配置审计(Config)配合开启OSS防盗链功能

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 本文作者:紫极zj本文将主要介绍利用【配置审计】功能,如何快速发现企业上云过程中,针对未配置防盗链的 OSS Bucket 定位及修复案例。

前言

配置审计(Config)将您分散在各地域的资源整合为全局资源列表,可便捷地搜索全局资源;同时帮助您记录云上 IT 资源的配置变更历史,持续自动地评估云上资源配置的合规性,实现云上 IT 合规治理。本文介绍如何使用配置审计(Config)帮助您快速发现未配置防盗链的 OSS Bucket 并修复的案例。


实际案例

公司 A 有 10 个垂直的业务部门,每个业务部门分配了 1~2 个 OSS Bucket 用于存储运营图片,并直接在网页上使用的 OSS 生成的链接做图片内容的展示。我们知道 OSS 的费用分为存储费和流量费,当大量的外部请求获取图片资源时,产生的流量费用需要客户自行承担。为了杜绝不法网站盗用图片资源,OSS 开发了“防盗链”功能,详细的功能说明请参考: 防盗链


公司 A 打算使用该技术方案,需要为 OSS Bucket 开启防盗链,并且设置 referer 白名单为 *.alibaba.com*.aliyun.com 。作为公司的运维同学,非常不希望每个 Bucket 都检查并参考文档配置一遍,同时还需要额外制定对策防止 Bucket 配置被二次修改。


这时候,他想起了阿里云的一款云产品:配置审计(Config)


我们可以将配置审计(Config)的能力简单概括为3点

  1. 统一的资源视角,多地域,甚至跨账号;
  2. 规则(Rule)检测资源配置是否满足要求;
  3. 持续检测资源及修复能力;


配置审计(Config)是如何工作的?

image.png


资源的配置数据通过异步消息通知会中心化的存储在配置审计(Config)的数据库中。规则会采用定时、变更被动触发、用户主动触发的方式来对数据库的资源配置进行评估, 将评估结果展现给用户,同时会根据规则设置判断是否需要进行修正,如执行修正任务,新的资源配置数据会重新被配置审计(Config)感知进入到下一次的评估循环中。我们一起来看看公司 A 的运维同学是如何通过配置审计(Config)完成任务的。


设置规则

打开配置审计控制台,进入规则列表,点击新建规则,即可看到配置审计(Config)为用户提供的大量的托管规则(托管规则由平台开发并提供给用户使用),搜索“防盗链”或“referer”都可以搜索到该规则:OSS 存储空间开启防盗链功能

image.png

点击应用规则

第一步:设置规则名称、自定义风险等级、自定义备注信息;

第二步:可以根据实际的业务场景限定需要检查的资源的范围;可选项包括资源 ID、资源组 ID、地域、标签等;

第三步:设置允许的 referer 白名单及是否允许 referer 为空;

image.png

配查审计/规期/新建观则

<新建规则

步骤1

基本属性

规则入参名称

关系

周梁价

步醒2

评估资源范田

allowEmptyRelerer

等于

true

步骤3

:aliyun.comx

梦数设置

全都存在于

allowReferers

alibaba.comx

步驱4

都托管摸则要设善我聊入*的调值,当预的属性需足指定的参鼓条件封,无则评转为合规.

修正设置

步骤5

预览井保存

第四步: 设置是否开启自动修复,我们暂时先跳过,后续再讨论;

第五步:预览并提交


规则评估

规则创建完成后,规则便开始对存量的 Bucket 配置进行合规性的评估,参考规则的评估说明, “OSS 存储空间开启防盗链功能,视为合规”,该规则通过检查 Bucket 配置信息中的 RefererList.Referer 不为空判定开启防盗链功能是否合规。

 

规则评估完成后会生成一份评估结果,标注累计评估资源数合规资源数不合规资源数;您可以基于这份检查结果去手动配置。注意:对于新增的 OSS Bucket 同样会自动检测其合规性。

下图为检测结果:累计检测 23 个 OSS Bucket,23 个不合规,表示这 23 个 OSS Bucket 均未开启防盗链功能。

image.png


如何修复

如果 Bucket 的数量很多,繁重的人工配置可能会带来操作上的失误,别着急,配置审计(Config)提供修正能力,对于规则评估出的不合规资源结合运维编排(OOS)将其修复。可在规则详情页->修正详情,然后点击“修正配置”,完成修正配置。

image.png

注意有一个选项为:“自动修正/手动修正”,我们暂时勾选为“手动修正”。

image.png

官5氏术支只

新建规则

北楼1

圣本属运

增T含日

订估资凝范国

谷利对不含机克&司斯S收过这司击牛场热传传止

沙银3

健理素拜

宜并保荐

梦社性台

护香酒

SOA

5物n2

浙*是须计:La中分部最宋锅间

TUE

FENTEOHAROCNct

承日名*家营隆店:22UmOBsuncccB

Lmt

服务关聚角色

合饭湖一个日关张,伴色理

ALiyunServicHalcPoligForConhgHemediaticn

快放话

长幻文档

巴在直家计司动优传%关院售.

