云服务器内容精选
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。 华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
-
Spark作业传输通信加密 Spark作业支持通过配置表1中的参数开启通信加密。 请确保已上传密钥和证书到指定的OBS路径下,并在作业配置中的其他依赖文件中引入。 表1 Spark作业传输开启通信加密配置项 参数 说明 配置示例 spark.network.crypto.enabled 该参数用于启用或禁用数据在节点之间传输时的加密。当设置为true时,Spark会加密Executor和Driver之间以及Executor之间的所有通信。这是确保数据传输安全的重要配置。 true spark.network.sasl.serverAlwaysEncrypt 该参数用于配置服务器端是否使用加密来与客户端通信。当设置为true时,服务器将要求所有客户端使用加密连接,这可以提高通信的安全性。 true spark.authenticate 该参数用于配置是否对Spark应用程序的组件进行身份验证。启用身份验证可以防止未授权的访问。这个参数可以设置为true来启用身份验证。 true
-
Flink作业传输通信加密 在Flink作业可以通过配置表2中的参数来开启SSL传输。 打开Task Manager之间data传输通道的SSL,会对性能会有较大影响,建议结合安全和性能综合考虑是否开启。 证书文件还需要在作业配置页面的“其他依赖文件”中完成配置。 OBS路径/opt/flink/usrlib/userData/为默认存储依赖文件路径。 请确保已上传密钥和证书到指定的OBS路径下,并在作业配置中的其他依赖文件中引入。 表2 Flink作业传输通信加密配置参数 参数 说明 是否必须 配置示例 security.ssl.enabled 打开SSL总开关。 是 true akka.ssl.enabled 打开akka SSL开关。 否 true blob.service.ssl.enabled 打开blob通道SSL开关。 否 true taskmanager.data.ssl.enable 打开taskmanager之间通信的SSL开关。 否 true security.ssl.algorithms 设置SSL加密的算法。 否 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 security.ssl.keystore keystore的存放路径,“flink.keystore”表示用户通过generate_keystore.sh*工具生成的keystore文件名称。 是 /opt/flink/usrlib/userData/flink.keystore security.ssl.keystore-password keystore的password,-表示需要用户输入自定义设置的密码值。 是 - security.ssl.key-password ssl key的password,-表示需要用户输入自定义设置的密码值。 是 - security.ssl.truststore truststore存放路径,“flink.truststore”表示用户通过generate_keystore.sh*工具生成的truststore文件名称。 是 /opt/flink/usrlib/userData/flink.truststore security.ssl.truststore-password truststore的password,-表示需要用户输入自定义设置的密码值。 是 - security.ssl.rest.enabled REST API接口是否启用SSL/TLS加密。 是 false security.ssl.verify-hostname 用于控制在建立SSL/TLS连接时是否验证对端的主机名(hostname)与证书中的信息是否匹配。 否 false security.ssl.protocol 指定SSL/TLS连接时所使用的协议版本 否 TLSv1.2、TLSv1.3 security.ssl.encrypt.enabled Flink集群内部以及与其他组件之间通信时是否启用数据加密 否 false 开启Flink作业传输通信加密配置示例: security.ssl.enabled: true security.ssl.encrypt.enabled: false security.ssl.key-password: *** security.ssl.keystore-password: Admin12! security.ssl.keystore: /opt/flink/usrlib/userData/*.keystore security.ssl.protocol: TLSv1.2 security.ssl.rest.enabled: false security.ssl.truststore-password: *** security.ssl.truststore: /opt/flink/usrlib/userData/*.truststore security.ssl.verify-hostname: false
