华为云用户手册

RES14-02 自动化变更 自动化变更是指自动化提供并管理应用程序的环境（计算、存储、网络、中间件服务等）、安装、配置，实现Infrastructure as a Code；以解决手工部署中易于出错、依赖个人能力，手工配置中变更无法跟踪、难以回滚等难题。 风险等级 高 关键策略 使用配置管理工具进行变更：集中管理配置信息，发现和记录配置变化情况，快速识别变更影响范围。 采用自动化变更流程：帮助组织规划和自动化变更流程，如预定义变更模板、审批变更流程、自动化测试和验证等，减少人工错误和延迟。 进行变更评估和风险管理：评估变更影响范围，识别潜在风险和冲突，并采取相应的措施进行风险管理。 自动化测试和验证：验证变更的正确性以及性能、可靠性影响，减少人工测试的错误和延迟。 监控和审计变更过程：追踪和记录变更执行情况，及时发现和解决问题，提供透明度和可追溯性。 相关云服务和工具 云运维中心 COC： 作业管理：提供用户自定义作业的创建、修改、删除以及在目标虚拟机上执行自定义作业的能力。通过该功能，用户可以通过自定义作业在目标实例（目前支持E CS ）上执行操作。 变更中心：支持承载变更流程管理业务，以变更工单模式，从变更的申请、审批、执行三个大环节管控变更业务，为变更人员、变更管理人员提供统一管理平台。 父主题： RES14 配置防差错

电商类应用典型部署架构（99.99%） 电子商务类应用用于外部客户，需要提供较高的可用性，并能承受组件故障，其可用性目标通常要求达到99.99%，即每年故障时间可以为52.56分钟。 假定故障中断与变更中断的时长分别如下： 故障中断：假定每年故障中断3次，每次应急恢复决策时长为10分钟，恢复处理时长为5分钟，则每年故障中断时长为45分钟。 变更中断：假定应用支持金丝雀部署或蓝绿部署，并自动完成，软件更新不中断业务。 按照以上评估，每年应用系统不可用的时长是45分钟，满足可用设计目标要求。 电子商务类应用典型架构为前端无状态应用层+后端数据库，其中前端无状态应用可采用ECS或CCE；后端数据库基于不同业务类型可采用不同数据库，通常采用RDS for MySQL；同时通常还会使用DCS、Kafka等中间件及DDS文档数据库；为满足对应的可用性目标，建议采用以下方案。 单Region方案 双Region方案 父主题： 参考架构

变更防差错 在系统的运行过程中，配置变更是导致生产系统不可用的重要风险之一，如配置修改、工作负载手工增缩或补丁安装等。当变更失败时，可能会导致性能下降或业务中断等严重的问题。因此为了降低变更带来的业务风险，需要为工作负载或其环境的更改做好准备，实现工作负载的可靠操作。 变更操作属于运维的一部分，内容可参考卓越运营支柱部分“运维准备和变更管理”。 RES14 配置防差错 RES15 升级不中断业务 父主题： 韧性支柱

内部工具或公测类应用典型部署架构（99%） 内部工具类应用通常用于内部操作，且在故障时只会对内部员工造成影响，不可用时只会带来不方便，可以承受长时间的恢复时间和恢复点；公测类应用用于面向客户的实验性的工作负载，在必要时可以隐藏其功能；针对这些应用，其可用性目标通常要求不高，可达到99%，即每年中断时间可以为3.65天。 导致业务中断的时间包含故障中断时间及由于升级配置维护等导致的中断时间，假定分别中断时间如下： 故障中断：假定每年故障中断4次，每次应急恢复决策时长为1小时，应用负载重新部署、配置与数据恢复时长为2小时，则每年故障中断时长为12小时。 变更中断：假定应用离线更新，每年更新6次，每次更新时长4小时，则每年更新时长为24小时。 按照以上评估，每年应用系统不可用的时长是36小时，满足可用设计目标要求。 内部工具类应用典型架构为前端无状态应用层+后端数据库，其中前端无状态应用可采用ECS或CCE（以ECS为例），后端数据库基于不同业务类型可采用不同数据库，通常为RDS for MySQL；为满足对应的可用性目标，建议方案如下： 类别 实施方案 冗余 ECS与RDS单节点部署。 备份 RDS自动备份，在数据故障时使用最新备份数据恢复，可以满足可用性目标要求。 容灾 不支持容灾部署，在站点故障的情况下，重新进行应用部署与备份数据恢复。 监控告警 进行简单的监控，检查应用系统是否能正常返回消息。 弹性扩缩容 提供常见故障处理runbook，以便在容量不足等场景可以手工扩容。 变更防差错 软件更新采用离线更新，安装和重启应用需要停机，根据runbook进行应用的部署与回滚。 应急恢复处理 指定应用系统责任人，在突发事件后能找到相关责任人进行恢复处理。 根据以上方案，典型部署架构如下： 该架构的主要特点包括： 应用系统部署在单Region单AZ。 为了保证数据的可靠性，RDS数据库的数据定期自动备份到OBS，在数据丢失时可以快速恢复。 父主题： 参考架构

RES10-02 应用系统多位置部署 通过将应用系统部署在多个位置，可以避免由于一个位置的基础设施故障而导致系统不可用。 风险等级 高 关键策略 将应用系统的数据和资源部署在多个AZ，可避免单个AZ故障影响业务。 对于可用性要求较高的应用系统，可部署在多个Region，避免单个Region故障影响业务。 当多AZ架构可以满足应用可用性需求时，无需采用多Region部署。 父主题： RES10 故障隔离

