云服务器内容精选
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 图1 华为云安全责任共担模型 父主题: 安全
-
数据保护技术 工业数据转换引擎云服务通过多种数据保护手段和特性,保障在存储和传输的数据安全可靠。其数据保护技术如表1所示。 表1 数据保护手段和特性 数据保护手段 说明 传输加密(HTTP/HTTPS) 工业数据转换引擎云服务支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。 传输敏感数据(包含密码)时,使用TLS1.2版本的HTTPS协议,支持完整性和机密性保护。 服务端存储加密 服务端对于敏感数据采取加密存储机制,使用SCC加密机制。详情请参见RDS高安全性。 数据备份 使用公有云RDS/OBS提供的数据备份恢复机制。详情请参见RDS/OBS高可靠性。 敏感操作保护 用户进行敏感操作时,会对操作用户进行风险提示,或者二次认证通过后进行操作。 敏感操作包括服务的启动、停止、部署与升级等。 父主题: 安全
-
更新服务授权 登录U CS 控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 选定要更新的策略,单击操作列下的“YAML编辑”。 更新设置的条件,比如版本号。 spec: selector: matchLabels: app: forecast version: v2 rules: - from: - source: principals: ["cluster.local/ns/weather/sa/frontend"] to: - operation: methods: ["PUT","POST"] when: - key: request.headers[group] values: ["admin"]
-
案例 TCP 服务访问授权。 apiVersion: security.istio.io/v1beta1kind: AuthorizationPolicymetadata: name: tcp-auth-policy namespace: weatherspec: selector: matchLabels: app: forecast action: ALLOW rules: - from: - source: ipBlocks: ["10.**.**.**/**"] to: - operation: ports: ["8090"]
-
创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 单击右上角“YAML创建”,弹出服务授权YAML创建界面。 设置如下:满足特定条件的请求访问才会被接受,其他不满足所设定条件的请求访问都会被拒绝。 apiVersion: security.istio.io/v1beta1kind: AuthorizationPolicy # 创建服务安全类别为服务授权metadata: name: forecast # 服务授权名 namespace: weather # 在weather命名空间下创建spec: selector: matchLabels: app: forecast version: v2 rules: - from: - source: principals: ["cluster.local/ns/weather/sa/frontend"] to: - operation: methods: ["PUT","POST"] when: - key: request.headers[group] values: ["admin"]
-
数据通过DES传输,如何保证安全性? Teleport防尘防水、抗震抗压、安全锁功能确保数据在寄送途中万无一失。 华为数据中心管理员在接收到Teleport或磁盘并连线配置后,需要由用户自己输入访问密钥(AK/SK)触发数据自动上传(用户可在服务单创建完成后输入访问密钥),华为人员全程不接触密钥和用户数据,确保数据的安全。 通过DES传输的数据最终存放在 对象存储服务 OBS中,OBS服务支持SSL加密、ACL权限控制、桶策略等安全保障机制,且数据分片随机存储在不同硬盘上,保障数据的存储、访问安全。 父主题: 服务安全类
-
用户在保证自身业务数据安全性上需要采取哪些措施? 建议用户在如下一些方面采取足够的措施以保障业务数据安全性: 对CloudPond所部署的地理位置及其相关基础设施的安全负责,并确保CloudPond与中心云之间的网络安全性和可用性。 建议用户对数据进行识别和分类;对敏感的数据默认加密;使用安全组、网络ACL(Access Control Lists)对资源实施网络访问控制。此外建议您使用 云审计 服务(Cloud Trace Service, CTS ),对用户访问数据的行为进行审计。 当用户停止使用CloudPond前,请先对CloudPond上需要保留的数据进行转储。 CloudPond用户需要对 IAM 的账号授权进行严格管理,遵从最小授权的原则,为其他用户开通完成工作所需的最小权限,并定期对其权限范围进行审核。更多细节请参见IAM安全使用最佳实践。 父主题: 安全性
