云服务器内容精选
-
应用日志收集 对于应用日志,华为云建议使用ICAgent收集,应用日志一般包括应用程序日志、客户自建网关日志、操作系统日志、容器日志等,这些日志会写入本地系统磁盘,ICAgent通过实时监听本地文件的变化来采集日志,ICAgent与您的程序解耦,您不需要更改代码,它可以将这些日志从所在主机发送到华为云日志服务。 对于华为云上的CCE容器应用,您在控制台上打开日志采集开关即可收集日志到日志服务。对于用户自建的K8S集群,您可以使用日志服务提供的CRD方式采集原生K8S容器日志。(https://support.huaweicloud.com/usermanual-lts/lts_04_1110.html)
-
日志与第三方系统集成 用户的SIEM(安全信息和事件管理,例如Splunk)位于内部部署环境中,而不是云上。出于安全考虑,云上服务无法直接从外部环境访问任何SIEM端口。华为云日志服务LTS提供API,让任何外部应用程序和平台都可以使用这些API来检索LTS中存储的日志。同时LTS可以实时转储日志到DMS(KAFKA),外部应用程序可以实时消费DMS(KAFKA),接入到用户自己SIEM系统中。因此建议企业将日志账号中的日志流实时转储到DMS(KAFKA),企业的SIEM系统可以实时消费KAFKA接入日志数据。 图4 云日志服务数据对接客户的SIEM
-
日志分析 一旦日志收集到日志服务,日志分析团队就可以使用关键词来搜索过滤感兴趣的日志,可以使用SQL语法来分析日志,并生成可视化图表(表格、柱状图、饼图、折线图等)。日志分析团队可以将图表组合到仪表盘中,为业务提供运营分析,支持提取仪表盘为模板,为不同的日志流提供开箱即用的分析能力。日志分析团队可以基于关键词或者是SQL语句创建告警规则,用来监控系统的运行情况,告警可以通过短信、邮件、企业微信、钉钉等多种方式发送。 图3 日志分析
-
背景信息 表1 华为云Landing Zone工具集 工具 所属云服务 具体描述 账号 IAM 账号(Account)是云上资源归属和使用计费的主体,对其所拥有的资源具有完全控制权限,可以创建和管理用户、用户组,并对用户组进行授权。账号统一接收用户进行资源操作时产生的费用账单。不同账号间有严格的物理隔离,网络互不相通,跨账号的资源互访需要使用特定的工具解决。 组织 企业中心 华为云提供的组织管理功能,允许企业在华为云上创建匹配自身组织结构的组织单元(Organization Unit, OU),并可以通过创建账号或邀请其他账号的方式为组织单元添加账号,实现对多个账号的统一资金管理和消费汇总。创建组织结构的账号为主账号,添加到组织单元的账号为子账号,主子账号通过组织结构构成了一种层级关系。主账号可以将自己的账号余额、信用额度、代金券划拨给子账号,主账号也可以查看子账号在华为云上的财务信息和消费信息,子账号可以继承主账号的商务折扣。需要指出的是,主账号和子账号间依然有严格的物理隔离,网络互不相通。 企业项目 EPS 企业项目(Enterprise Project, EP)是云资源的逻辑集合,其中的资源可以迁入迁出,方便租户按照自身的项目管理模式在华为云上进行资源的分组管理、成本核算和权限控制。一个企业项目可以包含多个区域的资源,可以授权给一个或者多个用户组进行管理。企业项目的灵活性较好,推荐用作企业的IT项目管理。 IAM项目 IAM IAM项目针对同一个区域(Region)内的资源进行分组和物理隔离,在IAM项目中的资源不能转移到另一个IAM项目,只能删除后重建,灵活性不高。 用户 IAM 用户由华为云账号在IAM中创建,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源,账号可以随时修改或者撤销IAM用户的使用权限。用户不进行独立的计费,由所属账号统一付费。 用户组 IAM 用户组是用户的集合,华为云通过用户组功能实现用户的授权。用户需要加入特定用户组后,才具备对应的权限。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。 策略 IAM IAM提供的一种细粒度授权机制,可以精确到具体服务的操作、资源以及请求条件等,使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。策略根据创建的对象,分为系统策略和自定义策略。 