码重置。
-
SSL传输加密为了确保数据传输过程中不被窃取和损坏,建议使用SSL链路传输加密方式访问Redis。
目前分布式缓存服务Redis 6.0基础版实例已支持SSL链路传输加密,建议优先选择Redis 6.0基础版实例,并启用SSL功能。
-
备份与恢复
-
跨AZ容灾建议使用跨AZ复制构建数据容灾能力。
分布式缓存服务的主备和集群实例支持部署高可用实例,租户可选择在单可用区或多可用区中部署实例。
当租户选择跨AZ实例时,缓存实例会主动建立和维护Redis同步复制。在实例主节点故障的情况下,缓存实例会自动将备实例升为主节点,从而达到高可用的目的。
通过访问控制,保护数据安全性
正确的使用DCS提供的访问控制能力,可以有效预防您的数据被异常窃取或者损坏。
对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露或被误操作。
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。
IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。
建议使用非默认端口,避免端口被扫描攻击。
Redis Server的端口默认为6379,容易被扫描攻击,建议将端口设置为非默认端口。支持修改的端口范围:1~65535之间的其它端口号。
为了确保数据传输过程中不被窃取和损坏,建议使用SSL链路传输加密方式访问Redis。
目前分布式缓存服务Redis 6.0基础版实例已支持SSL链路传输加密,建议优先选择Redis 6.0基础版实例,并启用SSL功能。
审计是否存在异常数据访问
开启云审计服务,记录DCS的所有访问操作,便于事后审查。
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您开通云审计服务并创建和配置追踪器后,CTS可记录DCS的管理事件和数据事件用于审计。云审计服务支持的关键操作
使用云监控服务对安全事件进行实时监控和告警。
您在使用分布式缓存服务的过程中会也可能会遇到服务端返回的错误响应,为使您更好地掌握分布式缓存服务的实例状态,华为云提供了云监控服务(Cloud Eye)。您可使用该服务监控自己的缓存实例,执行自动实时监控、告警和通知操作,帮助您实时掌握缓存实例中所产生的请求、流量和错误响应等信息。
云监控服务不需要开通,会在用户创建缓存实例后自动启动。
通过其他云服务进一步增强对数据的安全防护
启用态势感知服务(SA)保障DCS资源安全
态势感知通过“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三种基线规则,检测DCS关键配置项,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。您可以通过态势感知的资源管理功能,快速了解到DCS安全状况等信息,帮助您定位安全风险问题。
