为什么选择公有云的对象存储和CDN?
相比自建存储服务,公有云提供了更高安全性、可靠性、可扩展性。个人开发者使用的机器配置、带宽通常是较低,服务器数量较少,无法覆盖多个地区,这就导致不同地区的应用访问速度缓慢,甚至有些图片和CSS样式无法加载出来,非常影响体验,所以想要低成本的提升速度和使用更多的存储空间使用公有云的CDN和对象云存储是一个明智的选择。
但是在一些安全问题上没有做好处理,将付出惨痛的代价。
以下是对象存储常见安全问题:
1、Bucket 公开访问(访问控制设置不当)
解决方法:正确设置Bucket的访问权限控制,默认不公开Bucket,遵循最小权限原则。通过身份认证和授权检查来控制可访问Bucket的用户。定期扫描检查公网是否可以访问Bucket,及时发现和关闭公开访问。
2、策略中允许了Object的List操作
解决方法:不要给用户赋予List Object的权限,赋予最小的必要权限。通过ACL或Policy进行白名单访问控制,限制可以列表遍历的用户。在应用级别检查列表权限,避免未授权的ListObject操作。
3、访问凭证泄露
场景:Github中配置文件中泄露凭证、小程序/APP反编译源码中泄露凭证、错误使用SDK泄露凭证、第三方组件配置不当导致泄露凭证
解决方法:加强编程的安全意识,不要在代码中硬编码SecretId/Key。使用CAM权限管理功能进行授权。代码Review检查敏感信息泄露。使用参数加密、网络隔离等措施增强组件安全。开启STS临时授权,即使用后自动失效。
4、泄露默认存储桶链接(请求次数也是收费项)
解决方法:设置复杂Bucket名称,不易被猜测。
COS防刷实操:
场景1:腾讯云CDN访问腾讯云COS
这个场景是最佳的和最简单操作,只需要将COS设置为私有读写。
在所有流量中,CDN的流量费算是最便宜的那一档。
在腾讯云CDN源站配置中添加COS,选择你的COS后再进行私有存储桶访问授权,这样你的CDN就能访问私有桶的内容。
通过CDN访问COS,不需要支出COS流量费用,而且CDN自带访问频率、速率控制,还有区域限制和防盗链配置,很好的限制了不必要的支出,节省了成本,又提高了速度。
场景2:使用腾讯云CDN访问其他厂商的云储存。
在这里获取阿里云申请拥有访问阿里云OSS权限的子账号AccessKey ID和AccessKey Secret。(防止泄露影响财产,只需要OSS读写权限)
https://ram.console.aliyun.com/manage/ak
通过CDN访问对象云存储开启缓存,更快的访问资源,节省COS流量费用、HTTPS请求费用,又可以通过CDN丰富的插件控制流量的流出。
活动推荐:
Lighthouse三周年一折续费活动:https://curl.qcloud.com/Ebb3LtcW
老用户0元 每月10GBCDN流量:https://curl.qcloud.com/ObGTRB1j