授权 IAM 华为云通过给用户组授予策略或角色,用户组中的用户就能获得了相应的权限,这一过程称为授权。用户获得具体云服务的权限后,可以对云服务进行操作。有两种授权范围,一个是IAM项目,另一个是企业项目,IAM项目的授权范围是账号内特定区域,企业项目的授权范围仅限于特定企业项目。按照最小授权原则,推荐在企业项目中进行授权。 服务配额 公共服务 华为云平台上单个账号内各服务资源的配额,对用户所能申请的资源数量和容量做了限制,但企业如果确实会使用超过配额的云服务资源,可以提工单申请扩大配额。 资金配额 CBC 为防止用户过度订购云服务,限定账号和企业项目在华为云上订购云服务的资金上限。 成本中心 CBC 成本中心是华为云免费向客户提供的一项成本管理服务,可帮助客户收集华为云成本和使用量的相关信息、探索和分析华为云成本使用情况、监控和跟踪华为云成本。主要功能包括成本分析、预算管理、成本监控、成本优化建议和成本标签等。 安全合规 Compass Compass是一个自动化合规评估和安全治理的平台,以华为内部云服务网络安全与合规标准为基座,将华为积累的全球安全合规经验服务化,开放PCI DSS、ISO27701、ISO27001等安全治理模板,将合规语言IT化实现自动化扫描,可视化呈现合规状态,一键生成合规遵从性报告,帮助租户快速实现云上业务的安全遵从,提升租户获得法规及行业标准认证的效率。 态势感知 SA SA(Situation Awareness,态势感知)是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。 资源合规 RMS 通过设置合规规则对特定云资源进行合规检查,如检查某个区域内所有已挂载的云硬盘是否加密。 云审计 CTS 是一种专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 标签管理 TMS 标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类管理。 企业路由器 ER 企业路由器(Enterprise Router, ER)可以连接VPC或本地网络来构建Region级别的中心辐射型网络,是云上大规格,高带宽,高性能的集中路由器。企业路由器使用边界网关协议,支持路由学习、动态选路以及链路切换。企业路由器能够打通多个账号内VPC之间的网络,可以通过VPN、专线与本地网络三层互通,通过云连接与用户在其他Region的VPC互通,通过路由配置,实现灵活的隔离和互通。 VPC VPC 为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。 子网 VPC 提供一个网段,用来管理云资源网络平面,可以提供IP地址管理、DNS服务。默认情况下,同一个VPC的所有子网内的云服务器均可以进行通信,但可以通过设置网络ACL或安全组进行子网间的安全访问控制,不同VPC之间默认不能通信。
-
企业IT治理架构 大企业的业务覆盖范围很广泛,分布在不同的子行业和地理区域,为支持整个公司的长期稳定运行和有效管理,通常采用集团化和等级式管理模式。随着经营范围和规模的不断扩大,需要不断建立子公司、分公司,子公司再建立孙公司,大部门也逐步拆分成多个小部门,组织结构的层级也就越来越多。大企业的IT治理架构也会受到组织结构的影响,以下是一个典型的大企业IT治理架构示意图,由于图片空间有限,该示意图中没有穷举全部的层级和图元。本文所描述的Landing Zone最佳实践以下图的IT治理架构为基础,将其映射到华为云上有效运转起来。 图1 大企业IT治理架构 在上述大企业IT治理架构中,各个层级的具体含义如下: 集团公司:是指以资本为主要联结纽带,以母子公司为主体,以集团章程为共同行为规范的,由母公司、子公司及其他成员共同组成的企业法人联合体。 子公司:其50%以上有投票表决权的股份或资本被另一企业(母公司)所拥有的企业,母公司对子公司的一切重大事项拥有实际上的决定权。子公司具有独立法人资格,在法律上是完全独立的公司,是独立的核算主体和纳税主体。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司:分公司是母公司管辖的分支机构,是指母公司在其住所以外设立的以自己的名义从事活动的机构,如在各个省市成立的销售分公司。分公司不具有企业法人资格,其民事责任由母公司承担。 