OSS 解决方案篇-OSS 数据安全

本文涉及的产品
对象存储 OSS,20GB 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
数据安全中心,免费版
简介: 加强 OSS 信息安全管控,多种解决方案实现数据安全

OSS 数据安全

当前 OSS 保证数据安全的方式参考的方式有如下几种方式

1、 OSS 要设置为私有的避免公共读,或者公共读写。
2、尽量不要使用传统的 AccesskeyID (AK)、AccesskeySecret (SK),改用 STS token 的方式替代原来的教研方式;
3、可以采用 OSS 内容加密,在鉴权的基础上双重加密,使用 KMS 对内容进行加密,但操作过程略微复杂;

使用场景

服务端存储 AKSK

用户自己有服务器,部署一套签名代码,使用 AK SK 生成鉴权的 signature 返回给客户端,端上利用 signature 构造 http 的请求头的方式来验签;

image.png

服务端生成 STS token

此类场景多用在移动端使用,客户端通过一个 https 地址请求到用户服务器,服务器上部署一个生成 STS token 的程序,收到移动端请求后请求 RAM 服务端生成 STS 信息。获取到 RAM 服务端返回的 STS.AK STS.SK STS.token 信息后,再返回给移动端使用;

需要注意用户服务器上也是用 AK SK 去申请的 STS,所以需要用户将生成一个子账号,然后配置好角色,将角色和权限绑定后,再通过子账号进行调用角色去生成 STS 信息;

移动端请求用户服务器尽量使用 HTTPS 协议,避免明文被劫持;服务端也可以针对移动端的请求做二次校验,比如客户端请求时携带一个 token,服务端校验通过再返回 STS 信息;

image.png

image.png

客户端拿到鉴权签名如何防泄露

header AK SK 签名

1、服务端通过 header + AK SK 签名方式生成 signature 后,可以对 header 签名做二次加密。比如客户端请求服务端时携带设备号和时间戳信息,服务端通过设备号和时间戳对 signature 做加密,再返回给客户端;

2、客户端拿到加密后的 signature ,通过约定的解密算法将 signature 解析出来,这样可以避免 signature 被别人抓到,或者被反编译出来;

3、通过客户端和服务端的传输可以用 https 方式避免被旁路劫持干扰;

4、header 签名拿到后,有效期是 15min ,超过 15min 没有使用,signature 失效无法继续使用;

header STS 签名

1、服务端通过 header + STS 签名方式生成 signature 后,在生成 STS 时可以限制只允许当前携带了设备号的 IP 来获取 signature ,如果设备号和 IP 不匹配的情况,即便是其他客户获取到了 STS token 也无法上传;

2、 当STS 暴露后,用户可以在 RAM 产品上将这个 STS 用的角色删除掉,重新配置一个角色即可,可以最小化降低影响;

3、生成 STS 时的 有效时间尽量不要那么长,控制在 900 - 3600s 之内,如果每个 STS token 都是 3600s 失效时间会带来一定的业务风险;

image.png

目录
相关文章
|
对象存储
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
508 0
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
|
3月前
|
Java 开发工具 对象存储
简化配置管理:Spring Cloud Config与Netflix OSS中的动态配置解决方案
简化配置管理:Spring Cloud Config与Netflix OSS中的动态配置解决方案
57 2
|
3月前
|
存储 监控 数据可视化
SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
【9月更文挑战第2天】SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
179 9
|
5月前
|
存储 监控 安全
OSS如何保证数据安全?
【7月更文挑战第19天】OSS如何保证数据安全?
299 7
|
5月前
|
存储 监控 安全
如何保护OSS数据安全?
【7月更文挑战第19天】如何保护OSS数据安全?
282 2
|
6月前
|
存储 SQL 分布式计算
对象存储解决方案 开源对象存储平台 自建对象存储解决方案
对象存储解决方案 开源对象存储平台 自建对象存储解决方案
319 4
|
存储 SQL 分布式计算
数据中台实战(11)-数据中台的数据安全解决方案
数据中台实战(11)-数据中台的数据安全解决方案
436 1
|
开发工具 对象存储 C++
UE4 x 阿里云OSS 配置问题和解决方案
在OSS配置到UE4时遇到一些问题,已解决,分享一些解决方案。
1337 0
|
存储 容灾 Cloud Native
利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案
本文主要分享《如何利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案》,帮助中小企业解决因难以负担备份容灾支出而遭受到业务中断威胁的问题。
利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案
|
7月前
|
存储 缓存 开发工具
某海外视频网站AWS S3 搬迁至OSS解决方案
某网站主体位于AWS,经营视频直播/点播以及其他互联网衍生业务,面向广大的海外手机端客户。目前已经在使用阿里云的VOD SDK,并将主要视频数据存放于S3。现需要将业务从AWS S3迁移至阿里云OSS。
268 0
某海外视频网站AWS S3 搬迁至OSS解决方案
下一篇
DataWorks