检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
保自动扩容到最大时的规则不超过配额限制。 在系统中也可配置资源使用超过一定限额后进行预警,避免配额超过限制后导致业务受影响。 相关云服务和工具 使用华为云“我的配额”,可以查询每个云服务不同资源类型的总配额限制和已用配额,可根据业务的需要申请扩大对应云服务指定资源的配额,也可配置
使用单点登录:考虑使用单点登录解决方案,集中管理用户的身份认证信息,简化用户登录流程,提高安全性和用户体验。 多账号场景,对账号的集中管控。 相关云服务和工具 IAM身份提供商 华为账号使用的安全最佳实践 应用身份管理服务 OneAccess:使用OneAccess与您组织的HR系统关联实现单点登录。
多账号管理场景:需指定一个账号作为中央账号(企业主账号),由这个账号再添加成员账号(企业子账号)。优先保证中央账号的安全,再考虑成员账号。 相关云服务和工具 统一身份认证服务 IAM 组织 Organizations 企业管理 云审计服务 CTS 父主题: SEC02 身份认证
数据完整性验证:使用哈希函数、数字签名、消息认证码(MAC)等方法来验证数据的完整性,以确保数据在传输过程中没有被篡改。 相关云服务和工具 虚拟专用网络 VPN 云专线 DC 云连接服务 CC 数据快递服务 DES 云证书管理 CCM 父主题: SEC07 通用数据安全
VPC划分:为VPC指定合适的CIDR范围,以确定VPC的IP地址空间。 子网划分:在VPC中,创建多个子网,并将不同的资源部署在不同的子网中。 相关云服务和工具 虚拟私有云 VPC 父主题: SEC04 网络安全
确保有可靠的恢复机制,以防止密钥丢失或损坏。 销毁密钥: 在密钥不再需要时及时销毁密钥。 使用安全的密钥销毁方法,如加密删除或者物理销毁。 相关云服务和工具 数据加密服务 DEW 父主题: SEC05 运行环境安全
用户有时间使用工作负载。间隔时间应以小时和天而不是分钟来衡量。每个部署组的间隔时间也应该增加,以便考虑不同的时区和使用模式。 相关云服务和工具 CodeArts Deploy 父主题: OPS04 自动化构建和部署流程
对于数据控制者,数据主体撤销同意之后,产品必须禁止继续收集和处理其相应个人数据。 对于提供用户画像的系统应为用户提供退出用户画像分析的机制。 相关云服务和工具 数据安全中心DSC:用户可以通过DSC的预置脱敏规则,或自定义脱敏规则来对指定数据库表进行脱敏,DSC支持RDS,ECS自建数据库等云上
当应用程序已经准备就绪,用户可以将所有流量都将路由到绿环境中,当出现问题时,可以快速将流量重新路由回蓝环境,进行故障恢复。 相关云服务和工具 部署 CodeArts Deploy:提供可视化、自动化部署能力,提供丰富的部署步骤,有助于用户制定标准的部署流程,降低部署成本,提升发布效率。
一管理。基于统一管理日志,可支持统一存储、统一分析、统一建模、统一威胁分析、统一编排响应、统一态势报告和统一安全策略管理等。 相关云服务和工具 云日志服务 LTS:使用LTS记录日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 Web应用防火墙 WAF 安全云脑
此外也可以使用DevOps模式,由开发工程师直接运维系统,而保留一个小而精干的卓越运营使能团队,用于负责组织整体的卓越运营流程改进和相应的流程工具落地。 无论如何设立组织,应该确保具有一个整体的流程,在流程中的每个团队和成员都有自己明确的责任。 同时可以使用明确的方式(如收集运营/运
您是否已经建立持续改进的团队文化和标准化运维体系? 1. 建立持续学习和改进的文化 2. 规划标准化的运维组织 3. 规划标准化的运维流程与运维工具 OPS02 您是否通过CI/CD实现高效的频繁可逆的小规模变更? 1. 进行需求管理与迭代开发 2. 关联源代码版本和部署的应用版本,使用代码质量最佳实践
有资源都可以找到责任团队。企业根据组织结构合理规划IT治理架构后,可将成本分配到业务团队,让各业务团队为使用的云服务成本负责。 相关服务和工具 对于大型企业或集团公司,推荐优先使用企业组织+多账号的方式,通过账号隔离资源和成本,方便业务快速拓展。 中小型企业以及单账号客户,可以使
有企业项目的所有资源的访问权限授予统一资源管理组,则可以使用IAM项目进行授权,避免在各个企业项目中逐一授权,简化授权操作。 相关云服务和工具 统一身份认证服务 IAM 企业项目 EPS 云堡垒机CBH:使用CBH限制对运维账号的使用和访问。CBH可用于集中管控运维账号访问系统和
DoS防护等手段来实现。 可审计 系统或数据处理过程能够被有效地监视、记录和审计的能力。可审计性通常通过审计日志、审计跟踪、监控系统和审计工具等技术来实现,记录系统操作和事件,以便后续审计和监控。 不可抵赖性 在通信或交易过程中,一方无法否认已经发出的消息或行为,也无法否认接收到
故而,文化上,惩前毖后,应重在总结经验,明确改进责任主体组织,不责怪个人。 在总结经验上,应该将相关经验进行标准化的沉淀,即将经验总结成自动化工具,流程以及建立相应的组织体系,我们称之为标准化运维体系。非标是大规模运维的头号天敌,主要表现是运维无序,团队成员依靠自身技术各自为战,处于
故障恢复时长提升率:对应故障场景经过混沌工程演练,平均恢复速度提升的比率。 故障数量相比上年减少数量:本年度故障数量相比上年度减少多少。 相关云服务和工具 MAS 混沌工程 COC 故障演练 父主题: OPS03 完备的测试验证体系
要手工切换双联路,不仅避免业务受损,同时降低维护成本。具体的方案参见“通过企业路由器构建DC/VPN双联路主备混合云组网”。 相关云服务和工具 云专线 DC 虚拟专用网络 VPN 父主题: RES05 网络高可用
过程,建议在关键里程碑点进行审视或定期例行(如每半年一次)审视。 研发生产力提升 基于云的应用研发,技术、工具和工程实践都有很高的成熟度。业务上云后,基于云最佳实践升级工具链,改造研发流程,提升研发团队基于云的研发能力,引入先进的DevSecOps体系和确定性运维体系将大幅度提升
持续改进:定期检视和更新威胁模型,以反映新的威胁和安全风险,确保云上系统的安全性得到持续改进。 以下是OWASP总结的Web应用系统TOP10的威胁及处置措施: 相关云服务和工具 解决方案工作台 InnoStageWorkbench:使用解决方案工作台辅助进行云上架构图的可视化设计,基于架构图进行威胁分析。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
