淺談云審計（CTS）---安全

云審計能力介紹：

云審計服務為用戶提供記錄資源操作的能力。并配套提供操作事件列表、篩選搜索多種查看功能，以及操作記錄合并文件轉儲到對象存儲以方便用戶進行操作記錄分析。

華為云審計服務具有以下功能：

?支持資源操作事件記錄；

?支持追蹤器的創建和管理；

?支持操作事件列表查看；

?支持操作事件根據條件篩選查看；

?與對象存儲結合，支持操作事件轉成文件周期性轉儲到對象存儲；

?支持轉儲到對象存儲的文件設定文件前綴。

云審計安全介紹：

對于用戶，從頁面上直觀的看見有追蹤器和事件列表，我們從這些層面來保護用戶的安全

用戶的會話安全機制：

1）? 統一的登錄，通過IAM進行認證，有會話超時機制，可登出，注銷，或者超時后會話失效

2）? session隨機性足夠強，可以防止空session攻擊

3）? 所有的認證都是在服務端進行

CSRF：

1）? 關鍵操作都有令牌機制，有效校驗了token和refer

2）? 用戶的輸入不能用于構造重定向

基于租戶的橫向越權保護機制

1）基于用戶的橫向越權，A用戶在自己的請求里把標識身份的字段，修改為B用戶的身份標識，請求失敗

2）基于用戶資源的橫向越權保護機制，A用戶在自己的請求里去把資源id修改為B用戶的資源，請求失敗

基于用戶的縱向越權保護機制

1）? 向上越權：首先獲取管理員權限的url，然后嘗試用普通用戶去訪問、調用，請求失敗

2）? 向下越權：首先獲取普通用戶權限的url，然后嘗試用管理員去訪問、調用，請求失敗

前端web安全

1）? 所有訪問不可能跨目錄進行訪問，用戶不可直接訪問目錄或者文件或者其他服務的資源

2）? 所有對系統的操作都進行了認證

3）? 不存在命令注入：任何來源于用戶或第三方輸入，交由系統執行的字符都要做嚴格的參數校驗

4）? 不存在Xss注入：驗證所有會返回瀏覽器的用戶輸入（輸表單、url）或第三方系統輸入，過濾或禁止提交&、<、>、"、'、（、)等特殊字符，并對對&、<、>、"、'、(、)七種特殊字符進行編碼

5）? 不存在防御點擊劫持，響應頭中設置X-FRAME-OPTIONS為DENY或SAMEORIGIN

6）? 強參數校驗，前端的參數校驗和后臺保持一致，參數校驗采用白名單及參數長度在服務端校驗并與前臺或資料文檔描述保持一致，同時關注參數類型、邊界值、缺少必要參數

7）? 不存在未公開接口和參數

8）? 從不可信源（服務器、本地）發送來的數據在輸出到瀏覽器前要先驗證

敏感信息保護【重點】

由于CTS對接了所有服務，所有服務的操作日志，CTS監控并保存用戶所有的事件記錄，即使讓用戶知道和保存了自己的所有操作記錄，也不會泄露用戶相關的所有敏感信息

1）? 例如用戶通信相關的手機號，郵件地址，住址，個人身份標識，支付消費的銀行賬號等

2）? 服務相關，比如創建云主機的主機信息，主機密碼等敏感信息泄露

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。