-
开启防DDoS攻击 针对DDoS攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务(Anti-DDoS Service,简称AAD)提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生专业防护和DDoS高防三个子服务。 其中,DDoS原生基础防护为免费服务,DDoS原生专业防护和DDoS高防为收费服务。 关于DDoS原生专业防护和DDoS高防请单击DDoS防护了解更多。 购买弹性云服务器时,如果选择了购买弹性公网IP,那么控制台会提示您已免费开启DDoS基础防护。 图4 免费开启DDoS基础防护 DDoS原生基础防护(Anti-DDoS流量清洗)服务(以下简称Anti-DDoS)为云服务器提供DDoS攻击防护和攻击实时告警通知。同时,Anti-DDoS可以提升用户带宽利用率,确保用户业务稳定运行。 Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量的安全状况。
-
增加登录密码的强度 “密钥对”方式创建的弹性云服务器安全性更高,建议选择“密钥对”方式。如果您习惯使用“密码”方式,请增强密码的复杂度,如表2所示,保证密码符合要求,防止恶意攻击。 系统不会定期自动修改弹性云服务器密码。为安全起见,建议您定期修改密码。 密码设置建议: 密码应该长度不少于10位。 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。 密码尽量不要包含账户名如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql。 建议至少每90天更改一次密码。 建议不要重复使用最近5次(含5次)内已使用的密码。 建议根据不同应用设置不同的账号密码,不建议多个应用使用同一密码。 表2 密码设置规则 参数 规则 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种: 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符:包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统云服务器特殊字符:包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器,不能包含用户名中超过两个连续字符的部分。 Windows操作系统的云服务器,不能以“/”为密码首字符。
-
提升云服务器的端口安全 安全组是云服务器的守卫,是重要的网络安全隔离手段,可以保护云服务器的网络安全。安全组可以控制进出云服务器的网络流量。网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问你。如果把云服务器比作一个宫殿,那安全组就像是一个守卫者,谁能进出,都由安全组规则控制。 通过配置安全组规则,限定云服务器出方向和入方向的访问端口,通常建议您关闭高危端口,仅开启必要的云服务器端口。 常见的高危端口如表3所示,建议您修改敏感端口为其它非高危端口来承载业务。请参考云服务器常用端口。 表3 常见的高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996
-
定期备份数据 数据备份是防止系统出现数据丢失,将全部或部分数据以其他方式保留的过程。本节以云备份方法为例,了解更多备份方法请参考云备份概述。 云备份可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。保障用户数据的安全性和正确性,确保业务安全。 购买云服务器时启用云备份的方法: 购买云服务器时,设置开启云备份完成后,系统会将云服务器绑定至云备份存储库并绑定所选备份策略,定期备份弹性云服务器。 现在购买: 输入云备份存储库的名称:只能由中文字符、英文字母、数字、下划线、中划线组成,且长度小于等于64个字符。例如:vault-f61e。默认的命名规则为“vault_xxxx”。 输入存储库的容量:此容量为备份云服务器所需的容量。存储库的空间不能小于云服务器的空间。取值范围为[云服务器总容量,10485760]GB。 设置备份策略:在下拉列表中选择备份策略,或进入云备份控制台查看或编辑备份策略。 使用已有: 选择云备份存储库的名称:在下拉列表中选择已有的云备份存储库。 设置备份策略:在下拉列表中选择备份策略,或进入云备份控制台查看或编辑备份策略。 暂不购买:跳过云备份的配置步骤。如云服务器购买成功后仍需设置备份保护,请进入云备份控制台找到目标存储库,绑定服务器。 图5 设置云备份 已创建完成的云服务器创建云备份的方法: 备份云服务器可以通过“云服务器备份”和“云硬盘备份”功能实现: 云服务器备份(推荐):如果是对弹性云服务器中的所有云硬盘(系统盘和数据盘)进行备份,推荐使用云服务器备份功能,同时对所有云硬盘进行备份,避免因备份创建时间差带来的数据不一致问题。 云硬盘备份:如果对指定的单个或多个云硬盘(系统盘或数据盘)进行备份,推荐使用云硬盘备份功能,在保证数据安全的同时降低备份成本。
