媒体存储深知数据安全对用户的重要性。在媒体存储中,我们致力于为您提供可靠、安全的数据存储解决方案,并积极推动数据安全的最佳实践。
我们将通过本文为您介绍媒体存储数据安全的最佳实践,帮助您保护和管理存储在我们平台上的数据。我们将分享一系列有效的措施,旨在确保数据的机密性、完整性和可用性。
我们将从访问控制,数据加密,数据备份和灾难恢复,数据完整性检查,安全审计和监控等几个方面,介绍天翼云媒体存储的数据安全实践。
访问控制
正确使用天翼云媒体存储为您提供的访问控制能力,通过细粒度的访问控制策略,可以有效保护您的数据不被泄露和破坏。
- 建议不同管理员分别使用不同子账号,通过子账号来控制不同管理员的资源访问和管理权限,避免单一账号访问权限过高,导致数据泄露和误操作而产生的风险。
主账号管理员可以结合自己的业务和实际需求,分别创建不同的子用户,然后对子用户授权不同的权限。这样做可以更好的对不同管理员进行权限隔离和管理。详情参考:主子账号。
- 对临时用户,建议使用STS发放最小权限的临时访问凭证,让您的资源访问更加安全。临时访问凭证无需透露您的长期密钥,具有一定的时间有效期限,所以针对某些临时需要访问您数据的业务场景或者临时用户,推荐您使用STS发放最小权限临时访问凭证,降低潜在的攻击面和数据泄露风险。同时定期审查STS角色的权限设置,确保角色权限与用户或服务的实际需求保持一致。如果用户或服务不再需要特定的权限,应立即撤销相应的角色访问权限。对于特权角色,进行更频繁的审查和严格的权限管理。详情参考:STS角色管理。
- 利用好桶的权限配置功能,有效保护您的数据不被异常访问和操作。天翼云媒体存储提供了存储空间访问策略(Bucket Policy)、存储空间访问控制列表(Bucket ACL)和对象访问控制列表(Object ACL)等方式,通过它,您可以限制其他用户访问您数据的操作权限,避免您的数据被破坏和泄露。详情参考:访问权限-概述。
- 利用好防盗链配置,通过可以设置黑白名单,限制资源的可见性,能有效避免资源被盗用的风险。天翼云媒体存储提供了防盗链机制,可以防止其他网站或未经授权的第三方使用您的存储资源,防止资源盗链和滥用。只有经过授权的来源网站才能访问和显示您的资源,提高资源的安全性和保密性。详情参考:防盗链。
- 建议将需要公共读写的对象和私有资源对象进行分桶存储,以便简化您的访问控制策略。推荐将公开访问的对象数据使用公有桶存储,私有资源对象采用私有桶存储。同时请切勿将敏感数据放入公共桶存储,将私有桶错授权为公共读写权限,这样容易造成数据泄露风险。详情参考:访问权限-ACL。
- 数据对象临时的访问,建议使用临时URL访问数据对象。为了有效避免数据泄露的风险性,针对数据对象的临时访问场景,建议您生成一个临时的URL给访问者,同时在生成临时URL的时候,设置URL的有效期,过期自动失效。详情参考:访问方式。
- 利用好合规保留功能,可以降低您数据被误删和篡改的可能。对于一些私密敏感数据,一经上传,就需要对其进行锁定,防止被他人误删除或者篡改。天翼云媒体存储提供了合规保留功能,开启合规保留后,处于合规保留期的对象均“不可删除、不可篡改”。详情参考:合规保留。
数据加密
- 推荐使用HTTPS协议访问天翼云媒体存储,可以有效提高数据传输过程中的安全性。HTTPS是一种互联网通讯协议,它可以有效防止潜在攻击者使用中间人攻击或类似攻击来窃听或操纵网络流量。我们推荐访问天翼云媒体存储的时候,使用HTTPS进行数据传输。
- 敏感或者静态数据,推荐您对数据进行加密存储,能避免数据泄露风险。天翼云媒体存储支持服务端加密,当用户配置服务端加密后,将对收到的文件进行加密,再将加密文件持久化保存。当用户通过请求下载文件时,天翼云媒体存储自动将加密文件先解密再返回给用户。详情参考:服务端加密。
数据备份和灾难恢复
建立完善的数据备份机制和灾难恢复计划,以应对意外事件,确保数据的可用性,完整性和安全性。
- 建议启用版本控制,可以有效应对对象数据误删除,误覆盖的场景。版本控制功能是一种在相同的桶中保留对象的多个版本的策略。当发生数据被误删除或者被误覆盖的时候,可以通过对象多版本,快速恢复误删除/误覆盖的对象数据。详情参考:版本控制。
- 使用桶复制实现跨区域拷贝,构建数据异地备份,实现异地数据容灾。天翼云媒体存储提供了桶复制功能,他可以帮助您自动进行异地数据备份,实现异地数据容灾的作用。详情参考:存储桶复制。
数据完整性检查
- 采用完整性检查机制,确保存储在媒体存储中的数据在传输和存储过程中没有被篡改或损坏。天翼云媒体存储提供了数据一致性校验功能,可以避免因为网络劫持、数据缓存等原因导致的数据不一致问题。详情参考:校验上传对象的数据一致性。
- 建立安全审计和监控机制,通过及时检测和响应潜在的安全威胁来保护数据的安全性。天翼云媒体存储提供事件通知能力,当对象存储资源发生变动(如新对象上传、删除对象)时,可通过事件通知配置及时收到通知消息。另外,我们还提供用量统计,您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考:事件通知和用量统计。
安全审计和监控
- 建立安全审计和监控机制,通过及时检测和响应潜在的安全威胁来保护数据的安全性。
- 天翼云媒体存储提供事件通知能力,当对象存储资源发生变动(如新对象上传、删除对象)时,可通过事件通知配置及时收到通知消息。另外,我们还提供用量统计,您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考:事件通知和用量统计。
- 天翼云媒体存储还提供了日志存储和告警管理功能来为您的数据安全性保驾护航。其中日志存储功能可以帮您把对桶的各类访问请求记录日志进行存储,方便对桶请求的分析和审计。告警管理功能可以对使用过程中产生的响应状态码,读写请求,流量等进行监控和告警,当这些监控数据达到你自定义的告警阀值,就会发送告警信息。详情参考:日志存储和告警管理。