独立法人:独立法人是指依法在工商部门登记的拥有企业独立法人营业执照的经济组织,具备独立的民事行为能力,能够独立承担民事责任。 部门:母公司、子公司和分公司都可以基于自己的经营管理需求设立部门,如软件企业可以按照不同的软件产品线设立不同的部门,工业制造企业可以按照业务流程设立研发部、制造部、采购部、销售部、服务部等。大部门还可以再进一步拆分成小部门。 IT系统:企业按照业务需求和IT管理需求建设的IT系统,包括业务支撑类应用系统(如ERP、CRM、营销管理系统等)和IT管理类应用系统(如SOC、运维监控系统等),IT系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 子系统:IT系统通常包含多个相互解耦且相互关联的子系统、功能模块或微服务,这些子系统相互协作,共同实现IT系统的功能。 功能小组:参与IT系统建设和管理的成员按照职责划分为不同的功能小组,如基础设施组、网络组、安全组、应用开发组等。 成员:一个成员代表一个参与IT系统建设和管理的人,可加入到同一部门下不同的IT系统和功能小组,但一般不参见其他部门的IT系统。 运行环境:IT系统通常要部署到不同的运行环境:互联网环境、生产环境、开发环境和测试环境。 图2 大企业IT治理架构的层级关系 上述IT治理架构中的各个层级需要逐一映射到华为云上,在华为云上创建相应的对象,推荐的映射关系如下图所示。集团公司映射为华为云的主账号,下面的子公司、分公司和部门都可以映射为华为云的组织单元(Organization Unit, OU)。IT系统映射为子账号,子系统则可以映射为企业项目。功能小组映射为华为云IAM的用户组,成员则可以对应到华为云IAM的用户。生产、开发和测试等运行环境可以划分到不同的VPC。 图3 企业IT治理架构到华为云的映射 父主题: 实施步骤
-
方案优势 为了实现业务单元的安全和故障隔离,华为云的推荐做法是将不同业务单元的应用系统分别部署在不同的账号中。华为云账号具备以下三个属性。 华为云账号是一个资源容器,用户可以在其中部署任意云资源和上层业务应用系统,不同的账号相当于不同的资源容器,账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。 华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经允许,一个账号内的用户不能访问其他账号的资源、数据和应用。 华为云账号还可以作为独立的账单实体,每个账号可以单独在华为云上充值、购买云资源、结算和开票。 因此华为云账号可以针对业务单元进行有效的故障和安全隔离,还可以进一步进行管理和财务隔离。 另外,为了避免单点故障带来雪崩效应、减少单点故障的爆炸半径,核心办法就是不要把所用业务系统及其云资源部署在单一账号,也就是不要“把鸡蛋放在一个篮子里”。单一账号存在两个严重的问题:其一是单一账号的爆炸半径太大,如果该账号发生崩溃将导致企业所有业务系统不可用;其二是云平台上账号的资源配额是有上限的,不能在一个账号内无限扩容云资源。 因此当企业全面上云时通常需要采用多账号架构。按照康威定律,企业的多账号架构通常会与其组织架构或业务架构保持一致,即按照业务单元、地理单元、职能单元等维度划分账号。采用多账号架构后可以实现职责分离,不同的账号负责不同的事情、承载不同的业务,每个账号的管理员可以对本账号内的资源进行自治管理,但同时从IT治理角度肯定要求一定程度的统一管控,比如多账号的统一运维管理、安全管控、资源管理、网络管理、财务管理等。针对这些核心诉求,华为云提出了Landing Zone解决方案来帮助企业在云上构建安全合规、可扩展的多账号运行环境,实现多账号的资源共享和“人财物权法”的统一管控。 人的管理:多账号环境下对业务单元、账号、用户、用户组、角色等进行统一管理; 财的管理:多账号环境下对资金、预算、成本、发票、折扣等进行统一管理; 物的管理:多账号环境下对计算、存储、网络、数据、应用等云资源进行统一运维、监控和管理; 权的管理:多账号环境下对云资源的访问权限进行统一管理,确保访问权限符合最小授权原则; 法的管理:多账号环境下对安全合规进行统一管理,确保符合国家、行业和企业自身的安全合规要求。 企业成功实施了Landing Zone解决方案之后,可以有效规避大规模上云之后的管理失控、安全失控、成本失控的风险,全面应对各种IT治理挑战,帮助企业建立分统结合的IT治理体系和完善的安全合规体系。 分统结合的IT治理体系:即在分权分域分级管理的基础上进行一定程度的统一管控,如统一运维、统一安全等; 完善的安全合规体系:云上运行环境(包括云资源、数据、应用等)满足国家、行业和企业自身的安全合规标准。
