-公共のマイクロチャンネル番号からこの記事を共有テンセントクラウドストレージ
私はすべての企業や個々の開発者が重要な考慮事項として、クラウド・ストレージ製品の安全基準の選択でデータを考えると信じています。この記事では、コントロールに、テンセントクラウドオブジェクトストレージCOSの前に、独自の安全性データを確保するために、3事後手段を事をユーザーを保護する方法について説明します。
まず、事前ガード手段
1.特権の分離
クラウド企業は、アカウントのセキュリティと合理的な資源のは、三次元のドア保護システムを構築するための最初の承認です。:クラウド上の認可のリソース管理は、次のようなリスクを避けるべきではない
。日常の操作のためのテンセントクラウドメインアカウントの使用を
従業員がサブアカウントを構築するために、しかし、認可が大きすぎる;
アカウントの権限を使用して、管理システムとプロセスの欠如、
ユーザーの管理を監査する一切の正規の許可そして、ログイン情報、
無高い権限とアクセス制御のための高リスクのサブアカウントの動作条件、
テンセントクラウドアカウントCAMグレード、明確な分類権限と権利、安全性と制御を保護するために、他の手段によって。
分類アカウント:異なるアクセスのフォームやプログラミングやコンソールアクセスへのアクセスを許可する、サブアカウント、およびその他の協力者を含むすべての可能な法的CAMユーザーのためのメインアカウントように。
分類権限は:認定サービスレベル、インターフェイスレベル、こうしたリソースレベルの異なるレベルとして、どのような方法で、どのようなリソースとどのような条件の下で実行することができますどのような操作を許可されたCAMユーザーを通じて、
すべての最初の、あなたは主にアカウントを作成することができますサブアカウントは、関連する資格情報のメインアカウントを共有することなく、プライマリアカウントに割り当てられたリソースの権限の下でサブアカウントを管理します。
また、それは人によって異なるアクセスを許可する、異なるリソースのために可能です。たとえば、あなたが他の人のサブアカウントまたはプライマリアカウントが書き込み権限、COSのストレージオブジェクトを持つことができますが、特定のサブアカウントは、COSバケットへの読み取りアクセスを許可することができました。ここでは、これにより著作権管理の改善につながる資源、アクセス権、ユーザーのバッチをパッケージ化することができますが、です。
セカンダリ認証チェックMFAを開くことによって行われている間にアクセス(例えば、削除データのような)高リスクの操作のために、それは、ユーザがコンソールのみを操作できるように、権限を切開することができます。ユーザーがリスクの高い操作を実行するとMFAチェックを開いた後、このようなメッセージは、検証のためのチェックサムをトリガします。
2.オブジェクトのロック
な金融取引などのコアの機密データの一部について、医療画像データ、オブジェクトを介してロックをアップロードした後に削除されたり改ざんされてからファイルを防ぐために利用可能です。
構成の生活の中で、構成オブジェクトのロック機能の後、浴槽に格納されたデータのすべてが、上書きできない読み取り専用または削除され、この操作は、すべてのCAMユーザーとプライマリアカウント番号など、匿名ユーザー、有効です。
この機能はベータ版であり、ユーザーは、チケットアプリケーションのトライアルを提出する必要があります。
3. 数据灾备
腾讯云对象存储提供了包括数据加密、版本控制、跨地域复制和生命周期功能等多种功能在内的数据管理能力支持。
敏感文件可通过加密功能保障数据读写安全;
通过版本控制和跨地域复制实现异地容灾,保障数据持久性,确保数据误删或者被恶意删除时可从备份站点恢复数据;
通过生命周期进行数据沉降和删除,减少数据存储成本;
版本控制功能还可以保障用户的文件不会被覆盖写或者删除。在开启版本控制配置后,所有同名文件的写操作都会视同新增不同版本的同名文件,删除操作等同于新增一项删除标记;可以通过指定版本号访问过去任意版本的数据,可实现数据的回滚操作,解决数据误删和覆盖的风险。
在这里插入图片描述此外,对象存储还提供了跨地域复制的功能,帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作用。当主存储桶中的数据被删除时,可从备份存储桶中通过批量拷贝的方式恢复数据。
考虑到版本控制和跨地域复制功能都可能造成文件数增加,用户也可以通过生命周期功能将一些备份数据沉降至低频或者归档存储等更便宜的存储类型,从而实现低成本存储。综合数据加密、版本控制、跨地域复制和生命周期功能,腾讯云对象存储对外提供的完整冷备方案,如下图所示。
对于一些数据主要存储在其他云厂商,且对数据持久性要求苛刻的客户,COS也提供基于云函数的多云灾备方案。
首先数据存储在其他云厂商上(如AWS或者OSS),客户可通过云函数触发数据同步或者跨地域复制实现异地容灾,保障数据持久性;
同时,通过云函数触发数据迁移,将核心数据备份到腾讯云的对象存储服务上,并通过腾讯云的跨地域复制功能,实现异地灾备;
最後に、許可テンセントクラウドコントロールは、COSデータへのアクセスは、保証の極端なケースのデータはテンセントクラウドCOSからデータを回復することができます管理し、
データの一部は主に、他のクラウド・ベンダーに保存されているため、要求の厳しい顧客の永続データ、 COSはまた、クラウド曇った機能に基づいて、災害復旧プログラムを提供します。
まず、(例えばAWSやOSSのような)他のクラウド・ベンダーに保存されたデータは、顧客がデータの永続性を確保するために、オフサイトのディザスタリカバリのためのクラウドデータ同期機能やクロス地域のレプリケーションによってトリガすることができ、
同時に、クラウドのデータ移行機能によってトリガ、コアデータのバックアップクラウドオブジェクトストレージサービスへのテンセント、およびオフサイト災害復旧のための地域横断的複製テンセントクラウド経由;
最後に、権限制御、管理COSデータアクセス、極端な場合テンセントクラウドCOSからプロテクトデータのテンセント雲リカバリデータ。
第二に、制御手段で物事
テンセントクラウドオブジェクト・ストレージ・クラウド・ベースの機能は、イベント通知機能を提供します。
ファイルを削除するには、このようなリスクの高い動作のために、あなたはクラウドDeleteObjectの機能のこのタイプのハイリスクの動作を設定することができ、すぐに電話または電子メール通知にリスクの高い行動で動作SCFによって送られ、ハイリスク行動のタイムリーな検出を確保し、一時停止するための措置をとること。
第三に、事後の手段
テンセントクラウドオブジェクト・ストレージは、ユーザーがマルチチャンネルの低しきい値の機能を監視および監査ログ提供します。
このようなファイルパーミッション(PutObjectACL)および他の操作を変更し、ファイル(DeleteObjectの)を削除、書き込みファイル(PutObjectCopy)をカバーするなど、ユーザーのアクセスログバケットについては、バケットへのアクセスをログに記録することにより、追跡することができ、このような欠失などの高リスク行動は、バックをトレースすることができます検証、
バケット構成管理動作のために、例えばバケット(DeleteBucket)を削除など、バケットのアクセス制御リストを変更(PutBucketACL)、バケット戦略(PutBucketPolicy)を変更するなど、クラウド監査ログ、アクセス権の設定の変更やその他の行為を介して追跡することができますまた、バック検証をトレースすることができます。