-
场景2:修改管理手机号 当您的手机号在华为云官网注册了多个华为账号时,使用注册的第二个或第三个华为账号登录华为云账号中心,在“华为账号信息”区域显示为“管理手机号”。如需更改,请按如下步骤操作: 在“华为账号信息”区域,单击“前往管理”,进入华为账号的“账号中心”。 单击管理手机号后的“更改”,根据界面提示修改华为账号的管理手机号。 单击安全手机号后的“更改”,同步刷新为新号码,用于接收安全验证码,以验证您的身份和重置密码,加强账号的安全性。 若您未及时修改安全手机号,在登录、重置密码时,您仍将使用原号码接收安全验证码来验证身份。
-
备份和快照的区别是什么? 备份和快照为存储在云硬盘中的数据提供冗余备份,确保高可靠性,两者的主要区别如表1所示。 表1 备份和快照的区别 指标 存储方案 数据同步 业务恢复 备份 与云硬盘数据分开存储,存储在对象存储(OBS)中,可以实现在云硬盘存储损坏情况下的数据恢复 保存云硬盘指定时刻的数据,可以设置自动备份。如果将创建备份的云硬盘删除,那么对应的备份不会被同时删除 通过恢复备份至云硬盘,或者通过备份创建新的云硬盘,找回数据,恢复业务。数据持久性高。 快照 存放在云硬盘所在的物理存储磁盘中,但是不会占用云硬盘的空间。 说明: 备份由于数据搬迁会耗费一定的时间,创建快照和回滚快照数据的速度比备份快。 保存云硬盘指定时刻的数据。如果将创建快照的云硬盘删除,那么对应的快照也会被同时删除。重装操作系统或切换操作系统后,系统盘快照会自动删除;数据盘快照不受影响,可以照常使用 通过回滚快照至云硬盘,或者通过快照创建新的云硬盘,找回数据,恢复业务。 父主题: 概念类
-
如何选择区域? 选择区域时,您需要考虑以下几个因素: 地理位置 一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户,可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户,可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。
-
什么是区域、可用区? 区域和可用区用来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。
-
证书链 从根CA到私有证书之间的完整的证书链路,即各个层级证书按序链在一起的文件,用于进行身份的逐层校验。各级证书的链接关系,如图 证书链所示。 PCA服务支持创建最多七级的CA层级结构,一个好的私有CA层次结构可实现对证书的精细化控制,以及提升PKI(公钥基础设施)体系的安全性,具体请参见私有CA层次结构设计。 图3 证书链 证书校验主要体现在两方面: 证书链的完整性校验,逐层校验证书的有效性。 证书链中的根CA是否被校验方所信任(提前预置到信任列表中)。 证书校验过程中主要包含的校验项: 实体所宣称的主体信息(如服务端的域名)是否在证书可选名称的范围内。 证书是否过期。 密钥用法是否符合当前操作(如密钥协商、数字签名等)。 数字签名验证。 是否已被吊销。 此处未列举出所有校验项,X509证书允许用户增加多种自定义扩展项,详情请参考相关国际标准。
-
PCA证书有效期 在证书链中,根CA是整条链的信任起点,一旦根CA过期,其与其子CA签发的所有证书将不再被信任,因此根CA的有效期是其下层所有证书的有效期上限。即使签发下层证书时,可以将有效期填写超过根CA的有效期(不做强制要求下),但在校验证书链时,只要链中根CA过期,校验就会失败。 在PCA服务中,强制要求新签发的证书的到期时间不可超过其父CA的到期时间,确保从根CA到私有证书之间的链路上,有效期逐层递减。PCA服务对各类证书有效期的约束见表 证书有效期约束。 不同类型证书的有效期是根据其扮演的角色而定的。使用越频繁的证书,其密钥材料泄露风险更高,有效期应尽量设置更小。例如,根CA通常只用于签发子CA,使用频率最少,且使用最高的安全保护措施(PCA中使用KMS进行CA密钥管理),有效期一般设置为10~30年左右。子CA根据其所在的层级,越往下有效期逐级减少,最下层的证书用于签发大量的私有证书,有效期通常设置为2~5年左右。私有证书,频繁用于通信,通常根据使用场景的安全要求,将有效期设置为几个小时、几个月以及一两年不等。 表1 证书有效期约束 CA/证书 最小有效期 最大有效期 是否支持延长 有效期其它约束 根CA 1小时 30年 否 无 子CA 1小时 20年 否 在父CA有效期内 私有证书 1小时 20年 否 在父CA有效期内
-
