OSS提供的安全防护功能介绍-阿里云开发者社区

开发者社区> 何昔> 正文

OSS提供的安全防护功能介绍

简介: OSS适用于存储各类型的静态资源,为了防止OSS的资源被恶意盗用,OSS提供了几种安全防护功能,用户还可以集成安全类产品进行安全防护。本文会从两方面展开:OSS本身提供的安全防护功能(referer、跨域、权限控制、安全排查)及结合安全产品进行安全防护(高防、WAF结合OSS使用)
+关注继续查看

OSS适用于存储各类型的静态资源,为了防止OSS的资源被恶意盗用,OSS提供了几种安全防护功能,用户还可以集成安全类产品进行安全防护。本文会从两方面展开:OSS本身提供的安全防护功能(referer、跨域、权限控制、安全排查)及结合安全产品进行安全防护(高防、WAF结合OSS使用)。

一、OSS本身提供的安全防护功能

1. 防盗链

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。例如,对于一个名为oss-example的Bucket,设置其referer白名单为http://www.aliyun.com/ 。则所有referer为http://www.aliyun.com/ 的请求才能访问oss-example这个Bucket中的Object。
控制台——OSS——具体bucket——基础设置
1

2.跨域设置

跨域访问,或者说JavaScript的跨域访问问题,是浏览器出于安全考虑而设置的一个限制,即同源策略。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候,浏览器会拒绝该访问,因为A、B两个网站是属于不同的域。

在实际应用中,经常会有跨域访问的需求,比如用户的网站www.a.com,后端使用了OSS。在网页中提供了使用JavaScript实现的上传功能,但是在该页面中,只能向www.a.com发送请求,向其他网站发送的请求都会被浏览器拒绝。这样就导致用户上传的数据必须从www.a.com中转。如果设置了跨域访问的话,用户就可以直接上传到OSS而无需从www.a.com中转。
控制台——OSS——具体bucket——基础设置
2

点击管理
3

3.权限控制

Bucket私有的情况下,object的访问得通过签名URL访问,签名URL存在过期时间,会定期过期,增加了一直恶意下载的成本,同时需要用户集成oss签名URL的API,有一定开发成本;
OSS签名URL算法:OSS签名URL算法
OSS签名URL实现的PHP demo 看:OSS签名URL-PHPdemo
OSS SDK 获取签名URL看:OSS SDK获取签名URL

4.异常流量安全排查

在控制台--OSS--资源监控--IP统计,看看哪些IP发起的请求,是否存在异常IP发起了请求

1)对于异常IP发起了请求

[1]如果bucket私有,建议迁移数据到新的bucket中,新的bucket私有,通过开启waf/高防 防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看二

[2]如果bucket公共读: 可以bucket私有对外提供签名URL访问(需要业务端集成签名算法有一定开发成本)

或者 迁移数据到另外的bucket中,通过开启waf/高防 防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看二

或者迁移数据到另外的bucket中,再使用自定义域名对外服务,开启CDN加速,利用CDN的 IP黑名单 进行限制访问
数据迁移参考:OSSimport
OSS 开启CDN加速:CDN加速OSS

2) 排查下refer监控 看看哪些refer 发起了请求

看看是否存在恶意的盗链行为
存在的话,OSS 层面设置refer 白名单

3) 要详细排查哪些IP访问了什么资源,得分析OSS日志

OSS日志开启看: OSS日志开启
日志字段说明:OSS日志字段说明

二、结合安全产品进行安全防护

1.高防防护OSS

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 域名绑定
4

2) 自定义域名配置高防:高防配置
5

3) 在域名服务商那边增加cname 解析,解析到高防提供的cname 地址上即可
6

通过http://dcgf.pier39.cn/objectname 来高防防护OSS的资源

2.WAF结合OSS使用

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 自定义域名绑定
7

2) 自定义域名配置WAF ,参考:WAF配置
8

3) 在域名服务商那边增加cname 解析,解析到WAF提供的cname地址上
9

通过http://dcgf.pier39.cn/objectname 来WAF防护OSS的资源

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Cassandra gossip介绍系列之一
介绍cassandra的gossip系列之一
1569 0
Fun 2.16.0 发布——资源部署、NAS 支持、镜像拉取等功能又又又增强啦!
Fun 2.16.0 发布——资源部署、NAS 支持、镜像拉取等功能又又又增强啦! Fun 是什么 Fun: Fun 是一个用于支持 Serverless 应用部署的工具,能帮助您便捷地管理函数计算、API 网关、日志服务等资源。
1185 0
云原生安全助力在线教育三分钟搞定安全防护
传统的安全解决方案主要通过外挂设备来解决各类安全问题,但是在新型的云环境下,外挂设备存在许多兼容性风险。通过简单的将外挂设备软件化后安装在云上虚拟机的方式,已经越来越被证明需要更高效、更稳定、更安全的解决方案来替代。企业需要的是一套“长”在云上的原生安全解决方案。
2055 0
【X-Pack解读】阿里云Elasticsearch X-Pack 安全组件功能详解
阿里云Elasticsearch集成了Elastic Stack商业版的X-Pack组件包,包括安全、告警、监控、报表生成、图分析、机器学习等组件,用户可以开箱即用。接下来小编将在【X-Pack解读】系列里解读各个Elasticsearch X-Pack 组件功能。
8870 0
Redis介绍使用及进阶
Redis介绍使用及进阶目录: 一、介绍 二、缓存问题 三、Redis内存滥用 四、键命名规范 五、Redis使用场景 六、持久化操作 七、.Net Core 使用redis 简单介绍 一、介绍 1、 高性能-- Redis能读的速度是110000次/s,写的速度是81000次/s 、c语言实现距...
974 0
+关注
何昔
对OSS、CDN、MTS音视频等有一定认知
15
文章
0
问答
来源圈子
更多
作为全球云计算的领先者,阿里云为全球230万企业提供着云计算服务,服务范围覆盖200多个国家和地区。我们致力于为企业、政府等组织机构提供安全可靠的云计算服务,给用户带来极速愉悦的服务体验。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载