-
配置云堡垒机 云堡垒机(Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。 登录云堡垒机后,您需要依次创建用户、资源、访问策略,依次创建成功后才能对资源进行管理和运维。 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录:支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录:在不改变用户原来使用SSH客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录:在不改变用户原来使用MSTSC客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 在使用云堡垒机进行系统管理和运维前,管理人员需要在CBH系统中创建系统用户,为用户分配不同系统角色。 根据角色系统权限的不同,用户拥有不同的系统操作和访问权限,新创建的用户登录系统,即可访问角色权限内模块。 仅admin拥有管理系统角色的权限。 云堡垒机系统集中管理云资源,主要包括管理资源账户和运维权限管理。为实现统一管理资源,需添加资源到系统。 一个主机或应用资源可能有多个登录主机或应用的账户。 CBH系统纳管主机或应用的账户(资源账户)后,无需反复输入账户和密码,通过登录资源账户,自动登录资源进行运维管控。 系统默认资源账户Empty,登录Empty资源账户时需手动输入主机账户和对应密码。 若需通过云堡垒机运维资源,还需配置访问控制策略,关联用户和资源,赋予用户相应资源访问控制权限。 用户获取资源访问控制权限后,通过系统登录资源进行运维,运维过程被全程监控记录。 运维用户可根据资源类型选择不同登录方式。 用户获取相应系统权限和运维权限后,可通过云堡垒机登录已授权的资源进行运维操作,以及在系统进行系统数据管理操作。 管理员可在系统Web页面审计用户系统登录和操作,以及审计用户运维会话。
-
监控云服务器 监控是保持弹性云服务器可靠性、可用性和性能的重要部分,通过监控,用户可以观察弹性云服务器资源。为使用户更好地掌握自己的弹性云服务器运行状态,云平台提供了云监控。您可以使用该服务监控您的弹性云服务器,执行自动实时监控、告警和通知操作,帮助您更好地了解弹性云服务器的各项性能指标。 主机监控分为基础监控、操作系统监控和进程监控。 基础监控 基础监控无需安装Agent,是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟(KVM实例)。 操作系统监控 操作系统监控需要在弹性云服务器中安装Agent插件,为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟(KVM实例)。 购买云服务器时的开启操作系统监控的方法: 您可以在购买时勾选“开启详细监控”,勾选后云平台将自动安装操作系统监控所需的Agent插件。 当前仅部分操作系统支持在购买时开启详细监控。 图2 购买云服务器时开启操作系统监控 为已创建完成的云服务器开启操作系统监控的方法: 如果创建时未勾选“开启详细监控”,如需使用操作系统监控,您需要手动安装Agent。 安装配置Agent相关操作请参考云监控服务“Agent安装配置方式说明”。 进程监控 进程监控需要在弹性云服务器中安装Agent插件,对主机内活跃进程进行监控,进程监控的监控周期为1分钟(KVM实例)。 开启主机监控后您可以通过设置弹性云服务器告警规则,自定义监控目标与通知策略,及时了解弹性云服务器运行状况,从而起到预警作用。 在ECS的控制台单击即可查看监控指标。 图3 查看云服务器监控指标
-
防护类型简介 提升云服务器的安全性,分为云服务器“外部安全防护”和“内部安全防护”两方面。 表1 提升云服务器安全的方法 类型 说明 防护方法 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案,例如开启主机安全防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 配置云堡垒机 监控云服务器 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题,不提升云服务器的内部安全防护,外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云服务器的端口安全 定期升级操作系统
-
