配置审计(Config)配合开启OSS防盗链功能

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 本文作者:紫极zj本文将主要介绍利用【配置审计】功能,如何快速发现企业上云过程中,针对未配置防盗链的 OSS Bucket 定位及修复案例。

前言

配置审计(Config)将您分散在各地域的资源整合为全局资源列表,可便捷地搜索全局资源;同时帮助您记录云上 IT 资源的配置变更历史,持续自动地评估云上资源配置的合规性,实现云上 IT 合规治理。本文介绍如何使用配置审计(Config)帮助您快速发现未配置防盗链的 OSS Bucket 并修复的案例。


实际案例

公司 A 有 10 个垂直的业务部门,每个业务部门分配了 1~2 个 OSS Bucket 用于存储运营图片,并直接在网页上使用的 OSS 生成的链接做图片内容的展示。我们知道 OSS 的费用分为存储费和流量费,当大量的外部请求获取图片资源时,产生的流量费用需要客户自行承担。为了杜绝不法网站盗用图片资源,OSS 开发了“防盗链”功能,详细的功能说明请参考: 防盗链


公司 A 打算使用该技术方案,需要为 OSS Bucket 开启防盗链,并且设置 referer 白名单为 *.alibaba.com*.aliyun.com 。作为公司的运维同学,非常不希望每个 Bucket 都检查并参考文档配置一遍,同时还需要额外制定对策防止 Bucket 配置被二次修改。


这时候,他想起了阿里云的一款云产品:配置审计(Config)


我们可以将配置审计(Config)的能力简单概括为3点

  1. 统一的资源视角,多地域,甚至跨账号;
  2. 规则(Rule)检测资源配置是否满足要求;
  3. 持续检测资源及修复能力;


配置审计(Config)是如何工作的?

image.png


资源的配置数据通过异步消息通知会中心化的存储在配置审计(Config)的数据库中。规则会采用定时、变更被动触发、用户主动触发的方式来对数据库的资源配置进行评估, 将评估结果展现给用户,同时会根据规则设置判断是否需要进行修正,如执行修正任务,新的资源配置数据会重新被配置审计(Config)感知进入到下一次的评估循环中。我们一起来看看公司 A 的运维同学是如何通过配置审计(Config)完成任务的。


设置规则

打开配置审计控制台,进入规则列表,点击新建规则,即可看到配置审计(Config)为用户提供的大量的托管规则(托管规则由平台开发并提供给用户使用),搜索“防盗链”或“referer”都可以搜索到该规则:OSS 存储空间开启防盗链功能

image.png

点击应用规则

第一步:设置规则名称、自定义风险等级、自定义备注信息;

第二步:可以根据实际的业务场景限定需要检查的资源的范围;可选项包括资源 ID、资源组 ID、地域、标签等;

第三步:设置允许的 referer 白名单及是否允许 referer 为空;

image.png

配查审计/规期/新建观则

<新建规则

步骤1

基本属性

规则入参名称

关系

周梁价

步醒2

评估资源范田

allowEmptyRelerer

等于

true

步骤3

:aliyun.comx

梦数设置

全都存在于

allowReferers

alibaba.comx

步驱4

都托管摸则要设善我聊入*的调值,当预的属性需足指定的参鼓条件封,无则评转为合规.

修正设置

步骤5

预览井保存

第四步: 设置是否开启自动修复,我们暂时先跳过,后续再讨论;

第五步:预览并提交


规则评估

规则创建完成后,规则便开始对存量的 Bucket 配置进行合规性的评估,参考规则的评估说明, “OSS 存储空间开启防盗链功能,视为合规”,该规则通过检查 Bucket 配置信息中的 RefererList.Referer 不为空判定开启防盗链功能是否合规。

 

规则评估完成后会生成一份评估结果,标注累计评估资源数合规资源数不合规资源数;您可以基于这份检查结果去手动配置。注意:对于新增的 OSS Bucket 同样会自动检测其合规性。

