OSS数据安全
OSS 提供多种安全能力,以确保数据的机密性、完整性和可用性。
版本控制
为了防止数据误删除或数据误覆盖而导致业务中断或受损,您可以为 OSS Bucket 开启版本控制。开启版本控制后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。您在错误覆盖或删除 Object 后,能够将 Bucket 中的 Object 恢复至任意时刻的历史版本。更多信息,请参见版本控制。
防盗链
为了防止外部网页盗用您的数据而导致额外的流量费用,您可以为 OSS Bucket 开启防盗链。开启防盗链后,只有来自您的网站的请求才能成功访问您的 Bucket 中的 Object,而来自其他网站的请求将无法访问这些 Object。更多信息,请参见防盗链。
跨域设置
在网页浏览器中使用 JavaScript 访问 OSS 时,由于浏览器的同源策略(Same-Origin Policy)限制,您会遇到跨域请求错误。为了解决跨域请求错误,您可以为 OSS Bucket 设置跨域资源共享(CORS, Cross-Origin Resource Sharing)。设置 CORS 后,浏览器将允许您在网站上使用 JavaScript 跨域访问您的 Bucket 中的 Object。更多信息,请参见跨域设置。
敏感数据保护
企业在 OSS 中存储了大量数据,包括个人隐私信息、密码、密钥和身份证图片等敏感数据,但往往难以准确识别这些数据及其位置。为了识别敏感数据,您可以为 OSS Bucket 开启敏感数据保护。开启敏感数据保护后,OSS 将通过内置算法规则和敏感数据识别规则对存储在 Bucket 中的海量 Object 进行扫描、分类和分级。扫描完成后,您可以根据扫描结果做进一步的安全防护,例如通过设置服务器端加密、权限控制等方式对数据进行安全审计或保护,从而满足数据安全、个人信息保护等相关法规的合规要求。更多信息,请参见敏感数据保护。
保留策略
对于金融、保险、医疗、证券、日志数据等保审查场景,如果您希望指定时间内任何用户(包括资源拥有者)均不能修改和删除 OSS 某个 Bucket 中的 Object,您可以为 Bucket 配置保留策略。在保留策略指定的 Object 保留时间到期之前,仅支持在 Bucket 中上传和读取 Object。Object 保留时间到期后,才可以修改或删除 Object。更多信息,请参见保留策略(WORM)。
服务器端加密
服务器端加密可以增强数据在存储过程中的安全性,适用于大部分数据保护场景。设置服务器端加密后,用户将数据上传到 OSS Bucket 时,OSS会自动对 Object 进行加密并将加密后的 Object 持久化保存。当用户下载 Object 时,OSS会自动解密该 Object 并将其返回给用户。更多信息,请参见服务器端加密。
客户端加密
客户端加密可以增强数据在传输和存储过程中的安全性,适用于高度敏感数据等场景。在数据上传至OSS Bucket 之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据。更多信息,请参见客户端加密。
设置 TLS 版本
TLS 是一种标准的加密协议,可以保护客户端与 OSS 之间的隐私和数据完整性。您可以在 OSS Bucket 设置使用的 TLS 版本。设置 TLS 版本后,客户端将只能使用指定的 TLS 版本与 OSS Bucket 进行安全的请求和响应,从而确保通信的安全性。更多信息,请参见设置TLS版本。
OSS 沙箱
当您的 OSS Bucket 遭受攻击或分享违法内容时,OSS 会自动将其切入沙箱。沙箱中的 Bucket 仍可正常响应请求,但服务质量将被降级,具体表现为网络可用性受影响,例如请求超时等。OSS切入沙箱后,您的应用可能会有明显感知。更多信息,请参见OSS沙箱。
OSS 高防
为了防止因 DDoS 攻击而导致的业务中断,您可以为 OSS Bucket 开启高防护功能。启用高防护后,当 OSS Bucket 遭受大流量攻击时,DDoS 高防会将攻击流量重定向至高防护集群进行清洗,并将正常访问流量转发至目标 Bucket,保证 Bucket 在受攻击时的稳定访问。更多信息,请参见OSS高防。