云服务器内容精选
-
方案架构 该解决方案能帮您快速在华为云上搭建等保二级合规安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保二级合规要求。 解决方案架构如下: 图1 方案架构图 在虚拟私有云私有云 VPC中划分出私有子网,用于部署该方案中需要使用的资源: Web应用防火墙 WAF用来对业务流量进行多维度检测和防护。 企业主机安全 HSS用来提升主机整体安全性,提供资产管理、漏洞管理、入侵检测、基线检查等功能,帮助企业降低主机安全风险。 SSL证书管理 SCM实现网站的可信身份认证与安全数据传输。 安全云脑 SecMaster用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势;识别云服务日志中的潜在威胁,并对检测出的威胁告警进行统计。 漏洞管理服务 CodeArts Inspector,通过实时持续资产评估,提供安全风险量化与在线分析处置能力,帮助组织快速感知和响应漏洞,提升漏洞维护修复效率。 云防火墙 CFW实现对云上互联网边界流量实时入侵检测与防御。
-
名词解释 认证测试中心 CTC:是结合华为30年安全经验积累,并结合企业与机构的安全合规与防护需求,帮助企业与机构满足国家及行业法律法规要求,同时实现对安全风险与安全事件的有效监控,并及时采取有效措施持续降低安全风险,消除安全事件带来的损失。 云防火墙服务 CFW:是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括:实时入侵检测与防御,全局统一访问控制,全流量分析可视化,日志审计与溯源分析等,同时支持按需弹性扩容,是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS:是服务器贴身安全管家,通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验,安全运营、网页防篡改等功能,帮助企业更方便地管理主机安全风险,实时发现黑客入侵行为,以及满足等保合规要求。 Web应用防火墙 WAF:对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM:是华为联合全球知名数字证书服务机构,为您提供一站式证书的全生命周期管理服务,实现网站的可信身份认证与安全数据传输。 安全云脑 SecMaster:新一代安全运营中心,精准洞察云上资产安全态势,防患于未然,智能检测和响应威胁,实现自动化安全运营,全力护航云上安全。 漏洞管理服务 CodeArts Inspector:一站式漏洞管理服务,通过实时持续资产评估,提供安全风险量化与在线分析处置能力,帮助组织快速感知和响应漏洞,提升漏洞维护修复效率。
-
资源和成本规划 该解决方案默认部署在华北-北京四region。以下花费仅供参考,具体请参考华为云官网价格详情,实际收费以账单为准。 表1 资源和成本规划 华为云服务 计费说明 每月花费 云防火墙 CFW 规格:标准版 扩展防护公网IP数:0 扩展公网防护流量峰值:0Mbps 2800.00 企业主机安全 HSS 规格:旗舰版 防护主机数量:1 200.00 Web应用防火墙 WAF 规格:标准版 域名 扩展包:0 QPS扩展包:0 3880.00 SSL证书 SCM 规格: 证书类型:OV 证书品牌:GeoTrust 域名类型:单域名 有效期:1年 配置费用:2465.10元/个 - 安全云脑 规格:专业版 主机配额:32 安全大屏:无 只能分析配额:0GB/天 安全编排:0 4800.00 漏洞管理服务 规格:专业版 扫描配额包:1 300.00 合计 约 11980.00元/月(不含SSL证书费用)
-
多账号财务管理 同一个企业下存在多个华为云账号时,可以建立企业主子账号关联关系,企业主账号您可以根据自己的企业结构创建多层组织、新建子账号或关联子账号,并使其从属于主账号创建的组织部门,从而对这些子账号的财务进行管理。 主子账号关联 主账号可以通过创建一个华为云账号并与之关联,或者邀请一个华为云账号与之关联。同时主账号可以根据公司业务在企业中心创建组织部门信息,子账号可以从属与某个组织部门。 主子账号资金管理 主账号充值后,可以划拨现金、代金券给子账号用于资源的开通。子账号也可以通过自主充值后,进行资源的开通。 主子账号商务继承 主账号可以将其商务继承给子账号,继承后子账号的消费可以使用主账号的商务。避免同一家企业针对其不同账号需要签署多个商务的麻烦,增加了便利性。 主子账单查询 主子账号消费后,可分别登录华为云查看自己的消费数据。主账号可以申请查看子账号消费数据,申请成功后即可查看子账号的消费数据。 主子发票 主子账号消费后,各自独立向华为云申请开发票。主账号也可以代子账号开票。