-
方案架构 Landing Zone解决方案的目标是在云上构建安全合规、可扩展的多账号运行环境,首先要规划组织和账号架构。按照康威定律,企业在华为云上的组织和账号结构要与企业的组织和业务架构总体保持一致,但也不要完全照搬复制。华为云提供以下参考架构,建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。 图1 华为云Landing Zone参考架构 按照业务架构在华为云上划分不同的组织层级和OU,每个业务OU下面可以按照业务系统创建独立的子账号。规模较大的业务系统或安全隔离要求严格(如需要遵守PCI-DSS、HIPPA等合规标准)的业务系统对应一个独立的子账号,安全隔离要求不高的多个小型业务系统可以共享一个子账号。以销售部为例,可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的子账号;以研发部为例,可以将围绕单个产品的设计、研发等系统部署在一个子账号中。 按照地理架构在华为云上划分不同的组织层级和OU,每个地理区域OU下面可以按照国家或地区创建独立的子账号,在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为华为云的OU,为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。 针对企业的中心IT部门,在华为云上创建对应的组织单元,并按照IT职能创建以下子账号,一方面实现IT管理领域的职责和权限隔离,另一方面对企业内多个子账号进行统一的IT管理。 表1 IT职能账号 账号名称 账号履行的IT职能 责任团队 资源或云服务 网络运营账号 集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPCDMA网络络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口 网络管理团队,安全管理团队 NATG, EIP, VPC, 专线, 云连接, VPN, CFW,WAF, Anti-DDoS 公共服务账号 集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有子账号使用 公共服务管理团队 NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库、协作办公系统等 安全运营账号 作为企业安全运营中心,统一管控整个企业的安全策略、安全规则和安全资源,为其他账号设置安全配置基线,对整个企业的信息安全负责 安全管理团队 统一部署具备跨账号安全管控的服务,如DEW、SCM、VSS等 运维监控账号 统一监控和运维各个子账号下的资源和应用,及时发现预警 运维团队 云堡垒机、Grafana, Prometheus或第三方运维监控系统 日志账号 集中存储其他账号的运行日志、审计日志 日志分析团队,合规审计团队 日志服务LTS、OBS桶、SIEM系统 数据平台账号 集中部署企业的大数据平台,将其他账号的业务数据统一采集到数据平台进行存储、处理和分析 数据处理团队,业务分析团队 数据湖、大数据分析平台、数据接入服务、数据治理平台 DevOps账号 统一管理整个企业的CI/CD流水线,并进行跨账号部署 软件研发团队 DevCloud,或自建DevOps流水线 沙箱账号 用于进行各种云服务的功能测试、安全策略的测试等 测试团队 按需部署各种需要测试验证的资源和服务 除了上述子账号之外,中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号、协同办公账号等。 需要注意的是在组织的根下面会默认关联一个主账号,主账号下不建议部署任何云资源,主要是做好以下管理工作: 统一组织和账号管理:创建和管理组织结构和组织单元,为组织单元创建子账号,或者邀请已有账号作为组织单元的子账号。 统一财务管理:针对整个企业在华为云上的成本进行分析和统计;统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期审视子账号的资金、信用额度和代金券的使用情况,及时进行回收。 