证书吊销列表 证书吊销列表(Certificate Revocation List,CRL)是指在有效期内就被其父CA吊销的证书的名单,其中被吊销的CA/证书,包含子CA与私有证书。证书吊销列表是一种有固定格式的结构化数据文件,其中包含颁发者信息、吊销列表的生效时间、列表下一次更新时间、签发算法、指纹以及已被吊销证书的序列号与对应的吊销时间和吊销理由码。证书吊销列表具体内容,如图 证书吊销列表所示。如何配置证书吊销列表,请参见配置证书吊销列表。 图2 证书吊销列表
-
什么是弹性文件服务SFS 弹性文件服务(Scalable File Service,SFS)提供按需扩展的高性能文件存储,支持同时为多个弹性云服务器(Elastic Cloud Server, E
CS )提供文件共享服务。弹性文件服务提供标准的文件访问协议,用户可以将现有应用和工具与弹性文件服务无缝集成。 弹性文件服务提供简单易用的操作界面,用户可以快捷地创建和管理通用文件系统,无需操心通用文件系统的部署、扩展和优化等运维事务。 此外,弹性文件服务还具备高可靠和高可用的特点,支持根据业务需要弹性扩容,且性能随容量增加而提升,可广泛应用于多种业务场景,例如
媒体处理 、文件共享、内容管理和Web服务、大数据和分析应用程序。 父主题: SFS概念类问题
-
区域和终端节点 当您通过API使用资源时,您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息,请参见表1。 表1 地区和终端节点 区域名称 区域 终端节点(Endpoint) 协议类型 华北-北京四 cn-north-4 sfs3.cn-north-4.myhuaweicloud.com HTTPS 华北-乌兰察布一 cn-north-9 sfs3.cn-north-9.myhuaweicloud.com HTTPS 华东-上海一 cn-east-3 sfs3.cn-east-3.myhuaweicloud.com HTTPS 华南-广州 cn-south-1 sfs3.cn-south-1.myhuaweicloud.com HTTPS 华南-广州-友好用户环境 cn-south-4 sfs3.cn-south-4.myhuaweicloud.com HTTPS 西南-贵阳一 cn-southwest-2 sfs3.cn-southwest-2.myhuaweicloud.com HTTPS 中国-香港 ap-southeast-1 sfs3.ap-southeast-1.myhuaweicloud.com HTTPS
-
什么是区域、可用区? 区域和可用区用来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。
-
参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0:代表基于角色的访问控制。 Statement: 角色的授权语句 Action:授权项 操作权限 格式为:服务名:资源类型:操作 "DNS:Zone:*":表示对DNS的Zone所有操作。其中“DNS”为服务名;“Zone”为资源类型;“*”为通配符,表示对Zone资源类型可以执行所有操作。 Effect:作用 定义Action中的操作权限是否允许执行 Allow:允许执行。 Deny:不允许执行。 说明: 当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 Depends: 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如:BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明: 给用户组授予示例的“DNS Administrator”角色时,必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”,“DNS Administrator”才会生效。 了解更多角色依赖关系,请参考:系统权限。
-
角色内容 给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DNS Administrator”为例,说明角色的内容。 图1 DNS Administrator角色内容 {
"Version": "1.0",
"Statement": [
{
"Action": [
"DNS:Zone:*",
"DNS:RecordSet:*",
"DNS:PTRRecord:*"
],
"Effect": "Allow"
}
],
"Depends": [
{
"catalog": "BASE",
"display_name": "Tenant Guest"
},
{
"catalog": "VPC",