下图为检测结果:累计检测 23 个 OSS Bucket,23 个不合规,表示这 23 个 OSS Bucket 均未开启防盗链功能。

image.png


如何修复

如果 Bucket 的数量很多,繁重的人工配置可能会带来操作上的失误,别着急,配置审计(Config)提供修正能力,对于规则评估出的不合规资源结合运维编排(OOS)将其修复。可在规则详情页->修正详情,然后点击“修正配置”,完成修正配置。

image.png

注意有一个选项为:“自动修正/手动修正”,我们暂时勾选为“手动修正”。

image.png

官5氏术支只

新建规则

北楼1

圣本属运

增T含日

订估资凝范国

谷利对不含机克&司斯S收过这司击牛场热传传止

沙银3

健理素拜

宜并保荐

梦社性台

护香酒

SOA

5物n2

浙*是须计:La中分部最宋锅间

TUE

FENTEOHAROCNct

承日名*家营隆店:22UmOBsuncccB

Lmt

服务关聚角色

合饭湖一个日关张,伴色理

ALiyunServicHalcPoligForConhgHemediaticn

快放话

长幻文档

巴在直家计司动优传%关院售.

这时候,在修正详情 tab,将会出现“执行手动修正”的按钮,点击此按钮,则手动触发对不合规资源的修复任务。

image.png

由于修复任务是异步发起的,您可以直接去对象存储的控制台->存储桶-> 权限管理 -> 防盗链查看是否修正成功,也可稍微等待一段时间(10分钟左右)再来配置审计(Config)控制台查看最新的配置信息。


image.png

如上图所示,修复动作已经执行完成,OSS Bucket 防盗链已经正常设置, 回到配置审计控制台,继续等待片刻,修复触发的资源变更数据会回流到配置审计(Config)触发规则的再一次评估,这时候我们发现所有的资源都变成合规状态。

image.png

<OSS存空间开启防盗链功能

检测结果

规则详情

修正详情

合规资源数

不合规资源数

累计审计资源数

23

23

关联资源的合规结果

不合规

合规结果

资源ID

资源类型

没有数据


持续评估并修复

如何保证其他运维人员在后续的时间里不再改变该配置呢?组织内部运行机制能够勉强完成任务,但是人总是会犯错误的。我们可以借助配置审计(Config)的持续检测及修复能力。 在刚才配置修复设置中,将“手动执行”修改为“自动执行”,一旦资源发生了不合理的变更,配置审计(Config)将会识别并将其自动纠正为正确的配置,防止异常修改。


如,我们在 OSS 控制台将某个 OSS Bucket 的配置规则修改为,改动点: *.alibaba.com 改成了 *.alibaba-inc.com

image.png

防盗链

OSS费供HTPReferer白名单屁置,用于防止他人盗用OSS数,了解设置防盗使用指南.

Referer

alibaba-inc.com

aliyun.com

空Referer

允许

设置

稍微等待几分钟,我们会发现:image.png

配营市计//0SS存储空间开启防咨领功

OSS存储空间开启防盗链功能

规则详情

检测结果

修正详情

不台观赞识款

合规资游数

23

22

关联资源的合规结果

不合规

接作

资源类型

资源ID

合规统果

61003

详情

不合规

配直时间线

Oss存储栏

合规时间性

61003

这里出现了我们刚才设置的错误的防盗链名单的 OSS Bucket,此时,自动修正已经触发,之所以还有 1 个显示为不合规,是因为配置审计(Config)需要等待修正后的正确置到达中心化的数据库才能进行再一次的规则评估,将不合规资源评估为合规状态。


