我发现云开发在开发的时候还是挺好用,但是实际生产环境中怎么满足安全性?我说出以下两个个场景,请问云开发如何避免?
1、有人获取到了云开发的管理员/云开发运营权限,目的想要盗取导出云开发数据库中的记录。请问对于这个场景,怎么进行数据库监控或者数据库导出二次鉴权之类的策略进行阻止?
2、云开发管理员本身有私心,要删库跑路或者贩卖公司数据,公司怎么监控和阻止这个行为?
然后是一个问题,云开发环境的身份是一个微信用户而不是一个企业,即使在腾讯云中心认证企业身份还是微信用户直接登录,请问这样对于企业真的数据安全吗?有相关行为监控和防止权限滥用的策略吗?
1、被盗取到了管理员账号,怎么避免数据泄露
云开发控制台的登录是建立在微信号扫码登录之上的,如果微信号本身已经被盗取并且绕开了微信本身的验证手段(这个难度很高),那么安全逻辑的链条就被打断了。所以请合理地设置小程序管理员、开发者账号。
2、有相关行为监控和防止权限滥用的策略吗?
有这个规划,我们后续会在 云后台 里上线成员数据权限、审计日志这些功能。
你问的是所有数据库的普遍问题,不仅仅是云开发;
有读权限的人,怎么防止贩卖数据?防止不了,只能从人和制度上考虑。
有写权限的人,怎么防止删库走人?防止不了,只能从人和制度上考虑。
你觉得现在的管理员不靠谱,那你主换管理员呗,让靠谱的人当管理员,不就完事了?