低并发可能导致无法应对流量激增,影响业务连续性。 修复项指导 请根据参数要求和业务实际场景,配置合适的单实例并发数,操作步骤请参考配置单实例多并发。 检测逻辑 函数工作流被禁用,视为“合规”。 函数工作流未禁用,且单实例并发数量满足参数要求,视为“合规”。
标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 应用场景 如果您设置的转发策略是加权轮询算法或加权最少连接: 若所有后端服务器权重均为0,负载均衡器将无法转发流量,导致服务完全中断。
其次是性能方面,通过公网连接数据库可能增加延迟,因为流量需要经过公网,而内网通常带宽更高、延迟更低。详见TaurusDB安全最佳实践。 修复项指导 请不要为TaurusDB绑定弹性公网IP。如果已经绑定,请解绑。
其次是性能方面,通过公网连接数据库可能增加延迟,因为流量需要经过公网,而内网通常带宽更高、延迟更低。 GaussDB提供使用gsql、DBeaver、Navicat和数据管理服务(简称DAS)连接实例的方式,详见GaussDB实例连接方式介绍。
如果负载均衡器绑定弹性公网IP,使其支持转发公网流量请求,可能会带来以下风险: 公网暴露:弹性公网IP使负载均衡器直接暴露在公网中,可能成为攻击者的目标。 DDoS攻击:弹性公网IP可能成为DDoS攻击的目标,导致服务不可用或资源耗尽。
通过安全组,可以控制进出云服务器ECS的网络流量,包括如下维度: 流量过滤:安全组可以设置规则来允许或拒绝来自特定IP地址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。 端口控制:通过指定允许访问的端口,安全组可以帮助防止对未使用的或不安全的服务的访问。
通过这种方式防止未授权的访问及DDos攻击等。建议解绑弹性公网IP外部连接,如果您的业务必须绑定弹性公网IP,请务必通过设置安全组规则限制访问数据库的源IP。详见RDS for MySQL安全最佳实践。 修复项指导 请不要为RDS实例绑定弹性公网IP。
VPC的默认安全组关闭出、入方向的流量,视为“合规”。 VPC的默认安全组未关闭出、入方向的流量,视为“不合规”。 安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。
正确管理网络ACL有助于解决如下问题: 如果创建了ACL但未关联到任何子网,这些规则将无法生效,导致子网流量不受控制。 未关联的ACL可能包含宽松规则(如允许任意IP访问敏感端口),若被恶意关联到子网,会导致安全漏洞。
当安全组规则的源地址为安全组时,不会透传检查,源地址为安全组的流量为可信流量。 当安全组规则的源地址为IP地址组时,不会检查IP地址组上配置的IP地址条目,因为其不允许配置为全部地址。 安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。
通过流日志功能,可以满足以下业务场景的需求: 监控安全组和网络ACL的流量,帮您优化安全组和网络ACL的控制规则。 监控网络实例的流量情况,可以进行网络攻击分析等。 用于判断网络接口上出入流量的方向。 修复项指导 请根据指导,为虚拟私有云创建创建VPC流日志。
/放行流量。
当安全组规则的源地址为安全组时,不会透传检查,源地址为安全组的流量为可信流量。 当安全组规则的源地址为IP地址组时,不会检查IP地址组上配置的IP地址条目,因为其不允许配置为全部地址。 安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。
启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站 IP,从而确保源站IP 安全、稳定、可用。 修复项指导 请根据指导将网站接入WAF,实现域名防护。 检测逻辑 如果账号未配置并启用WAF防护策略的域名防护,视为“不合规”。
您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的Memcached绑定特定的虚拟私有云。该资源已经停售,建议使用Redis实例,见停售说明。
防护网站正常流量可能匹配到 WAF 内置规则,导致误拦截,可按需配置全局白名单规则。 检测逻辑 WAF实例未启用拦截模式防护策略,视为“不合规”。 WAF实例启用拦截模式防护策略,视为“合规”。 父主题: Web应用防火墙 WAF
这会带来如下问题: 未授权访问:公网访问增加了数据库暴露的风险,可能被恶意用户利用; 数据泄露:攻击者可能窃取敏感数据,如用户信息或财务数据; 数据篡改:攻击者可能通过公网访问篡改数据,影响其完整性; 网络延迟:公网访问通常比内网慢,影响数据库响应速度; 攻击目标:公网访问使数据库更容易成为DDoS
通过这种方式防止未授权的访问及DDos攻击等。不推荐绑定弹性公网IP,如果业务必需,请务必设置安全组。详见安全最佳实践。 修复项指导 配置实例的连接方式时,请不要使用公网连接,详情请参考实例连接方式介绍。 检测逻辑 DDS实例绑定了弹性公网IP,视为“不合规”。
您可以在自己的逻辑隔离区域中定义虚拟网络,确保GaussDB所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 GaussDB实例暂不支持直接通过控制台更换VPC。但您可以通过已有GaussDB的全量备份恢复到新实例的方法切换到目标VPC。
通过安全组,可以控制进出MRS集群的网络流量,包括如下维度: 流量过滤:安全组可以设置规则来允许或拒绝来自特定IP地址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。 端口控制:通过指定允许访问的端口,安全组可以帮助防止对未使用的或不安全的服务的访问。
