云服务器内容精选
-
名词解释 认证测试中心 CTC:是结合华为30年安全经验积累,并结合企业与机构的安全合规与防护需求,帮助企业与机构满足国家及行业法律法规要求,同时实现对安全风险与安全事件的有效监控,并及时采取有效措施持续降低安全风险,消除安全事件带来的损失。 云防火墙 服务 CFW:是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括:实时入侵检测与防御,全局统一访问控制,全流量分析可视化,日志审计与溯源分析等,同时支持按需弹性扩容,是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS:是服务器贴身安全管家,通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验,安全运营、网页防篡改等功能,帮助企业更方便地管理主机安全风险,实时发现黑客入侵行为,以及满足等保合规要求。 Web应用防火墙 WAF:对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM:是华为联合全球知名数字证书服务机构,为您提供一站式证书的全生命周期管理服务,实现网站的可信身份认证与安全数据传输。 安全云脑 SecMaster:新一代安全运营中心,精准洞察云上资产安全态势,防患于未然,智能检测和响应威胁,实现自动化安全运营,全力护航云上安全。 漏洞管理服务 CodeArts Inspector:一站式漏洞管理服务,通过实时持续资产评估,提供安全风险量化与在线分析处置能力,帮助组织快速感知和响应漏洞,提升漏洞维护修复效率。
-
方案架构 该解决方案能帮您快速在华为云上搭建等保二级合规安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保二级合规要求。 解决方案架构如下: 图1 方案架构图 在虚拟私有云私有云 VPC中划分出私有子网,用于部署该方案中需要使用的资源: Web应用防火墙 WAF用来对业务流量进行多维度检测和防护。 企业主机安全 HSS用来提升主机整体安全性,提供资产管理、漏洞管理、入侵检测、基线检查等功能,帮助企业降低主机安全风险。 SSL证书管理 SCM实现网站的可信身份认证与安全数据传输。 安全云脑 SecMaster用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势;识别云服务日志中的潜在威胁,并对检测出的威胁告警进行统计。 漏洞管理服务 CodeArts Inspector,通过实时持续资产评估,提供安全风险量化与在线分析处置能力,帮助组织快速感知和响应漏洞,提升漏洞维护修复效率。 云防火墙 CFW实现对云上互联网边界流量实时入侵检测与防御。
-
资源和成本规划 该解决方案默认部署在华北-北京四region。以下花费仅供参考,具体请参考华为云官网价格详情,实际收费以账单为准。 表1 资源和成本规划 华为云服务 计费说明 每月花费 云防火墙 CFW 规格:标准版 扩展防护公网IP数:0 扩展公网防护流量峰值:0Mbps 2800.00 企业主机安全 HSS 规格:旗舰版 防护主机数量:1 200.00 Web应用防火墙 WAF 规格:标准版 域名 扩展包:0 QPS扩展包:0 3880.00 SSL证书 SCM 规格: 证书类型:OV 证书品牌:GeoTrust 域名类型:单域名 有效期:1年 配置费用:2465.10元/个 - 安全云脑 规格:专业版 主机配额:32 安全大屏:无 只能分析配额:0GB/天 安全编排:0 4800.00 漏洞管理服务 规格:专业版 扫描配额包:1 300.00 合计 约 11980.00元/月(不含SSL证书费用)
-
方案优势 为了实现业务单元的安全和故障隔离,华为云的推荐做法是将不同业务单元的应用系统分别部署在不同的账号中。华为云账号具备以下三个属性。 华为云账号是一个资源容器,用户可以在其中部署任意云资源和上层业务应用系统,不同的账号相当于不同的资源容器,账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。 华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经允许,一个账号内的用户不能访问其他账号的资源、数据和应用。 华为云账号还可以作为独立的账单实体,每个账号可以单独在华为云上充值、购买云资源、结算和开票。 