-
成本分配 准确有效的成本分配,有利于企业内部的成本透明与问责。而透明的成本责任制是企业财务管理的基础。 确定成本组织方式 企业进行财务管理之前,需要先确认云支出的组织方式,确保将企业在华为云上的支出能分摊到企业内部的组织层级结构上。 对于使用多账号的企业组织来说,可以使用关联账号来天然分摊企业在华为云的支出。同时,企业还可以使用标签将组织信息标记在资源上,资源标签会随资源使用添加到客户的成本数据上。客户可以使用标签识别不同环境(比如生产、测试)的成本、或使用标签识别不同的组织、产品、负责人。 华为云成本中心为客户提供成本标签功能,企业各子账号(含主账号)在成本中心将资源标签激活为成本标签后,各账号就可以在成本中心基于成本标签进行成本分析、预算跟踪。成本标签只能影响激活后新产生的成本数据,因此建议客户尽早进行成本标签的规划和激活。 对于不能通过标签归集的成本(比如企业内部共用资源产生的成本,未及时标记标签产生的成本,或暂不支持标签管理的产品成本),建议客户在企业内部约定分配规则,将这类共同成本分配到企业内部。分配规则可以是平均分配、自定义比例,或者按照可归集成本的比例进行二次分配。 采用应计视角的摊销成本 华为云成本中心为客户提供了不同的成本类型: 原始成本:反映了客户的原始使用和购买情况。该成本是基于云服务官网价,应用了商务折扣、促销折扣等优惠之后的金额。 摊销成本:反映了包年/包月产品的预付金额在订单有效期间内按日分摊后的有效成本。比如客户购买了有效期为一年的云服务共365元,则每天的摊销成本为1元。 从财务视角来看,摊销成本为应计成本,是按照权责发生制计算的成本,因此更建议客户使用摊销成本在企业内部分摊成本。 详细的成本摊销规则可参见:https://support.huaweicloud.com/usermanual-cost/costcenter_000002_01.html
-
成本分析 了解组织内的成本趋势和成本驱动因素,是企业进一步有效管理成本、控制和优化成本的关键。 图1 分析成本及用量的趋势及分布 华为云成本中心的成本分析支持使用汇总和过滤机制可视化您最多18个月的原始成本或摊销成本,从而通过各种角度、粒度、范围深度分析成本和用量的趋势及驱动因素。企业主账号可以同时分析名下各子账号的成本和用量情况。 客户可以使用成本中心提供的预置分析报告对常见场景快速分析,预置报告包括: 报告名称 说明 按产品类型汇总的月度成本 了解过去6个月原始成本较高的产品类型。 按关联账号汇总的月度成本 了解过去6个月原始成本较高的关联账号。 每日成本 了解过去3个月的每日原始成本趋势,以及未来1个月的成本预测。 月度摊销成本 了解过去6个月摊销成本的月度趋势。 E CS 的月度按需成本和使用量 了解过去6个月云主机每月按需原始成本和按需使用量情况。 如果预置报告不能满足客户诉求,客户还可以自定义分析,通过调整时间粒度、周期、汇总条件、过滤条件以及成本类型,来洞察成本和用量的情况。对于客户经常关注的自定义分析,建议保存为自定义报告,便于再次查看相同条件下的分析数据。 无论是预置报告还是自定义分析报告,报告分析结果均支持导出CSV文件。同时,华为云成本中心还支持导出携带标签和关联账号的月度摊销成本明细,便于客户深入分析
-
混合DNS 通过专线把本地数据中心和华为云服务器打通,本地服务器和华为云服务器就可以直接通信,但是基于安全因素考虑,华为云的DNS服务器只能华为云的服务器使用,本地DNS服务器和华为云的DNS服务器之间网络是不能通信的,本地数据中心DNS服务器有自己业务域名,华为云服务器DNS有华为云服务域名,这样问题就出现了: 本地数据中心服务器用的自己的DNS服务器,可以解析本地域名,但是无法解析华为云服务域名,比如OBS,SFS等 华为云服务器使用华为云的DNS,可以解析华为云服务域名,但是无法解析本地数据中心的域名 图1 混合DNS 1 解决方案:华为云提供混合DNS解决方案DNSEP,通过dnsep 把公有云dns地址下沉到客户自己vpc内,可以实现线下dns和公有云dns互相forward。步骤如下: 线下自建DNS把要解析的云服务域名(*.myhuaweicloud.com)转发给入站终端节点到达云上dns; 云上dns会根据出站终端节点配置的域名转发规则把相应域名解析转发到指定的线下DNS解析。 图2 线下DNS解析 父主题: Landing Zone网络规划
