检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控安全风险 云监控服务为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 APIG提供基于云监控服务CES的资源和操作监控能力,帮助用户日常监控API网关的运行状态,可以通过控制台直观的查看API网关各项监控指标。
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 监控安全风险 认证证书
怎样保证API网关调用后端服务器的安全? 通过以下方法确保API网关调用后端服务器的安全: 为API绑定签名密钥。 在绑定签名密钥后,API网关到后端服务的请求增加签名信息,后端服务收到请求后计算签名信息,验证计算后的签名信息与API网关的签名信息是否一致。 使用HTTPS对请求进行加密。
API安全 使用WAF对APIG进行安全防护 使用DDoS防护服务为APIG抵御DDoS攻击
怎样保护API的调用安全? 使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。
编辑健康检查配置 操作场景 VPC通道创建完成后,可通过编辑健康检查配置修改健康检查项。 前提条件 已创建VPC通道。 操作步骤 进入共享版控制台。 单击“开放API > VPC通道”,进入到VPC通道列表页面。 单击“VPC通道名称”,进入VPC通道详情页面。 单击“健康检查”,进入“健康检查”页签。
数据保护技术 安全通道:APIG支持HTTPs协议,保证网络传输安全,同时支持创建安全通道访问后端服务。 防重放、防篡改:APIG通过内部算法,从数据入口屏蔽恶意调用。 父主题: 安全
使用WAF对APIG进行安全防护 应用场景 企业为了保护APIG及后端服务器免受恶意攻击,可在APIG和外部网络之间部署WAF。 方案架构 图1 后端服务器访问原理 方案优势 方案一:API分组通过域名方式对外提供服务,具备更强的可扩展性。 方案一(推荐):WAF侧注册对外访问域
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
限制不生效,检查API是否绑定流控策略。 如果流控策略的用户流量限制不生效,检查API的安全认证方式是否为APP认证或IAM认证。 如果流控策略的应用(凭据)流量限制不生效,检查API的安全认证方式是否为APP认证。 父主题: API策略
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录APIG
资源规划 使用DDoS防护服务为APIG抵御DDoS攻击操作流程 使用DDoS防护服务为APIG抵御DDoS攻击实施步骤 父主题: API安全
使用DDoS防护服务为APIG抵御DDoS攻击资源规划 表1 资源规划 资源 数量(个) DDoS高防实例 1 已备案域名 1 API分组 1 API 1 父主题: 使用DDoS防护服务为APIG抵御DDoS攻击
在“API列表”页签中新建API。详情请参考《用户指南》。 如果源站已配置防火墙或安装安全软件,为了防止高防回源IP被源站拦截或限速,需要将高防回源IP段添加到源站的防火墙或其它防护软件的白名单中,即放行高防回源IP段,以确保高防的回源IP不受源站安全策略影响。 调用API。调用成功表示对接DDoS成功。 父主题:
使用DDoS防护服务为APIG抵御DDoS攻击操作流程 购买DDoS高防 购买DDoS高防实例,为对接做准备。 接入域名 添加域名和证书。 注册公网域名 将防护域名注册到DNS服务上。 绑定防护域名 将防护域名绑定到API分组上。 创建API 在绑定域名的分组上创建一个API。 验证
使用DDoS防护服务为APIG抵御DDoS攻击方案概述 应用场景 当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。下文讲述如何对接DDoS高防服务来进行抵御DDoS攻击。DDoS攻击详情请参见常见DDoS攻击类型。
应用场景 API网关支持http重定向到https功能。当用户的API采用http协议访问时,由于http没有传输安全与认证安全保障,可以使用API网关的重定向功能将API升级为安全的https协议访问,同时兼容已有的http协议。(2022年11月30日之后创建的实例支持http重定向到https)
在创建APIG实例前,确保已存在可用的安全组。 APIG实例可以使用当前账号下已创建的安全组,也可以使用新创建的安全组,请根据实际需要进行配置。创建安全组的操作步骤,请参考创建安全组。 请添加表1所示安全组规则,其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明
黑白名单:APIG支持系统级和API级别的IP黑白名单,拒绝恶意访问。 后端流量控制:APIG提供后端负载均衡、自动熔断等能力保护后端业务。 父主题: 安全
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
