prd

「产品矩阵平台」安全与合规体系

从 Zero Trust、RBAC、JWT、HMAC、TLS、WAF、CSRF、SSRF、SQL 注入、敏感数据、审计取证、最小权限与隐私法规角度,构建平台安全基线。

Leeting Yan 3 分钟阅读 1256 字

第十二章 安全与合规体系

产品矩阵平台的安全风险比单一产品更高:一个账号可能访问多个 App,一个 API Secret 可能影响多个租户,一个错误配置可能把平台级数据暴露给所有客户。

安全体系必须默认不信任任何请求、任何内部调用、任何后台操作。

12.1 平台安全模型

建议采用 Zero Trust 思路:

原则落地方式
永不默认信任内外部请求都要认证
最小权限用户、服务、插件只拿必要权限
持续验证Token、设备、IP、行为持续评估
全程审计关键操作可追溯

平台安全边界:

边界控制
用户到平台登录、MFA、风控
应用到 APIAppID、签名、限流
服务到服务mTLS、服务身份
管理员到后台RBAC、审批、审计
插件到平台权限声明、沙箱

12.2 认证协议与加密机制

常用机制:

机制用途
JWT用户登录态、服务票据
HMAC开放 API 签名
OAuth2第三方授权
TLS传输加密
AES / KMS敏感数据加密

JWT 要注意:

  1. 过期时间不能过长;
  2. Refresh Token 要可撤销;
  3. 重要权限变更后应使旧 Token 失效;
  4. 不要把敏感信息放进 Payload。

12.3 防护体系

常见攻击与防护:

攻击防护
SQL 注入参数化查询、ORM 安全用法
XSS输出转义、CSP
CSRFSameSite Cookie、CSRF Token
SSRFURL 白名单、内网地址拦截
文件上传攻击MIME 校验、病毒扫描、隔离存储
暴力破解登录限流、验证码、MFA
重放攻击timestamp + nonce + 签名

SSRF 在平台中尤其危险,因为文件导入、Webhook 测试、图片抓取、AI 插件都可能访问外部 URL。必须禁止访问内网 IP、云元数据地址和本机地址。

12.4 敏感数据保护

敏感数据处理要覆盖采集、存储、使用、展示、导出、删除全过程。

阶段要求
采集明确用途,最小化
存储加密或 token 化
使用权限校验和审计
展示脱敏
导出审批和水印
删除可验证删除或匿名化

高敏字段建议使用 KMS 管理密钥,业务数据库只存密文或 token。

12.5 审计日志与取证机制

必须审计的操作:

操作原因
登录失败和异常登录风控
权限变更追责
数据导出合规
密钥查看和轮换安全
租户暂停和恢复商业风险
管理员代操作防滥用

审计日志要防篡改。可以采用追加写、独立存储、定期哈希摘要等方式增强可信度。

12.6 权限委派与最小权限

平台常有“代客户操作”的需求,例如客服帮客户排查问题。不能给客服全局数据库权限。

建议使用权限委派:

  1. 客户授权或工单触发;
  2. 平台生成临时权限;
  3. 限定资源、动作和时间;
  4. 全程审计;
  5. 到期自动撤销。

这种机制既能支持运营效率,又能降低内部滥用风险。

12.7 API 签名防篡改

开放 API 签名字段:

字段说明
app_id调用方
timestamp请求时间
nonce随机数
body_hash请求体摘要
signatureHMAC 签名

签名校验必须使用常量时间比较,避免时序攻击。nonce 要在短时间窗口内缓存,防止重放。

12.8 隐私与合规

不同地区要求不同,但底层能力类似:

能力说明
用户同意隐私政策、Cookie 同意
数据访问用户可查看自己的数据
数据更正用户可修改错误信息
数据删除注销和删除请求
数据导出可携带性
处理记录谁在何时因何处理数据

对 GDPR、CCPA、中国个人信息保护法等合规要求,平台要提供能力,不要把责任全部推给业务产品。

12.9 安全基线清单

检查项标准
身份用户、应用、服务都有认证
权限RBAC + ABAC,最小权限
接口签名、限流、防重放
数据敏感字段加密和脱敏
插件权限声明和沙箱
审计关键操作不可抵赖
合规支持删除、导出、同意管理

继续阅读

探索更多技术文章

浏览归档,发现更多关于系统设计、工具链和工程实践的内容。

全部文章 返回首页