-
财务管理原则 华为云基于大量成功交付的项目,总结提炼了以下财务管理原则: 为实现统一财务管控,主账号为组织单元添加子账号时开启以下权限: 请求查看子账号财务信息 请求查看子账号消费消息 禁止子账号自行开票 允许代子账号开票 允许子账号继承主账号商务折扣 在主账号下要设置一个财务管理员,拥有主账号财务管理的所有权限,定期核算整个企业在华为云的消费情况,进行成本控制,定期(每月、每季、每年)统计华为云消费并计入企业财务报表。每个子账号(对应一个组织单元)也建议设置财务管理员,在本账号下核算华为云消费情况、进行成本控制、成本分析。 主账号的财务管理员统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期审视子账号的资金、信用额度和代金券的使用情况,及时进行回收。为确保资金安全,建议开启资金安全二次验证功能。 主账号和各子账号的财务管理员要协同项目经理,根据资金使用成本和项目需求确定各类云资源的计费模式,是按需计费,还是包月、包季、包年等;定期按照企业项目、产品类型等维度进行成本统计和分析,结合资源利用率分析结果设计成本优化方案,如按需计费改为包周期、资源整合、订购套餐包等,并制定下一周期的成本预算;持续监控资源到期情况,及时对快到期的资源进行续费。 为防止子账号过度消费资源,主账号可以统一分配可用资金给各个子账号,同时开启余额预警;为防止项目成员过度订购云服务,还可以限定单个企业项目在华为云上订购云服务的资金配额限制,同时开启余额预警。
-
成本计划 估算和预测成本 云支出的可变性,导致云支出是很难预测的。 对于新产品发布或区域扩张,客户可使用华为云价格计算器在线自助估算各种产品,不同区域、不同规格、不同购买选项的成本。 对于已使用产品,客户也可以使用华为云成本中心的成本分析来预测每日(最多未来90天)或每月(最多未来12个月)的云成本。该预测,主要基于客户历史成本和历史用量情况,应用机器算法进行估算。 创建预算以跟踪成本 跟踪成本计划的有效工具是预算。 一旦完成成本的估算与预测,客户可以在华为云成本中心的预算管理创建精细粒度的预算来管理成本,并可以创建预算提醒,在实际或预测超过预算阈值时,自动通知利益相关人支出异常。 客户还可以创建预算报告,每天/每周/每月,定期将指定预算进展通知给利益相关人。
-
成本优化 云支出的主要影响因素,是费率和用量。因此企业在华为云上的成本优化也主要从这两方面着手考虑。 降低费率 对于长期使用的按需产品,建议客户优先采用包年包月或资源包。 客户可使用华为云成本中心的按需转包年包月优化评估发现节省成本的机会。该评估基于客户ECS、EVS、RDS历史按需资源的使用情况进行分析,为客户提供按需转包年包月的可优化资源清单和优化前后的成本对比。 如果客户已购买资源包,客户还可以使用华为云成本中心的资源包使用率/覆盖率分析,分析已购买资源包的使用情况。对于使用率过低的资源包,判断是否购买过量;对于覆盖率过低的资源包,判断是否购买不足。客户根据分析结果优化下一周期的资源包购买。 减少用量 客户可通过监控云服务的利用率,来识别空闲资源或利用率较低的资源。释放空闲资源或降配利用率低的资源,可以减少不必要的付费用量。需要注意的是,无论是释放资源还是降配资源,都需要和业务部门确认,以确保不影响业务使用。 客户可以基于业务技术方案的优化,比如存算分离、分时复用将资源充分利用起来,或使用性价比高的实例,来减少付费用量。
-
