OSS 解决方案篇-OSS 数据安全

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 加强 OSS 信息安全管控,多种解决方案实现数据安全

OSS 数据安全

当前 OSS 保证数据安全的方式参考的方式有如下几种方式

1、 OSS 要设置为私有的避免公共读,或者公共读写。
2、尽量不要使用传统的 AccesskeyID (AK)、AccesskeySecret (SK),改用 STS token 的方式替代原来的教研方式;
3、可以采用 OSS 内容加密,在鉴权的基础上双重加密,使用 KMS 对内容进行加密,但操作过程略微复杂;

使用场景

服务端存储 AKSK

用户自己有服务器,部署一套签名代码,使用 AK SK 生成鉴权的 signature 返回给客户端,端上利用 signature 构造 http 的请求头的方式来验签;

image.png

服务端生成 STS token

此类场景多用在移动端使用,客户端通过一个 https 地址请求到用户服务器,服务器上部署一个生成 STS token 的程序,收到移动端请求后请求 RAM 服务端生成 STS 信息。获取到 RAM 服务端返回的 STS.AK STS.SK STS.token 信息后,再返回给移动端使用;

需要注意用户服务器上也是用 AK SK 去申请的 STS,所以需要用户将生成一个子账号,然后配置好角色,将角色和权限绑定后,再通过子账号进行调用角色去生成 STS 信息;

移动端请求用户服务器尽量使用 HTTPS 协议,避免明文被劫持;服务端也可以针对移动端的请求做二次校验,比如客户端请求时携带一个 token,服务端校验通过再返回 STS 信息;

image.png

image.png

客户端拿到鉴权签名如何防泄露

header AK SK 签名

1、服务端通过 header + AK SK 签名方式生成 signature 后,可以对 header 签名做二次加密。比如客户端请求服务端时携带设备号和时间戳信息,服务端通过设备号和时间戳对 signature 做加密,再返回给客户端;

2、客户端拿到加密后的 signature ,通过约定的解密算法将 signature 解析出来,这样可以避免 signature 被别人抓到,或者被反编译出来;

3、通过客户端和服务端的传输可以用 https 方式避免被旁路劫持干扰;

4、header 签名拿到后,有效期是 15min ,超过 15min 没有使用,signature 失效无法继续使用;

header STS 签名

1、服务端通过 header + STS 签名方式生成 signature 后,在生成 STS 时可以限制只允许当前携带了设备号的 IP 来获取 signature ,如果设备号和 IP 不匹配的情况,即便是其他客户获取到了 STS token 也无法上传;

2、 当STS 暴露后,用户可以在 RAM 产品上将这个 STS 用的角色删除掉,重新配置一个角色即可,可以最小化降低影响;

3、生成 STS 时的 有效时间尽量不要那么长,控制在 900 - 3600s 之内,如果每个 STS token 都是 3600s 失效时间会带来一定的业务风险;

image.png

目录
相关文章
|
对象存储
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
436 0
阿里云对象存储oss+picgo+typora实现步骤及无法上传图片解决方案
|
7月前
|
开发工具 对象存储 C++
UE4 x 阿里云OSS 配置问题和解决方案
在OSS配置到UE4时遇到一些问题,已解决,分享一些解决方案。
1217 0
|
7月前
|
存储 SQL 分布式计算
数据中台实战(11)-数据中台的数据安全解决方案
数据中台实战(11)-数据中台的数据安全解决方案
205 1
|
存储 容灾 Cloud Native
利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案
本文主要分享《如何利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案》,帮助中小企业解决因难以负担备份容灾支出而遭受到业务中断威胁的问题。
利用阿里云对象存储OSS-RC实现经济实惠的云备份容灾解决方案
|
存储 算法 前端开发
面试官:如何保证用户模块的数据安全?说说你的解决方案
面试官:如何保证用户模块的数据安全?说说你的解决方案
174 0
面试官:如何保证用户模块的数据安全?说说你的解决方案
|
JSON 开发工具 数据安全/隐私保护
Sentry 企业级数据安全解决方案 - Relay PII 和数据清理
Sentry 企业级数据安全解决方案 - Relay PII 和数据清理
185 0
|
存储 安全 应用服务中间件
Sentry 企业级数据安全解决方案 - Relay 操作指南
Sentry 企业级数据安全解决方案 - Relay 操作指南
232 0
|
JSON 数据安全/隐私保护 数据格式
Sentry 企业级数据安全解决方案 - Relay 项目配置
Sentry 企业级数据安全解决方案 - Relay 项目配置
107 0
|
消息中间件 存储 缓存
Sentry 企业级数据安全解决方案 - Relay 监控 & 指标收集
Sentry 企业级数据安全解决方案 - Relay 监控 & 指标收集
275 0
|
存储 缓存 JSON
Sentry 企业级数据安全解决方案 - Relay 配置选项
Sentry 企业级数据安全解决方案 - Relay 配置选项
161 0