RES12-01 组建应急恢复团队 为了应对紧急故障场景，需要组建应急恢复团队，明确责任人，并进行培训。 风险等级 高 关键策略 组建应急恢复团队：其中包括应急恢复主席及所有组件及关键依赖项的恢复责任人。 应急恢复主席：在出现问题后及时组织应急恢复团队进行快速恢复处理。 组件或关键依赖项运维责任人：负责问题定位和应急恢复处理。 制定应急恢复管理方案：所有应急恢复团队人员都需要进行应急恢复培训，熟悉应急恢复处理流程和恢复方法。 父主题： RES12 应急恢复处理

RES11-05 红蓝攻防 通过红蓝攻防，可以模拟各种复杂的攻击场景，帮助全面评估应用韧性，及时发现并解决潜在风险。 风险等级 高 关键策略 蓝军从第三方角度发掘各类脆弱点，并向业务所依赖的各种软硬件注入故障，不断验证业务系统的可靠性；而红军则需要按照预先定义的故障响应和应急流程进行处置。 演练结束后，建议针对故障中的发现、响应、恢复三个阶段的时长和操作内容进行复盘，并梳理改进点进行优化，提升业务系统的稳定性。 父主题： RES11 可靠性测试

RES13-05 资源自动扩容考虑了配额限制 当应用系统在资源不足自动扩容时，需要考虑配额的限制，若配额不足，会导致自动扩容失败。 风险等级 高 关键策略 华为云为防止资源滥用，限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云服务器、多少块云硬盘。在动态使用云服务资源时，需要了解云服务的限制，避免由于超过云服务配额限制而导致业务故障。当配置自动扩容时，需要确保自动扩容到最大时的规则不超过配额限制。 在系统中也可配置资源使用超过一定限额后进行预警，避免配额超过限制后导致业务受影响。 相关云服务和工具 使用华为云“我的配额”，可以查询每个云服务不同资源类型的总配额限制和已用配额，可根据业务的需要申请扩大对应云服务指定资源的配额，也可配置配额预警，以便在配额达到预警阈值时可收到告警通知，以便提前申请提升配额。 当应用系统中涉及到资源的弹性伸缩时，尤其需要关注弹性伸缩的配置是否会被限制，比如AS弹性伸缩服务中可以配置能创建的最大实例数量，而在过载情况下是否能真的创建出那么多实例，会依赖于ECS弹性云服务器配额、EVS云硬盘配额，当需要弹性公网IP时涉及弹性公网IP配额等，当配额不足时会导致无法创建工作负载进行业务分担，而业务受损。 父主题： RES13 过载保护

SEC04-01 对网络划分区域 网络的分区是将网络划分为多个部分，以隔离不同敏感性要求的网络流量和资源，从而增加网络的安全性。 风险等级 高 关键策略 通过网络分区，可以实现以下目的： 隔离敏感数据：将敏感数据和应用程序隔离在独立的网络分区中，以减少未经授权访问的风险。 可扩展性：分区和分层可以帮助管理和扩展复杂的网络架构，使其更易于维护和扩展。 限制网络流量：控制不同网络分区之间的通信流量，以确保只有经过授权的流量可以流动。 提高性能和可用性：通过分区网络，可以优化网络性能和可用性，避免网络拥塞和单点故障的影响。 定义每个分区的边界，并按照方便管理和控制的原则为各网络区域分配地址。例如，对于一个Web工作负载，划分Web区、App区、Data区等。最重要的边界是公共网络（互联网）与应用程序之间的边界，这个边界是您的工作负载的第一道防线。华为云的VPC和子网都可以作为每个网络分区的边界。 VPC划分：为VPC指定合适的CIDR范围，以确定VPC的IP地址空间。 子网划分：在VPC中，创建多个子网，并将不同的资源部署在不同的子网中。 相关云服务和工具 虚拟私有云 VPC 父主题： SEC04 网络安全

单Region方案 采用单Region时，前端以CCE为例，建议方案如下： 类别 实施方案 冗余 ELB、CCE、DCS、Kafka、RDS、DDS等云服务实例均高可用部署。 备份 RDS、DDS数据库自动备份，在数据故障时使用最新备份数据恢复，可以满足可用性目标要求。 容灾 应用在两个AZ各部署一套，进行双向复制，双活容灾；AZ故障时自动恢复。 监控告警 进行站点运行状态检查，在发生故障时告警；针对CCE、DCS、kafka、RDS、DDS等实例负载状态进行监控，在资源过载时需要告警。 弹性扩缩容 CCE集群支持工作负载的自动弹性伸缩。 变更防差错 软件更新采用金丝雀或蓝绿部署，部署过程自动完成，在部署过程中出现问题时自动回滚。 应急恢复处理 制定应急处理机制，指定应急恢复人员，以便在突发事件后能快速决策和恢复；并提供常见应用、数据库问题以及升级部署失败的相关解决方案，以便在出现问题后可以及时恢复；定期进行演练，及时发现问题。 根据以上方案，典型部署架构如下： 该架构的主要特点包括： 应用系统采用无状态应用+有状态数据库的分层部署架构。 该应用系统在华为云一个Region两个AZ中各部署一套，提供同城容灾能力。 接入层（外部GSLB）：通过外部GSLB进行 域名 解析与流量负载均衡，在单个AZ故障时自动将业务流量切换到另一AZ。 应用层（负载均衡器、应用软件及容器）：对于无状态应用，通过负载均衡器进行故障检测与负载均衡，并可通过容器进行弹性伸缩。 中间件层：每个可用区各部署一套DCS、DMS Kafka集群。 数据层：每个可用区各部署一套RDS数据库，通过DRS 数据复制服务 实现跨AZ的双向数据库复制与容灾切换；并支持定期自动数据备份，在数据丢失时能快速恢复。OBS对象存储跨可用区高可用部署，单个AZ故障对业务没有影响。 为了保证数据的可靠性，RDS数据库的数据定期自动备份。 父主题： 电商类应用典型部署架构（99.99%）