安全配置基线 华为 云安全 提供 态势感知 服务来保护客户业务的安全合规,态势感知服务支持资源管理、威胁告警、漏洞管理、基线检查等多种功能。 在安全运营账号中,业务账号的委托的态势感知将用于提供合规风险检查: 基线检查:支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项,您可以从“安全上云合规检查”、“等保2.0通用要求”、“护网检查”、“等保2.0扩展要求”四大风险类别,了解云服务风险配置的所在范围和风险配置数目。 基线检查包括安全合规性检查、系统配置检查、账户检查和弱密码检查等规则。 表1 服务器基线检查 检查项 说明 经典弱密码检测 通过与弱密码库对比,检测账号密码是否属于常用的弱密码。支持MySQL、FTP及系统账号的弱密码检测。 密码复杂度策略检测 检测系统账号的密码复杂度策略。 配置检测 根据CIS标准并结合华为多年最佳安全实践进行检测。目前支持的配置检测类型有:Tomcat、SSH、Nginx、Redis、Apache2、MySQL5。 表2 态势感知服务基线检查支持的检查项目,具体基线分类如下: 基线检查项目 检查规范 检查类别 包含的检查项数量 安全上云合规检查 身份与访问管理 12 检测 7 基础设施防护 25 数据防护 22 事件响应 13 护网检查 安全套件覆盖 8 账号加固 2 主机加固 2 Sudo漏洞 1 访问控制 1 敏感信息排查 2 等保2.0通用要求 安全通信网络 8 安全区域边界 20 安全计算环境 34 安全管理中心 12 等保2.0扩展要求 安全通信网络 5 安全区域边界 8 安全计算环境 19 安全管理中心 4 安全建设管理 8 安全运维管理 1 在设置和应用程序启动期间,初始化配置步骤为: 将态势感知启用到专业版 勾选基线检查项目 设置基线检查计划 执行基线检查计划 查看和处理基线检查结果 修复所有漏洞。解决基线检查中所有不通过的项 再次执行检查并查看态势感知上的结果,确保所有相关事件都得到正确处理。 父主题: 安全合规
-
企业上云面临的安全风险 企业上云的安全风险是被提及最多,也是顾虑最多的点。自有IT产业以来,如下风险就被广泛讨论: 挑战1:如何满足内外部监管机构的合规要求 随着网络数字空间的逐步发展,各区域、国家、行业的法律法规如GDPR、网络安全法逐步明确,无意识的违规轻则引起整改问责、重则涉及高额罚款。均会对企业业务开展带来较高风险。 挑战2:如何构建一套全方位、全体现的安全运营系统,保障业务的SLA达成 网络攻击行为在过去数年发生了巨大的改变,传统以破坏系统为主的网络攻击行为,发展到现阶段将DDoS攻击、加密、撞库/搬库的技术用于勒索和灰色产业对抗的经济目的,更要求企业构建一套健全的安全运营系统,以保证系统的网络运营正常和业务安全。 挑战3:如何兼顾安全和业务的效率 传统IT建设过程中,企业往往将安全作为独立的体系构建。安全、合规部门通过规范流程、部署安全防护设备等方法对业务进行保护。在此过程中,安全、合规部门对业务的理解有一定的局限性,导致安全容易被视为是业务快速发展的瓶颈。 同时应该意识到,随着云时代的到来,计算、存储、网络、大数据技术的云化方案成熟,企业又面临了新的安全挑战。 云上挑战1:安全技术如何快速适配业务的弹性扩缩 在过去,企业进行IT建设时,往往按照业务最大值计算服务器的建设规模。而云技术的到来,让企业完全可以以最小成本开通业务,弹性伸缩的特征让企业无需过度担心业务高峰期到来时的资源瓶颈。那么在这种情况下,用传统的安全软件,很难同步匹配业务的快速扩缩容 云上挑战2:如何确保云服务、云资源的配置、策略安全 根据国内外调查,云上Top安全威胁中包括不安全的配置。因为云资源具备快速开通的特点,而且大多数云上应用采用DevOps开发,开发周期大量缩短。如果使用不安全的镜像、或云资源默认配置的访问权限过大都将产生严重后果。 云上挑战3:如何让安全能力在多团队共享和共建 传统企业安全部门和业务部门在技术上存在较厚的技术墙,双方在业务流上互相守护自己的业务范围,并不需要过多的共享。但是在公有云场景下,同一企业内不同系统的业务架构具备一定的相似性,甚至风险和消除风险的手段和云平台的方式都是类似的。那么这些技术是否可以共享? 父主题: 安全合规
-
运维监控原则 当应用部署在公有云上,云平台需提供已开通资源的监控能力,包括计算、存储、网络、数据库等云服务资源。资源监控指标反馈资源的运行状态、资源消耗和性能参数等,运维人员可根据不同参数配置相应的阈值告警,当资源异常时通过短信或邮件等方式通知。除了开箱即用的指标数据以外,部分云服务提供完整的日志采集、上报和存储能力,如负载均衡、VPC、WAF等服务日志,应用日志通过安装代理采集并集中管理。通过日志洞察完成日志聚合查询,可视化分析和实时告警。 业务监控指标,如业务登录成功率等。可通过ELB(弹性负载均衡)日志洞察分析,日志系统对该日志ETL后,提取业务URL请求,状态码、访问IP、时延等关键数据,通过SQL聚合可得到不同时间段内业务的运行状态,配置SQL阈值规则可实现业务的实时监控,如下图所示。 