全托管单租场景下,用户的业务跑在服务商账号下的VPC环境中,VPC环境下的数据安全对用户来说十分重要,计算巢提供了安全合规检查机制来保障用户的数据安全。
背景信息
全托管单租场景中,客户的业务和数据运行在服务商的VPC中,虽然每个客户都有独立的VPC环境,避免了多租户环境中可能出现的数据安全和隐私问题,但是全托管单租场景依赖于服务商来管理和维护资源,如果服务商的技术支持不达标或者操作不合规,可能会影响客户的业务操作和数据安全,比如以下场景中可能会导致数据安全问题。
1. 公网访问风险:VPC中的资源允许公网访问,可能会导致网络攻击或者数据泄漏。
2. 资源变动影响:如果VPC中移入无关的资源,可以通过跳板机访问客户应用,导致服务中断或数据篡改。
3. 数据迁移泄漏:对VPC内的数据进行迁移或导出,导致客户数据泄漏。
4. 私网打通风险:通过VPC私网打通访问服务商的VPC, 导致客户数据泄漏或篡改等问题。
配置合规检查步骤
服务商开启合规包检查
服务商创建或更新全托管服务时,可在高级配置部分,开启当前服务版本的合规包检查。该功能免费。
当前服务开启了合规包检查后,不允许关闭。
目前支持对VPC内的数据安全风险进行检查,当该项功能开启后,会检查VPC内部潜在的数据泄露风险事件。
目前全托管单租的数据安全合规包中,主要根据以下规范检测风险事件:
资源不允许开公网:此规范下需要检查服务器、数据库等资源是否有配置公网的操作记录,是否有配置公网网关的操作记录。
VPC内的资源不允许迁入迁出:此规范下检查VPC中是否有资源变更的操作记录,比如将无关的服务器移入到此VPC中。
数据类产品只允许在VPC内访问:此规范下检查数据静态存储的访问权限是否为公开的,并且是否限制不允许公网访问。
数据类产品不允许导出:此规范检查是否有配置数据同步、数据迁移、创建服务器镜像、创建磁盘快照等事件的操作记录。
VPC网络不允许打通:此规范检查是否有与用户之前的其他VPC 进行私网打通的操作记录。
查看服务实例的风险事件
当全托管服务开启了合规包安全检查后,如果部署的服务实例中触发了某个风险项,用户和服务商在服务实例的日志栏Tab中可查看风险事件。
服务商查看
如果用户部署的服务实例触发了某个风险项,那么在服务实例的日志栏Tab中,服务商可点击合规包日志进行查看。
注意:当该Tab上有小红点时,表示有未读的风险信息。
步骤如下:
按图示步骤找到用户部署的服务实例
查看具体的风险事件
用户查看
如果服务商需要授权用户可查看风险事件,可在服务运维(选填)处开启代运维,
步骤示例如下:
服务处设置开启代运维
用户按下图标志找到自己的服务实例
查看具体的风险事件
订阅云监控风险通知事件
在计算巢控制台,用户和服务商可以查看当前实例的风险事件,如果想及时接收风险提醒,可以通过云监控订阅事件,并配置事件的通知策略,即可在风险事件触发后及时收到提醒。
配置步骤如下:
访问云监控控制台
选择“通知配置”并创建策略,此处需要填写策略名称和通知的联系组。
找到【事件中心】-【事件订阅】-【创建订阅策略】
填写订阅策略名,将订阅范围的产品选择到“计算巢”,事件名称选为:“服务实例不合规事件”
选择上述第二步配置的通知配置,并配置自定义的通知方式
点击提交后,就成功订阅事件, 在事件触发时会收到通知,另外在云监控的系统事件位置处也可以看到发生的不合规事件。