这时候,在修正详情 tab,将会出现“执行手动修正”的按钮,点击此按钮,则手动触发对不合规资源的修复任务。

image.png

由于修复任务是异步发起的,您可以直接去对象存储的控制台->存储桶-> 权限管理 -> 防盗链查看是否修正成功,也可稍微等待一段时间(10分钟左右)再来配置审计(Config)控制台查看最新的配置信息。


image.png

如上图所示,修复动作已经执行完成,OSS Bucket 防盗链已经正常设置, 回到配置审计控制台,继续等待片刻,修复触发的资源变更数据会回流到配置审计(Config)触发规则的再一次评估,这时候我们发现所有的资源都变成合规状态。

image.png

<OSS存空间开启防盗链功能

检测结果

规则详情

修正详情

合规资源数

不合规资源数

累计审计资源数

23

23

关联资源的合规结果

不合规

合规结果

资源ID

资源类型

没有数据


持续评估并修复

如何保证其他运维人员在后续的时间里不再改变该配置呢?组织内部运行机制能够勉强完成任务,但是人总是会犯错误的。我们可以借助配置审计(Config)的持续检测及修复能力。 在刚才配置修复设置中,将“手动执行”修改为“自动执行”,一旦资源发生了不合理的变更,配置审计(Config)将会识别并将其自动纠正为正确的配置,防止异常修改。


如,我们在 OSS 控制台将某个 OSS Bucket 的配置规则修改为,改动点: *.alibaba.com 改成了 *.alibaba-inc.com

image.png

防盗链

OSS费供HTPReferer白名单屁置,用于防止他人盗用OSS数,了解设置防盗使用指南.

Referer

alibaba-inc.com

aliyun.com

空Referer

允许

设置

稍微等待几分钟,我们会发现:image.png

配营市计//0SS存储空间开启防咨领功

OSS存储空间开启防盗链功能

规则详情

检测结果

修正详情

不台观赞识款

合规资游数

23

22

关联资源的合规结果

不合规

接作

资源类型

资源ID

合规统果

61003

详情

不合规

配直时间线

Oss存储栏

合规时间性

61003

这里出现了我们刚才设置的错误的防盗链名单的 OSS Bucket,此时,自动修正已经触发,之所以还有 1 个显示为不合规,是因为配置审计(Config)需要等待修正后的正确置到达中心化的数据库才能进行再一次的规则评估,将不合规资源评估为合规状态。


image.png

配营审计/规则/OSs存空间开启防盗链功联

-OSS存储空间开启防盗链功能

检测结果

规则详情

修正详情

不合规资源效

累计审计资源鼓

合规资源数

23

23

0

关联资源的合规结果

不合现

资灌英型

资源ID

合规结果

没有敌据

如上图,经过大约 10 分钟的时间,最新的 Bucket 配置信息已经到达配置审计,规则评估触发认定为“合规”。


我们再次回到 OSS Bucket 控制台查看最新的资源配置是否生效。

image.png

权限管理

基础设置

Bucket授权策略

BldePoly是到里云0SS推出的计对Bldet的度权甫略,您可以满过BuCketPaley授权RAM子默号,或其他用户RA

冗余与容错

传输管理

设置

日志管理

数据处理

访问控制RAM

谢间控ReorceccessMaemem.与间的服,使用RM,您可以

数据安全

云账号密钢,按需为用户分配最小权阆,从而降任企业信息安全风险.了解访问控制RAM产品.

前往控制台

防盗链

QSS供HTTPReferer白名单配置,用于防止他人盗用SS数据,了解设置防盗每使用指南.

Referer

alibaba.com

aliyun.com

允许

空Referer

设置

配置被重新设置回了 *.alibaba.com*.aliyun.com


总结

以上就是使用配置审计(Config)检测不合规配置并持续自动修复的全部内容,我们通过设置规则,规则评估及修复等完成从发现问题,定位资源,到手动、自动变配,形成了问题在配置审计(Config)的闭环。


