数据安全中心 DSC(Data Security Center)可以评估和验证Bucket的安全配置合规性,例如确保ACL和加密策略是否配置,并针对检测出的配置风险项提供对应的处置建议。建议您根据处置建议及时处理配置风险项,强化OSS Bucket中数据资产的基础安全配置。
方案概览
DSC支持针对OSS Bucket的基线风险检查项如下:
策略名称 | 检查项 | 说明 |
数据存储安全 | OSS-开启Bucket服务端加密功能 | 检查OSS Bucket是否开启加密功能。 数据存储应配置加密等安全措施,保障数据的保密性和完整性。 |
数据备份恢复 | OSS-开启Bucket版本控制功能 | 检查OSS Bucket是否开启版本控制功能。 建立版本控制与恢复机制,实现对存储数据冗余管理,保护数据的可用性。 |
访问控制管理 | OSS-开启Bucket防盗链配置、OSS-配置访问源IP白名单 | 检查OSS Bucket是否存在公开暴露的情况。 数据的访问和使用应根据业务需要限制访问来源,避免数据资产公开暴露。 |
数据传输加密 | OSS-开启安全加密传输功能 | 检查OSS文件在传输过程中是否开启了加密传输。 数据传输活动应采取加密等安全措施,保障数据传输过程的安全性。 |
日志监控审计 | OSS-开启日志存储功能 | 检查OSS文件是否开启了日志存储功能。 数据处理的全生命周期应具备记录和监控能力,确保数据处理过程可追溯。OSS文件应开启日志存储等功能。 |
身份权限管理 | OSS-匿名账号“读写/完全控制”权限配设置 | 检查OSS文件权限管理是否合理,例如是否配置了公共读写权限来更改存储文件的内容。 数据的访问和使用应基于最小权限原则,明确相关人员的访问权限,防止非授权访问。 |
敏感数据保护 | OSS-敏感数据Bucket 公共读(写)权限访问检查、OSS-日志文件“公共读(写)”访问权限设置 | 检查OSS日志文件是否存在公共读写等数据泄露风险,或者检查敏感数据所在项目是否开启了访问控制。 本示例对OSS Bucket不进行敏感数据识别,直接进行基线检查,对于OSS-敏感数据Bucket 公共读(写)权限访问检查的检查项会默认通过。 |
完成以上基线安全检查和处理,只需四步:
创建OSS Bucket:新增OSS Bucket。
将OSS Bucket文件接入DSC:DSC授权接入OSS Bucket。
手动执行基线安全检查:DSC每天凌晨1点左右会默认为已接入的数据库资产执行一次安全基线检查。如果需要立即查看基线检查结果,需要手动执行检查策略。
查看和处理安全风险:根据检测结果及时处理检测出的配置风险项。
前提条件
当前账号已开通数据安全中心免费版并授权数据安全中心访问其他阿里云资源。
数据安全中心的免费版服务提供基线检查功能,支持阿里云数据安全最佳实践基线的检查项检测,每月免费提供500 TB的OSS防护量。本示例仅需开通DSC免费版服务。
当前账号已开通对象存储OSS。
步骤一:创建OSS Bucket
在对象存储OSS控制台的Bucket列表页面,单击创建Bucket。
在创建 Bucket面板,配置如下参数,其他参数采用默认配置,然后单击完成创建。
步骤二:将OSS Bucket文件接入DSC
在数据安全中心的授权管理页面,单击资产授权管理。
在资产授权管理面板的非结构化数据下,选择OSS,单击资产同步。
资产同步完成后,找到新创建的OSS Bucket,然后单击操作列的授权。
授权完成后,在资产授权管理页面,找到该OSS Bucket,然后单击操作列的一键连接。
在提示框中,无需选中数据扫描和识别,直接单击确定。
等待OSS Bucket的连接状态变为已连接。
步骤三:手动执行基线检查
3.1 查看并确认检查策略已启用
在基线管理页面,查看阿里云数据安全最佳实践基线中OSS相关检查项及其开启状态。
个保法安全基线需要购买DSC企业版实例才能使用。本示例使用阿里云数据安全最佳实践基线对已授权Bucket进行合规性检查。
DSC默认为已授权的OSS资产开启基线检查策略的所有检查项进行风险检测。
确认OSS对应检查项的状态列显示开启
图标。
3.2 手动执行各检查项的安全检查
在策略告警页签,单击目标策略名称对应操作列的详情。
在风险态势页签,分别单击OSS相关检查项的检测。检测按钮重新高亮后,表示检测完成,关闭面板。
重复以上步骤,分别完成不同检查策略的检查项检测。
步骤四:查看和处理安全风险
4.1 查看目标OSS Bucket的检查结果
完成基线检查后,在资产风险页签,搜索目标Bucket,可以看到当前安全配置检查项有5项通过安全检测,4项未通过安全检测。
单击操作列的处置,查看未通过的检查项及处置方案。
4.2 处置风险检查项
在风险详情区域,您可以单击处置,前往对应页面处理风险。例如,处理OSS-开启服务端加密功能。
跳转到OSS Bucket的服务端加密页面,单击设置,例如设置OSS完全托管加密,单击保存。服务器端加密的详细配置说明,请参见服务器端加密。
4.3 重新检测验证
返回DSC侧风险详情面板,单击重新检测。
发现检测已通过,表示该项风险已完成处理。
您可以参考以上操作,完成所有风险项处理,提升OSS Bucket安全配置合规性。
总结
对于已创建的OSS Bucket,您可以在存储数据前完成Bucket安全配置合规性检查,以增强数据存储的安全性。
敏感数据保护策略
OSS Bucket没有进行敏感数据识别前,针对OSS-敏感数据Bucket 公共读(写)权限访问检查默认是直接通过基线安全检查。为了保障您OSS Bucket存储数据后,保持安全配置合规,您可以创建敏感数据识别任务,定期扫描识别OSS Bucket中的是否存在敏感数据。对于存在敏感数据的OSS Bucket,DSC会执行OSS-敏感数据Bucket 公共读(写)权限访问检查的基线检查,以便您及时处理该检查项风险。
敏感数据识别任务的详细说明,请参见识别任务说明。
数据安全中心免费版每月提供5 GB的OSS识别量。如果不能满足业务需求,可以购买数据安全中心基础版实例,使用该服务。具体内容,请参见购买数据安全中心。
白名单管理
如果确认对于当前资产某个检查项的检查结果可以忽略,您可以在资产风险页签,单击目标资产操作列的加入白名单,将该资产加入该检查项的白名单中。
数据安全中心免费版不支持白名单管理功能,您需要购买数据安全中心的企业版实例,才能使用白名单功能。
