检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
其它场景安全方案 如果出于成本考虑,云上SAP系统较为轻量,不准备采用VPN/专线方案,所有业务以及运维通道均通过公网接入,安全方案建议见图1 特殊场景安全方案。 图1 特殊场景安全方案 此方案主要区别为: 管理区合一,部署一台堡垒机,不再区分PRD与DEV。 各业务出口、运维通
100资产 * 1 安全体检服务 SAS-专业安全评估包(站点&主机) 否 必选,根据站点及核心主机数量,按需购买 数量:10 (网站/主机) * 1年 * N 网站监控 否 可选,根据站点数量,按需购买 数量:2 * 1年 * N 主机安全(HIDS/AV等) 瑞星企业终端安全管理系统软件
网络边界安全 业务边界 运维边界 与开发测试环境边界 父主题: 生产环境安全解决方案
多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。 华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。 安全策略 由于开发环境同时需要与企
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
由于企业内部使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。 华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。 安全策略 由于开发环境同时需要与企
与开发测试环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发
与生产环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试
华为技术支持通道安全方案 图1 华为技术支持通道安全方案 如涉及华为技术人员场景,需要单独部署华为技术人员专用堡垒机,保障运维通道安全,方案详见图1 华为技术支持通道安全方案。 该方案与企业内部堡垒机对比有如下几点区别: 华为专用堡垒机需配置双网卡,分别属于PRD管理区与DEV管理区。
g,按照网络规划中的要求,完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏,单击“访问控制 > 安全组”,并在右上角单击“创建安全组”,弹出“创建安全组”界面。 根据界面提示配置参数: 模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。
g,按照网络规划中的要求,完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏,单击“访问控制 > 安全组”,并在右上角单击“创建安全组”,弹出“创建安全组”界面。 根据界面提示配置参数: 模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。
生产环境安全解决方案 网络隔离与访问控制 网络边界安全 安全管理 主机安全
对于由管理区发起的出方向流量不做限制。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 安全组策略请见2.1节中相关内容。 安全服务 参考企业安全实践,通过堡垒机实现运维/运营人员不接触系统账户密码(各系统部件账号托管在堡垒机系统),对运维人员通过堡垒机进行
开发测试环境安全解决方案 网络隔离与访问控制 网络边界安全 安全管理 主机安全
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 开发测试环境安全解决方案全景图 根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。 但是,测试环境仍属于安全级别较
网络隔离与访问控制 SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 生产环境安全解决方案全景图 根据业务特点,参考企业安全实践,建议将云上系统(生产环境、开发测试环境)划分为不同安全级别的多个子区域(以子网为粒度进行隔离),包括管理区、应用区、SAP DB区、DMZ区。
将SAP系统部署在华为云上是否安全? 华为是首批通过工信部所有安全认证的企业之一,所有的数据中心都是国内Tier3+级别。在华为云上部署SAP,从边界安全防护、全面主机/应用安全防护、全方位网络隔离与访问控制、专业数据库安全等全方位保障SAP安全。 详情请参见《SAP安全白皮书》。 父主题:
CSBS备份 特性定义 服务器备份提供对云服务器的备份保护服务,支持基于多云硬盘一致性快照技术的备份服务,并支持利用备份数据恢复服务器数据,最大限度保障用户数据的安全性和正确性,确保业务安全。 客户价值 为云服务器下所有云硬盘创建一致性在线备份,无需关机。针对病毒入侵、人为误删除
修订记录 修订记录 发布日期 第一次正式发布。 2018-03-12
Host:10.0.0.202 安全组规则 以下安全组规则仅是推荐的最佳实践,用户根据自己的特殊要求,可设置自己的安全组规则。 SAP HANA安全组规则请参见《SAP HANA用户指南(裸金属服务器单节点)》的“网络信息规划”章节。 SAP NetWeaver安全组规则请参见《SAP N
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
