检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
要求。 AAD:华为云DDoS防护提供全球化服务,以应对DDoS攻击挑战,可提供毫秒级攻击响应、多维度行为分析及机器学习、防御策略自动调优,精确识别各种复杂DDoS攻击,以保护您的业务连续性。用Anti-DDoS流量清洗服务提升带宽利用率。Anti-DDoS为弹性公网IP提供四到
管理的诉求。客户会把所有工作负载部署在一个账号内。以下是一个单账号的工作负载级的安全参考架构。 该架构主要的安全设计如下: 网络安全 防DDoS攻击使用AAD服务 Web类攻击采用WAF防护 采用SSL证书进行通信加密 互联网边界、VPC之间采用云防火墙 运行环境安全 企业主机安全服务保护主机安全和容器安全
什么是应用韧性 应用韧性是应用系统在运行过程中面对各种异常场景,如基础设施故障(如数据库异常)、外部攻击(如网络DDoS攻击超出预定限额流量)、外部依赖故障(如依赖系统访问超时或不可用)、地域灾难(如大面积停电、洪水)等,仍能提供和维持可接受的服务水平的能力,对系统至关重要。 系统韧性设计主要涉及以下两个方面:
CFW:新一代的云原生防火墙服务,弹性灵活降低部署成本,智能极简助力高效运维。 DDoS防护 AAD:华为云DDoS防护提供全球化服务,以应对DDoS攻击挑战,可提供毫秒级攻击响应、多维度行为分析及机器学习、防御策略自动调优,精确识别各种复杂DDoS攻击,以保护您的业务连续性。 威胁检测 Web应用防火墙
可靠性功能 数据持久性 OBS通过存储介质的慢盘/坏道检测、AZ内设备和数据冗余、AZ之间数据容灾、跨区域复制等技术方案,提供针对介质、服务器、机柜、数据中心和区域的多级可靠性保障。其数据持久性高达99.9999999999%(12个9),可用性高达99.995%,远高于传统架构。详见“OBS的持久性和可用性如何
指标,通过收集和分析性能数据,可以识别系统瓶颈、优化资源分配等,找到性能优化方向。 性能监控对象:服务器、操作系统、数据库、应用程序、网络设备、云服务。 常见性能指标:包括资源CPU、内存,硬盘等,及程序的响应时间、吞吐量、并发数等。 父主题: 建立性能可观测性体系
24小时以上 1天至7天 3 电子传输和设备支持:关键数据定时传送,备用网络部分就绪 12小时以上 数小时至1天 4 电子传输及完整设备支持:少量数据丢失,备用数据系统就绪,数据定时传送,备用网络就绪 数小时至2天 数小时至1天 5 实时数据传输及完整设备支持:数据丢失趋于0,备用数据系统就绪,远程数据复制,备用网络就绪
不同用户数下系统响应时间及硬件设备或云服务的资源利用率,负载测试强调的是在一定的环境下系统能够达到的峰值指标。 压力测试:指在一定的软件、硬件及网络环境下,模拟大量的虚拟用户向测试环境产生负载,使测试环境处于极限状态下并长时间连续运行,以测试硬件设备或云服务在高负载情况下是否能够
确保系统和数据在需要时可用,防止因攻击、故障或其他原因导致系统不可用。从安全的角度,可用性可通过负载均衡、弹性计算、事件监控和告警、防暴力攻击如DDoS防护等手段来实现。 可审计 系统或数据处理过程能够被有效地监视、记录和审计的能力。可审计性通常通过审计日志、审计跟踪、监控系统和审计工具
零信任原则(Zero Trust) 零信任遵循“永不信任,始终验证”的安全理念,假设任何人或程序都不可信,无论是内部用户、外部用户还是网络设备。系统内的组件进行任何通信之前都将通过显式的验证,减少系统信任带来的攻击面。零信任把现有的基于实体鉴别和默认授权的静态信任模型(非黑即白)
RES09-03 重试需要避免造成流量压力 对于链路闪断等原因导致的临时性故障,客户端进行一定的重试,可取得较好的效果;对于流量过载等原因导致的故障,重试可能会导致情况进一步恶化,因此需要避免这种影响。 风险等级 高 关键策略 客户端进行重试处理时,建议: 增加指数回退和抖动方法
RES13-03 过载检测与流量控制 当应用系统发生过载时,可能会导致系统疲于处理请求而无法有效提供服务,因此需要进行过载检测并进行流量控制。 风险等级 高 关键策略 过载控制(也称流控)指系统处于过载时,通过限流、降级、熔断、弹性伸缩等手段,使系统保证部分或者全部额定容量业务成
RES13-02 应用系统负载均衡,避免流量不均匀 针对无状态集群业务,通过负载均衡来保证业务均匀分发,可避免部分组件空闲,而部分组件过载而影响业务;同时还可以充分利用系统资源,提高系统性能,改善系统可靠性。 风险等级 高 关键策略 负载均衡分发业务粒度需避免过大,而导致部分组件过载。
从数据主体系统中传出包含个人数据的错误报告之前,必须提供机制告知数据主体,并获得其同意。 若需要将个人数据用于营销、用户画像、市场调查,数据控制者和设备供应者必须提供机制单独获取数据主体明示同意,并提供随时撤销同意的机制。 设置或读取在数据主体系统上的Cookie前(如用于营销或广告),应提供获取数据主体同意及撤销的机制。
RES05-03 不同流量模型业务的网络共享带宽隔离 不同流量模型业务共享网络带宽享时,可能会导致流量抢占,相互影响,一个业务流量突然可能会导致其他业务不可用。 风险等级 高 关键策略 相同流量模型的业务,可共享网络带宽,带宽需要满足所有共享业务的需求 不同流量模型的业务,为了避
常的管理操作。账号应仅用于关键操作,如创建新的IAM用户或修改权限。 优先使用临时凭证并定期轮换凭证:定期更改账号的密码,并定期更新MFA设备。这有助于减少被猜测或盗用的风险。 启用审计日志:启用审计日志功能,以监控账号的活动。审计日志可以帮助检测异常行为并及时采取措施。 多账号
确保传输过程中密钥不被窃取或篡改。 使用密钥: 最小化密钥的使用范围,避免在不必要的情况下暴露密钥。 实施访问控制和权限管理,限制对密钥的访问。 存储密钥: 使用安全的存储设备或者加密存储来保存密钥。 确保只有授权人员可以访问密钥存储。 更新密钥: 定期更新密钥以应对安全漏洞和攻击。 使用安全的方式进行密钥轮换,确保服务的连续性。
一编排响应、统一态势报告和统一安全策略管理等。 相关云服务和工具 云日志服务 LTS:使用LTS记录日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 Web应用防火墙 WAF 安全云脑 SecMaster 父主题: SEC09 安全感知及分析
监控。如果云服务现有能力不能满足系统要求,用户可使用CES或AOM服务的自定义指标监控能力。用户若自行搭建监控系统,需要覆盖主机资源、网络设备和Apache、Java、MySQL等第三方组件,开源的Zabbix是常见选择。 相关云服务和工具 云监控服务 CES 应用运维管理 AOM
压缩存储和类SQL查询,并且支持多维聚合计算和数据可视化分析能力。具有高写入、灵活弹性、高压缩率和高查询等特点,适用于IoT、金融、软硬件设备实时监控、数据采集等场景。 GeminiDB Cassandra接口:GeminiDB Cassandra 接口是一款基于华为自研的计算存
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
