Data Security Center (DSC)可以評估和驗證Bucket的安全配置合規性,例如確保ACL和加密策略是否配置,並針對檢測出的配置風險項提供對應的處置建議。建議您根據處置建議及時處理配置風險項,強化OSS Bucket中資料資產的基礎安全配置。
方案概覽
DSC支援針對OSS Bucket的基準風險檢查項如下:
策略名稱稱 | 檢查項 | 說明 |
資料存放區安全 | OSS-開啟Bucket服務端加密功能 | 檢查OSS Bucket是否開啟加密功能。 資料存放區應配置加密等安全措施,保障資料的保密性和完整性。 |
資料備份恢複 | OSS-開啟Bucket版本控制功能 | 檢查OSS Bucket是否開啟版本控制功能。 建立版本控制與恢複機制,實現對儲存資料冗餘管理,保護資料的可用性。 |
存取控制管理 | OSS-開啟Bucket防盜鏈配置、OSS-配置訪問源IP白名單 | 檢查OSS Bucket是否存在公開暴露的情況。 資料的訪問和使用應根據業務需要限制訪問來源,避免資料資產公開暴露。 |
資料轉送加密 | OSS-開啟安全加密傳輸功能 | 檢查OSS檔案在傳輸過程中是否開啟了加密傳輸。 資料轉送活動應採取加密等安全措施,保障資料轉送過程的安全性。 |
日誌監控審計 | OSS-開啟日誌儲存功能 | 檢查OSS檔案是否開啟了日誌儲存功能。 資料處理的全生命週期應具備記錄和監控能力,確保資料處理過程可追溯。OSS檔案應開啟日誌儲存等功能。 |
身份許可權管理 | OSS-匿名帳號“讀寫/完全控制”許可權配設定 | 檢查OSS檔案許可權管理是否合理,例如是否配置了公用讀寫許可權來更改隱藏檔的內容。 資料的訪問和使用應基於最小許可權原則,明確相關人員的存取權限,防止非授權訪問。 |
Sensitive Data Discovery and Protection | OSS-敏感性資料Bucket 公用讀取(寫)許可權訪問檢查、OSS-記錄檔“公用讀取(寫)”存取權限設定 | 檢查OSS記錄檔是否存在公用讀寫等資料泄露風險,或者檢查敏感性資料所在專案是否開啟了存取控制。 本樣本對OSS Bucket不進行敏感性資料識別,直接進行基準檢查,對於OSS-敏感性資料Bucket 公用讀取(寫)許可權訪問檢查的檢查項會預設通過。 |
完成以上基準安全檢查和處理,只需四步:
建立OSS Bucket:新增OSS Bucket。
將OSS Bucket檔案接入DSC:在資產中心開啟配置風險開關。
手動執行基準安全檢查:每天淩晨1點左右會預設為已接入的資料庫資產執行一次安全基準檢查。如果需要立即查看基準檢查結果,需要手動執行檢查策略。
查看和處理安全風險:根據檢測結果及時處理檢測出的配置風險項。
前提條件
當前帳號已開通資料資訊安全中心免費版並授權資料資訊安全中心訪問其他阿里雲資源。
資料資訊安全中心的免費版服務提供基準檢查功能,支援阿里雲資料安全最佳實務基準的檢查項檢測,每月免費提供500 TB的OSS防護量。本樣本僅需開通DSC免費版服務。
當前帳號已開通Object Storage Service。
步驟一:建立OSS Bucket
在Object Storage Service控制台的Bucket列表頁面,單擊建立Bucket。
在建立 Bucket面板,配置如下參數,其他參數採用預設配置,然後單擊完成建立。
步驟二:將OSS Bucket檔案接入DSC
登入資料資訊安全中心控制台。
在左側導覽列,選擇资产中心。
以新版资产中心為例,在资产中心頁面左側非結構化資料地區單擊OSS,並單擊資產同步。
資產同步完成後,找到新建立的OSS Bucket,開啟配置风险開關。
等待OSS Bucket的連接狀態變為已連接。
步驟三:手動執行基準檢查
3.1 查看並確認檢查策略已啟用
在左側導覽列,選擇。
在頁簽中,查看OSS相關檢查項及其開啟狀態。
個保法安全基準需要購買DSC企業版執行個體才能使用。本樣本使用阿里雲資料安全最佳實務基準對已授權Bucket進行合規性檢查。
DSC預設為已授權的OSS資產開啟基準檢查策略的所有檢查項進行風險檢測。
確認OSS對應檢查項的狀態列顯示開啟
表徵圖。
3.2 手動執行各檢查項的安全檢查
在頁簽,單擊目標策略名稱稱對應操作列的詳情。
在風險態勢頁簽,分別單擊OSS相關檢查項的檢測。檢測按鈕重新高亮後,表示檢測完成,關閉面板。
重複以上步驟,分別完成不同檢查策略的檢查項檢測。
步驟四:查看和處理安全風險
4.1 查看目標OSS Bucket的檢查結果
完成基準檢查後,在資產風險頁簽,搜尋目標Bucket,可以看到當前安全配置檢查項有5項通過安全檢測,可通過檢測時間,判斷最後的檢測時間。
單擊操作列的處置,查看未通過的檢查項及處置方案。
4.2 處置風險檢查項
在風險詳情地區,您可以單擊處置,前往對應頁面處理風險。例如,處理OSS-開啟服務端加密功能。
跳轉到OSS Bucket的服務端加密頁面,單擊設定,例如設定OSS完全託管加密,單擊儲存。伺服器端加密的詳細配置說明,請參見服務端加密。
4.3 重新檢測驗證
返回DSC側風險詳情面板,單擊重新檢測。
發現檢測已通過,表示該項風險已完成處理。
您可以參考以上操作,完成所有風險項處理,提升OSS Bucket安全配置合規性。
總結
對於已建立的OSS Bucket,您可以在儲存資料前完成Bucket安全配置合規性檢查,以增強資料存放區的安全性。
Sensitive Data Discovery and Protection策略
OSS Bucket沒有進行敏感性資料識別前,針對OSS-敏感性資料Bucket 公用讀取(寫)許可權訪問檢查預設是直接通過基準安全檢查。為了保障您OSS Bucket儲存資料後,保持安全配置合規,您可以建立敏感性資料識別任務,定期掃描識別OSS Bucket中的是否存在敏感性資料。對於存在敏感性資料的OSS Bucket,DSC會執行OSS-敏感性資料Bucket 公用讀取(寫)許可權訪問檢查的基準檢查,以便您及時處理該檢查項風險。
敏感性資料識別任務的詳細說明,請參見通過識別任務掃描敏感性資料。
資料資訊安全中心免費版每月提供5 GB的OSS識別量。如果不能滿足業務需求,可以購買資料資訊安全中心付費版執行個體,使用該服務。具體內容,請參見購買資料資訊安全中心。
白名單管理
如果確認對於當前資產某個檢查項的檢查結果可以忽略,您可以在資產風險頁簽,單擊目標資產操作列的加入白名單,將該資產加入該檢查項的白名單中。
資料資訊安全中心免費版不支援白名單管理功能,您需要購買資料資訊安全中心的企業版執行個體,才能使用白名單功能。