SEC01-02 建立安全基线 建立符合合规性要求、行业标准和平台建议的安全基线，安全基线是团队内对安全的底线要求。根据基线定期衡量您的工作负载架构和运行情况，持续保持或改善工作负载的安全状况。 风险等级 高 关键策略 确定合规性要求：了解您的工作负载必须符合的组织、法律和合规性要求。 相关云服务和工具 华为云合规中心 华为云信任中心 华为云等保合规安全解决方案：华为云依托自身安全能力与安全合规生态，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。通过华为30年安全经验积累，结合企业和机构的安全合规与防护需求，来帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 父主题： SEC01 云安全 治理策略

SEC08-04 数据收集合规性 数据收集合规性是指数据控制者在收集个人数据时需遵守相关的法律法规和隐私保护准则，确保数据收集活动符合法律规定并尊重数据主体的权利。 风险等级 高 关键策略 收集个人数据必须获得数据主体授权。 收集敏感个人数据必须获得数据主体明示同意。 个人数据收集范围、使用目的、处理方式不得超出隐私声明，且遵循最小化原则。 收集到同意之后也需要向数据主体提供撤销或修改同意的途径。 父主题： SEC08 数据隐私保护

SEC05-01 云服务安全配置 安全配置是一个信息系统的最小安全保障，云服务安全配置是云环境最基本的安全保证，是开展安全防护的基础。正确配置云服务可以帮助防止安全漏洞和数据泄露，提高整体系统安全性。如果云服务没有达到安全配置基线要求，云上业务及资产将面临巨大安全风险。 风险等级 高 关键策略 遵循华为云安全配置基线指南，包括对不同服务的安全配置建议，例如： 容器安全 ，例如容器安全配置，CCE里不安全的容器配置可能导致容器逃逸问题 系统漏洞，例如操作系统的版本有没有升到最新版，使用版本是否存在漏洞 开放必要的端口，例如系统是否对公网开放22，3306等高危端口 禁止将重要业务数据所在的OBS桶设置为公开桶或者配置为公共可读。 定期执行云服务安全配置的基线检查。 全面性检查：确保基线检查覆盖所有关键的云服务配置项，包括身份认证、访问控制、网络安全等关键配置。 定期与实时检查：设置定期自动检查计划，并提供实时检查功能，以便在需要时立即评估云服务的安全状态。 风险评估：对检查结果进行风险评估，识别不同级别的风险资源，如致命、高危、中危、低危和提示。 相关云服务和工具 华为云服务的安全特性：在云服务模式下，如何保障云上安全，成为大多数企业和客户的首要关注问题。华为云致力于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全及基础设施安全，同时也为致力于为客户提供先进、稳定、可靠、安全的产品及服务。文档中说明了如何配置华为云服务以满足您的安全性目标。 华为云安全配置基线指南 配置审计 Config 安全云脑 SecMaster：使用安全云脑对云服务安全配置基线进行基线检查，持续保护客户的云服务安全。 企业主机安全 HSS：最新版本支持包含主机安全和容器安全（原CGS服务）的特性 父主题： SEC05 运行环境安全

SEC07-01 识别工作负载内的数据 通过业务流程、数据流动方向、数据分布、数据的所有者等维度，对照合规要求评估数据的敏感度，对数据分级分类。 风险等级 高 关键策略 遵循以下步骤梳理、识别数据： 业务流程分析。 了解业务流程，对照业务流程图，明确在各个环节中产生、处理和存储的数据类型和用途。 与业务部门、开发团队、运维人员等进行交流，获取关于数据的详细信息。 确定数据的分布：需要确定数据存储在哪里，例如云硬盘、数据库、对象存储等。 评估数据敏感度。 确定数据的类型和内容，例如是否包含个人身份信息（如姓名、身份证号、地址等）、财务数据（如银行账号、交易记录等）、商业机密（如产品研发计划、客户名单等）或其他受法规保护的数据； 考虑数据的潜在影响。如果数据泄露或被滥用，会对个人、组织或社会造成多大的危害，包括经济损失、声誉损害、法律责任等。 参考相关的法律法规、行业标准和企业内部的合规政策。不同行业和地区对于敏感数据的定义和要求可能不同，例如医疗行业的患者数据、金融行业的客户交易数据等，都有特定的法规和标准来规范其保护。 结合组织的业务战略和风险承受能力。对于关键业务相关的数据，即使其本身不属于常见的敏感类型，也可能因其对业务的重要性而被评估为高敏感度。 借助数据发现和分类工具，自动扫描工作负载以识别数据。自动识别和分类数据可帮助您实施正确的控制措施。 创建并维护数据清单。将分级分类后的数据整理成清单，包括数据的名称、描述、来源、分布情况、数据敏感度、所属分类级别等详细信息。 相关云服务和工具 数据安全中心 DSC：DSC可根据敏感数据发现策略来精准识别数据库中的敏感数据，并支持从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对结构化数据和非结构化数据进行扫描、分类、分级，解决数据“盲点”。 父主题： SEC07 通用数据安全

