检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。 通过分析FunctionGraph相关云服务(如OBS、VPC)的日志数据,实时检测恶意行为。 多维度日志分析:采集IAM、DNS、CTS等日志,利用AI引
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书 代码签名 数据面保障
监控安全风险 FunctionGraph基于云监控服务CES提供资源与操作监控能力,帮助用户监控其账号下的函数,实现自动实时监控、告警及通知。用户能够了解函数的调用次数、错误次数、运行时间(包括最大、最小和平均运行时间)、被拒绝次数及资源统计等信息。 云审计服务(CTS)提供多种
性能优化与安全类实践 FunctionGraph性能优化实践 FunctionGraph冷启动优化实践 FunctionGraph安全最佳实践
FunctionGraph安全最佳实践 安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云环境。您需要合理利用云服务提供的安全功能保护数据,确保安全地使用云服务。详情请参见责任共担。 本文提供了FunctionGraph使用过程中的安全最佳实践,旨在提供可操作的
内存配置,具体监控信息请参见查看FunctionGraph的监控数据,具体配置请参见配置函数的常规信息。 开启函数动态内存 FuntionGraph支持为函数启用动态内存,开启动态内存可以让函数在处理指定请求时,设置本次处理中函数实例使用的资源规格,从而最小化资源占用,达到更低的
数据泄露,保证您的数据安全。 数据保护技术 FunctionGraph中使用的数据保护技术如表1所示。 表1 数据保护技术说明 数据保护技术 说明 加密传输 所有的API请求调用和内部通信均通过TLS 1.2及以上协议进行加密传输。 加密存储 函数敏感信息配置和用户代码缓存使用AES算法加密存储,使用时解密。
管理函数 配置函数初始化 配置函数的常规信息 配置函数的磁盘挂载 配置函数的环境变量 配置函数的异步调用策略 配置函数的并发处理 配置函数的版本 配置函数的别名 配置函数的标签 配置函数的动态内存 配置函数的心跳检测 配置函数的快照式冷启动 配置函数的WebSocket连接 配置函数的流式返回
管理函数的触发器 本章节介绍如何通过函数工作流控制台,查看和管理创建过的触发器。 函数触发器列表 登录函数工作流控制台,在左侧导航栏选择“函数 > 触发器列表”,如图1所示,即可查看创建过的所有触发器,触发器类型页签会优先展示用户当前使用的触发器。 单击“所属函数”列下的函数链接
稳定性。 非持久化环境 运行时环境的文件系统和内存会在实例释放时一同被释放,避免了数据残留带来的安全风险,同时也提高了资源的利用率。 异常信息收集 运行时环境会自动收集函数执行过程中的异常信息和日志,帮助用户快速定位和解决问题,提高故障排查效率。 父主题: 安全
蓝/绿和滚动部署。详细信息请参阅函数版本配置。 弹性:当函数在处理前一个请求时收到新请求,FunctionGraph会启动另一个函数实例来处理增加的负载。FunctionGraph会弹性伸缩,以处理每个区域最大1000个并发执行,配额可根据需要调整。详细信息请参阅函数并发配置。
用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。 如表1所示,包括了FunctionGraph的所有系统权限。
用户函数代码安全 用户代码和私有依赖包是用户的核心资产,用户需确保代码的可靠性和安全性,避免在代码中嵌入敏感信息,如账号、密码,访问密钥(AK/SK),令牌(Token)等,并确保日志中不记录敏感信息,以防敏感信息泄露。 用户函数配置安全 使用加密环境变量 用户代码中的敏感信息配置可通
代码签名 为了保障用户的代码安全,防止代码文件损坏或被篡改导致代码不一致问题,保证被执行的函数代码为正确版本,当函数创建或修改代码时,FunctionGraph对用户的函数代码签名加密,为其生成代码签名,并存储在函数元信息内。 FunctionGraph在函数执行时,为当前执行的
PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 网络安全专用产品安全检测证书&软件著作权证书 另外,华为云安全服务提供了网络安全专用产品安全检测证书、软件
Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录FunctionGraph的管理事件用于审计。 CTS的
Serverless实例的生命周期可以分为三个阶段: 初始化:在此阶段,FunctionGraph会尝试解冻之前的执行环境,若没有可解冻的环境,FunctionGraph会进行资源创建,下载函数代码,初始化扩展和Runtime,然后开始运行初始化代码(主程序外的代码)。 执行:在此阶段,实例
访问控制 FunctionGraph服务支持通过IAM进行访问控制和精细的权限管理,能够帮助用户安全控制公有云资源的访问。详情请参见权限管理。 用户授权时尽量满足最小使用权限原则,可有效降低凭据泄露时的攻击范围,最小化业务影响。 事件源配置:用户需为事件源创建触发器,并为触发器授予相应的执行权限,以实现函数的触发。
通过KooCLI管理函数 KooCLI工具支持FunctionGraph服务,用户可以通过CLI工具执行函数管理,别名管理,触发器管理函数调用等操作。 约束与限制 当通过API访问公有云系统时,需要使用访问密钥(AK/SK)进行身份认证并对请求进行加密,确保请求的机密性、完整性和
返回网络控制台,在左侧导航栏选择“访问控制 > 安全组”,单击“创建安全组”,具体安全组配置详情请参见创建安全组,完成后单击“立即创建”。 名称:functions-deploy 企业项目:default 在“入方向规则”页签下,单击“添加规则”,给functions-deploy安全组添加一个入方向规则。