因此华为云账号可以针对业务单元进行有效的故障和安全隔离,还可以进一步进行管理和财务隔离。 另外,为了避免单点故障带来雪崩效应、减少单点故障的爆炸半径,核心办法就是不要把所用业务系统及其云资源部署在单一账号,也就是不要“把鸡蛋放在一个篮子里”。单一账号存在两个严重的问题:其一是单一账号的爆炸半径太大,如果该账号发生崩溃将导致企业所有业务系统不可用;其二是云平台上账号的资源配额是有上限的,不能在一个账号内无限扩容云资源。 因此当企业全面上云时通常需要采用多账号架构。按照康威定律,企业的多账号架构通常会与其组织架构或业务架构保持一致,即按照业务单元、地理单元、职能单元等维度划分账号。采用多账号架构后可以实现职责分离,不同的账号负责不同的事情、承载不同的业务,每个账号的管理员可以对本账号内的资源进行自治管理,但同时从IT治理角度肯定要求一定程度的统一管控,比如多账号的统一运维管理、安全管控、资源管理、网络管理、财务管理等。针对这些核心诉求,华为云提出了Landing Zone解决方案来帮助企业在云上构建安全合规、可扩展的多账号运行环境,实现多账号的资源共享和“人财物权法”的统一管控。 人的管理:多账号环境下对业务单元、账号、用户、用户组、角色等进行统一管理; 财的管理:多账号环境下对资金、预算、成本、发票、折扣等进行统一管理; 物的管理:多账号环境下对计算、存储、网络、数据、应用等云资源进行统一运维、监控和管理; 权的管理:多账号环境下对云资源的访问权限进行统一管理,确保访问权限符合最小授权原则; 法的管理:多账号环境下对安全合规进行统一管理,确保符合国家、行业和企业自身的安全合规要求。 企业成功实施了Landing Zone解决方案之后,可以有效规避大规模上云之后的管理失控、安全失控、成本失控的风险,全面应对各种IT治理挑战,帮助企业建立分统结合的IT治理体系和完善的安全合规体系。 分统结合的IT治理体系:即在分权分域分级管理的基础上进行一定程度的统一管控,如统一运维、统一安全等; 完善的安全合规体系:云上运行环境(包括云资源、数据、应用等)满足国家、行业和企业自身的安全合规标准。
-
方案架构 Landing Zone解决方案的目标是在云上构建安全合规、可扩展的多账号运行环境,首先要规划组织和账号架构。按照康威定律,企业在华为云上的组织和账号结构要与企业的组织和业务架构总体保持一致,但也不要完全照搬复制。华为云提供以下参考架构,建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。 图1 华为云Landing Zone参考架构 按照业务架构在华为云上划分不同的组织层级和OU,每个业务OU下面可以按照业务系统创建独立的子账号。规模较大的业务系统或安全隔离要求严格(如需要遵守PCI-DSS、HIPPA等合规标准)的业务系统对应一个独立的子账号,安全隔离要求不高的多个小型业务系统可以共享一个子账号。以销售部为例,可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的子账号;以研发部为例,可以将围绕单个产品的设计、研发等系统部署在一个子账号中。 按照地理架构在华为云上划分不同的组织层级和OU,每个地理区域OU下面可以按照国家或地区创建独立的子账号,在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为华为云的OU,为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。 针对企业的中心IT部门,在华为云上创建对应的组织单元,并按照IT职能创建以下子账号,一方面实现IT管理领域的职责和权限隔离,另一方面对企业内多个子账号进行统一的IT管理。 表1 IT职能账号 账号名称 账号履行的IT职能 责任团队 资源或云服务 网络运营账号 集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VP CDM A网络络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口 网络管理团队,安全管理团队 NATG, EIP, VPC, 专线, 云连接, VPN, CFW,WAF, Anti-DDoS 公共服务账号 集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有子账号使用 公共服务管理团队 NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库、协作办公系统等 