SEC02-03 网络访问权限最小化 确保只有必要的人员或组件可以访问特定的网络资源。 风险等级 高 关键策略 通过配置安全组和网络访问控制列表（ACL），控制进出云资源的网络流量，确保只有授权的流量能够访问特定的服务和端口。根据业务实际情况优化每个网络区域的ACL，并保证访问控制规则数量最小化。 避免暴露多余的公网IP，同时不应对外开放或未最小化开放高危端口、远程管理端口。 安全组仅开放业务所需的网段及端口，禁止设置成对所有IP(0.0.0.0/0)都可访问。 相关云服务和工具 虚拟私有云 VPC NAT网关 NAT 安全云脑 SecMaster：云服务基线核查 父主题： SEC04 网络安全

SEC10-02 制定事件响应计划 事件响应计划（Incident Response Plan, IRP）是组织安全策略的重要组成部分，它旨在确保在安全事件发生时，能够迅速、有序地采取行动，最大限度地减少损失，并尽快恢复正常运营。 风险等级 高 关键策略 建立事件响应计划，包括定义事件级别、响应流程和恢复策略。对服务可用性有影响或者租户可感知的安全事件划分为5个等级，S1/S2/S3/S4/S5。 实施持续的监控，包括云环境的日志、网络流量和异常行为。当检测到潜在事件时，进行初步分析以确定事件的性质和严重性。 实施快速安全响应动作，隔离受影响的系统或账户、断开网络连接、停止服务、清除恶意文件、修复漏洞、替换受损系统并加固系统，确认所有威胁已经被完全清除，避免再次发生。 制定恢复策略，逐步恢复受影响服务，确保数据和系统一致性，进行测试确保所有系统恢复正常运作。 进行事件后分析，总结事件的起因、响应过程和教训。更新事件响应计划，根据经验教训进行改进。 定期审查和更新事件响应计划，以适应新的威胁和业务需求。 事件级别 事件及时响应时间 平均风险控制时间 S1事件 5分钟 1小时 S2事件 5分钟 2小时 S3事件 5分钟 4小时 S4事件 10分钟 24小时 S5事件 10分账 48小时 父主题： SEC10 安全事件响应

安全性云服务介绍 安全治理 统一身份认证 服务 IAM ：提供权限管理、访问控制和身份认证的基础服务，安全地控制华为云服务和资源的访问权限。 组织 Organizations：为企业用户提供多账号关系的管理能力。用户可以将多个华为云账号整合到创建的组织中，并可以在组织中设置治理策略。 应用身份管理 服务 OneAccess ：为云提供的应用身份管理服务，具备集中式的身份管理、认证和授权能力，保证企业用户根据权限访问受信任的云端和本地应用系统，并对异常访问行为进行有效防范。 资源治理中心 RGC：提供搭建安全、可扩展的多账号环境并持续治理的能力。 资源访问管理 RAM ：为用户提供安全的跨帐号共享资源的能力。您可以创建一次资源，并使用RAM服务将该资源共享给指定对象（包括组织、组织单元以及帐号） IAM 身份中心：为客户提供基于华为云组织（Organizations）的多帐号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户，一次性配置企业的身份管理系统与华为云的单点登录，以及所有用户对组织下帐号的访问权限。 网络安全 云防火墙 CFW：新一代的云原生防火墙服务，弹性灵活降低部署成本，智能极简助力高效运维。 DDoS防护 AAD：华为云DDoS防护提供全球化服务，以应对DDoS攻击挑战，可提供毫秒级攻击响应、多维度行为分析及机器学习、防御策略自动调优，精确识别各种复杂DDoS攻击，以保护您的业务连续性。 威胁检测 Web应用防火墙 WAF：保护网站等Web应用程序免受常见Web攻击，保障业务持续稳定运行，满足合规和监管要求。 配置审计 Config：为用户提供全局资源配置的检索，配置历史追溯，以及基于资源配置的持续的审计评估能力，确保云上资源配置变更符合客户预期。 企业主机安全 HSS：帮助客户方便地管理主机、容器的安全风险，实时发现勒索、挖矿、渗透、逃逸等入侵行为，是等保合规、护网、重保必备服务。 漏洞管理服务 CodeArts Inspector：面向软件研发和服务运维提供的一站式漏洞管理能力，通过实时持续评估系统和应用等资产，内置风险量化管理和在线风险分析处置能力，帮助组织快速感知和响应漏洞，并及时有效地完成漏洞修复工作，更好地应对潜在的安全威胁。 数据安全 数据安全中心 DSC：新一代的云原生数据安全平台，提供数据分类分级，敏感数据扫描，数据安全体检，数据水印溯源，数据脱敏等基础数据安全能力。通过数据安全资产地图整合数据安全生命周期各阶段状态，对外整体呈现云上数据安全态势。 数据加密 服务 DEW：提供密钥管理、凭据管理、密钥对管理、专属加密功能，安全可靠为用户解决数据安全、密钥安全、密钥管理复杂等问题。 云证书管理服务 CCM：为云上海量证书颁发和全生命周期管理的服务。目前它可以提供SSL证书管理和私有证书管理服务。 数据库安全服务 DBSS：基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 合规与隐私保护 合规中心：为您提供全方位的合规遵从性指导和资源 云审计 服务 CTS ：提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景 配置审计 Config：为用户提供全局资源配置的检索，配置历史追溯，以及基于资源配置的持续的审计评估能力，确保云上资源配置变更符合客户预期。 安全运营 安全云脑 SecMaster：华为云原生的新一代安全运营中心，集成华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 父主题： 安全性支柱

