200+资源 超过100+服务的200+种资源可查询,存储,评估合规性 持续的合规监控 持续监控资源配置的变更,并在变更时自动触发合规评估,实现合规性的自动化监管 丰富的合规包种类 提供适用于多种场景和云服务的最佳实践合规包,支持统一评估和查看资源配置的合规性 为什么选择华为云配置审计
案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存
资源治理中心 RGC 资源治理中心 RGC 提供搭建安全、可扩展的多账号环境并持续治理的能力 提供搭建安全、可扩展的多账号环境并持续治理的能力 免费试用 文档 专家咨询 您是否还有这些疑问? 您是否还有这些疑问? 为什么无法搭建Landing Zone? 可能存在几个原因:1、当前账号未开启组织;
资源治理中心 RGC 概览 功能 常见问题 资源治理中心 RGC 资源治理中心 RGC 提供搭建安全、可扩展的多账号环境并持续治理的能力 提供搭建安全、可扩展的多账号环境并持续治理的能力 免费试用 文档 专家咨询 丰富的行业实践 金融、汽车、运营商、互联网等多行业的交付经验 一站式IT治理方案
开发者计划 使能开发者基于开放能力进行技术创新 开发支持 专业高效的开发者在线技术支持服务 开发者学堂 云上学习、实验、认证的知识服务中心 开发者活动 开发者实训、热门活动专区 迁移论坛 专家技术布道、开发者交流分享的平台 文档下载 主机迁移服务 SMS文档下载 更多产品信息 更多产品信息
开发者计划 使能开发者基于开放能力进行技术创新 开发支持 专业高效的开发者在线技术支持服务 开发者学堂 云上学习、实验、认证的知识服务中心 开发者活动 开发者实训、热门活动专区 社区论坛 专家技术布道、开发者交流分享的平台 文档下载 云容器引擎 CCE文档下载 更多产品信息 更多产品信息
挑战,传统的设备ID+密码的方式发放过程容易造成安全信息泄露,继而对业务造成安全威胁。 解决方案: 统一的设备发放服务 通过统一的设备发放服务,企业客户可集中配置和管理全球设备的发放策略。发放服务和跨区域的IoT平台深度集成,自动完成设备信息的发放,并完成对端侧设备的启动引导,实
资源 面向华为云用户提供安全、高效的一站式智能运维平台 面向华为云用户提供安全、高效的一站式智能运维平台 控制台 产品文档 资源与工具 资源与工具 API 通过API对脚本、应用资源进行操作 用户指南 包含使用资源运维、变更管理、混沌演练等模块的操作指导 地区和终端节点 了解华为
云监控服务 CES 资源 云监控服务 CES 资源 面向华为云资源的监控平台,提供实时监控、及时告警、站点监控等能力。轻松部署,保障业务稳定运行 面向华为云资源的监控平台,提供实时监控、及时告警、站点监控等能力。轻松部署,保障业务稳定运行 免费使用 控制台 文档 资源与工具 资源与工具
为用户提供一站式的云入驻服务。产品亮点企业已有传统服务器(租用或托管),想迁移至云平台。新企业想直接使用云平台服务。产品说明1、上云咨询:( 上云咨询有效期7天,逾期订单失效。) 帮助企业了解云服务、云平台及云平台上的产品特性。分析上云对您的业务所带来的优势和不足,如何使您的业务安全稳定的运行。2、上云迁移
华为云上云cssp服务伙伴,为企业客户提供上云评估、上云迁移、运维管理、安全管理等相关上云服务,不碰数据、不碰业务,做“企业信赖”的上云服务商标准化服务流程,不碰数据、不碰业务,让企业上云更简单,安全、省心,售后无忧
业高效业务推广。2、客户管理。数字化链接销售业务上下游,实现线索、客户到订单的完整业绩闭环管理。3、商城管理。多场景私域电商系统,可以DIY的会员制商城,助力企业裂变引流,高效经营。 规格说明:企业上云升级服务包(按年):提供招聘管理、文档管理、远程视频监控、印章管理、资产管理、
解决云服务器及网站产品使用中的各类问题,提供全程代维护及解决方案,避免网站出现运行错误,防止网页篡改,数据丢失的情况,具体请参考产品页详细说明。为了提高安全服务质量,避免出现问题反复,解决不彻底等现象,所有针对安全扫描评估、漏洞修复、木马/病毒修复等安全服务,请购买整年运维服务包
Workspace培训服务是面向客户的线下培训服务,成熟的企业管理员运营运维方法论支持,帮助企业数字化办公能力自建。Workspace培训服务:定位于培养具备基于华为云桌面进行解决方案设计、日常业务处理、日常运维的工程师。课程内容:华为云桌面发展趋势:企业办公面临的挑战、办公模式的演进、云上办公的优势、华为
存量企业的发展趋势、企业存活率、企业资本来向、企业的创新力等多个 方面实现对定位用户招商竞争力的整体动态监测,助力政府领导摸清企业发展 实力,研判整个用户的招商竞争力。2、招商能力对标:通过大数据、人工智能、标签分析等技术手段,筛选出符合当地的补强企业名单。通过动态图谱的形式选择