安全运营账号 作为企业安全运营中心,统一管控整个企业的安全策略、安全规则和安全资源,为其他账号设置安全配置基线,对整个企业的信息安全负责 安全管理团队 统一部署具备跨账号安全管控的服务,如DEW、SCM、VSS等 运维监控账号 统一监控和运维各个子账号下的资源和应用,及时发现预警 运维团队 云堡垒机 、Grafana, Prometheus或第三方运维监控系统 日志账号 集中存储其他账号的运行日志、审计日志 日志分析 团队,合规审计团队 日志服务LTS、OBS桶、SIEM系统 数据平台账号 集中部署企业的大数据平台,将其他账号的业务数据统一采集到数据平台进行存储、处理和分析 数据处理团队,业务分析团队 数据湖 、大数据分析平台、 数据接入服务 、 数据治理 平台 DevOps账号 统一管理整个企业的CI/CD流水线,并进行跨账号部署 软件研发团队 DevCloud,或自建DevOps流水线 沙箱账号 用于进行各种云服务的功能测试、安全策略的测试等 测试团队 按需部署各种需要测试验证的资源和服务 除了上述子账号之外,中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号、协同办公账号等。 需要注意的是在组织的根下面会默认关联一个主账号,主账号下不建议部署任何云资源,主要是做好以下管理工作: 统一组织和账号管理:创建和管理组织结构和组织单元,为组织单元创建子账号,或者邀请已有账号作为组织单元的子账号。 统一财务管理:针对整个企业在华为云上的成本进行分析和统计;统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期审视子账号的资金、信用额度和代金券的使用情况,及时进行回收。 统一组织策略管理:为各个组织单元和子账号设置组织策略,强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建组织策略时可以将其应用到某一个组织单元,该组织策略可以继承到关联的子账号和下层组织单元。 在每个子账号下面还可以通过企业项目(Enterprise Project, EP)对资源进行细粒度的逻辑分组,比如将一个应用系统的子系统、一个产品的子产品映射为华为云上的一个企业项目,用户还可以按照EP进行成本分摊和细粒度授权。 图2 网络运营账号 在上述多账号架构下,网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER联通各账号下的VPCDMA网络络,从而实现多账号共享使用VPN和云专线与线下IDC互通,也能实现多账号共享使用公网NAT网关与互联网通信,还能共享使用云连接与其他Region进行互通。在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、云防火墙CFW、WAF等安全资源并统一配置具体的安全防护策略 图3 多账号资源共享和统一管控 在多账号网络互通的基础上,可以进一步实现多账号的资源共享和统一管控。资源共享主要是针对公共资源的共享,比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库等,也可以是DevCloud等PaaS服务,在一个或多个独立的子账号中集中部署和维护这些公共资源,并共享给其他账号使用,没有必要在每一个子账号中单独部署和维护。统一管控主要针对的是管理类系统,如监控运维、资源治理、安全防护、财务管理等,集中管理多账号环境下的监控、运维、资源、安全、财务等,避免在每个子账号中分散式管理带来的管理成本高、标准不统一的问题。统一管控可以有效制定和实施企业范围内的IT治理策略。
-
应用场景 随着很多企业逐渐将越来越多的业务系统往云上迁移,企业客户需要将IT治理模式延伸或迁移到公有云上。公有云在安全稳定、服务质量、执行效率、成本效益等方面的优势逐渐被企业接受和认可,越来越多的企业也优先采用云原生的方式开发面向未来的新应用系统。企业全面云化的时代已经来临,为了避免大规模上云带来的管理失控、安全失控、成本失控等系列问题,企业开始逐渐重视云上IT治理,但在具体实践中经常会遇到以下各种挑战。 如何做好业务单元(如事业部、产品线、部门、项目组等)的安全和故障隔离,确保业务单元之间的云资源、应用和数据的隔离? 如何避免单点故障带来雪崩效应、减少单点故障的爆炸半径? 企业组织架构和业务架构经常调整,云上资源如何灵活应对? 如何设计跨多个业务单元的网络架构、建立受控的网络连接通道? 如何统一管控多个业务单元的边界网络出入口? 