选择合适的计算资源 评估计算要求涉及评估工作负载的特定计算需求，包括实例类型、可伸缩性和容器化等因素。不同的计算服务具有不同的功能和特征，可能会影响工作负载的性能。选择最佳计算服务以确保工作负载高效运行。请考虑以下策略： 了解实例类型 不同的实例类型针对不同的工作负载进行优化，例如CPU优化、内存优化和GPU优化，选择符合需求的实例类型。 考虑自动缩放 如果工作负载的需求不定，请考虑具有自动缩放功能的计算服务，该功能可根据需求自动调整计算容量。自动缩放有助于确保在高峰期拥有足够的资源，并防止在低需求时段过度预配。 考虑容器化 与非容器化工作负载相比，容器具有性能优势。如果适合体系结构需求，请考虑使用容器化。容器可以通过隔离、资源效率、快速启动时间和可移植性来提高计算性能。 使用容器时，请考虑设计因素，例如将所有应用程序组件容器化。将基于Linux的容器运行时用于轻型映像。为容器提供较短的生命周期，使其不可变且可替换。从容器、容器主机和基础群集收集相关日志和指标。使用此数据监视和分析性能。容器只是整体体系结构的一个组件。选择适当的容器业务流程协调程序（如Kubernetes），以进一步增强性能和可伸缩性。 PERF03-01 选择合适类型的计算云服务 PERF03-02 选择合适规格的虚拟机和容器节点 PERF03-03 使用弹性伸缩 父主题： PERF03 性能建模

PERF02-02 容量规划 风险等级 中 关键策略 容量规划指根据业务需求和系统性能，包括用户数量、并发请求量、响应时间要求等，以此规划和配置系统所需的资源。容量规划对于任何组织来说都非常重要，有效的容量规划可以确保有足够的资源来满足预期的需求，同时避免浪费资源。 收集容量数据 收集容量数据有助于将业务目标转化为技术要求，并且对于预测容量至关重要。为了满足工作负载需求，收集容量数据需要包括系统资源消耗数据以及业务关键数据。 资源消耗数据：包括CPU、内存、磁盘空间、网络带宽等，以便确定系统的瓶颈所在。 业务关键数据：包括用户数量、用户行为模式、业务类型、业务时段等，以便确定业务需求对工作负载的影响。 预测需求 有效的容量规划需要为未来的业务需求做好准备，通常使用工作负载的数据来预测未来需求。预测需求是一个复杂的过程，涉及到多种因素，包括市场趋势、消费者行为、竞争环境等。通过多种方法的组合，如历史数据分析、资源分析、趋势分析等，以此作为预测需求的基础，并结合人工智能机器学习算法，以便更准确地预测未来的需求，评估工作负载的资源需求。 使预测与工作负载目标保持一致 为了确保预测与工作负载目标保持一致，需要定期对预测进行评估，比较实际结果与预测结果，根据需要对容量预测模型进行调整。例如新的应用或服务添加到系统中，那么容量预测模型就需要考虑这些新的容量需求。预测与工作负载目标的一致性，可确保充分预配资源，防止资源浪费或工作负载过载。 确定资源需求 根据需求和预测分析的结果，进行容量评估和规划。确定系统所需的计算资源、存储资源和网络带宽等资源，以满足系统的性能要求。 计算资源：根据预测的需求，计算所需的CPU、GPU、内存等计算资源，并根据实际情况进行选择和配置。 存储资源：根据预测的需求，计算所需的存储空间，例如需要存储大量的数据，可能需要选择分布式存储系统。 网络带宽：根据预测的需求，计算所需的网络带宽，例如需要进行大规模的数据传输或者实时的网络通信，可能需要选择高速网络 了解资源限制 容量规划时了解和合理使用资源限制非常重要，常见的资源限制包括进程、线程、CPU使用率、内存使用量、磁盘空间等。资源限制的主要目的是保证系统的稳定性，防止某些进程或应用程序占用过多的系统资源，导致其他进程或应用程序无法正常运行，甚至导致系统崩溃。 父主题： 性能规划