目管理高研班针对云计算行业的发展趋势和人才培养所面临的严峻挑战,华为云面向客户提供专业化的整体培训解决方案,华为总结自身数字化项目管理实践经验,帮助客户企业管理层深刻理解数字化项目管理的实践经验及其方法论,并介绍华为数字化项目管理在提升企业项目管理场景的实践及能力。规格:培训时长0
人规模/次,邀请政府领导、华为云合作伙伴、专家等,解读相应技术领域或产业领域的技术发展趋势、宏观政策导向、品牌出海等面临的机遇和挑战,分享新趋势和新的发展机会,为企业家们提供一个开阔视野、相互交流和沟通的平台。3.投融资路演会,联合企业和投资机构举办创业项目融资路演会,打造企业投融资平台,每次人数100人以上。4
非机动车管理:在三维场景中显示非机动车的报警标识、楼层车辆入楼数量和停车棚范围区域。实时获取小区内多路非机动车停放情况的监控信号,通过AI识别、充电桩监控以及其他方式上报的事件数据,基于数字孪生系统的音视频识别及事件管理的机理模型对非机动车及其事件管理,快速发现并解决非机动车乱停乱放、充电安全、自燃等问题 。3
角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权 IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
移动端下载白皮书请点击展开详情 企业上云安全白皮书 华为云基于多年在企业上云实践中的经验,吸收业界的优秀经验,总结提炼了上云安全建设步骤,用于指导和帮助您在上云迁移全过程中规划、设计、实施、运营云安全,并构建自身的云上安全体系。 马上下载 更多白皮书资源下载 企业上云安全白皮书 目录 1导读
云速邮箱常见问题 云速邮箱常见问题解答,包括云速邮箱登陆、邮件发送和接收、手机客户端设置、垃圾邮件设置等等,你想要的问题答案,都在这里。 进入云市场 云速邮箱购买和登陆 新购邮箱指导-总流程 查看邮箱、邮箱登陆 邮件搬家操作 邮箱试用转商用 域名注册、域名解析--华为域名提供商 登录后台系统添加邮箱
一部分会遵循旧的规则。最后的结果要么是旧的矿工逐渐放弃旧规则,要么继续分叉出现两个系统。 所以我们看到通过硬分叉实现的升级是不向前兼容的,而如果这个升级是向前兼容的则被称为软分叉。 区块链对链上资产的描述、记录能力是怎样的?它支持哪些类型的资产?资产的生命周期怎么管理? 除了早期的像比特币这样的项目仅能记录数字货币
华为云在全球多区域部署了OBS基础设施,具备高度的可扩展性和可靠性,用户可根据自身需要指定区域使用OBS,由此获得更快的访问速度和实惠的服务价格。 立即购买 管理控制台 OBS常见问题 就OBS学习或使用过程中的一些常见的问题做以解答 产品咨询 如何获取OBS的终端节点? OBS是否支持断点续传功能?
。 查看详情 多终端独立版模板介绍 首先模板不是建站的必需品,如果您想要花较短时间完成网站的编辑,那么模板就是一个很好的选择。使用模板可以使网站呈现出模板的样式,然后在后台上传自己网站的产品、文章等数据后,再调整一下页面控件的设置,网站就基本完成了。 查看详情 多终端独立版安装模板
,将通过SMN通知相关的订阅者。目前支持对10个用户组的50个特定用户发起的操作进行配置,用户组不支持多选,但同一用户组下的多个用户支持多选。 9.配置SMN主题。 当选择“发送”通知时,需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。 当选择“不发送”通知时,则无需配置。
2、在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 3、在左侧导航树中,选择“数据库列表”,进入数据库列表界面。 4、在“选择实例”下拉列表框中,选择需要运行的数据库实例。 5、单击数据库左侧的展开Agent的详细信息,在Agent所在行的“操作”
能导致用户无法正常访问。 防数据窃取、泄露及拖库 电商企业的数据是高价值、高风险的攻击目标,覆盖全数据生命周期的安全防护有助于抵御恶意竞争或者核心资产泄露。 电商企业的数据是高价值、高风险的攻击目标,覆盖全数据生命周期的安全防护有助于抵御恶意竞争或者核心资产泄露。 防页面篡改 政
企业上云面临的问题
应用场景
随着很多企业逐渐将越来越多的业务系统往云上迁移,企业客户需要将IT治理模式延伸或迁移到公有云上。公有云在安全稳定、服务质量、执行效率、成本效益等方面的优势逐渐被企业接受和认可,越来越多的企业也优先采用 云原生 的方式开发面向未来的新应用系统。企业全面云化的时代已经来临,为了避免大规模上云带来的管理失控、安全失控、成本失控等系列问题,企业开始逐渐重视云上IT治理,但在具体实践中经常会遇到以下各种挑战。
- 如何做好业务单元(如事业部、产品线、部门、项目组等)的安全和故障隔离,确保业务单元之间的云资源、应用和数据的隔离?