"display_name": "VPC Administrator"
}
]
}
-
常见问题 安全运营中心团队要做什么? SOC团队监视服务器、设备、数据库、网络应用程序、网站和其他系统,以实时发现潜在威胁。及时了解最新威胁并在攻击者利用系统或进程漏洞之前发现和解决这些漏洞,以执行主动安全工作。如果企业/组织已然遭受到攻击,SOC 团队负责根据需要去除威胁以及还原系统和备份。 安全运营中心的关键组件是什么? SOC由有助于保护组织免受网络攻击的人员、工具和流程组成。为了实现其目标,它执行以下功能:清点所有资产和技术、日常维护和准备、持续监视、威胁检测、威胁情报、日志管理、事件响应、恢复和修正、根本原因调查、安全优化和合规性管理。 为什么企业/组织需要强大的SOC? 强大的SOC通过统一防御、威胁检测工具和安全流程来帮助企业/组织更高效和有效地管理安全性。与没有SOC的公司相比,具有SOC的企业/组织能够改进其安全流程、更快地应对威胁以及更好地管理合规性。 SIEM和SOC有什么区别? SOC是负责保护企业/组织免受网络攻击的人员、流程和工具。SIEM是SOC用于保持可见性和响应攻击的众多工具之一。SIEM汇总日志文件,并使用分析和自动化向决定响应方式的SOC成员揭示可信威胁。
-
SOC工具与技术 安全信息和事件管理(SIEM) SOC中最重要的工具之一是基于云的SIEM解决方案,它将来自多个安全解决方案和日志文件的数据聚合在一起。借助威胁情报和AI,这些工具帮助SOC检测不断演化的威胁、加快事件响应速度并先于攻击者行动。 安全编排、自动化和响应(Security Orchestration, Automation and Response,SOAR) SOAR可自动执行定期和可预测的扩充、响应和修正任务,从而空出时间和资源来进行更深入的调查和搜寻。 扩展检测和响应(Extended Detection and Response,XDR) XDR是一种服务型软件工具,它通过将安全产品和数据集成到简化的解决方案中来提供全面、更优的安全性。企业/组织使用这些解决方案在多云混合环境中主动有效地应对不断演化的威胁环境和复杂的安全挑战。与终端节点检测和响应 (EDR) 等系统相比,XDR扩大了安全范围,从而跨更广泛的产品集成了保护,包括企业/组织的终端节点、服务器、云应用程序和电子邮件等。在此基础中,XDR将预防、检测、调查和响应相结合,提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。 防火墙 防火墙会监视进出网络的流量,根据SOC定义的安全规则允许或阻止流量。 日志管理 日志管理解决方案通常是SIEM的一部分,它会记录来自企业/组织中运行的每个软件、硬件和客户端的所有警报。这些日志提供了网络活动的相关信息。 漏洞管理 漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。 用户和实体行为分析(User and Entity Behavior Analytics,UEBA) 用户和实体行为分析构建在许多新式安全工具之中,它使用AI来分析从各种设备收集的数据,来为每个用户和实体建立正常活动的基线。当事件偏离基线时,会标记该事件供进一步分析。
-
SOC团队的最佳做法 要负责的事情太多,SOC必须有效地企业/组织和管理才能取得结果。拥有强大SOC的企业/组织会实施以下安全做法: 策略与业务看齐 即使资金最充裕的SOC也必须决定将时间和金钱集中在哪些方面。企业/组织通常会先进行风险评估,来识别最容易出现风险的方面和最大的业务机会。这有助于确定需要保护哪些内容。SOC还需要了解资产所在的环境。很多企业的环境很复杂,一些数据和应用程序在本地,一些跨多个云分布。策略有助于确定安全专业人员是否需要每天任何时间都可联系,以及是在内部配置SOC还是使用专业服务更好。 员工具备能力、经过良好培训 有效SOC的关键在于高技能且不断进步的员工。首先是要找到人才,但由于安全人员市场竞争非常激烈,因此这可能很棘手。为了避免技能差距,许多企业/组织试着寻找拥有各种专业知识的人员,这些知识包括系统和情报监视、警报管理、事件检测和分析、威胁搜寻、道德黑客、网络取证和逆向工程。还会部署可自动执行任务的技术,让较小型的团队更加高效,并提高初级分析员的产出。在定期培训方面投入有助于企业/组织留住关键员工、弥补技能差距和发展员工的职业生涯。 端到端可见性 攻击可能从单个客户端开始,因此SOC了解企业/组织的整个环境至关重要,这包括由第三方管理的任何内容。 适当的工具 安全事件是如此的多,团队很容易不知所措。有效SOC会在安全工具上投入,这些工具可很好地协同工作,并使用 AI 和自动化来上报重大风险。互操作性是避免覆盖范围出现缺口的关键。