开启主机安全防护 主机安全服务(Host Security Service,HSS)是提升服务器整体安全性的服务,通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能,可全面识别并管理云服务器中的信息资产,实时监测云服务器中的风险,降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后,您的云服务器将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 您在使用主机安全服务前,需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器,提供不同的安装方式: 场景一:新创建云服务器 购买弹性云服务器,选择部分操作系统的公共镜像时,系统推荐您配套使用主机安全服务(Host Security Service, HSS)。 开启“主机安全”需要设置“安全防护”参数: 免费试用一个月主机安全基础防护:开启后,免费体验HSS基础版30天,为您的主机提供操作系统漏洞检测、弱口令检测、暴力破解检测等功能。 主机安全基础防护免费使用期限结束后,该防护配额将自动释放,停止相应的实时防护能力。 如您需要保留或升级原有安全防护能力,建议您购买高阶防护。详细情况,请参见主机安全的免费试用HSS基础版到期后怎么办?。 购买弹性云服务器时,默认设置该选项。 购买高阶防护:高阶防护支持基础版、企业版、旗舰版和网页防篡改版,需付费使用。 购买后您可以在主机安全服务控制台切换不同版本。各版本之间的差异请参考服务版本差异。 不使用安全防护:若您不需要进行安全防护,可选择此选项。 选择主机安全后系统自动安装主机安全Agent,开启账号防御,启用主机安全服务的功能。 若基础版或企业版不满足要求,您可以购买其他版本配额,在主机安全服务控制台切换不同版本,获取更高级的防护,且不需要重新安装Agent。 图1 开通主机安全 场景二:未配置主机安全的云服务器 对于已经创建完成的弹性云服务器,可能由于创建时尚未支持主机安全服务或未设置“安全防护”参数。如需使用主机安全,您需要手动安装Agent。 具体操作请参见手动安装Agent、手动开启防护。
-
操作场景 安全组类似防火墙功能,是一个逻辑上的分组,用于设置网络访问控制。用户可以在安全组中定义各种访问规则,当云耀云服务器加入该安全组后,即受到这些访问规则的保护。 入方向:入方向规则放通入方向网络流量,指从外部访问安全组规则下的云耀云服务器。 出方向:出方向规则放通出方向网络流量。指安全组规则下的云耀云服务器访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。
-
结果验证 安全组规则配置完成后,我们需要验证对应的规则是否生效。假设您在云耀云服务器上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址 入方向 TCP 80 0.0.0.0/0 Linux云耀云服务器 Linux云耀云服务器上验证该安全组规则是否生效的步骤如下所示。 登录云耀云服务器。 运行如下命令查看TCP 80端口是否被监听。 netstat -an | grep 80 如果返回结果如图3所示,说明TCP 80端口已开通。 图3 Linux TCP 80端口验证结果 在浏览器地址栏里输入“http://云耀云服务器的弹性公网IP地址”。 如果访问成功,说明安全组规则已经生效。
-
监控安全风险 LTS通过多种方式监控安全风险,保障数据安全可靠。 表1 LTS的监控安全风险 监控安全风险 简要说明 详细介绍 日志告警 LTS支持日志告警能力,包括关键词告警和SQL告警。 关键词告警:对日志流中的日志数据进行关键词统计,通过设置告警规则,监控日志中的关键词,通过在一定时间段内,统计日志中关键字出现的次数,实时监控服务运行状态。 SQL告警:支持将日志数据进行结构化,通过配置SQL告警规则,定时查询结构化数据,当且仅当条件表达式返回为true的时候,将告警进行上报,用户可以在LTS控制台查看SQL告警。 关键词告警 SQL告警 日志资源使用量预警 LTS提供日志资源使用量预警能力,开启自定义日志资源使用量预警开关后,系统将自动为您创建一条告警规则(日志资源使用量预警)。当日志使用量超过当前配置的自定义日志资源使用量额度时,系统会发送告警通知 日志资源使用量预警 父主题: 安全
-
数据保护技术 责任共担模式适用于IoTDA的数据保护,如该模式中所述,IoTDA负责服务自身的安全,提供安全的数据保护机制。用户负责安全地使用IoTDA服务,包括使用时的安全参数配置以及维护使用IoTDA及其依赖的其他云服务权限的控制。 表1 数据保护技术说明 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) IoTDA支持HTTPS传输协议,为保证数据传输的安全性,建议使用TLS 1.2 或更高版本 使用HTTPS协议接入 传输加密(MQTTS) IoTDA支持MQTTS传输协议,为保证数据传输的安全性,建议使用TLS 1.2 或更高版本,加密套件推荐使用TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256和TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 MQTT协议支持说明 传输加密(AMQPS) IoTDA支持AMQPS传输协议,为保证数据传输的安全性,接收方必须使用TLS加密,且使用TLS1.2及以上版本,不支持非加密的TCP传输 AMQP客户端接入说明 父主题: 安全
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