- 如何避免单点故障带来雪崩效应、减少单点故障的爆炸半径?
- 企业组织架构和业务架构经常调整,云上资源如何灵活应对?
- 如何设计跨多个业务单元的网络架构、建立受控的网络连接通道?
- 如何统一管控多个业务单元的边界网络出入口?
- 如何规划生产、开发和测试环境?
- 公共资源如何在多个业务单元之间共享?
- 如何统一监控、运维和管控多个业务单元的云资源?
- 如何统一管控各业务单元的预算和成本?如何优化云成本?
- 如何避免各业务单元过度使用云资源?
- 如何划分用户组?应该为用户组设置哪些权限?
- 云资源、数据和应用如何满足国家、行业和企业自身的安全合规标准?
- 在尽量保留原有IT治理模式的前提下,如何将其迁移到公有云上?
要应对上述挑战,需要设计一套全面的云上IT治理方案和最佳实践,对业务单元、人员、权限、云资源、数据、应用、成本、安全等要素进行全面有效管理。华为云通过Landing Zone解决方案来全面应对云上IT治理的挑战。Landing Zone本身是一个航空术语,指直升飞机等飞行器可以安全着陆的区域。目前国内外多家云厂商都借用了这个航空术语,将企业业务系统安全平稳迁移到公有云的解决方案命名为Landing Zone,目的是系统性解决企业大规模使用云服务所带来的IT治理和安全合规的挑战。
方案架构
Landing Zone解决方案的目标是在云上构建安全合规、可扩展的多账号运行环境,首先要规划组织和账号架构。按照康威定律,企业在华为云上的组织和账号结构要与企业的组织和业务架构总体保持一致,但也不要完全照搬复制。华为云提供以下参考架构,建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。
- 按照业务架构在华为云上划分不同的组织层级和OU,每个业务OU下面可以按照业务系统创建独立的子账号。规模较大的业务系统或安全隔离要求严格(如需要遵守PCI-DSS、HIPPA等合规标准)的业务系统对应一个独立的子账号,安全隔离要求不高的多个小型业务系统可以共享一个子账号。以销售部为例,可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的子账号;以研发部为例,可以将围绕单个产品的设计、研发等系统部署在一个子账号中。
- 按照地理架构在华为云上划分不同的组织层级和OU,每个地理区域OU下面可以按照国家或地区创建独立的子账号,在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为华为云的OU,为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。
- 针对企业的中心IT部门,在华为云上创建对应的组织单元,并按照IT职能创建以下子账号,一方面实现IT管理领域的职责和权限隔离,另一方面对企业内多个子账号进行统一的IT管理。
表1 IT职能账号 账号名称
账号履行的IT职能
责任团队
资源或云服务
网络运营账号
集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下 VPC DMA网络络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口
网络管理团队,安全管理团队
公共服务账号
集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有子账号使用
公共服务管理团队
安全运营账号
作为企业安全运营中心,统一管控整个企业的安全策略、安全规则和安全资源,为其他账号设置安全配置基线,对整个企业的信息安全负责
安全管理团队
统一部署具备跨账号安全管控的服务,如 DEW 、SCM、VSS等
运维监控账号
统一监控和运维各个子账号下的资源和应用,及时发现预警
运维团队
云堡垒机 、Grafana, Prometheus或第三方运维监控系统
日志账号
集中存储其他账号的运行日志、审计日志
日志分析 团队,合规审计团队
日志服务 LTS 、OBS桶、SIEM系统
数据平台账号
集中部署企业的大数据平台,将其他账号的业务数据统一采集到数据平台进行存储、处理和分析
数据处理团队,业务分析团队
DevOps账号
统一管理整个企业的CI/CD流水线,并进行跨账号部署
软件研发团队
DevCloud,或自建DevOps流水线
沙箱账号
用于进行各种云服务的功能测试、安全策略的测试等
测试团队
按需部署各种需要测试验证的资源和服务
- 除了上述子账号之外,中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号、协同办公账号等。
- 需要注意的是在组织的根下面会默认关联一个主账号,主账号下不建议部署任何云资源,主要是做好以下管理工作:
- 统一组织和账号管理:创建和管理组织结构和组织单元,为组织单元创建子账号,或者邀请已有账号作为组织单元的子账号。
- 统一财务管理:针对整个企业在华为云上的成本进行分析和统计;统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期审视子账号的资金、信用额度和代金券的使用情况,及时进行回收。