image.png

配营审计/规则/OSs存空间开启防盗链功联

-OSS存储空间开启防盗链功能

检测结果

规则详情

修正详情

不合规资源效

累计审计资源鼓

合规资源数

23

23

0

关联资源的合规结果

不合现

资灌英型

资源ID

合规结果

没有敌据

如上图,经过大约 10 分钟的时间,最新的 Bucket 配置信息已经到达配置审计,规则评估触发认定为“合规”。


我们再次回到 OSS Bucket 控制台查看最新的资源配置是否生效。

image.png

权限管理

基础设置

Bucket授权策略

BldePoly是到里云0SS推出的计对Bldet的度权甫略,您可以满过BuCketPaley授权RAM子默号,或其他用户RA

冗余与容错

传输管理

设置

日志管理

数据处理

访问控制RAM

谢间控ReorceccessMaemem.与间的服,使用RM,您可以

数据安全

云账号密钢,按需为用户分配最小权阆,从而降任企业信息安全风险.了解访问控制RAM产品.

前往控制台

防盗链

QSS供HTTPReferer白名单配置,用于防止他人盗用SS数据,了解设置防盗每使用指南.

Referer

alibaba.com

aliyun.com

允许

空Referer

设置

配置被重新设置回了 *.alibaba.com*.aliyun.com


总结

以上就是使用配置审计(Config)检测不合规配置并持续自动修复的全部内容,我们通过设置规则,规则评估及修复等完成从发现问题,定位资源,到手动、自动变配,形成了问题在配置审计(Config)的闭环。


另外,我们还有很多适用于更复杂业务场景的规则及合规包,可以帮助企业运维、企业合规项目的同学们更高效地完成工作。 立即前往->

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
相关文章
|
6天前
|
存储 Java 对象存储
springboot配置阿里云OSS存储实现文件上传下载功能
【1月更文挑战第1天】springboot配置阿里云OSS存储实现文件上传下载功能
722 2
|
对象存储 开发者
对象OSS生命周期(LifeCycle)管理功能|学习笔记
快速学习对象 OSS 生命周期(LifeCycle)管理功能
1491 0
对象OSS生命周期(LifeCycle)管理功能|学习笔记
|
存储 前端开发 Java
四步解决!OSS对象存储文件上传功能(服务端签名后直传,建议收藏)
普通上传方式通过InputStream作为OSS文件的数据源。用户(浏览器)把文件交给我们自已的服务器,再由服务器携带相关验证信息上传文件至阿里云,这种方式每上传一次,文件就会经过一次我们自已的服务器(占用大量带宽),我们的服务器也会在大量的用户下带来瓶颈。影响服务器处理别的请求,大大降低了效率。
3508 0
四步解决!OSS对象存储文件上传功能(服务端签名后直传,建议收藏)
|
6天前
|
存储 小程序 API
oss防盗链设置(Referer Configuration)
oss防盗链设置(Referer Configuration)
102 5
|
6天前
|
存储 对象存储 Python
Python中使用阿里云OSS存储实现文件上传和下载功能
Python中使用阿里云OSS存储实现文件上传和下载功能
537 2
|
8月前
配置审计的功能
配置审计的功能
44 0
|
8月前
|
存储 对象存储 索引
针对OSS数据集成场景下的功能全面优化【Dataphin V3.12]
OSS(Object Storage Service)是对象存储服务,适用于存放各种文件类型,Dataphin已经支持连接到OSS进行文件数据的读取与写入。本期版本升级中,Dataphin对于OSS的数据同步场景做了全面的功能升级,包括数据源、输入组件与数据组件,一起来了解一下吧~
221 0
|
存储 Java 测试技术
后台管理系统引入OSS实现图片上传功能
后台管理系统引入OSS实现图片上传功能
395 0
|
存储 前端开发 Java
四步解决!OSS对象存储文件上传功能(服务端签名后直传,建议收藏)
四步解决!OSS对象存储文件上传功能(服务端签名后直传,建议收藏)
2576 2
四步解决!OSS对象存储文件上传功能(服务端签名后直传,建议收藏)
|
存储 对象存储 开发者
设置OSS数据防盗链|学习笔记
快速学习设置OSS数据防盗链
973 0