检测Bucket安全配置合规性

数据安全中心 DSC(Data Security Center)可以评估和验证Bucket的安全配置合规性,例如确保ACL和加密策略是否配置,并针对检测出的配置风险项提供对应的处置建议。建议您根据处置建议及时处理配置风险项,强化OSS Bucket中数据资产的基础安全配置。

方案概览

DSC支持针对OSS Bucket的基线风险检查项如下:

策略名称

检查项

说明

数据存储安全

OSS-开启Bucket服务端加密功能

检查OSS Bucket是否开启加密功能。

数据存储应配置加密等安全措施,保障数据的保密性和完整性。

数据备份恢复

OSS-开启Bucket版本控制功能

检查OSS Bucket是否开启版本控制功能。

建立版本控制与恢复机制,实现对存储数据冗余管理,保护数据的可用性。

访问控制管理

OSS-开启Bucket防盗链配置OSS-配置访问源IP白名单

检查OSS Bucket是否存在公开暴露的情况。

数据的访问和使用应根据业务需要限制访问来源,避免数据资产公开暴露。

数据传输加密

OSS-开启安全加密传输功能

检查OSS文件在传输过程中是否开启了加密传输。

数据传输活动应采取加密等安全措施,保障数据传输过程的安全性。

日志监控审计

OSS-开启日志存储功能

检查OSS文件是否开启了日志存储功能。

数据处理的全生命周期应具备记录和监控能力,确保数据处理过程可追溯。OSS文件应开启日志存储等功能。

身份权限管理

OSS-匿名账号“读写/完全控制”权限配设置

检查OSS文件权限管理是否合理,例如是否配置了公共读写权限来更改存储文件的内容。

数据的访问和使用应基于最小权限原则,明确相关人员的访问权限,防止非授权访问。

敏感数据保护

OSS-敏感数据Bucket 公共读(写)权限访问检查OSS-日志文件“公共读(写)”访问权限设置

检查OSS日志文件是否存在公共读写等数据泄露风险,或者检查敏感数据所在项目是否开启了访问控制。

本示例对OSS Bucket不进行敏感数据识别,直接进行基线检查,对于OSS-敏感数据Bucket 公共读(写)权限访问检查的检查项会默认通过。

完成以上基线安全检查和处理,只需四步:

  1. 创建OSS Bucket:新增OSS Bucket。

  2. OSS Bucket文件接入DSC:DSC授权接入OSS Bucket。

  3. 手动执行基线安全检查DSC每天凌晨1点左右会默认为已接入的数据库资产执行一次安全基线检查。如果需要立即查看基线检查结果,需要手动执行检查策略。

  4. 查看和处理安全风险:根据检测结果及时处理检测出的配置风险项。

前提条件

步骤一:创建OSS Bucket

  1. 在对象存储OSS控制台的Bucket列表页面,单击创建Bucket

  2. 创建 Bucket面板,配置如下参数,其他参数采用默认配置,然后单击完成创建

    image

步骤二:将OSS Bucket文件接入DSC

  1. 在数据安全中心的授权管理页面,单击资产授权管理

  2. 资产授权管理面板的非结构化数据下,选择OSS,单击资产同步

  3. 资产同步完成后,找到新创建的OSS Bucket,然后单击操作列的授权

    image

  4. 授权完成后,在资产授权管理页面,找到该OSS Bucket,然后单击操作列的一键连接

    image

  5. 在提示框中,无需选中数据扫描和识别,直接单击确定

    3.png

    等待OSS Bucket连接状态变为已连接

步骤三:手动执行基线检查

3.1 查看并确认检查策略已启用

  1. 基线管理页面,查看阿里云数据安全最佳实践基线OSS相关检查项及其开启状态。

    个保法安全基线需要购买DSC企业版实例才能使用。本示例使用阿里云数据安全最佳实践基线对已授权Bucket进行合规性检查。

    DSC默认为已授权的OSS资产开启基线检查策略的所有检查项进行风险检测。

    image

  2. 确认OSS对应检查项的状态列显示开启image图标。

3.2 手动执行各检查项的安全检查

  1. 策略告警页签,单击目标策略名称对应操作列的详情

  2. 风险态势页签,分别单击OSS相关检查项的检测。检测按钮重新高亮后,表示检测完成,关闭面板。

    image

  3. 重复以上步骤,分别完成不同检查策略的检查项检测。

步骤四:查看和处理安全风险

4.1 查看目标OSS Bucket的检查结果

  1. 完成基线检查后,在资产风险页签,搜索目标Bucket,可以看到当前安全配置检查项有5项通过安全检测,4项未通过安全检测。

    image

  2. 单击操作列的处置,查看未通过的检查项及处置方案。

    image

4.2 处置风险检查项

  1. 风险详情区域,您可以单击处置,前往对应页面处理风险。例如,处理OSS-开启服务端加密功能

  2. 跳转到OSS Bucket服务端加密页面,单击设置,例如设置OSS完全托管加密,单击保存。服务器端加密的详细配置说明,请参见服务器端加密

    image

4.3 重新检测验证

返回DSC侧风险详情面板,单击重新检测

image

发现检测已通过,表示该项风险已完成处理。

image

您可以参考以上操作,完成所有风险项处理,提升OSS Bucket安全配置合规性。

总结

对于已创建的OSS Bucket,您可以在存储数据前完成Bucket安全配置合规性检查,以增强数据存储的安全性。

敏感数据保护策略

OSS Bucket没有进行敏感数据识别前,针对OSS-敏感数据Bucket 公共读(写)权限访问检查默认是直接通过基线安全检查。为了保障您OSS Bucket存储数据后,保持安全配置合规,您可以创建敏感数据识别任务,定期扫描识别OSS Bucket中的是否存在敏感数据。对于存在敏感数据的OSS Bucket,DSC会执行OSS-敏感数据Bucket 公共读(写)权限访问检查的基线检查,以便您及时处理该检查项风险。

敏感数据识别任务的详细说明,请参见识别任务说明

重要

数据安全中心免费版每月提供5 GBOSS识别量。如果不能满足业务需求,可以购买数据安全中心基础版实例,使用该服务。具体内容,请参见购买数据安全中心

白名单管理

如果确认对于当前资产某个检查项的检查结果可以忽略,您可以在资产风险页签,单击目标资产操作列的加入白名单,将该资产加入该检查项的白名单中。

重要

数据安全中心免费版不支持白名单管理功能,您需要购买数据安全中心的企业版实例,才能使用白名单功能。

image