统一组织策略管理:为各个组织单元和子账号设置组织策略,强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建组织策略时可以将其应用到某一个组织单元,该组织策略可以继承到关联的子账号和下层组织单元。 在每个子账号下面还可以通过企业项目(Enterprise Project, EP)对资源进行细粒度的逻辑分组,比如将一个应用系统的子系统、一个产品的子产品映射为华为云上的一个企业项目,用户还可以按照EP进行成本分摊和细粒度授权。 图2 网络运营账号 在上述多账号架构下,网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER联通各账号下的VPCDMA网络络,从而实现多账号共享使用VPN和云专线与线下IDC互通,也能实现多账号共享使用公网NAT网关与互联网通信,还能共享使用云连接与其他Region进行互通。在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、云防火墙CFW、WAF等安全资源并统一配置具体的安全防护策略 图3 多账号资源共享和统一管控 在多账号网络互通的基础上,可以进一步实现多账号的资源共享和统一管控。资源共享主要是针对公共资源的共享,比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库等,也可以是DevCloud等PaaS服务,在一个或多个独立的子账号中集中部署和维护这些公共资源,并共享给其他账号使用,没有必要在每一个子账号中单独部署和维护。统一管控主要针对的是管理类系统,如监控运维、资源治理、安全防护、财务管理等,集中管理多账号环境下的监控、运维、资源、安全、财务等,避免在每个子账号中分散式管理带来的管理成本高、标准不统一的问题。统一管控可以有效制定和实施企业范围内的IT治理策略。
-
应用场景 随着很多企业逐渐将越来越多的业务系统往云上迁移,企业客户需要将IT治理模式延伸或迁移到公有云上。公有云在安全稳定、服务质量、执行效率、成本效益等方面的优势逐渐被企业接受和认可,越来越多的企业也优先采用云原生的方式开发面向未来的新应用系统。企业全面云化的时代已经来临,为了避免大规模上云带来的管理失控、安全失控、成本失控等系列问题,企业开始逐渐重视云上IT治理,但在具体实践中经常会遇到以下各种挑战。 如何做好业务单元(如事业部、产品线、部门、项目组等)的安全和故障隔离,确保业务单元之间的云资源、应用和数据的隔离? 如何避免单点故障带来雪崩效应、减少单点故障的爆炸半径? 企业组织架构和业务架构经常调整,云上资源如何灵活应对? 如何设计跨多个业务单元的网络架构、建立受控的网络连接通道? 如何统一管控多个业务单元的边界网络出入口? 如何规划生产、开发和测试环境? 公共资源如何在多个业务单元之间共享? 如何统一监控、运维和管控多个业务单元的云资源? 如何统一管控各业务单元的预算和成本?如何优化云成本? 如何避免各业务单元过度使用云资源? 如何划分用户组?应该为用户组设置哪些权限? 云资源、数据和应用如何满足国家、行业和企业自身的安全合规标准? 在尽量保留原有IT治理模式的前提下,如何将其迁移到公有云上? 要应对上述挑战,需要设计一套全面的云上IT治理方案和最佳实践,对业务单元、人员、权限、云资源、数据、应用、成本、安全等要素进行全面有效管理。华为云通过Landing Zone解决方案来全面应对云上IT治理的挑战。Landing Zone本身是一个航空术语,指直升飞机等飞行器可以安全着陆的区域。目前国内外多家云厂商都借用了这个航空术语,将企业业务系统安全平稳迁移到公有云的解决方案命名为Landing Zone,目的是系统性解决企业大规模使用云服务所带来的IT治理和安全合规的挑战。
-
公共网络账号的网络架构 在该账号中集中部署网络资源(ER、VPN、DC、CC、公网NAT网关)和网络边界安全防护(WAF、CFW、Anti-DDoS)。集中控制和管理四个网络出入口:互联网出入口、本地IDC出入口、第三方云出入口、其他Region出入口。 在互联网出入流量的访问策略中,建议不允许从公共IP地址访问所有端口。只开放必要的Internet IP地址和端口。阻止对所有其他端口的访问。Internet请求首先到达WAF,WAF转发到NAT网关特定的弹性IP和端口。 图1 公共网络账号的网络架构设计 当VPC挂载到ER时,ER自动学习VPC路由。设置手动路由策略,禁用不同环境VPC之间的路由。 VPC之间的云防火墙访问控制策略如下: 默认规则:允许所有业务账号访问网络运营账号的VPN网关、云专线网关、NAT网关,并使用访问控制策略。 当ER允许两个VPC连接时应该创建一个策略来允许来自可信来源的流量,然后创建另一个策略来拒绝来自所有其他来源的流量。确保允许策略的优先级高于拒绝策略。
