检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WAF涵盖了五大支柱,如下图所示。 图1 华为云卓越架构技术框架(Well-Architected Framework) 韧性支柱 韧性支柱关注系统在面对故障、压力和变化时的持续可用性和可靠性。
要按照应用部署架构设计方案进行云上资源的开通和配置,云上资源开通主要有如下3种方式: 在云平台Console控制台手动创建云资源。 编写脚本或通过自动化平台对接,调用云平台的API接口,批量发放云资源,每个云服务都有对应的API接口,可以进行资源的生命周期管理。
精细化权限控制 在安全合规要求日趋严格的情况下,企业需要采用精细化权限控制手段授予用户足够履行其职责的最小权限。企业利用这些细粒度授权方法可以精确设置访问控制的5 个要素:Who、What、How、Where、When。Who 表示谁可以访问云资源,What 表示可以访问哪些云资源
成本控制 通过预算管理,跟踪未来资源用量和费用执行 云资源按需灵活扩展,云成本在用云过程中不再固定不变。为了避免意外账单,需要在用云过程中精细化控制,对风险事项建立监控预警机制和应对机制,一旦产生预警则及时应对,避免产生异常高成本。在发生异常时,分析根因也至关重要。如发现异常成本时
Web应用防火墙服务 Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击
推动云最佳实践: 负责推广云最佳实践,例如 云采用框架CAF和卓越架构技术框架WAF,帮助企业构建高效、可靠、安全的云基础设施和应用系统。 供应商管理:评估和管理云服务商,根据自身业务需求,选择最合适的云服务商及其优势服务,最大化地发挥云计算的价值。
客户可以基于华为云提供的云防火墙(Cloud Firewall,CFW)、VPC的安全组和ACL实施网络边界访问控制。CFW内置了网络入侵检测、入侵防御的功能。网络边界的策略应该严格按照白名单开通,应该禁止对外开放高危端口和协议。
图1 多账号的统一安全管理 网络安全防护相关的服务,如WAF、Anti-DDoS和网络防火墙等服务,按照就近部署原则集中部署在网络运营账号,以保护网络运营账号中的NAT网关和弹性公网IP等网络连接资源。
持续优化 运维治理阶段是一个持续改进的循环,您需要基于Well-Architected Framework(简称WAF)定期审查和评估云环境,根据业务需求和 WAF 的最佳实践进行调整和优化。您也需要持续学习和应用新的华为云服务和功能,不断提升云环境的成熟度。
配置完成后,前者的用户可以通过SSO(Single Sign-on)登录到华为云控制台,可以看到该用户有权限访问的账号清单,点击“访问控制台”即可登录到该账号内部访问其中的云资源。
WAF也是 Web Application Firewall(Web应用防火墙)的缩写,读者需要结合上下文判断WAF的具体意思。 IT基础设施 是指一个平台化的IT支撑环境,用于支撑组织内所有应用系统的安全稳定运行。
运维治理:将应用系统迁移或部署到云上之后就进入了运维治理阶段,在该阶段需要针对云基础设施、应用系统和大数据平台进行持续的精益化治理、确定性运维、持续安全运营和成本运营,并基于WAF框架进行持续优化。
运维治理阶段需要针对云上IT基础设施、应用系统和大数据平台进行精益化治理、确定性运维、全方位安全运营和精细化FinOps,并基于WAF框架进行持续优化。
云原生安全防护(Cloud Native Security) 云服务商提供了丰富的云原生安全服务(比如WAF、Anti-DDoS、云防火墙、秘钥管理等)。
在平台和架构方面,Well-Architected Framework(WAF)提供了一套最佳实践和架构设计原则,帮助企业在云上构建高安全、高可用、高性能且成本优化的云基础设施和应用系统。
Well-Architected Framework 卓越架构技术框架 WAF Web Application Firewall Web应用防火墙 父主题: 云采用框架简介
熟悉TOGAF和WAF等架构框架。 具备良好的沟通能力、团队合作精神和领导力。 企业架构师团队或者外聘 数据架构师 负责设计和管理企业在云上的数据架构,包括数据存储、数据处理、数据集成和数据治理。 选择合适的数据存储方案,例如关系型数据库、NoSQL数据库、数据仓库等。
在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、云防火墙CFW、WAF等安全资源并统一配置具体的安全防护策略。
收集三种关联关系(共享数据、共享服务器、应用间通信依赖),可以参考下表收集应用的详细部署架构: 表1 应用调研表 应用类型 接入层 应用层 中间件层 数据层 接入域名 备注 应用名称 NAT NGINX 主机数量 IP地址 Redis Kafka MQ MySQL Mongo 内部/外部域名 WAF
禁止公网访问华为云管理控制台,用户只能从内网访问控制台,确保敏感数据不经过互联网。 限制用户可以使用的Region,限制数据在不同Region间的转移,满足GDPR等合规要求。 父主题: Landing Zone参考架构
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