另外,我们还有很多适用于更复杂业务场景的规则及合规包,可以帮助企业运维、企业合规项目的同学们更高效地完成工作。 立即前往->

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
相关文章
|
6月前
|
存储 Java 对象存储
springboot配置阿里云OSS存储实现文件上传下载功能
【1月更文挑战第1天】springboot配置阿里云OSS存储实现文件上传下载功能
2097 2
|
对象存储 开发者
对象OSS生命周期(LifeCycle)管理功能|学习笔记
快速学习对象 OSS 生命周期(LifeCycle)管理功能
2601 0
对象OSS生命周期(LifeCycle)管理功能|学习笔记
|
2月前
|
Java 开发工具 对象存储
简化配置管理:Spring Cloud Config与Netflix OSS中的动态配置解决方案
简化配置管理:Spring Cloud Config与Netflix OSS中的动态配置解决方案
43 2
|
2月前
|
存储 监控 数据可视化
SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
【9月更文挑战第2天】SLS 虽然不是直接使用 OSS 作为底层存储,但它凭借自身独特的存储架构和功能,为用户提供了一种专业、高效的日志服务解决方案。
137 9
|
5月前
|
存储 分布式计算 关系型数据库
实时数仓 Hologres产品使用合集之是否提供相应的功能接口和指令,可以将数据从OSS存储同步到Hologres中进行分析
实时数仓Hologres的基本概念和特点:1.一站式实时数仓引擎:Hologres集成了数据仓库、在线分析处理(OLAP)和在线服务(Serving)能力于一体,适合实时数据分析和决策支持场景。2.兼容PostgreSQL协议:Hologres支持标准SQL(兼容PostgreSQL协议和语法),使得迁移和集成变得简单。3.海量数据处理能力:能够处理PB级数据的多维分析和即席查询,支持高并发低延迟查询。4.实时性:支持数据的实时写入、实时更新和实时分析,满足对数据新鲜度要求高的业务场景。5.与大数据生态集成:与MaxCompute、Flink、DataWorks等阿里云产品深度融合,提供离在线
|
6月前
|
存储 小程序 API
oss防盗链设置(Referer Configuration)
oss防盗链设置(Referer Configuration)
1122 5
|
6月前
|
存储 对象存储 Python
Python中使用阿里云OSS存储实现文件上传和下载功能
Python中使用阿里云OSS存储实现文件上传和下载功能
1722 2
|
存储 对象存储 索引
针对OSS数据集成场景下的功能全面优化【Dataphin V3.12]
OSS(Object Storage Service)是对象存储服务,适用于存放各种文件类型,Dataphin已经支持连接到OSS进行文件数据的读取与写入。本期版本升级中,Dataphin对于OSS的数据同步场景做了全面的功能升级,包括数据源、输入组件与数据组件,一起来了解一下吧~
294 0
|
存储 缓存 开发工具
阿里云对象存储OSS防盗链设置流程及常见问题解决办法
简介: 防盗链是指通过一些措施,避免非法用户在未经授权的情况下获取到存储在OSS中的资源。阿里云OSS的防盗链设置对于保护数据安全具有重要的意义。如果没有防盗链设置,那么非法用户可以通过获取OSS中的资源链接,直接访问和下载数据,这将导致用户数据泄露、流量被盗等问题。通过设置防盗链,用户可以控制谁能够访问他们存储在OSS中的数据,避免敏感数据被非法获取,提高数据的安全性和可靠性。因此,阿里云OSS防盗链的重要性不容忽视,用户应当根据自己的需求合理设置防盗链,保护数据安全。
5957 0
阿里云对象存储OSS防盗链设置流程及常见问题解决办法

热门文章

最新文章

  • 1
    Spring Boot与Spring Cloud Config的集成
    207
  • 2
    若依修改标题和icon,在vue.config.js和.env.development进行修改
    288
  • 3
    若依修改,若依的com.ruoyi.framework.config在那?搜索文件使用ctrl+shift+f不用搜狗输入法,其他輸入法,用英文
    42
  • 4
    若依修改,若依部署在本地运行时的注意事项,后端连接了服务器,本地的vue.config.js要先改成localhost:端口号与后端匹配,部署的时候再改公网IP:端口号
    145
  • 5
    部署常用的流程,可以用后端,连接宝塔,将IP地址修改好,本地只要连接好了,在本地上前后端跑起来,前端能够跑起来,改好了config.js资料,后端修改好数据库和连接redis,本地上跑成功了,再改
    69
  • 6
    若依修改---重新部署项目注意事项,新文件初始化需要修改的地方,打包后的文件很难进行修改,如果想要不断修改项目,注意保存原项目,才可以不断修改,前端:在Vue.config.js文件中修改target
    116
  • 7
    若依修改之后,无法访问前端项目如何解决,只能访问后端的接口,我的接口8083,端不显示咋解决?在vue.config.js文件中的映射路径要跟后端匹配,到软件商店里找到Ngnix配置代理,设80不用加
    570
  • 8
    文本vitepress,如何设置背景图,如何插入背景图,如何插入logo,为了放背景图片,我们要新建pubilc的文件夹,插入logo要在config.js中进行配置,注意细节,在添加背景时,注意格式
    131
  • 9
    文本,vitepress的使用,如何使用vitevitepress没有config.js该怎么办?这里使用vitepress进行手动配置,参考只爭朝夕不負韶華的文章
    63
  • 10
    vue 配置【详解】 vue.config.js ( 含 webpack 配置 )
    64