检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
例如在选型分析环节,增加开源软件选型阶段的网络安全评估要求,严管选型。在使用中,须将第三方软件作为应用系统的一部分开展相应活动,并重点评估开源及第三方软件和自研软件的结合点,或使用独立的第三方软件是否引入新的安全问题。
设计并实施身份安全、网络安全、数据安全、应用安全、主机安全和安全运维方案。 指导和审核安全运营工程师的工作,提供技术支持。 跟踪最新的安全技术,制定应对策略。 深入了解云平台的云安全服务和安全配置基线。 熟悉身份安全、网络安全、数据安全、应用安全、主机安全和安全运维等领域。
在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、云防火墙CFW、WAF等安全资源并统一配置具体的安全防护策略。
云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,支持按需弹性扩容,是为用户业务上云提供网络安全防护的基础服务。
网络服务选型 华为云提供的网络服务有虚拟私有云VPC、企业路由器ER、企业交换机ESW、云专线DC、虚拟专用网络VPN、全球加速GA、弹性负载均衡ELB、NAT网关、弹性公网IP等。以下是这些网络服务的选型建议: 云内同区域少量VPC互通用对等连接,跨区域VPC互通用云连接CC,云上云下互通用云专线
东西向网络防护:应该对不同的业务按密级实施分层分级管理,如将不同密级的业务部署在不同的VPC中,通过VPC实施大的网络安全域隔离,通过CFW实施东西向VPC网络之间访问控制,并通过VPC的安全组和ACL在VPC内进一步实施网络微分段隔离。
安全运营 概述 安全运营框架 安全配置基线 软件工程安全 人员安全管理 云原生安全服务 父主题: 运维治理
确保网络安全,防范DDoS攻击等网络威胁。 熟悉云平台的网络服务(如VPC、VPN、专线、负载均衡、防火墙等)及其配置。 熟悉TCP/IP、HTTP、DNS、TLS等网络协议。 具备网络故障排查能力。 熟悉网络安全技术(如防火墙规则配置、入侵检测等)。
安全设计原则 华为云根据自身安全实践和成功交付大量项目的经验,提炼了如下十大安全设计原则,你可以在此基础上设计企业在云上的整体安全方案。 零信任原则(Zero Trust Principle) 遵循“永不信任,始终验证”的安全理念,假设任何人或程序都不可信,无论是内部用户、外部用户还是网络设备
企业应当建立强大的安全策略,包括使用身份验证和授权机制、加密数据传输和存储、实施网络安全措施,以及持续监控和审计系统活动,以及时发现和应对安全威胁。 性能效率支柱 性能效率支柱关注如何高效地使用云资源,满足系统性能需求并适应业务的变化。
安全运营框架 华为云基于自身多年的安全运营实践经验和帮助大量客户持续安全运营的经验,基于华为云提供的安全云脑服务总结了如下安全运营框架和流程,您的企业可以将其作为起点设计符合企业要求的安全运营框架及流程。 图1 安全运营框架 划分安全运营职责 首先,根据企业设计的云运营模式,明确业务部门的应用团队与
集中安全管理:网络安全是企业运营的重中之重。借助安全云脑等服务提供的多账号统一安全管控功能,中心IT部门可以针对所有业务单元进行统一的安全运营,包括云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等。
云安全防护 主要评估组织在云环境中的安全防护措施和安全运营能力,包括身份安全、网络安全、数据安全、主机安全、应用安全、运维安全、安全管理规范和一体化安全运营等方面。
人员安全管理 企业需要对IT部门内的员工以会接触到企业敏感数据的员工进行人员安全管理,主要包括安全意识教育、安全能力培训、重点岗位管理和安全违规问责等。 安全意识教育 为了提升全员的信息安全意识,规避信息安全违规风险,保证业务的正常运营,企业可以从意识教育普及、宣传活动开展、承诺书签署三个方面开展安全意识教育
确保网络安全和性能,满足数据传输要求。 实现网络的弹性和可扩展性,适应业务变化。 规划云网络架构,配置虚拟网络、子网、安全组等。 与安全团队合作,实施网络安全策略。 监控网络性能,优化网络配置。 合规审计专家 确保云化转型符合相关法律法规和行业标准。
国内外的法律法规,如中国的网络安全法、数据安全法和个人信息保护法,欧盟的GDPR,金融行业的PCI-DSS,医疗行业的HIPPA等,对数据隐私和网络安全提出了严格的要求。企业需要投入大量的资源来满足不同地区和行业的合规标准,增加了管理负担。 更为严峻的是,攻击手段日益复杂化。
全方位安全运营则涵盖了数据安全、网络安全、访问控制等各个方面,构建全面的安全防护体系,保护企业核心数据和应用系统。最后,精细化FinOps 通过成本分析、优化和预算管理,帮助企业控制云支出,最大化云转型的投资回报。
集中部署和管理企业的网络连接资源,如ER、VPN、DC、NATG等,统一创建和管理各个账号的VPC、子网和NACL;集中部署和管理网络边界安全防护资源,如WAF,CFW等 网络运营账号的Tenant Administrator权限 所有其他账号下的VPC、子网和NACL等网络资源的管理权限 网络运营账号的网络安全资源
丰富的云原生安全服务:云服务商提供主机安全、数据安全、应用安全、网络安全、身份安全和运维安全等丰富的云原生安全服务,帮助企业在云上为应用系统快速构建全方位的安全防线。
图1 多账号的统一安全管理 网络安全防护相关的服务,如WAF、Anti-DDoS和网络防火墙等服务,按照就近部署原则集中部署在网络运营账号,以保护网络运营账号中的NAT网关和弹性公网IP等网络连接资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
