简介
注意
1. 当前仅支持对主账号进行盗刷风险检测。
2. 若检测结果为疑似有盗刷风险,您可根据业务场景,评估是否需要配置相关检测策略。若为外网业务,请关注风险项;若为内网业务,可忽略。
操作步骤
风险检测和概览
1. 登录 对象存储控制台。
2. 在左侧导航栏中,单击存储桶列表。
3. 找到您需要检测盗刷风险的存储桶,单击该存储桶名称。
4. 在存储桶配置页面,单击安全管理 > 盗刷风险检测。进入盗刷风险检测页面,右侧展示整体的检测情况。
5. 单击重新检测,即可对检测项发起一次盗刷风险检测。
说明:
进入页面后,系统将默认为您发起一次盗刷风险检测。
检测详情
在检测详情模块,您可以查看每个检测项的风险结果,并筛选有风险的检测项。此外,针对每个风险项,系统将提供相关优化建议,您可快速设置。
盗刷风险检测包括存储桶访问权限、防盗链配置、CDN鉴权配置、CDN流量封顶配置、云监控告警配置、存储桶封禁状态六个检测项。
检测项说明如下:
存储桶访问权限:检查 COS 存储桶的访问权限。
若当前存储桶权限设置为公有读权限,则匿名用户无需身份验证即可读取存储桶数据,安全风险高,不推荐此配置。
若无特殊业务场景,建议存储桶设置为私有读写权限,操作指引请参见 防盗刷指引-修改存储桶访问权限。
防盗链配置:检查 COS 存储桶的防盗链设置。
若当前存储桶未开启防盗链或开启后允许空 Referer 访问,可能会受到恶意用户或程序盗刷流量,产生预期外的费用。
若无特殊业务场景,建议开启防盗链并拒绝空 Referer 访问,操作指引请参见 防盗刷指引-开启存储桶防盗链。
CDN鉴权配置:检查 COS 存储桶域名的CDN鉴权设置。
若当前存储桶为私有桶,已接入CDN,但存在域名未配置CDN鉴权,可能会有恶意用户盗刷您的内容进行牟利。
若无特殊业务场景,建议您对域名配置CDN鉴权,操作指引请参见 CDN鉴权配置说明。
CDN流量封顶配置:检查 COS 存储桶域名的CDN流量封顶设置。
若当前存储桶存在域名未配置CDN流量封顶策略,可能会有恶意用户盗刷流量,造成损失。
若无特殊业务场景,建议您对域名配置CDN流量封顶策略,操作指引请参见 CDN用量封顶配置。
云监控告警配置:检查COS存储桶的云监控(腾讯云可观测平台)告警策略。
若未配置外网下行流量告警策略,则不能及时感知流量变化,存在盗刷风险,可能会产生预期外的费用。
若无特殊业务场景,建议配置外网下行流量告警策略,操作指引请参见 防盗刷指引-配置云监控告警。
存储桶封禁状态 :检查COS存储桶的封禁状态。
若当前存储桶状态异常,可能是由于恶意用户盗刷行为导致存储桶被封禁。若是预期内的流量增长,请 联系我们 申请解封。
使用统计
在使用统计模块,支持查看当前存储桶最近两天的外网下行流量和 GET 请求统计数据。如需查看更详细的数据,单击数据监控或者从存储桶配置页面进入数据监控。
