全託管單租情境下,使用者的業務跑在服務商帳號下的VPC環境中,VPC環境下的資料安全對使用者來說十分重要,計算巢提供了安全合規檢查機制來保障使用者的資料安全。
背景資訊
全託管單租情境中,客戶的業務和資料運行在服務商的VPC中,雖然每個客戶都有獨立的VPC環境,避免了多租戶環境中可能出現的資料安全和隱私問題,但是全託管單租情境依賴於服務商來管理和維護資源,如果服務商的支援人員不達標或者操作不合規,可能會影響客戶的業務操作和資料安全,比如以下情境中可能會導致資料安全問題。
1. 公網訪問風險:VPC中的資源允許公網訪問,可能會導致網路攻擊或者資料泄漏。
2. 資源變動影響:如果VPC中移入無關的資源,可以通過跳板機訪問客戶應用,導致服務中斷或資料篡改。
3. 資料移轉泄漏:對VPC內的資料進行遷移或匯出,導致客戶資料泄漏。
4. 私網打通風險:通過VPC私網打通訪問服務商的VPC, 導致客戶資料泄漏或篡改等問題。
配置合規檢查步驟
服務商開啟合規包檢查
服務商建立或更新全託管服務時,可在進階配置部分,開啟當前服務版本的合規包檢查。該功能免費。
當前服務開啟了合規包檢查後,不允許關閉。
目前支援對VPC內的資料安全風險進行檢查,當該項功能開啟後,會檢查VPC內部潛在的資料泄露風險事件。
目前全託管單租的資料安全合規包中,主要根據以下規範檢測風險事件:
資源不允許開公網:此規範下需要檢查伺服器、資料庫等資源是否有配置公網的操作記錄,是否有配置公網網關的操作記錄。
VPC內的資源不允許遷入遷出:此規範下檢查VPC中是否有資源變更的操作記錄,比如將無關的伺服器移入到此VPC中。
資料類產品只允許在VPC內訪問:此規範下檢查資料靜態儲存的存取權限是否為公開的,並且是否限制不允許公網訪問。
資料類產品不允許匯出:此規範檢查是否有配置資料同步、資料移轉、建立伺服器鏡像、建立磁碟快照等事件的操作記錄。
VPC網路不允許打通:此規範檢查是否有與使用者之前的其他VPC 進行私網打通的操作記錄。
查看服務執行個體的風險事件
當全託管服務開啟了合規包安全檢查後,如果部署的服務執行個體中觸發了某個風險項,使用者和服務商在服務執行個體的日誌欄Tab中可查看風險事件。
服務商查看
如果使用者部署的服務執行個體觸發了某個風險項,那麼在服務執行個體的日誌欄Tab中,服務商可點擊合規包日誌進行查看。
注意:當該Tab上有小紅點時,表示有未讀的風險資訊。
步驟如下:
按圖示步驟找到使用者部署的服務執行個體
查看具體的風險事件
使用者查看
如果服務商需要授權使用者可查看風險事件,可在服務營運(選填)處開啟代營運,
步驟樣本如下:
服務處設定開啟代營運
使用者按下表徵圖志找到自己的服務執行個體
查看具體的風險事件
訂閱CloudMonitor風險通知事件
在計算巢控制台,使用者和服務商可以查看當前執行個體的風險事件,如果想及時接收風險提醒,可以通過CloudMonitor訂閱事件,並配置事件的通知策略,即可在風險事件觸發後及時收到提醒。
配置步驟如下:
選擇“通知配置”並建立策略,此處需要填寫策略名稱稱和通知的聯絡組。
找到【事件中心】-【事件訂閱】-【建立訂閱策略】
填寫訂閱策略名稱,將訂閱範圍的產品選擇到“計算巢”,事件名稱選為:“服務執行個體不合規事件”
選擇上述第二步配置的通知配置,並配置自訂的通知方式
點擊提交後,就成功訂閱事件, 在事件觸發時會收到通知,另外在CloudMonitor的系統事件位置處也可以看到發生的不合規事件。
