检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
全性。 风险等级 高 关键策略 通过网络分区,可以实现以下目的: 隔离敏感数据:将敏感数据和应用程序隔离在独立的网络分区中,以减少未经授权访问的风险。 可扩展性:分区和分层可以帮助管理和扩展复杂的网络架构,使其更易于维护和扩展。 限制网络流量:控制不同网络分区之间的通信流量,以确保只有经过授权的流量可以流动。
情权、访问权、更正权等,使其能够行使自己的隐私权利。 数据控制者必须提供隐私声明,隐私声明旨在告诉用户该产品的隐私和数据保护实践,以及在个人信息收集和处理方面用户可做的选择。 隐私声明、个人数据说明应描述产品收集的所有个人数据类型、目的、处理方式、时限等信息。 在产品页面应提供隐
入的安全风险。 风险等级 高 关键策略 发布团队常用编程语言的安全编码规范。通用的安全编码规范应包含程序输入校验、程序输出编码、身份验证、访问控制、安全加解密算法、异常处理、IO操作、文件上传、序列化、输出格式化等。 对于在Web应用场景使用的语言如Java、Python,还要考
工具加强云安全,减少资源的攻击面。 风险等级 高 关键策略 强化操作系统和减少组件:通过减少未使用的组件、库和外部服务,可以缩小系统在意外访问下的危险。这包括操作系统程序包、应用程序以及代码中的外部软件模块。 创建安全的虚拟机镜像或者容器镜像。 使用第三方工具进行安全性分析:使用
SEC07-05 传输数据的加密 对传输中的数据进行加密处理,以确保数据在传输过程中不被未经授权的访问者所窃取、篡改或查看。 风险等级 高 关键策略 使用加密协议:确保在数据传输过程中使用安全的加密协议,以加密数据并保护其在传输过程中不被窃取或篡改。使用最新的TLS版本(如TLS
高 关键策略 依赖项遥测可以监控工作负载所依赖的外部服务和组件的运行状况及性能。提供有关与 DNS、数据库或第三方 API 等依赖项相关的可访问性、超时及其他关键事件的高价值指标采集。当对应用程序进行检测,以发布有关这些依赖项的指标、日志和跟踪时,就能更清楚地了解可能影响工作负载的潜在瓶颈、性能问题或故障。
的可能性。 与依赖项的通信采用异步消息并支持超时重试,或发布/订阅消息功能将请求与响应分离,以便依赖项从短时故障中恢复。 依赖项长时间无法访问时,应用程序应能继续执行其核心功能,以便将局部故障对整体系统功能的影响减到最小。如所依赖的数据丢失时,应用程序仍能运行,但可以提供稍微陈旧
数据主体同意及撤销的机制。 修改用户个人空间的行为(如系统或应用配置变更、下载软件、对用户系统或软件升级),须得到用户的同意。 对未成年人提供服务或收集了包含年龄信息的个人信息时,需要实现从未成年人的监护人处获取同意的功能。 数据控制者应提供对用户的同意和撤销同意行为进行记录的机制。
TaurusDB读写分离最佳实践 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。创建实例后,您可以开通读写分离功能,通过云数据库 TaurusDB的代理地址,写请求自动访问主节点,读请求按照读权重配比或者活跃连接数情况分发到各个节点。 开通读写分离时,需选择加入代理的节点(包括主节点和只读节点)。
网络配置 公网访问:函数提供了公网访问能力,但是函数提供的公网出口带宽有限,且所有租户共享,只适合对带宽、可靠性要求较低的测试业务使用。 VPC访问:函数提供了指定VPC访问的能力,但在冷启动时会初始化到该VPC网络的网络链路造成额外的冷启动时延。 如果需要访问公网,且对带宽有
系的事实标准。 Hive调优 用户输入HQL,Hive将HQL进行词法解析,语法解析,之后生成执行计划,并对执行计划进行优化,最后提交任务给YARN去执行。所以Hive的调优分为以下几个部分: 接入层:主要包括用户的连接性能,如网络速度、认证、连接并发数。 HiveServer:
员工入职、调岗和离职时可以触发用户的创建、变更和删除。 针对Landing Zone搭建的云上多账号环境,利用IAM身份中心集中管理多个账号的用户身份,并集中为这些用户配置能够访问多个账号下云资源的权限,无需在每个账号的IAM系统分别创建IAM用户并配置权限,简化多账号环境下身份权限管理的工作量。
对数据的修改、批量操作等行为实施限制措施或建立监控机制。 使用数据库安全服务DBSS对数据库行为进行审计。数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。 启用数
Privilege) 最小化身份:尽可能减少非必要的系统管理员,定时清理过期的身份。 最小化权限:给予用户或实体最小必要权限来执行其工作,以降低潜在的安全风险。 最小化暴露面:对不同的访问区域和访问对象,仅暴露最小的服务端点和最少的服务应用接口。 最小化凭证:尽量消除对长期的、静态凭证的依赖。
ELB弹性负载均衡是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务,支持独享型负载均衡与共享型负载均衡: 独享型负载均衡:独享型负载均衡实例资源独享,实例的性能不受其它实例的影响,可根据业务需要选择不同规格的实例。 共享型负载均衡:属于集群部署,实例资源共享,实例的性能会受其它实例的影响,不支持选择实例规格。
中出现问题时自动回滚。 应急恢复处理 制定应急处理机制,指定应急恢复人员,以便在突发事件后能快速决策和恢复;并提供常见应用、数据库问题以及升级部署失败的相关解决方案,以便在出现问题后可以及时恢复;定期进行演练,及时发现问题。 根据以上方案,典型部署架构如下: 该架构的主要特点包括:
使用华为云全球网络提升应用程序的可用性、性能和安全性,使终端用户在全球能快速访问云上应用,获得优质体验。 Direct Connect 用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,实现灵活一体,可伸缩的混合云计算环境。 VPN 安全的远程连接到华为云或者本地资源,将已有数据中心无缝扩展到华为云上。
SEC04 网络安全 SEC04-01 对网络划分区域 SEC04-02 控制网络流量的访问 SEC02-03 网络访问权限最小化 父主题: 基础设施安全
环境安全、稳定地运行,并最大化的提升系统的可用性,满足所承诺的服务水平。 告警和事件管理流程:适用于开发,生产环境故障等事件的受理、处理、升级流程,确保用户的业务及时得到响应和处理,支撑SLA的达成,需要明确定义企业各类事件的等级,以及处理的职责,规范各类事件响应和处理时限及通报机制,保障业务的安全性和稳定性。
安全管理及使用凭证 一体化身份管理 SEC03 如何管理人员和机器的权限? 定义权限访问要求 按需分配合适的权限 定期审视权限 安全共享资源 SEC04 如何进行网络安全设计? 对网络划分区域 控制网络流量的访问 网络访问权限最小化 SEC05 如何进行运行环境的安全设计? 云服务安全配置 实施漏洞管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
