tocdepth

2

Рекомендации по безопасному использованию объектного хранилища OBS Advanced

Информация в этом разделе поможет вам защитить объектное хранилище Object Storage Service (OBS).

Существует несколько способов защиты.

Подключение бакета через внутренний Gateway

Если есть возможность полностью скрыть данные из публичной видимости, рекомендуется организовать подключение исключительно через внутренний Gateway с использованием только частных IP-адресов вида 10.125.X.X. При необходимости используйте сервис VPC Endpoint. Подробнее об организации доступа к бакетам OBS.

Ограничение доступа к объектному хранилищу

Подробнее о механизмах ограничения доступа к объектному хранилищу OBS.

Использование политики резервирования данных (Data Redundancy Policy)

Чтобы обеспечить высокую доступность данных, используйте Multi-AZ Storage.

Шифрование данных бакета

Включите шифрование для наиболее критичных данных или бакетов с помощью сервиса Data Encryption Workshop (DEW). Шифрование потенциально может привести к падению производительности, поэтому для некритичных данных оно опционально.

Варианты доступа к OBS

  1. OBS-консоль

  2. OBS Browser

  3. obsutil

  4. Cyberduck

  5. API

  6. SDK

Во всех приведенных вариантах сетевое подключение организуется к адресу obs.ru-moscow-1.hc.sbercloud.ru, опубликованному через WAF.

Если подключение организуется извне, трафик идет через публичную сеть.

Если подключение идет из облака, например из ECS в VPC тенанта, трафик идет по внутренней сервисной подсети (адреса 10.125.X.X).

Если к объектам OBS нужно организовать доступ по приватным каналам из внешнего ресурса, например из сети On-prem или ЦОДа, можно воспользоваться сервисами VPN, Direct Connect и VPC Endpoint.

Ограничение доступа к объектному хранилищу OBS

Механизмы контроля доступа к OBS и бакету:

Запустили Evolution free tier
для Dev & Test
Получить