如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
SEC05-05 证书安全管理 证书的常见用途包括传输数据的加密和系统间的身份认证场景。集中管理每个证书的用途、有效期等信息,并及时对证书替换。 风险等级 中 关键策略 集中管理证书: 建立中心化的证书管理系统,用于存储、跟踪和管理所有证书。 确保每个证书都有清晰的标识,包括用途、所有者、有效期等信息。
DEW:提供密钥管理、凭据管理、密钥对管理、专属加密功能,安全可靠为用户解决数据安全、密钥安全、密钥管理复杂等问题。 云证书管理服务 CCM:为云上海量证书颁发和全生命周期管理的服务。目前它可以提供SSL证书管理和私有证书管理服务。 数据库安全服务 DBSS:基于机器学习机制和大数据分析技术,提供数据库审计,S
控制网络流量的访问 网络访问权限最小化 SEC05 如何进行运行环境的安全设计? 云服务安全配置 实施漏洞管理 减少资源的攻击面 密钥安全管理 证书安全管理 使用托管云服务 SEC06 如何进行应用程序安全设计? 安全合规使用开源软件 建立安全编码规范 实行代码白盒检视 应用安全配置 执行渗透测试
须使用HTTPS来加密客户端和服务器之间的通信。 数据完整性验证:使用哈希函数、数字签名、消息认证码(MAC)等方法来验证数据的完整性,以确保数据在传输过程中没有被篡改。 相关云服务和工具 虚拟专用网络 VPN 云专线 DC 云连接服务 CC 数据快递服务 DES 云证书管理 CCM
账号的工作负载级的安全参考架构。 该架构主要的安全设计如下: 网络安全 防DDoS攻击使用AAD服务 Web类攻击采用WAF防护 采用SSL证书进行通信加密 互联网边界、VPC之间采用云防火墙 运行环境安全 企业主机安全服务保护主机安全和容器安全 VPC内访问控制使用网络ACL+安全组
到每个用户。对审计日志进行保护并定期备份,避免受到未预期的删除、修改或覆盖。 风险等级 高 关键策略 云服务的关键操作包含高危操作(如创建IAM用户、删除IAM用户、重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)。 启用关键操作
载均衡器停止向该实例发送业务请求。 BMS实例或挂载的磁盘或数据被意外删除 检测:NA 恢复:对于无状态业务,使用模板快速发放新实例;对于有状态业务,使用CBR云备份服务对BMS云硬盘进行定期备份,在数据被删除时使用备份数据快速恢复。 BMS实例物理服务器或本地盘故障 检测:应用层检测物理服务器和本地盘运行状态
负载均衡器停止向该实例发送业务请求。 ECS实例或挂载的磁盘或数据被意外删除 检测:NA 恢复:对于无状态业务,使用模板快速发放新实例;对于有状态业务,使用CBR云备份服务对ECS进行定期备份,在数据被删除时使用备份数据快速恢复。 ECS实例使用本地盘时本地盘故障 检测:应用层检测本地盘运行状态。
当OBS桶由于过载导致网络限制时,可参考“OBS桶流量过载”的处理。 OBS桶内数据被误删 检测:NA 恢复:针对OBS桶启用多版本控制,在数据被删除时使用历史版本快速恢复。 父主题: OBS对象存储服务
RES02 备份 对于应用系统中的重要数据,需要提供备份功能,以便在病毒入侵、人为误删除、软硬件故障等场景,能够快速将数据恢复到备份点。 由于容灾通常对数据采用实时复制且没有多备份点,在主数据被误删或误改的情况下,错误数据会同步到备端,从而无法达到数据备份的效果,因此通常不能使用容灾来代替备份。
缩组的期望实例数和当前实例数保持一致,伸缩组的健康检查方式主要包括以下两种。 云服务器健康检查:是指对云服务器的运行状态进行检查,如关机、删除都是云服务器异常状态。伸缩组的健康检查方式默认是“云服务器健康检查”方式,指伸缩组会定期使用云服务器健康检查结果来确定每个云服务器的运行状
SEC05-01 云服务安全配置 SEC05-02 实施漏洞管理 SEC05-03 减少资源的攻击面 SEC05-04 密钥安全管理 SEC05-05 证书安全管理 SEC05-06 使用托管云服务 父主题: 基础设施安全
弹性文件服务 对象存储服务 云硬盘 概念 提供按需扩展的高性能文件存储,可为云上多个云服务器提供共享访问。弹性文件服务就类似Windows或Linux中的远程目录。 提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。 可以为云服务器提供高可靠、高性能、规格
数据完整性保护。通过定期备份和版本控制来保护您的数据,防止数据被篡改或删除。将关键数据与其他数据隔离,以保护其机密性和数据完整性。 确保存储了重要业务数据、敏感数据的OBS桶,配置为非公开可读,防止数据被非法访问。 制定风险管理计划:了解数据被意外披露、更改或删除可能会带来的业务影响,有助于制定相应的风险管理计划。
SEC01-03 梳理资产清单 梳理工作负载涉及的服务器、IP地址、域名、数据库、证书等全量云资源的资产清单,给资源打上标签,从而在出现安全事件时,能快速定位到有安全风险的资源。 风险等级 高 关键策略 设计态与运行态一致性:对照设计态的架构图、架构文档实施云服务资源。工作负载运行时的架构始终保持与设计态一致。
必要的检查,避免错误配置生效。通过使用自动化方式进行配置变更处理,可减少人因输入错误的可能。 删除保护:在删除资源时增加保护机制,防止误删,如:删除前运行状态检查保护,资源锁定防止误删除,回收站机制等。 父主题: 韧性支柱
回收闲置资源:由于配置管理工具及其限制等原因,有时 IaC 工具无法自动删除资源。例如,假设需要从虚拟机迁移到 PaaS 服务,而 IaC 工具没有删除闲置资源的逻辑。如果忘记手动删除这些资源,这些资源可能会成为孤立资源。为了处理这些场景,需要标准化扫描闲置资源并明确删除策略。 相关云服务和工具 资源编排服务 RFS
失误风险。 配置校验:通过配置生效机制设计确保在配置生效前进行必要的校验,避免错误配置生效。 删除保护:在删除资源时增加保护机制,防止误删,如:删除前运行状态检查保护,资源锁定防止误删除,回收站机制等。 父主题: RES14 配置防差错
容器可以通过隔离、资源效率、快速启动时间和可移植性来提高计算性能。 使用容器时,请考虑设计因素,例如将所有应用程序组件容器化。将基于Linux的容器运行时用于轻型映像。为容器提供较短的生命周期,使其不可变且可替换。从容器、容器主机和基础群集收集相关日志和指标。使用此数据监视和分
支持横向扩展,避免路由层成为性能瓶颈。 提供Grid迁移功能,以便在增加/删除Grid业务单元时,可以快速调整分区键对应的Grid业务单元。典型处理过程如下: 从分区键对应的旧位置拷贝数据到新位置。 更新Grid路由层路由,使分区键重定向到新位置。 从分区键旧位置删除数据。 Grid代码部署与更新: Grid代
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