-
业务账号的网络构架 针对大的业务系统,一般是对应一个独立的子账号,在该账号中建议为每个业务系统创建三个独立的VPC:生产VPC、开发VPC、测试VPC,VPC之间彼此隔离。每个VPC至少部署二个子网:应用子网和数据子网,分别对应业务系统的应用层和数据层。子网之间使用网络ACL进行访问控制,还可以将云主机、RDS等资源放入到安全组,通过安全组规则进行实例级别的访问控制。业务系统的应用主机集群可以跨可用区部署,实现应用层的高可用;再使用华为云跨可用区的主备数据库集群和缓存集群实现数据层的高可用。如下图所示: 图2 一个大型业务系统对应一个独立子账号 针对多个没有严格安全隔离需求的小型业务系统,可以共用一个子账号,在该账号中同样建议创建三个独立的VPC:生产VPC、开发VPC、测试VPC,VPC之间彼此隔离。这些小型业务系统共同部署在这几个VPC中,不同的业务系统通过子网隔离,每个业务系统也都有独立的应用子网和数据子网,为这些子网创建ACL,以控制不同子网之间的内部网络流量。如下图所示: 图3 多个小型业务系统共用一个子账号
-
安全责任边界 过去,企业在内部IT基础设施建设时,安全性问题需要企业自己负责。而当迁移到云端,云服务提供商和云消费者在安全性问题上发生了变化——云提供商和云消费者对云系统中的计算资源有不同程度的控制。与传统IT系统(一个组织控制整个计算资源堆栈和系统的整个生命周期)相比,云提供商和云消费者协作设计、构建、部署和操作基于云的系统。 华为云作为国内进步最快的云厂商,在责任共担模型上也参考了业界最佳实践,并提出了自己的一些理解。如图所示,绿色部分由云厂商负责,蓝色部分由租户负责。云提供商负责服务自身的安全,提供安全的云;租户负责云服务内部的安全,也就是安全的使用云。 图1 华为云安全责任共担模型 来源:《华为云安全白皮》 华为云作为云供应商,主要依据同客户签订的服务水平协议(Service Level Agreement,简称SLA)承担数据保护责任,负责协议中基础设施、平台或软件的安全。并且凭借自身的技术优势,为客户提供了一系列与数据保护相关产品及服务。 华为云服务等级协议官网入口:https://www.huaweicloud.com/declaration/sla.html 中国用户考虑使用责任共担模型时,在国内仍然普遍存在的监管要求的大环境下,首先应当考虑合规要求与责任共担模型的结合。 最常见的情况是,企业安全主管必须考虑云计算环境下如何根据等级保护条例2.0进行定级。一般需要遵循如下的原则: 将云平台作为基础设施,云租户企业业务系统作为信息系统分别定级。即云平台由云服务提供商申请进行等级保护定级,云平台上的租户业务系统单独申报定级。例如业务系统备案后确认为三级系统,则租户侧的安全责任需要按照三级的要求来设计实施。 云平台不承载高于其安全保护等级的业务应用系统。公有云提供商一般有多个Region提供给租户,但是基本上普通的Region最高可以达到等保3级水平。假如某金融支付类业务系统,按照监管部门要求需要达到4级水平,则不能在普通的Region上面部署,必须在达到4级等保水平的特殊Region部署使用。云平台和租户参考责任共担模型分别履行4级等保水平的安全防护责任。 根据公安部《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》,按照IaaS,PaaS,SaaS三个层次,管理要求和技术要求两个分类,等保标准就云服务商和云租户的责任进行了更为细致的梳理(见下表): 图2 基于等级保护三级的责任共担模型 云提供商的责任,可能由云自有团队提供技术、人员等手段满足,也可能委托授权给第三方安全运营,但责任仍然归属于云提供商。 租户(云消费者)的责任,在大企业中,由于组织分工的不同,可能进一步细分为基础设施团队、应用团队、安全团队等来承担,但责任仍然归属于云消费者。 父主题: 安全合规
-
