检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
防火墙 您可以通过防火墙强化您的网络安全,配置以防火墙为中心的安全方案,将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。从而保护您的网络安全。 父主题: 规划
可以通过安全组的功能提高网络安全性。 可以通过在VPC中申请弹性IP地址,将云服务器连接到公网。 可以使用VPN将VPC与传统数据中心互联,实现应用向云上的平滑迁移。 两个VPC可以通过对等连接功能互联。 更多虚拟私有云服务使用详情请参考虚拟私有云产品介绍。
网络边界安全 与生产环境边界 业务边界 运维边界 父主题: 开发测试环境安全解决方案
安全服务 本章节主要介绍Anti-DDoS流量清洗、Web应用防火墙和云堡垒机的概念,让您更好的了解这些安全服务。 Anti-DDoS流量清洗 Anti-DDoS流量清洗(Anti-DDoS Service)是通过专业的防DDoS设备来为客户互联网应用提供精细化的抵御DDoS攻击能力
网络隔离与访问控制 SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 生产环境安全解决方案全景图 根据业务特点,参考企业安全实践,建议将云上系统(生产环境、开发测试环境)划分为不同安全级别的多个子区域(以子网为粒度进行隔离),包括管理区、应用区、SAP DB
创建安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。了解更多关于安全组的信息,请参见安全组简介 。 操作步骤 创建SAP 安全组。 在网络控制台
高性能网络 特性定义 采用华为自研25GE网络芯片,支持芯片硬件卸载,高达认证要求4倍性能。 客户价值 高速网络接入华为云,保证网络稳定,网络时延低,云上业务访问更流畅。 应用限制 本特性无应用限制。 特性规格 25GE自研网卡芯片硬件卸载网络。 特性配置 本特性无需配置。 发布记录
网络规划 组网说明 网段信息与IP地址信息均为示例,请根据实际规划。需要说明的是,当采用ISCSI方案时,三台用来挂载SBD磁盘的弹性云服务器也需要连接到业务/备份平面。 应用子网:业务/备份平面IP地址和心跳平面IP地址要分配属于不同的子网段。 数据库子网:业务/备份平面IP地址和心跳平面
主机安全 与公网有交互的虚拟机建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固,以及主机安全产品(HIDS/AV等)的应用。 父主题: 开发测试环境安全解决方案
网络边界安全 业务边界 运维边界 与开发测试环境边界 父主题: 生产环境安全解决方案
虚拟私有云(VPC) SAP系统场景下所涉及到的云服务器,都位于同一个VPC中,并且需要使用VPC中的子网和安全组的相关网络安全隔离。 镜像(IMS) 在创建云服务器、裸金属云服务器和弹性云服务器时,需要使用符合要求的镜像文件。
业务边界 根据业务特点,由于生产环境需对公网提供服务,同时也需要与其它IDC进行互联,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。 针对DMZ区、内网应用区、管理区,由于能够被外部访问,建议采取相应的边界防护措施。 VPN
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的
业务边界 根据业务特点,由于开发测试环境需与企业内部开放、测试使用,也有公网访问需求,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。 VPN 由于开发测试环境供企业内部开放、测试使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为
与生产环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问
与开发测试环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的
网络隔离与访问控制 SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 开发测试环境安全解决方案全景图 根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。 但是
停止保护 当您需要对指定保护组下的所有资源停止保护时,可参考本章节执行停止保护操作。停止保护后,保护组内的所有保护实例停止数据同步。 登录到存储容灾界面,选中待停止保护组所在的窗格中的“保护实例”,进入保护组详情页面。 在保护组详情页面,单击页面右上方的“停止保护”。 在弹出的“停止保护
开启保护 当生产站点服务器的磁盘写入数据时,SDRS实时同步数据到容灾站点服务器的磁盘。 在存储容灾服务界面,选中待开启保护的保护组所在窗格中的“开启保护。 在弹出的“开启保护”对话框中,确认保护组信息,单击“是”。开启保护之后数据开始同步。 点击保护组,可以观察数据同步详情。 同步完成之后
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
