- Архитектурный центр
- Архитектурные шаблоны
- Безопасность
- Безопасность в облаке Advanced
- Виртуальный NGFW как межсетевой экран с задействованием средств СКЗИ (ФПСУ-IP)
- Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S
- Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки
- Рекомендации по безопасному использованию объектного хранилища OBS Advanced
- Обучающие курсы и сертификация
- Термины и сокращения
- Обратиться в поддержку
Рекомендации по безопасному использованию объектного хранилища OBS Advanced
Информация в этом разделе поможет вам защитить объектное хранилище Object Storage Service (OBS).
Существует несколько способов защиты.
- Подключение бакета через внутренний Gateway
- Ограничение доступа к объектному хранилищу
- Использование политики резервирования данных (Data Redundancy Policy)
- Шифрование данных бакета
Если есть возможность полностью скрыть данные из публичной видимости, рекомендуется организовать подключение исключительно через внутренний Gateway с использованием только частных IP-адресов вида 10.125.X.X. При необходимости используйте сервис VPC Endpoint. Подробнее об организации доступа к бакетам OBS.
Чтобы обеспечить высокую доступность данных, используйте Multi-AZ Storage.
Включите шифрование для наиболее критичных данных или бакетов с помощью сервиса Data Encryption Workshop (DEW). Шифрование потенциально может привести к падению производительности, поэтому для некритичных данных оно опционально.
Варианты доступа к OBS
Во всех приведенных вариантах сетевое подключение организуется к адресу obs.ru-moscow-1.hc.sbercloud.ru, опубликованному через WAF.
Если подключение организуется извне, трафик идет через публичную сеть.
Если подключение идет из облака, например из ECS в VPC тенанта, трафик идет по внутренней сервисной подсети (адреса 10.125.X.X).
Если к объектам OBS нужно организовать доступ по приватным каналам из внешнего ресурса, например из сети On-prem или ЦОДа, можно воспользоваться сервисами VPN, Direct Connect и VPC Endpoint.
Ограничение доступа к объектному хранилищу OBS
Механизмы контроля доступа к OBS и бакету:
IAM Policies/Roles — политики и роли в IAM. Они применяются к группе IAM-пользователей в рамках одного аккаунта (тенанта).
Bucket Policies — политики на уровне бакета OBS. Они могут быть применены для группы IAM-пользователей как в рамках одного аккаунта, так и для других аккаунтов.
Bucket ACL — списки доступа к бакету. Они могут применяться только для аккаунта. Списки доступа дают существенно меньше возможностей конфигурации в сравнении с Bucket Policies и могут быть применены для создания верхнеуровневых списков доступа к объектам. В большинстве случаев рекомендуется использовать Bucket Policies, а не Bucket ACL.
- Варианты доступа к OBS
- Ограничение доступа к объектному хранилищу OBS