性能效率支柱简介 如何设计出高性能的架构是一个普遍性的问题。作为基本的质量属性，性能的重要性和性能失败后果的严重性是毋庸置疑的，实际上公司内外都有很多性能失败的例子。本文试图为性能设计、性能优化提供一些技术方法和手段，这些方法手段可以用于系统的软件性能工程建设，也可用于指导性能调整和优化。 早期的设计决策会对性能调节能否成功，以及是否有必要进行性能调节产生重要影响。如果开发的软件对性能非常敏感，实际上需要从设计阶段和开发周期的第一天起就考虑性能管理的问题，即采取系统的主动性能管理的办法来解决性能问题。除了管理上的措施外，解决性能问题需要在系统和架构设计、实现方案设计及编码实现上采取有效的技术手段来保证。 一般认为，性能问题通常由于体系架构或设计问题造成，而不是低效的编码引起的。性能问题在开发过程的早期已经引入，而大部分开发团队直到集成测试，或更晚的时候才予以考虑。实际情况并非完全如此，编码实现阶段引入的性能问题也很普遍，只是解决体系架构引起的问题代价要高得多。下面给出影响系统性能的几个因素： 体系架构设计：影响性能的决定性因素，需要在设计之初考虑 实现方案设计：影响性能的主要因素，在不改变整体架构的情况下可以修改 编码实现：目前情况下是重要因素，也是可以不断改进的因素 系统或组件的性能问题，对外的表象上反应为： 请求响应延迟时间过长 资源占有量过大 对常见的性能问题进行分析，可以发现对于一个系统或组件来说，性能问题经常发生在以下方面： 实体间通信或者调用处理（包括数据库） 频繁调用函数、模块处理过程、数据组织等问题 并行处理资源争用引起的延迟 串行处理进程/线程间等待延迟 父主题： 性能效率支柱

SEC02-01 对账号进行保护 账号是华为云租户的账号体系中权限最高的用户，拥有对整个云环境的最高权限。一旦账号受到攻击或泄露，可能导致严重的安全问题和数据泄露。因此，身份认证的安全性首先要考虑对此账号进行保护。 风险等级 高 关键策略 强密码：使用强密码来保护账号，包括数字、字母、特殊字符的组合，并确保密码足够长且复杂。 多因素认证（MFA）：启用多因素认证为保护账号提供了额外的安全层次。除了密码之外，MFA需要额外的身份验证信息，提高了账号的安全性。 限制日常操作：避免直接使用账号进行日常操作，而是创建并使用IAM用户进行日常的管理操作。账号应仅用于关键操作，如创建新的IAM用户或修改权限。 优先使用临时凭证并定期轮换凭证：定期更改账号的密码，并定期更新MFA设备。这有助于减少被猜测或盗用的风险。 启用审计日志：启用审计日志功能，以监控账号的活动。审计日志可以帮助检测异常行为并及时采取措施。 多账号管理场景：需指定一个账号作为中央账号（企业主账号），由这个账号再添加成员账号（企业子账号）。优先保证中央账号的安全，再考虑成员账号。 相关云服务和工具 统一身份认证服务 IAM 组织 Organizations 企业管理 云审计服务 CTS 父主题： SEC02 身份认证

SEC01-05 实施威胁建模分析 威胁建模是一种系统性的方法，用于识别和评估可能对系统或组织造成威胁的潜在威胁源、攻击路径和攻击手段。通过识别威胁理解系统的安全风险，发现系统设计中的安全问题，制定消减措施，降低系统风险，提升系统安全性和韧性。 风险等级 高 关键策略 以下是系统运行期间的威胁模型： 该模型中涉及的概念如下： 威胁主体：有企图的利用脆弱性的实体称为威胁主体；威胁主体可以是人、程序、硬件或系统。 脆弱性：系统中允许破坏其安全性的缺陷，包括软件、硬件或过程或人为的缺陷。脆弱性的存在，说明了缺少应该使用的安全措施，或安全措施有缺陷。 威胁：利用脆弱性而带来的任何潜在危险。 风险：攻击者利用脆弱性的可能性以及相应的业务影响；风险将脆弱性、威胁和利用可能性与造成的业务影响联系在一起。 资产： 任何对组织有价值的信息或资源，是安全策略保护的对象。 处置措施：包括安全角度的消减措施和韧性角度的增强措施，能够消除脆弱性或者阻止威胁，或者降低风险的影响和保护资产。 实施威胁建模，需要有攻击者思维，像攻击者一样思考，发现潜在的暴露面/攻击目标及可用的攻击方法，从而发现系统中潜在的安全威胁、 建立相应的消减措施。 威胁建模的一般步骤如下： 确定范围：明确要进行威胁建模的云上系统范围，包括云服务、数据存储、网络架构等。 收集信息：收集关于云上系统的信息，包括系统架构图、数据流程、访问控制策略等。 识别资产：确定在云上系统中的关键资产，包括数据、应用程序、虚拟机、存储等。 识别威胁源和攻击路径：确定可能对云上系统构成威胁的威胁源和攻击路径，考虑不同攻击者可能采取的攻击手段。 评估威胁概率和影响：评估每种威胁的概率和可能造成的影响，包括数据泄露、服务中断等。 制定安全对策：根据识别的威胁，制定相应的安全对策和控制措施，包括访问控制、加密、监控等。 持续改进：定期检视和更新威胁模型，以反映新的威胁和安全风险，确保云上系统的安全性得到持续改进。 以下是OWASP总结的Web应用系统TOP10的威胁及处置措施： 相关云服务和工具 解决方案工作台 InnoStageWorkbench：使用解决方案工作台辅助进行云上架构图的可视化设计，基于架构图进行威胁分析。 父主题： SEC01 云安全治理策略

