为什么选择公有云的对象存储和CDN?

相比自建存储服务,公有云提供了更高安全性、可靠性、可扩展性。个人开发者使用的机器配置、带宽通常是较低，服务器数量较少，无法覆盖多个地区，这就导致不同地区的应用访问速度缓慢，甚至有些图片和CSS样式无法加载出来，非常影响体验，所以想要低成本的提升速度和使用更多的存储空间使用公有云的CDN和对象云存储是一个明智的选择。

但是在一些安全问题上没有做好处理，将付出惨痛的代价。

以下是对象存储常见安全问题：

1、Bucket 公开访问（访问控制设置不当） 解决方法：正确设置Bucket的访问权限控制，默认不公开Bucket，遵循最小权限原则。通过身份认证和授权检查来控制可访问Bucket的用户。定期扫描检查公网是否可以访问Bucket，及时发现和关闭公开访问。

2、策略中允许了Object的List操作 解决方法：不要给用户赋予List Object的权限，赋予最小的必要权限。通过ACL或Policy进行白名单访问控制，限制可以列表遍历的用户。在应用级别检查列表权限，避免未授权的ListObject操作。

3、访问凭证泄露 场景：Github中配置文件中泄露凭证、小程序/APP反编译源码中泄露凭证、错误使用SDK泄露凭证、第三方组件配置不当导致泄露凭证

解决方法：加强编程的安全意识，不要在代码中硬编码SecretId/Key。使用CAM权限管理功能进行授权。代码Review检查敏感信息泄露。使用参数加密、网络隔离等措施增强组件安全。开启STS临时授权，即使用后自动失效。

4、泄露默认存储桶链接（请求次数也是收费项） 解决方法：设置复杂Bucket名称，不易被猜测。

COS防刷实操：

场景1：腾讯云CDN访问腾讯云COS

这个场景是最佳的和最简单操作，只需要将COS设置为私有读写。 在所有流量中，CDN的流量费算是最便宜的那一档。

在腾讯云CDN源站配置中添加COS，选择你的COS后再进行私有存储桶访问授权，这样你的CDN就能访问私有桶的内容。

通过CDN访问COS，不需要支出COS流量费用，而且CDN自带访问频率、速率控制，还有区域限制和防盗链配置，很好的限制了不必要的支出，节省了成本，又提高了速度。

场景2：使用腾讯云CDN访问其他厂商的云储存。

在这里获取阿里云申请拥有访问阿里云OSS权限的子账号AccessKey ID和AccessKey Secret。（防止泄露影响财产，只需要OSS读写权限） ram.console.aliyun.com/manage/ak

通过CDN访问对象云存储开启缓存，更快的访问资源，节省COS流量费用、HTTPS请求费用，又可以通过CDN丰富的插件控制流量的流出。

活动推荐:

腾讯云100GBCDN流量0元试用：curl.qcloud.com/3Zx7vWEM

Lighthouse三周年一折续费活动：curl.qcloud.com/Ebb3LtcW