如何规划生产、开发和测试环境? 公共资源如何在多个业务单元之间共享? 如何统一监控、运维和管控多个业务单元的云资源? 如何统一管控各业务单元的预算和成本?如何优化云成本? 如何避免各业务单元过度使用云资源? 如何划分用户组?应该为用户组设置哪些权限? 云资源、数据和应用如何满足国家、行业和企业自身的安全合规标准? 在尽量保留原有IT治理模式的前提下,如何将其迁移到公有云上? 要应对上述挑战,需要设计一套全面的云上IT治理方案和最佳实践,对业务单元、人员、权限、云资源、数据、应用、成本、安全等要素进行全面有效管理。华为云通过Landing Zone解决方案来全面应对云上IT治理的挑战。Landing Zone本身是一个航空术语,指直升飞机等飞行器可以安全着陆的区域。目前国内外多家云厂商都借用了这个航空术语,将企业业务系统安全平稳迁移到公有云的解决方案命名为Landing Zone,目的是系统性解决企业大规模使用云服务所带来的IT治理和安全合规的挑战。
-
应用日志收集 对于应用日志,华为云建议使用ICAgent收集,应用日志一般包括应用程序日志、客户自建网关日志、操作系统日志、容器日志等,这些日志会写入本地系统磁盘,ICAgent通过实时监听本地文件的变化来采集日志,ICAgent与您的程序解耦,您不需要更改代码,它可以将这些日志从所在主机发送到华为 云日志 服务。 对于华为云上的CCE容器应用,您在控制台上打开日志采集开关即可收集日志到日志服务。对于用户自建的K8S集群,您可以使用日志服务提供的CRD方式采集原生K8S容器日志。(https://support.huaweicloud.com/usermanual-lts/lts_04_1110.html)
-
日志与第三方系统集成 用户的SIEM(安全信息和事件管理,例如Splunk)位于内部部署环境中,而不是云上。出于安全考虑,云上服务无法直接从外部环境访问任何SIEM端口。华为 云日志服务LTS 提供API,让任何外部应用程序和平台都可以使用这些API来检索LTS中存储的日志。同时LTS可以实时转储日志到DMS(KAFKA),外部应用程序可以实时消费DMS(KAFKA),接入到用户自己SIEM系统中。因此建议企业将日志账号中的日志流实时转储到DMS(KAFKA),企业的SIEM系统可以实时消费KAFKA接入日志数据。 图4 云日志服务数据对接客户的SIEM
-
日志分析 一旦日志收集到日志服务,日志分析团队就可以使用关键词来搜索过滤感兴趣的日志,可以使用SQL语法来分析日志,并生成可视化图表(表格、柱状图、饼图、折线图等)。日志分析团队可以将图表组合到仪表盘中,为业务提供运营分析,支持提取仪表盘为模板,为不同的日志流提供开箱即用的分析能力。日志分析团队可以基于关键词或者是SQL语句创建告警规则,用来监控系统的运行情况,告警可以通过短信、邮件、企业微信、钉钉等多种方式发送。 图3 日志分析
-
原则2:主动安全、默认安全 安全是设计出来的。因此在业务安全设计时,华为云建议客户参考IPDRR模型(识别 Identity,防护Protect,检测 Detect,响应React,恢复Restore)来进行安全方案的设计。华为云各个云服务已实现超过387条安全特性,这些特性组合系统可以帮助客户在云上构建一整套安全架构。其中大多数安全特性是作为云服务的基础能力向客户提供的。 图2 华为云服务安全特性清单 通过分析云上安全事件,华为云发现大量的安全事件是由于不完善的资源配置导致的入侵和可靠性问题。因此在开通云服务、云资源时,应结合上图确认安全特性是否打开,如虚拟机镜像应完成安全加固并配置主机安全类服务产品,存储资源的ACL访问策略默认最小集合,数据资源使用KMS管理密钥、运维通道使用云 堡垒机 等。并定期使用安全服务对资源、账号进行扫描,利用安全基线进行比对以发现分析和不安全的配置。 华为云态势感知服务SA、 漏洞扫描服务 VSS、管理检测与响应服务MDR均可提供自动化或人工的基线检查能力。
-
原则3:最小化授权 将企业内部组织、资源进行分组管理,并利用细粒度授权功能,对企业账号、资源、操作进行精细授权,尽量避免提供多个对象共享同一资源的场景,对资源访问的共享数量和使用尽可能最小化。 企业云上基于企业项目的授权管理原则包括: 企业客户在云上按自身组织或项目管理模式对云服务进行资源的分组和管理;针对公共资源管理,可以创建公共项目或者使用默认Default企业项目; 针对每个企业项目,按照职责分别创建不同的用户组,并授予相应的权限; 不建议直接使用 IAM 账号访问云,而是创建IAM用户,并授予用户管理权限,使用该IAM用户代替IAM账号进行日常管理工作,保护IAM账号的安全; 遵守最小授权原则,只授予用户组完成职责所需的最小权限,如果用户组的职责产生变化,应该及时调整用户组的权限;