SEC01-03 梳理资产清单 梳理工作负载涉及的服务器、IP地址、域名、数据库、证书等全量云资源的资产清单，给资源打上标签，从而在出现安全事件时，能快速定位到有安全风险的资源。 风险等级 高 关键策略 设计态与运行态一致性：对照设计态的架构图、架构文档实施云服务资源。工作负载运行时的架构始终保持与设计态一致。 自动化资产盘点：使用安全云服务或工具来自动发现和记录云上资源，包括主机、存储、数据库、网络等。这样可以确保资产清单的及时性和准确性。 标签和元数据：使用标签和元数据来对云资源进行分类和描述，以便更好地组织和管理资源清单。通过标签可以快速识别和过滤资源，有助于监控和安全审计。 相关云服务和工具 解决方案工作台 InnoStageWorkbench：使用解决方案工作台辅助进行云上架构的可视化设计。 安全云脑 SecMaster：安全云脑支持对云上资产全面自动盘点，也可灵活纳管云外各种资产，点清所有资产，并呈现资产实时安全状态。 配置审计 Config 标签管理服务 TMS 父主题： SEC01 云安全治理策略

SEC08-06 向第三方披露个人数据合规性 在将个人数据分享、转移或提供给第三方时，数据控制者必须遵守相关的法律法规和隐私保护准则，以确保数据转移活动符合法律规定并尊重数据主体的权利。 风险等级 高 关键策略 产品需评估是否存在将个人数据推送给第三方应用。评估是否存在高度敏感的用户数据在未获得用户明示同意便推送。同时应该对齐第三方应用，是否对共享的数据设置了合理的保护机制。 用户个人数据转移给第三方前须经过用户同意，符合合法性原则。 转移的目的和范围不能超出收集时所声明的目的和范围。 必须保证个人数据的准确性、完整性和最新状态，保证在任何阶段和环节不能随意篡改、删除、滥用个人数据。 输出者必须获得接收者的明确承诺，保证个人数据的完整性、准确性和安全性，防止滥用及不正当披露。 高影响个人数据（包括口令，银行帐号，批量个人数据等）的传输须采用安全传输通道或者加密后传输。 如涉及数据的跨境传输，需遵从当地的法律法规。 父主题： SEC08 数据隐私保护

SEC06-04 应用安全配置 对应用运行时的各项配置进行加固，以避免因安全配置错误而产生的安全漏洞和风险。 风险等级 高 关键策略 根据安全配置规范，对您工作负载中的应用，如Nginx、Tomcat、Apache、Jetty、JBoss、PHP、Redis等完成安全配置加固和Web攻击防护。 系统越权，例如系统是否存在capability提权、suid文件提权、定时任务提权、sudo文件配置提权等系统提权问题。 服务运行用户，例如服务运行的用户是否为最低权限用户，禁止使用root用户运行服务。 Web攻击，例如Web应用是否存在SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令、代码注入、网页木马上传、第三方漏洞攻击等常见Web威胁问题。 相关云服务和工具 企业主机安全 HSS Web应用防火墙 WAF 父主题： SEC06 应用安全性

SEC08-05 数据使用、留存和处置合规性 数据使用、留存和处置的合规性是指数据处理者在处理个人数据的过程中，包括数据的使用、保留和销毁阶段，需遵守相关的法律法规和隐私保护准则，确保数据处理活动符合法律规定并尊重数据主体的权利。 风险等级 高 关键策略 使用个人数据前必须获取数据主体授权，使用范围及方法不能超出收集目的。 系统应将隐私保护的功能默认设置成保护状态。 使用个人数据过程中，必须保证个人数据的安全，如记录运营运维阶段对个人数据增删改、批量导出等操作。 用于问题定位的日志中记录个人数据遵循最小化原则。 对于数据控制者，数据主体撤销同意之后，产品必须禁止继续收集和处理其相应个人数据。 对于提供用户画像的系统应为用户提供退出用户画像分析的机制。 相关云服务和工具 数据安全中心DSC：用户可以通过DSC的预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持RDS，ECS自建数据库等云上各类场景。另外，DSC可基于扫描结果自动提供脱敏合规建议，支持一键配置脱敏规则。 数据库安全服务 DBSS：使用数据库安全服务DBSS进行数据脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，客户可以通过开启DBSS的隐私数据脱敏功能，以及配置隐私数据脱敏规则来对指定数据库表以及来自特定源IP、用户和应用的查询进行脱敏。 父主题： SEC08 数据隐私保护

