专栏首页腾讯云存储腾讯云对象存储COS安全方案介绍
原创

腾讯云对象存储COS安全方案介绍

本文分享自微信公众号 - 腾讯云存储

​相信所有企业和个人开发者在选用云存储产品时都把数据安全作为重要考量标准。 本文介绍了用户如何使用腾讯云对象存储COS的事前防护、事中监控、事后追溯三个手段来保证自己的数据安全。

一、事前防护手段 

1. 权限隔离

对上云企业来说,账号安全和资源合理授权是构筑立体防护体系的第一道门锁。云上资源管理的授权应该规避如下风险:

  • 使用腾讯云主账号进行日常操作;
  • 为员工建了子账号,但是授权过大;
  • 缺乏对使用帐号权限的管理制度和流程;
  • 没有定期审计管理用户的权限和登录信息;
  • 对高权限子账号和高危操作没有访问条件控制;

腾讯云CAM通过账户分级、权限分级等多种措施保障权限清晰、安全可控。

账户分级:主账号可以为所有合法的CAM用户,包括子账号、协作者等,授予编程访问和控制台访问等不同的访问形式;

权限分级:则通过服务级、接口级、资源级等不同级别的授权,授权CAM用户可以在何种条件下通过何种的方式对何种资源进行何种操作;

首先,可以在主账号里创建子账号,给子账号分配主账号下资源的管理权限,而不需要分享主账号的相关的身份凭证。

另外,可以针对不同的资源,授权给不同的人员不同的访问权限。例如,可以允许某些子账号拥有某个COS存储桶的读权限,而另外一些子账号或者主账号可以拥有某个COS存储对象的写权限等。这里的资源、访问权限、用户都可以批量打包,从而做到精细化的权限管理。

对于一些高危操作(如删除数据)的权限,也可剖离出来进行授权,仅允许用户在控制台进行操作,同时通过开启MFA校验来进行二次认证。开启MFA校验后,用户在执行此类高危操作时会触发短信校验码进行校验。

2. 对象锁定

对于一些核心敏感数据,如金融交易数据、医疗影像数据等,可通过对象锁定功能来防止文件在上传之后被删除或者篡改。

配置对象锁定功能后,在配置的有效期内,存储桶内的所有数据将处于只读状态,不可覆盖或者删除,此项操作对包括主账号在内所有CAM用户及匿名用户生效。

此项功能正在内测中,有需要的用户请提交工单申请试用。

3. 数据灾备

腾讯云对象存储提供了包括数据加密、版本控制、跨地域复制和生命周期功能等多种功能在内的数据管理能力支持。

  • 敏感文件可通过加密功能保障数据读写安全;
  • 通过版本控制和跨地域复制实现异地容灾,保障数据持久性,确保数据误删或者被恶意删除时可从备份站点恢复数据;
  • 通过生命周期进行数据沉降和删除,减少数据存储成本;

版本控制功能还可以保障用户的文件不会被覆盖写或者删除。在开启版本控制配置后,所有同名文件的写操作都会视同新增不同版本的同名文件,删除操作等同于新增一项删除标记;可以通过指定版本号访问过去任意版本的数据,可实现数据的回滚操作,解决数据误删和覆盖的风险。

此外,对象存储还提供了跨地域复制的功能,帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作用。当主存储桶中的数据被删除时,可从备份存储桶中通过批量拷贝的方式恢复数据。

考虑到版本控制和跨地域复制功能都可能造成文件数增加,用户也可以通过生命周期功能将一些备份数据沉降至低频或者归档存储等更便宜的存储类型,从而实现低成本存储。综合数据加密、版本控制、跨地域复制和生命周期功能,腾讯云对象存储对外提供的完整冷备方案,如下图所示。

对于一些数据主要存储在其他云厂商,且对数据持久性要求苛刻的客户,COS也提供基于云函数的多云灾备方案。

  • 首先,数据存储在其他云厂商上(如AWS或者OSS),客户可通过云函数触发数据同步或者跨地域复制实现异地容灾,保障数据持久性;
  • 同时,通过云函数触发数据迁移,将核心数据备份到腾讯云的对象存储服务上,并通过腾讯云的跨地域复制功能,实现异地灾备;
  • 最后,通过腾讯云的权限管控,管理COS的数据访问权限,保障极端情况下数据可从腾讯云COS上恢复数据;

二、事中监控手段 

腾讯云对象存储基于云函数提供了事件通知功能。

对于删除文件这类高危操作,可以通过SCF针对DeleteObject这类高危操作配置云函数,在高危操作行为发生时即刻发送通知邮件或者手机上,确保可以及时发现高危行为,并采取手段中止。

三、事后追溯手段 

腾讯云对象存储为用户提供了多渠道低门槛的日志监控和审计功能。

对于存储桶的用户访问日志,如删除文件(DeleteObject)、覆盖写文件(PutObjectCopy)、修改文件权限(PutObjectACL)等操作,均可通过存储桶访问日志功能进行追踪,删除操作等高危行为可追溯可查证;

对于存储桶配置管理行为,如删除存储桶(DeleteBucket)、修改存储桶访问控制列表(PutBucketACL)、修改存储桶策略(PutBucketPolicy)等操作,可通过云审计日志进行追踪,权限配置修改等行为也可追溯查证。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 使用腾讯云函数SCF快速解压对象存储COS中的ZIP文件

    在本实践中,我们用到了云函数 SCF 和对象存储 COS。假定用户上传到 COS 的 zip 文件需要进行解压缩,并以 zip 包名作为文件夹名,回传到 COS...

    云存储
  • 腾讯云COS全球加速,解决弱网传输慢的难题!

    对象存储(Cloud Object Storage,COS)是腾讯云提供的一种存储海量文件的分布式存储服务,使用COS可以实现海量数据存储及管理,结合腾讯云遍布...

    云存储
  • 将 Discuz! 论坛远程附件存储到腾讯云对象存储COS上

    Discuz! 论坛可以通过配置远程附件功能将论坛的附件保存在腾讯云 COS 上,将论坛附件保存在 COS 上有以下好处:

    云存储
  • python面试

         设计哲学易于学习掌握,小型项目快速开发,大型项目毫无压力,FLask灵活开发,python高手基本都会喜欢flask

    zhang_derek
  • UIAlertView、UIActionSheet、UIAlertController使用(一)UIAlertView(二)UIActionSheet(三)UIAlertController

    VV木公子
  • 记录一次任意密码重置全过程

    此处修改成自己的,如何知道是自己的呢? 只需重复上面的流程,把找回密码的的账号换成自己的就行。

    ittongluren
  • 第10章 集合类与泛型

    10.1 Kotlin集合类 10.1.1 不可变集合类 10.1.1.1 List 10.1.1.2 Set 10.1.1.3 Map

    一个会写诗的程序员
  • 使用VS Code开发asp.net core

    下载地址: https://code.visualstudio.com/

    solenovex
  • 新年Flag:搞定Python中的“功夫熊猫”,做最高效的数据科学家

    这是一篇pandas入门指南,作者用通俗易懂的语言和简单的示例代码向我们展示了pandas的概况及一些进阶操作。“… 它是所有从事数据科学工作的人必须掌握的库”...

    大数据文摘
  • 可扩展的Web架构和分布式系统(翻译)

    原文:Scalable Web Architecture and Distributed Systems

    程序员小王

扫码关注云+社区

领取腾讯云代金券