-
原则5:持续合规、安全可视 相对比传统IT系统的举证合规方案,云技术让持续合规、安全可视变为了可能。 云上高性价比的存储方案,全方位的审计服务和AI的行为分析能大量的节约合规成本,合规报告自动生成,再也不用空出数月来完成大量的文档写作了。而标准化的日志结构、报表呈现,将AI技术应用到日志分析,能迅速发现并纠正违规行为,可显著提升企业的合规遵从度 华为 云安全 治理云图Compass服务是一个自动化合规评估和安全治理平台,将华为积累的全球安全合规经验服务化,帮助客户快速实现云上业务的安全遵从,提升用户获得法规及行业标准的认证效率,实现持续合规
-
安全设计目标 防入侵:业务间隔离,防横向移动,防风险扩散 防泄密:降低内部人员网络泄密风险,数据泄密可审计可追溯 安全设计原则: 区域治理:隔离不同业务属性的环境(如消费者、企业、开发者等),支撑数据转移控制 服务隔离:最小化攻击面,限制黑客横向移动范围,在最小范围遏制攻击者 安全集成:互相隔离的服务间通过API、消息方式安全集成 隐私遵从:云服务作为数据处理者和云服务作为数据控制者遵从隐私合规要求 数据保护:降低内部人员泄密风险 高价值服务区:资产价值大(账号类、支付类、密钥类、批量用户数据存储)、或具备获取批量数据能力高权限(运营、运维)的服务,需要被重点保护。 通用服务区:对外部用户或者内部其他服务提供服务、且不涉及存储批量用户数据、资金处理、账号数据管理、密钥管理等的服务。 表1 安全设计目标 安全域 定义 2C业务安全域 面向internet用户提供服务,与2C、2D业务安全域默认网络隔离,可以从互联网访问 2B业务安全域 与合作伙伴、企业客户集成,与2C、2D业务安全域默认网络隔离,与伙伴、企业客户间通过专线、VPN等建立点对点的集成关系 2D业务安全域 为开发者提供服务,与2C、2B业务安全域网络隔离,可以从互联网访问 数据分析安全域 部署数据湖、数仓、大数据分析平台等业务,是数据的聚集地,与其它各安全域默认内网隔离,只能从企业内网访问 管理平台安全域 为各安全域提供运维、运营平台,供研发、运营、运维人员开展运营运维活动的服务,只能从企业内网访问。
-
原则1:基于业务价值制定安全目标 安全是一项系统工程,从建设成本和方案上看有较大的弹性空间。那么如何衡量安全、合规的投资预算呢? 识别合规要求:华为云建议客户优先分析业务的合规要求,比如可以根据等级保护的规则匹配业务系统的安全等级,或和业务团队共同识别业务的行业要求(如支付行业需要满足PCI DSS的要求)。当明确了合规目标并根据合规目标实施的安全方案,可以初步的安全也业务价值相匹配。 评估安全风险:在完成合规评估后,应从攻击者视角出发评估业务系统的安全性。在安全评估中,通过威胁分析来识别风险,并评估风险等级并制定消减措施。需要注意的是,在做风险接受是,应考虑当前的防御方案是否会让攻击者发起攻击的成本超过其获得的利益。如果上述假设不成立,则应该配置足够的安全服务产品,以提升攻击成功难度,降低系统被攻击的可能。 华为云提供MDR(管理检测与响应)服务,MDR服务的安全评估服务可以帮助客户进行云上系统的安全风险评估,而MDR服务中的等保助手、密评助手等专项能力也可以帮助客户对业务系统进行安全方案的设计和改造。 华为云建议客户在进行IT系统建设时,预留预算用于安全、合规方案的建设。一般性系统预留5%、面向互联网提供服务、易受攻击的系统,预算建议上升至15%。 图1 安全等级
-
原则4:云原生安全 使用云服务场景多且复杂,与传统的企业IT和安全所要求的技能有很大的差别,如果不能掌握足够的技能,即使云服务供应商提供了全面的安全能力和服务,如果不能正确的配置使用或防护不全面,依然会让企业云上环境面临巨大的安全风险。 云服务提供商通常都会提供面向IaaS资源和PaaS资源的安全类服务,比如Anti DDoS、WAF、主机防护、密钥管理等。这些服务展现出智能化、规程化、自动化、无码化的特征。在性能、弹性、兼容性上有较好的表现。同时,云服务提供商的安全运营经验也在持续的推动云原生安全服务的能力有针对性的增强,因此,对于基础安全方案,如保护业务系统的计算安全、存储安全、网络安全、数据安全、安全合规等应优先选择云原生安全服务
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