PERF03-03 使用弹性伸缩 风险等级 中 关键策略 如果工作负载能够支持弹性（例如：应用无状态化），请考虑具有自动缩放功能的计算服务，该功能可根据需求自动调整计算容量。自动缩放有助于确保在高峰期拥有足够的资源，并防止在低需求时段过度预配。虚拟机弹性伸缩和容器弹性伸缩都是实现应用自动化扩容和缩容的方式，但虚拟机弹性伸缩需要更多的资源和时间来启动和部署，而容器弹性伸缩可以更快速地响应变化，同时具有更高的资源利用率。虚拟机场景可以使用AS，容器场景充分考虑CA和HPA的弹性策略。 使用容器时弹性策略可参考下面内容： CCE的弹性伸缩能力分为如下两个维度： 工作负载弹性伸缩：即调度层弹性，主要是负责修改负载的调度容量变化。例如，HPA是典型的调度层弹性组件，通过HPA可以调整应用的副本数，调整的副本数会改变当前负载占用的调度容量，从而实现调度层的伸缩。 节点弹性伸缩：即资源层弹性，主要是集群的容量规划不能满足集群调度容量时，会通过弹出ECS资源的方式进行调度容量的补充。 两个维度的弹性组件与能力可以分开使用，也可以结合在一起使用，并且两者之间可以通过调度层面的容量状态进行解耦，详情请参见使用HPA+CA实现工作负载和节点联动弹性伸缩。 工作负载弹性组件介绍 类型 组件名称 组件介绍 参考文档 HPA Kubernetes Metrics Server Kubernetes内置组件，实现Pod水平自动伸缩的功能，即Horizontal Pod Autoscaling。在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 HPA策略 CustomedHPA CCE容器弹性引擎 自研的弹性伸缩增强能力，主要面向无状态工作负载进行弹性扩缩容。能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点）。 CustomedHPA策略 Prometheus Prometheus（停止维护） 云原生监控插件 一套开源的系统监控报警框架，负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。 NA CronHPA CCE容器弹性引擎 CronHPA可以实现在固定时间段对集群进行扩缩容，并且可以和HPA策略共同作用，定时调整HPA伸缩范围，实现复杂场景下的工作负载伸缩。 CronHPA定时策略 节点弹性伸缩组件介绍 组件名称 组件介绍 适用场景 参考文档 CCE集群弹性引擎 Kubernetes社区开源组件，用于节点水平伸缩，CCE在其基础上提供了独有的调度、弹性优化、成本优化的功能。 全场景支持，适合在线业务、深度学习、大规模成本算力交付等。 节点自动伸缩 CCE突发弹性引擎（对接CCI） 将Kubernetes API扩展到无服务器的容器平台（如CCI），无需关心节点资源。 适合在线突增流量、CI/CD、大数据作业等场景。 CCE容器实例弹性伸缩到CCI服务 相关云服务和工具 弹性伸缩 AS 云容器引擎 CCE 云容器实例 CCI 父主题： 选择合适的计算资源

SEC05-03 减少资源的攻击面 通过加固操作系统、减少未使用的组件和外部服务，以及使用工具加强云安全，减少资源的攻击面。 风险等级 高 关键策略 强化操作系统和减少组件：通过减少未使用的组件、库和外部服务，可以缩小系统在意外访问下的危险。这包括操作系统程序包、应用程序以及代码中的外部软件模块。 创建安全的虚拟机镜像或者容器镜像。 使用第三方工具进行安全性分析：使用第三方静态代码分析工具和依赖关系检查工具来识别常见的安全问题和漏洞，确保代码的安全性和合规性。 应用其他测试方法：除了工具的使用，还需要在应用程序级别进行测试，如使用模糊测试来查找和修复潜在的漏洞和错误。 相关云服务和工具 企业主机安全 HSS 父主题： SEC05 运行环境安全

问题和检查项 问题 检查项/最佳实践 SEC01 如何整体考虑云安全治理策略？ 建立安全管理队 建立安全基线 梳理资产清单 分隔工作负载 实施威胁建模分析 识别并验证安全措施 SEC02 如何管理人机接口和机机接口的身份认证？ 对账号进行保护 安全的登录机制 安全管理及使用凭证 一体化身份管理 SEC03 如何管理人员和机器的权限？ 定义权限访问要求 按需分配合适的权限 定期审视权限 安全共享资源 SEC04 如何进行网络安全设计？ 对网络划分区域 控制网络流量的访问 网络访问权限最小化 SEC05 如何进行运行环境的安全设计？ 云服务安全配置 实施漏洞管理 减少资源的攻击面 密钥安全管理 证书安全管理 使用托管云服务 SEC06 如何进行应用程序安全设计？ 安全合规使用开源软件 建立安全编码规范 实行代码白盒检视 应用安全配置 执行渗透测试 SEC07 如何进行数据安全设计？ 识别工作负载内的数据 数据保护控制 对数据操作实施监控 静态数据的加密 传输数据的加密 SEC08 如何进行数据隐私保护设计？ 明确隐私保护策略和原则 主动通知数据主体 数据主体的选择和同意 数据收集合规性 数据使用、留存和处置合规性 向第三方披露个人数据合规性 数据主体有权访问其个人隐私数据 SEC09 如何进行安全感知及威胁检测？ 实施标准化管理日志 安全事件记录及分析 实施安全审计 安全态势感知 SEC10 如何进行安全事件的响应？ 建立安全响应团队 制定事件响应计划 自动化响应安全事件 安全事件演练 建立复盘机制 父主题： 安全性支柱

SEC08-07 数据主体有权访问其个人隐私数据 数据主体有权访问其个人隐私数据是指根据相关的隐私保护法律和规定，个人拥有权利要求数据处理者提供关于其个人数据的访问权限。 风险等级 高 关键策略 向用户提供查询、更新个人数据的功能，且必须是实时、无成本，符合主体参与原则。 数据主体访问个人数据之前必须有认证机制。 记录数据的录入或者更新的时间。 建议提供必要的校验措施，比如通过Web页面的输入框录入e-mail地址的时候，校验e-mail地址格式的合法性等。 针对用户的注册信息，必须为用户提供修改其注册信息的途径。 用户修改隐私偏好的设置和选项要便于用户发现和使用。 对于收集、处理、存储个人数据的系统，应提供数据主体限制其个人数据处理机制。 对于收集、处理、存储个人数据的系统，应提供数据主体提供的个人数据导出的机制。 父主题： SEC08 数据隐私保护