检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了减少由硬件故障、自然灾害或其他灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。 FunctionGraph的资源在多个分区部署,具有更高的可用性、容错性和可扩展性。 父主题: 安全
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书 代码签名
监控安全风险 FunctionGraph提供基于云监控服务CES的资源和操作监控能力,帮助用户监控账号下的函数,执行自动实时监控、告警和通知操作。用户可以掌握函数中的调用次数、错误次数、运行时间(包括最大运行时间、最小运行时间、平均运行时间)、被拒绝次数、资源统计等信息。
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。
函数+CTS:登录/登出安全分析实战 案例概述 准备 构建程序 添加事件源 处理结果
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。
在使用触发器、配置VPC访问、使用自定义镜像、挂载SFS等场景下,FunctionGraph需要与其他云服务协同工作,需要由您通过创建云服务委托,让FunctionGraph有权限代替您进行一些资源运维工作。具体请参见委托配置。 父主题: 安全
父主题: 安全
父主题: 函数+CTS:登录/登出安全分析实战
数据保护技术 为了确保用户的数据(例如函数元数据等)不被未经过认证、授权的实体或者个人获取,FunctionGraph对数据的传输进行全程加密保护,以防止数据泄露,保证您的数据安全。所有的API请求调用和内部通信均通过TLS 1.2及以上协议进行传输中加密 父主题: 安全
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作动作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。
访问控制 FunctionGraph服务支持通过IAM进行访问控制和权限管理。可以进行精细的权限管理。可以帮助用户安全的控制公有云资源的访问。具体请参见权限管理。 父主题: 安全
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 函数+CTS:登录/登出安全分析实战
服务 service就像一个项目,您可以在服务中定义华为云函数工作流的函数和触发它们的events,所有这些都在一个名为serverless.yml的文件中。 若您要构建第一个Serverless Framework项目,请先创建一个service。
形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。 表1 环境变量说明表 环境变量 说明 SMN_Topic SMN主题名称。 RegionName Region域 IP 白名单 环境变量的设置过程请参考使用环境变量。
图2 函数指标 父主题: 函数+CTS:登录/登出安全分析实战
注意:因为CodeArts配置该服务器为部署主机是通过SSH协议22端口,如果您对安全有较高的要求,至少需要将以下IP地址加入安全组并放开限制,否则将无法进行授信。
图解函数工作流服务
开启函数流VPC访问后,需要在RabbitMQ服务安全组配置对应子网的权限。如何开启VPC访问请参见配置网络。 配置RabbitMQ事件触发函数 返回函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 选择待配置的函数,单击进入函数详情页。