Рекомендации по безопасному использованию объектного хранилища OBS Advanced

Информация в этом разделе поможет вам защитить объектное хранилище Object Storage Service (OBS).

Существует несколько способов защиты.

Подключение бакета через внутренний Gateway

Если есть возможность полностью скрыть данные из публичной видимости, рекомендуется организовать подключение исключительно через внутренний Gateway с использованием только частных IP-адресов вида 10.125.X.X. При необходимости используйте сервис VPC Endpoint. Подробнее об организации доступа к бакетам OBS.

Ограничение доступа к объектному хранилищу

Подробнее о механизмах ограничения доступа к объектному хранилищу OBS.

Использование политики резервирования данных (Data Redundancy Policy)

Чтобы обеспечить высокую доступность данных, используйте Multi-AZ Storage.

Шифрование данных бакета

Включите шифрование для наиболее критичных данных или бакетов с помощью сервиса Data Encryption Workshop (DEW). Шифрование потенциально может привести к падению производительности, поэтому для некритичных данных оно опционально.

Варианты доступа к OBS

1. OBS-консоль

2. OBS Browser

3. obsutil

4. Cyberduck

5. API

6. SDK

Во всех приведенных вариантах сетевое подключение организуется к адресу obs.ru-moscow-1.hc.sbercloud.ru, опубликованному через WAF.

Если подключение организуется извне, трафик идет через публичную сеть.

Если подключение идет из облака, например из ECS в VPC тенанта, трафик идет по внутренней сервисной подсети (адреса 10.125.X.X).

Если к объектам OBS нужно организовать доступ по приватным каналам из внешнего ресурса, например из сети On-prem или ЦОДа, можно воспользоваться сервисами VPN, Direct Connect и VPC Endpoint.

См.также

Подробнее об организации доступа к OBS через Direct Connect или VPN с помощью VPC Endpoint

Ограничение доступа к объектному хранилищу OBS

Механизмы контроля доступа к OBS и бакету:

• IAM Policies/Roles — политики и роли в IAM. Они применяются к группе IAM-пользователей в рамках одного аккаунта (тенанта).

  См.также

  Создание собственной политики (Custom Policy) в IAM

  Список стандартных ролей и политик

  Пример создания собственной политики (Custom Policy)

• Bucket Policies — политики на уровне бакета OBS. Они могут быть применены для группы IAM-пользователей как в рамках одного аккаунта, так и для других аккаунтов.

  См.также

  Подробнее о политике доступа к бакету

• Bucket ACL — списки доступа к бакету. Они могут применяться только для аккаунта. Списки доступа дают существенно меньше возможностей конфигурации в сравнении с Bucket Policies и могут быть применены для создания верхнеуровневых списков доступа к объектам. В большинстве случаев рекомендуется использовать Bucket Policies, а не Bucket ACL.

  См.также

  Подробнее о списках доступа к бакету

Запустили Evolution free tier
для Dev & Test

Получить

Была ли статья полезной?

Да Нет

НазадРазмещение NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки

ДалееОбеспечение безопасности платформы Облако VMware