检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SEC09-02 安全事件记录及分析 在发生安全事件之前,可以考虑构建取证能力来支持安全事件调查工作。记录攻击和异常行为并对其分析:应在关键网络节点处(例如内外网的交界处、ELB流量转发处等)检测、防止或限制网络攻击行为;应采取技术措施对采集的安全日志进行持续监控和分析,实现对网
优化。 FinOps框架提出三阶段(可视、优化、持续运营)实践模型,指导企业持续优化。在优化时,FinOps指导企业找到成本、质量与效率的平衡,避免企业为了极低成本导致业务效率和稳定性受影响。在一个公司内部业务团队众多,各团队实践FinOps进展不一,不同团队可能处于不同的阶段。
之间要进行隔离。 分隔工作负载在云环境中是非常重要的。从安全治理角度,主要基于以下几个理由: 安全性:分隔工作负载可以降低潜在的安全风险。通过将不同的工作负载隔离在独立的环境中,可以减少一种工作负载受到攻击或故障时对其他工作负载的影响。 合规性:在一些行业和法规中,对数据隔离和访
6等高危端口 禁止将重要业务数据所在的OBS桶设置为公开桶或者配置为公共可读。 定期执行云服务安全配置的基线检查。 全面性检查:确保基线检查覆盖所有关键的云服务配置项,包括身份认证、访问控制、网络安全等关键配置。 定期与实时检查:设置定期自动检查计划,并提供实时检查功能,以便在需要时立即评估云服务的安全状态。
使用第三方工具进行安全性分析:使用第三方静态代码分析工具和依赖关系检查工具来识别常见的安全问题和漏洞,确保代码的安全性和合规性。 应用其他测试方法:除了工具的使用,还需要在应用程序级别进行测试,如使用模糊测试来查找和修复潜在的漏洞和错误。 相关云服务和工具 企业主机安全 HSS 父主题:
必须提供机制告知数据主体,并获得其同意。 若需要将个人数据用于营销、用户画像、市场调查,数据控制者和设备供应者必须提供机制单独获取数据主体明示同意,并提供随时撤销同意的机制。 设置或读取在数据主体系统上的Cookie前(如用于营销或广告),应提供获取数据主体同意及撤销的机制。 修
式。理 企业项目管理 EPS为客户提供单账号下的人财物权管理,用户可以根据组织架构规划企业项目,将企业分布在不同区域的资源按照企业项目进行统一管理,同时可以为每个企业项目设置拥有不同权限的用户组和用户。 标签管理TMS是一种快速便捷将标签集中管理的可视化服务,提供跨区域、跨服务的集中标签管理和资源分类功能。
PERF05-03 WEB场景资源优化 风险等级 中 关键策略 对于已经配置好的资源,可以通过优化来提高性能。例如,优化操作系统的设置、调整网络带宽、优化数据库查询等。 云服务资源性能优化步骤包括: 识别性能瓶颈: 通过监控和分析云服务资源使用情况,找出性能瓶颈。 优化资源配置:
Endpoint 在 VPC 与华为云服务之间建立连接,而无需将数据暴露于互联网;提供性能更加强大、更加灵活的网络。 接入网络 (用户<->PoP) DNS 提供高可用,高扩展的权威DNS服务和DNS管理服务,将最终用户路由到互联网应用程序的可靠且经济高效的方法。 EIP 提供独
定期获取影响成本高的异常记录提醒,进而快速做出反应,维持预期的成本支出。 在费用中心设置可用额度监控,在可用额度余额低于阈值时预警,避免客户额度耗尽,业务中断。 使用资源包监控,在资源包剩余不足预警,避免资源包用尽自动转为按需计费。 使用成本分析预置报告或创建常用的成本分析报告,定期快速了解成本分布和趋势。
OPS08-01 使用度量指标衡量运营目标 风险等级 高 关键策略 定义清晰的运营成功的目标和 KPI,设置基线作为参考点并定期重新评估。与业务领导者和利益相关者确定服务的总体目标。确定各个运营团队的任务以及可能面临的挑战。并明确运营目标的关键绩效指标 (KPI),可能是客户满意度、TTM、平均问题解决时间等等。根据
日志统计监控 监控到异常后发送消息通知 监控数据存储和分析 端到端跟踪请求消息 RES08 您如何减少依赖影响? 减少强依赖项 依赖采用松耦合 减少被依赖项故障的影响 RES09 您如何进行重试? API以及命令调用需要设计为可重试 客户端需要根据综合评估是否需要重试 重试需要避免造成流量压力
基于业务的部署架构,一般可以从最底层的硬件基础设施到最上层的应用分成5层资源,云上服务可以只需要关注虚拟网络、实例、应用三层。结合每一层资源的特征指标进行分层建模,分别设置不同梯度的性能看护指标。通常按照指标劣化程度可以设计成一般、紧急、重要三个梯度,对应每个梯度的指标配套对应的处理措施。对于敏感度或业务重要
项目进行授权,避免在各个企业项目中逐一授权,简化授权操作。 相关云服务和工具 统一身份认证服务 IAM 企业项目 EPS 云堡垒机CBH:使用CBH限制对运维账号的使用和访问。CBH可用于集中管控运维账号访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置。 组织 Orga
接的高可用,避免单个网络连接中断而导致业务不可用。 风险等级 高 关键策略 网络链路冗余:网络连接需要支持多路径,以实现高可用能力,以避免在一条网络路径中断的情况下,业务能切换到其他路径继续通信。 网络链路快速倒换:需要定期检查网络链路的连通性,但检测到失败时需要尽快切换到正常路径。
织可以在云上提供多个环境,典型的环境包含测试环境,预生产环境和生产环境。在生产环境部署之前,可以通过测试环境进行联调测试,验证不同团队代码之间的业务交互流程是否正确。但是测试环境和生产环境的配置不尽相同。 而预生产环境使用与生产环境相同的部署配置、安全控制、步骤和程序,在预生产环
ll-Architected架构的最佳实践会组合使用到这些云服务。我们的解决方案架构师在与客户进行沟通时,客户通常会提出以下疑问: 是否有一个全局性的视图可以表达构建安全工作负载的整体情况? 在多账号环境以及单账号环境中应该使用哪些云服务? 如何从全局到局部、自顶向下及从不同视角考虑工作负载的安全?
使用安全的方式进行密钥轮换,确保服务的连续性。 备份与恢复: 定期备份密钥,并将备份存储在安全的地方。 确保有可靠的恢复机制,以防止密钥丢失或损坏。 销毁密钥: 在密钥不再需要时及时销毁密钥。 使用安全的密钥销毁方法,如加密删除或者物理销毁。 相关云服务和工具 数据加密服务 DEW 父主题:
基础架构即代码 (IaC) 方法,可以使用相同的自动化平台部署并优化基础架构。 测试:许多工具可用于自动化测试过程。这些工具可以减轻质量保证团队的重大负担,并确保测试标准化且可靠。 扩展:使用平台提供的功能和其他工具(例如: 资源编排服务 RFS),在负载增加或减少时自动扩展基础架构。
资产安全。 启用数据库安全审计告警。通过设置告警通知,当数据库发生设置的告警事件时,用户可以收到 DBSS 发送的告警通知,及时了解数据库的安全风险。 使用云堡垒机服务CBH识别并拦截数据库高危命令。CBH提供数据库控制策略功能,用户可设置预置命令执行策略,动态识别并拦截高危命令
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
