建立執行個體時雲端硬碟應開啟自動快照策略定期備份重要資料。
安全風險
雲端硬碟中儲存的業務資料面臨著多種威脅,可能導致資料損毀或永久丟失:
人為誤操作: 意外刪除檔案、格式化磁碟或錯誤配置。
惡意攻擊: 勒索軟體加密資料,或駭客入侵後惡意刪除、篡改資料。
軟體與應用程式中斷: 應用程式Bug或系統崩潰可能導致資料寫入不一致或損壞。
硬體故障: 儘管機率極低,但任何物理裝置都存在失效的可能。
最佳實務
通過自動快照策略,系統將周期性地為指定的雲端硬碟建立快照,避免因人為疏忽忘記建立快照,降低資料丟失風險,提高系統的可靠性和穩定性。
控制台
通過執行個體購買頁建立執行個體時,快照服務為系統硬碟和資料盤選擇自動快照策略。
如預設策略不滿足需求,可單擊建立自動快照策略,完成後再進行選擇。
API
使用CreateAutoSnapshotPolicy建立自動快照策略,通過
timePoints參數指定自動快照備份時間,repeatWeekdays參數指定自動備份快照周期,retentionDays參數指定自動備份快照保留時間,請求成功會返回自動快照策略IDAutoSnapshotPolicyId。使用RunInstances或者CreateInstance介面建立執行個體時,通過
SystemDisk.AutoSnapshotPolicyId參數指定系統硬碟自動快照策略,DataDisk.X.AutoSnapshotPolicyId參數指定資料盤自動快照策略。
快照策略生效後,系統會自動建立備份資料,以便從快照節點恢複歷史資料。操作步驟,請參見使用快照復原雲端硬碟。
合規能力
檢查:檢查磁碟是否開啟自動快照策略
ECS使用成熟度等級評估與洞察
選擇可靠效能力頁簽,單擊檢查項最近 7 天有建立快照進行資料備份,可以查看最近7天是否為磁碟建立過快照。
Security Center
在左側功能表列選擇,選擇雲產品配置風險頁簽,尋找名為開啟自動快照策略的檢查項,單擊操作列的掃描按鈕。
若狀態顯示為未通過,表示存在未開啟自動快照策略的執行個體,可單擊詳情進行查看。
攔截:禁止建立無自動快照策略的ECS執行個體
當前策略在邀測中,目前支援成都、烏蘭察布、呼和浩特地區。
為滿足企業的安全、合規要求對重要業務資料定期備份,以應對勒索攻擊威脅。ECS支援配置RAM Policy權限原則限制子帳號、角色,在建立執行個體時,系統硬碟、資料盤必須綁定自動快照策略。為新購執行個體以及新購雲端硬碟時,判斷當前新購系統硬碟、資料盤是否綁定自動快照策略,並把判斷結果返回RAM進行鑒權,RAM定製Policy策略判斷,不滿足建立盤必須綁定自動快照策略要求的請求,鑒權失敗則拒絕建立雲端硬碟。
針對企業使用者:
使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略,建立自訂權限原則,粘貼以下JSON內容。
{ "Version": "1", "Statement": [ { "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": "*", "Condition": { "StringLike": { "ecs:IsDiskAutoSnapshotPolicyEnabled": "*false*" } }, "Effect": "Deny" }, { "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:IsSystemDiskAutoSnapshotPolicyEnabled": "false" } }, "Effect": "Deny" } ] }在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。
針對非企業使用者:
使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。
通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。
修複:為雲端硬碟設定自動快照策略
如果檢查發現有執行個體未開啟自動快照策略,可為雲端硬碟設定自動快照策略。