检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
双DC专线冗余:用户数据中心与华为云VPC之间采用两条DC专线互通;其中两条物理专线接入同区域的两个华为云专线接入点,并通过BGP路由协议接入同一个VPC,用户可设置虚拟接口的优先级以决定业务的主备链路。具体的方案参见“用户通过双专线双接入点BGP协议访问VPC”。 双VPN冗余:用户数据
最重要的边界是公共网络(互联网)与应用程序之间的边界,这个边界是您的工作负载的第一道防线。华为云的VPC和子网都可以作为每个网络分区的边界。 VPC划分:为VPC指定合适的CIDR范围,以确定VPC的IP地址空间。 子网划分:在VPC中,创建多个子网,并将不同的资源部署在不同的子网中。
使用应用负载均衡时,七层负载均衡更换为安全的证书。 启用VPC流量日志。VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。关于安全日志更多见:SEC09-01 实施标准化管理日志 相关云服务和工具 VPC、VPCEP 企业路由器 ER 云连接
访问用户本地数据中心或其他VPC,并支持云主机面向私网提供服务。 应用组网 (用户<->云) ELB 针对HTTP/HTTPS的流量做负载分发,扩展应用系统对外的服务能力,提高应用程序的容错能力。 VPC Endpoint 在 VPC 与华为云服务之间建立连接,而无需将数据暴露于
针对每个Region,根据业务需要规划不同的VPC,每个VPC使用独立的地址空间;并需要预留IP地址空间用于新建VPC。 针对每个VPC中,需要根据业务需要规划子网和IP地址空间;并需要预留IP地址空间用于新建子网。 针对每个子网,需要预留IP地址空间用于网络扩容。 当涉及与其他网络(如VPC、IDC或其他云)互连时,需要确保IP地址空间不重叠。
可用的混合云网络连接,以减少由于网络连接中断而导致的业务中断。 云上网络之间访问:当业务系统涉及到多个部门或业务团队时,一般会使用多个VPC进行业务隔离,不同团队和部门之间需要相互访问,将会涉及不同VPC之间的网络连接。 RES05-01 网络连接高可用 RES05-02 避免暴露不必要的网络地址
网关、Web云防火墙等作为公网访问入口。 对外的IP地址需要通过安全组、NAT等限制网络端口访问,减少安全风险。 相关云服务和工具 虚拟私有云VPC:安全组 弹性负载均衡器 ELB NAT网关 NAT Web云防火墙 WAF 父主题: RES05 网络高可用
开发者测试虽然成本低,但是缺乏对生产环境配置以及不同服务和应用之间实际交互的验证。为此,您的组织可以在云上提供多个环境,典型的环境包含测试环境,预生产环境和生产环境。在生产环境部署之前,可以通过测试环境进行联调测试,验证不同团队代码之间的业务交互流程是否正确。但是测试环境和生产环境的配置不尽相同。
关键策略 客户端进行重试处理时,建议: 增加指数回退和抖动方法,以避免对服务端造成流量压力;采用指数回退重试时,每次重试之间的间隔会逐渐延长,并在两次重试之间引入抖动,以随机调整重试间隔,避免同时出现造成重试峰值。 限制最大重试次数或用时,避免由于消息积压而导致流量过载。 父主题:
危端口、远程管理端口。 安全组仅开放业务所需的网段及端口,禁止设置成对所有IP(0.0.0.0/0)都可访问。 相关云服务和工具 虚拟私有云 VPC NAT网关 NAT 安全云脑 SecMaster:云服务基线核查 父主题: SEC04 网络安全
防DDoS攻击使用AAD服务 Web类攻击采用WAF防护 采用SSL证书进行通信加密 互联网边界、VPC之间采用云防火墙 运行环境安全 企业主机安全服务保护主机安全和容器安全 VPC内访问控制使用网络ACL+安全组 使用漏洞扫描服务定时扫描云上各资源漏洞 数据安全 数据安全中心实现数据全生命周期安全
集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPC网络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口 网络管理团队 ER、DNS、NATG、EIP、VPC、DC、CC、VPN、CFW、WAF、AAD等 安全云脑SecMaste
RES08-02 依赖松耦合 系统内组件之间直接访问时,会产生紧耦合关系一个组件的状态变化会对其他组件产生直接影响,从而会导致所有组件的可用性均下降。而采用松耦合架构时,各个组件之间的依赖关系非常弱,它们可以独立地进行修改和扩展,而不影响其他组件;系统更加灵活,易于维护和升级,并且稳定性和可靠性也更强。
据需要调整和扩展不同工作负载的资源,而不会影响其他部分。 华为云提供了以下几种工作负载的分隔机制: 通过多VPC分隔工作负载:将不同的工作负载部署在不同的VPC中,每个VPC具有独立的网络空间,实现网络隔离。 通过企业项目分隔工作负载:企业项目是云服务资源的逻辑集合,将工作负载部
SEC03-04 安全共享资源 大企业的不同组织、部门、团队之间需要安全共享资源。 风险等级 中 关键策略 大企业往往涉及多个组织单元、多个账号,需要对多账号之间进行共享资源。安全共享资源需遵循以下实践: 使用资源标签。通过标签对资源进行分类和标记,以便于管理和应用策略。 仅与可
测试业务使用。 VPC访问:函数提供了指定VPC访问的能力,但在冷启动时会初始化到该VPC网络的网络链路造成额外的冷启动时延。 如果需要访问公网,且对带宽有要求的生产业务可以通过配置绑定了NAT网关的VPC来访问公网;如果函数没有网络访问场景的,不建议配置VPC。 参考配置网络。
OPS01-02 规划标准化的运维组织 风险等级 高 关键策略 承载卓越运营,应该建立适应您实际的运维组织。运维组织的团队之间具有明确的流程,规定了团队之间的协作方式,例如规定不同团队的响应时间、服务级别目标(SLO) 或服务等级协议(SLA),同时应该记录团队间沟通信息,确保有足够的数据用于后续的改进。
配置IAM的登录验证策略,如会话超时策略、账号锁定策略、账号停用策略、最近登录提示等。 配置IAM的网络访问控制策略。限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云。 多个账号或多个IAM用户间使用不同的密码。 禁止将用户的密码共享给其他人,而是为每个管理或使用华为云资源的人创建一个单独的用户。
在公司范围内构建统一的身份管理系统,统一管理私有云和公有云、公有云上多个账号的用户身份。 风险等级 中 关键策略 在公司范围内构建统一身份管理系统,集中存储用户身份信息。 统一身份管理系统与私有云、公有云平台的IAM系统进行身份联邦,统一身份管理系统中的用户身份可以同时访问私有云和公有云平台。 统一身
能可有效降低恶意活动对于数据的威胁程度。常见的安全日志如主机安全日志、操作系统日志、堡垒机日志、IAM日志、WAF攻击日志、CFW日志、VPC流日志、DNS日志等。当系统出现错误或安全事件时,通过执行彻底地跟踪、告警和分析,可以较快地确定导致威胁的原因。 确保日志存储时长满足需求
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