混合DNS 通过专线把本地数据中心和华为云服务器打通,本地服务器和华为云服务器就可以直接通信,但是基于安全因素考虑,华为云的DNS服务器只能华为云的服务器使用,本地DNS服务器和华为云的DNS服务器之间网络是不能通信的,本地数据中心DNS服务器有自己业务域名,华为云服务器DNS有华为云服务域名,这样问题就出现了: 本地数据中心服务器用的自己的DNS服务器,可以解析本地域名,但是无法解析华为云服务域名,比如OBS,SFS等 华为云服务器使用华为云的DNS,可以解析华为云服务域名,但是无法解析本地数据中心的域名 图1 混合DNS 1 解决方案:华为云提供混合DNS解决方案DNSEP,通过dnsep 把公有云dns地址下沉到客户自己vpc内,可以实现线下dns和公有云dns互相forward。步骤如下: 线下自建DNS把要解析的云服务域名(*.myhuaweicloud.com)转发给入站终端节点到达云上dns; 云上dns会根据出站终端节点配置的域名转发规则把相应域名解析转发到指定的线下DNS解析。 图2 线下DNS解析 父主题: Landing Zone网络规划
-
安全设计目标 防入侵:业务间隔离,防横向移动,防风险扩散 防泄密:降低内部人员网络泄密风险,数据泄密可审计可追溯 安全设计原则: 区域治理:隔离不同业务属性的环境(如消费者、企业、开发者等),支撑数据转移控制 服务隔离:最小化攻击面,限制黑客横向移动范围,在最小范围遏制攻击者 安全集成:互相隔离的服务间通过API、消息方式安全集成 隐私遵从:云服务作为数据处理者和云服务作为数据控制者遵从隐私合规要求 数据保护:降低内部人员泄密风险 高价值服务区:资产价值大(账号类、支付类、密钥类、批量用户数据存储)、或具备获取批量数据能力高权限(运营、运维)的服务,需要被重点保护。 通用服务区:对外部用户或者内部其他服务提供服务、且不涉及存储批量用户数据、资金处理、账号数据管理、密钥管理等的服务。 表1 安全设计目标 安全域 定义 2C业务安全域 面向internet用户提供服务,与2C、2D业务安全域默认网络隔离,可以从互联网访问 2B业务安全域 与合作伙伴、企业客户集成,与2C、2D业务安全域默认网络隔离,与伙伴、企业客户间通过专线、VPN等建立点对点的集成关系 2D业务安全域 为开发者提供服务,与2C、2B业务安全域网络隔离,可以从互联网访问 数据分析安全域 部署数据湖、数仓、大数据分析平台等业务,是数据的聚集地,与其它各安全域默认内网隔离,只能从企业内网访问 管理平台安全域 为各安全域提供运维、运营平台,供研发、运营、运维人员开展运营运维活动的服务,只能从企业内网访问。
-
跨账号委托授权 在Landing Zone的多账号运行环境中,通常会涉及不同账号间的资源互访诉求,特别是针对安全运营、运维监控等账号下的用户需要跨账号访问其他子账号下的资源。在华为云上使用跨账号委托的机制来满足该诉求。委托时的最佳实践如下: 委托是基于账号间的信任。被委托方建议通过权限管控,授权云用户去使用委托,而不是允许所有云用户都可以使用委托方创建的委托。 建议对委托实施最小授权原则。 委托的配置过程如下: 账号 A 在其IAM中创建一个委托将资源访问权限委托给账号B 图4 委托的配置1 账号B再将被委托的资源访问权限授予本账号的IAM用户,由后者管理账号A中的资源。 图5 委托的配置2 图6 权限授予的例子如下 用你获得的委托IP替代上面的字符串“b36b1258b5dc41a4aa8255508xxx...” ,其他的地方不要修改。 账号 B 或者被授权的用户切换角色到账号A,即可访问和管理账号A的资源。 图7 委托的配置4
-
典型场景 在Landing Zone参考架构中,专门设计了一个安全运营账号,用于统一管理企业范围内多个账号的安全资源和服务,这就需要跨账号访问部署在其他业务账号下的安全服务,比如SA、HSS等,通过以下联邦认证和跨账号委托的方式可以实现该目标。首先安全管理员通过SSO登录到安全运营账号的控制台,再通过切换角色到业务账号,然后访问和管理业务账号的安全云服务。 图8 安全运营账号统一管理多个业务账号的安全云服务 另一个类似的场景是运维监控账号需要统一监控和运维企业范围内多个账号的资源,这也要求运维监控账号能够跨账号其他访问账号下的资源,通过以下联邦认证和跨账号委托的方式可以实现该目标。 图9 运维监控账号统一管理各业务账号的云资源
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
