云平台及产品默认配置风险分析

更新时间:2023-09-25 02:24:37

云平台及云产品在不同企业客户的实际使用场景中,会根据业务需求产生不同的配置文件和使用场景。以OSS服务为例,有些OSS Bucket是需要公共读写的,有些Bucket却是公共读,私有写。云产品提供的默认配置在不同的应用场景下未必是安全的,所以企业应该识别云产品默认配置存在的安全风险,和该云服务在使用中的安全最佳实践,然后再根据企业实际应用场景判断相关风险的影响程度,可接受程度。

云平台及产品的默认配置风险分析需要从以下几个维度考量。

风险评估维度

说明

示例

身份认证

检查云平台及云服务的身份认证方式,密码复杂度,身份角色等

RAM密码策略可用于确保密码的复杂性。建议密码长度至少14-32位。

授权管理

检查云平台及服务是否存在授权过度等授权相关问题

检查角色的权限策略中是否包含RAM相关的高危API,并结合近一个月内的调用行为筛选出未经使用的API。

访问控制

检查云平台及云产品的访问方式,控制措施和控制细粒度是否符合安全要求

RDS开启公网访问权限可能存在被攻击者入侵的风险,建议关闭公网访问地址。

网络安全

检查云产品资源实例网络设置的安全性是否符合规范及合规要求

专有网络VPC实例绑定公网NAT网关,存在公网暴露被攻击风险。

数据安全

检查云产品资源实例在处理数据时,是否有进行数据访问控制和加密

OSS存储开启服务端加密

日志审计

检查云产品及云平台是否开启日志审计功能

用户在访问 OSS 的过程中,会产生大量的访问日志。日志存储功能,可将 OSS 的访问日志,以小时为单位,按照固定的命名规则,生成一个 Object 写入您指定的 Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云 DataLakeAnalytics 或搭建 Spark 集群等方式对这些日志文件进行分析。

容灾备份

检查云产品的数据备份策略是否得到有效配置和执行

NAS控制台定期备份NAS文件,能够在数据丢失或受损时及时恢复文件。

    AI助理

    点击开启售前

    在线咨询服务

    你好,我是AI助理

    可以解答问题、推荐解决方案等