图1 业务监控指标 运维人员可根据资源和应用维度选择监控服务,满足多层次运维要求。下表列出各云服务提供的监控能力。 表1 云服务提供的监控能力 分类 云服务 数据 数据描述 资源监控 CES 指标 提供云资源,如虚机/网络/存储等100+云服务开箱即用指标监控。 指标告警 CES 告警 自定义指标阈值规则,如CPU超过90%。 告警通知 SMN 告警 统一通知服务,支持短信/邮箱/钉钉/微信/webhook等方式。 事件告警 CES 事件 支持事件类型告警,如EIP带宽超限事件告警。 资源分组 CES 指标 将云资源按照项目或应用维度划分资源组,满足企业权限控制。 日志监控 LTS 日志 提供应用/云资源/移动端等日志采集,满足运维日志集中管理能力。 日志告警 LTS 告警 支持关键词和SQL告警规则,提供日志实时监控能力。 日志报表 LTS 日志 提供日志可视化能力,包括图表、柱状图、饼图,同时支持仪表盘和模板能力。 日志备份 LTS 日志 将日志转储OBS,提供冷备份,支持跨账号转储。 日志订阅 LTS 日志 将日志转储至kafka,实时消费日志,支持跨账号转储。 业务监控 LTS 日志 LTS收集业务日志并对其结构化处理,提供可视化分析。或直接将ELB日志提取成业务指标。 容器监控 AOM 监控 当使用CCE容器引擎,AOM将提供一站式容器应用的监控、告警和 日志分析 ; 性能监控 APM 性能 提供应用性能分析,包括应用拓扑、分布式链路追踪等能力。 父主题: 运维监控
-
整体网络架构设计 Landing Zone的整体网络架构设计如下图所示:kin'g'zukingzu 图1 网络架构设计 上述网络架构的核心是网络运营账号,作为连接其他账号的网络枢纽,其他账号之间的通信必须通过该账号的ER进行。ER可以通过设置路由规则决定哪些VPC之间的网络可以连通,华为云基于以下假设并根据各个账号的职责梳理各个账号下VPC之间的连通性矩阵,据此则可以在ER上设置对应的路由规则。 运维监控账号需要运维第三方云和本地DC中的资源; 安全运营账号需要到公网获取系统补丁包; 数据平台需要获取第三方云和本地DC的数据; DevOps账号需要从Github上下载代码,需要将软件制品部署到各个业务账号; 公共服务账号需要与本地IDC互联; 生产、开发、测试环境要求网络隔离。 图2 各账号VP CDM A网络络的连通性矩阵 日志账号是集中存放审计日志和运行日志的地方,主要使用了华为云的LTS服务和OBS服务,该两个服务没有租户面IP地址,所以不需要考虑与其他账号的VPC进行互通。沙箱账号是一个允许客户任意测试华为云上资源的地方,包括VPC的功能测试以及与其他账号之间连通性测试,所以也不需要预先在ER中配置与其他账号的连通性。
-
网络架构设计原则 华为云基于大量成功交付的项目,总结提炼了以下用户和权限管理原则: 业务隔离原则 不相关的业务进行流量隔离。按照生产环境、开发环境、测试环境分别划分独立的VPC;在每个VPC中按照接入层、应用层和数据层来分别划分子网。在互联网入口侧部署DMZ VPC,用于WAF等互联网安全的配置。 整体划分原则 VPC的网络容量:每个VPC可使用IP地址建议不超5000个 VPC间是隔离性大于连通性:VPC间默认隔离,可通过对等连接实现点对点互通;账户 子网间是连通性大于隔离性:子网间默认互通,但建议通过ACL访问控制按需隔离; VPC划分原则 业务账号可根据生产、开发、测试环境划分VPC,之间的网络建议不打通,确保生产、开发、测试环境的隔离。 网络运营账号创建一个集中的DMZ VPC,用于集中部署面向互联网连接的NAT网关,集中管理互联网的出入口,这样方便集中实施边界安全防护策略。 Landing Zone架构下多个账号之间需要经常互访,需要打通VPC之间的东西向网络访问通道,所以需要统一规划Landing Zone的VPCDMA网络络的IP地址,避免地址重叠导致无法实现网络互通。 子网划分原则 同VPC内子网不可重叠,需要互通的VPC间子网不能重叠。 业务账号下,可以按照业务系统的应用层和数据层划分不同的子网。之间采用ACL进行网络访问控制。默认只有应用子网对公网提供服务,数据子网只可被应用子网访问。 建议不同业务系统使用不同子网,可使用子网ACL控制按需访问。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
