检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SEC05-05 证书安全管理 证书的常见用途包括传输数据的加密和系统间的身份认证场景。集中管理每个证书的用途、有效期等信息,并及时对证书替换。 风险等级 中 关键策略 集中管理证书: 建立中心化的证书管理系统,用于存储、跟踪和管理所有证书。 确保每个证书都有清晰的标识,包括用途、所有者、有效期等信息。
或永久性凭证,以减少或消除因凭证意外泄露、共享或被盗而带来的风险。 风险等级 高 关键策略 长期凭证如用户的登录密码、永久AK/SK,短期凭证如临时AK/SK、通过委托获取的权限等。禁止将长期凭证硬编码到代码中,以免泄露。优先使用临时凭证调用华为云的SDK或API。 如果某些情况
DEW:提供密钥管理、凭据管理、密钥对管理、专属加密功能,安全可靠为用户解决数据安全、密钥安全、密钥管理复杂等问题。 云证书管理服务 CCM:为云上海量证书颁发和全生命周期管理的服务。目前它可以提供SSL证书管理和私有证书管理服务。 数据库安全服务 DBSS:基于机器学习机制和大数据分析技术,提供数据库审计,S
须使用HTTPS来加密客户端和服务器之间的通信。 数据完整性验证:使用哈希函数、数字签名、消息认证码(MAC)等方法来验证数据的完整性,以确保数据在传输过程中没有被篡改。 相关云服务和工具 虚拟专用网络 VPN 云专线 DC 云连接服务 CC 数据快递服务 DES 云证书管理 CCM
控制网络流量的访问 网络访问权限最小化 SEC05 如何进行运行环境的安全设计? 云服务安全配置 实施漏洞管理 减少资源的攻击面 密钥安全管理 证书安全管理 使用托管云服务 SEC06 如何进行应用程序安全设计? 安全合规使用开源软件 建立安全编码规范 实行代码白盒检视 应用安全配置 执行渗透测试
云服务资源种类数量较多,监控指标和运维日志不熟悉,运维难度大 等保合规要求日志长时间存储,运维部门较多,人员不足,自建ELK成本高 解决方案: 业务价值: 全量日志接入:汽车APP、软件开发、流量平台等170个业务系统接入云日志服务,全面覆盖业务、应用、中间件和基础设施。 分钟级问题定界:秒级日志查询和分钟级日志监控
分类 原则 原则说明 级别 备注 Key相关规范 使用统一的命名规范。 一般使用业务名(或数据库名)为前缀,用冒号分隔。Key的名称保证语义清晰。 建议 例如,业务名:子业务名:id 控制Key名称的长度。 在保证语义清晰的情况下,尽量减少Key的长度。有些常用单词可使用缩写,例
华为云以Serverless形态存在的产品,存储类的对象存储服务(Object Storage Service,OBS),应用类的云应用引擎(Cloud Application Engine, CAE),容器类的云容器实例(Cloud Container Instance,CCI)以及计算类的函数工作流(FunctionGraph)
致节点间的数据不均衡。 生产者发送消息时指定了分区,未指定的分区没有消息,会导致分区间的数据不均衡。 生产者发送消息时指定了消息Key,按照对应的Key发送消息至对应的分区,会导致分区间的数据不均衡。 系统重新实现了分区分配策略,但策略逻辑有问题,会导致分区间的数据不均衡。 Ka
华为云提供了一些内嵌流控保护的云服务,用户可直接配置使用: API网关 APIG:支持配置流控策略,用户可指定单位时间内的单个API、单个用户或单个APP的请求次数上限。 微服务引擎 CSE:支持限流,用户可指定一定时间内可接受的请求次数上限。 父主题: RES13 过载保护
例如: 实施标签工作量大:云上创建的资源不断增加,资源数量巨大,且每个资源需打多个标签 标签实施不一致:业务部门执行进展不一、添加的标签key&value错误、部分资源无人认领未打标签 环境和诉求变化:部门&应用调整、管理层&财务等利益相关人诉求变化 针对这些不利因素,需要引入运
账号的工作负载级的安全参考架构。 该架构主要的安全设计如下: 网络安全 防DDoS攻击使用AAD服务 Web类攻击采用WAF防护 采用SSL证书进行通信加密 互联网边界、VPC之间采用云防火墙 运行环境安全 企业主机安全服务保护主机安全和容器安全 VPC内访问控制使用网络ACL+安全组
d,并在提供灵活性的同时,弥补了Full-Mapping的不足。 Mapping代替:强制将特定key分配给特定Grid,方便测试、隔离。 进行Grid路由层设计。设计原则如下: 路由层是系统唯一的一个共享组件,因此需要尽可能的稳定,减少修改。 避免业务逻辑,保证尽可能的稳定,减少修改。
File, 配上合适的压缩算法, 主要可选的压缩算法为Zlib和Snappy。其中Zlib压缩比高,但压缩解压时间比Snappy长,消耗资源比如Snappy多。Snappy平衡了的压缩比和压缩解压的性能。推荐使用Snappy。 尽量使用Map Join减少Shuffle的次数,大幅提升性能
应用性能管理(APM) 华为云应用性能管理服务(Application Performance Management,简称APM)帮助运维人员快速发现应用的性能瓶颈,以及故障根源的快速定位,为用户体验保驾护航。 您无需修改代码,只需为应用安装一个APM Agent,就能够对该应用
安全管理团队 统一部署具备跨账号安全管控的服务,如安全云脑SecMaster、企业主机安全HSS、数据安全中心DSC、数据加密服务DEW、云证书服务CCM、漏洞管理服务CodeArts Inspector、配置审计Config等 云审计服务CTS 日志账号 集中存储和查看所有账号的
SEC05-01 云服务安全配置 SEC05-02 实施漏洞管理 SEC05-03 减少资源的攻击面 SEC05-04 密钥安全管理 SEC05-05 证书安全管理 SEC05-06 使用托管云服务 父主题: 基础设施安全
SEC01-03 梳理资产清单 梳理工作负载涉及的服务器、IP地址、域名、数据库、证书等全量云资源的资产清单,给资源打上标签,从而在出现安全事件时,能快速定位到有安全风险的资源。 风险等级 高 关键策略 设计态与运行态一致性:对照设计态的架构图、架构文档实施云服务资源。工作负载运行时的架构始终保持与设计态一致。
应用运维管理(AOM2.0) 应用运维管理(Application Operations Management,简称AOM)是云上应用的一站式立体化运维管理平台,融合云监控、云日志、应用性能、真实用户体验、后台链接数据等多维度可观测性数据源,提供应用资源统一管理、一站式可观测性分
量进行检查,阻止与已制定安全标准不相符的流量,以避免系统组件受到来自不可信网络的非授权访问。 使用应用负载均衡时,七层负载均衡更换为安全的证书。 启用VPC流量日志。VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