- 统一组织策略管理:为各个组织单元和子账号设置组织策略,强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建组织策略时可以将其应用到某一个组织单元,该组织策略可以继承到关联的子账号和下层组织单元。
- 在每个子账号下面还可以通过企业项目(Enterprise Project, EP)对资源进行细粒度的逻辑分组,比如将一个应用系统的子系统、一个产品的子产品映射为华为云上的一个企业项目,用户还可以按照EP进行成本分摊和细粒度授权。
图2 网络运营账号
- 在上述多账号架构下,网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署 企业路由器 ( Enterprise Router , ER),通过ER联通各账号下的VP CDM A网络络,从而实现多账号共享使用VPN和 云专线 与线下IDC互通,也能实现多账号共享使用公网 NAT网关 与互联网通信,还能共享使用云连接与其他Region进行互通。在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、 云防火墙 CFW、WAF等安全资源并统一配置具体的安全防护策略
图3 多账号资源共享和统一管控
- 在多账号网络互通的基础上,可以进一步实现多账号的资源共享和统一管控。资源共享主要是针对公共资源的共享,比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器 镜像 库等,也可以是DevCloud等PaaS服务,在一个或多个独立的子账号中集中部署和维护这些公共资源,并共享给其他账号使用,没有必要在每一个子账号中单独部署和维护。统一管控主要针对的是管理类系统,如监控运维、资源治理、安全防护、财务管理等,集中管理多账号环境下的监控、运维、资源、安全、财务等,避免在每个子账号中分散式管理带来的管理成本高、标准不统一的问题。统一管控可以有效制定和实施企业范围内的IT治理策略。
方案优势
- 为了实现业务单元的安全和故障隔离,华为云的推荐做法是将不同业务单元的应用系统分别部署在不同的账号中。华为云账号具备以下三个属性。
- 华为云账号是一个资源容器,用户可以在其中部署任意云资源和上层业务应用系统,不同的账号相当于不同的资源容器,账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。
- 华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经允许,一个账号内的用户不能访问其他账号的资源、数据和应用。
- 华为云账号还可以作为独立的账单实体,每个账号可以单独在华为云上充值、购买云资源、结算和开票。
- 因此华为云账号可以针对业务单元进行有效的故障和安全隔离,还可以进一步进行管理和财务隔离。
- 另外,为了避免单点故障带来雪崩效应、减少单点故障的爆炸半径,核心办法就是不要把所用业务系统及其云资源部署在单一账号,也就是不要“把鸡蛋放在一个篮子里”。单一账号存在两个严重的问题:其一是单一账号的爆炸半径太大,如果该账号发生崩溃将导致企业所有业务系统不可用;其二是云平台上账号的资源配额是有上限的,不能在一个账号内无限扩容云资源。
- 因此当企业全面上云时通常需要采用多账号架构。按照康威定律,企业的多账号架构通常会与其组织架构或业务架构保持一致,即按照业务单元、地理单元、职能单元等维度划分账号。采用多账号架构后可以实现职责分离,不同的账号负责不同的事情、承载不同的业务,每个账号的管理员可以对本账号内的资源进行自治管理,但同时从IT治理角度肯定要求一定程度的统一管控,比如多账号的统一运维管理、安全管控、资源管理、网络管理、财务管理等。针对这些核心诉求,华为云提出了Landing Zone解决方案来帮助企业在云上构建安全合规、可扩展的多账号运行环境,实现多账号的资源共享和“人财物权法”的统一管控。
- 人的管理:多账号环境下对业务单元、账号、用户、用户组、角色等进行统一管理;
- 财的管理:多账号环境下对资金、预算、成本、发票、折扣等进行统一管理;
- 物的管理:多账号环境下对计算、存储、网络、数据、应用等云资源进行统一运维、监控和管理;
- 权的管理:多账号环境下对云资源的访问权限进行统一管理,确保访问权限符合最小授权原则;
- 法的管理:多账号环境下对安全合规进行统一管理,确保符合国家、行业和企业自身的安全合规要求。
- 企业成功实施了Landing Zone解决方案之后,可以有效规避大规模上云之后的管理失控、安全失控、成本失控的风险,全面应对各种IT治理挑战,帮助企业建立分统结合的IT治理体系和完善的安全合规体系。
- 分统结合的IT治理体系:即在分权分域分级管理的基础上进行一定程度的统一管控,如统一运维、统一安全等;
- 完善的安全合规体系:云上运行环境(包括云资源、数据、应用等)满足国家、行业和企业自身的安全合规标准。
企业上云面临的问题常见问题
更多常见问题 >>-
相信不少想做业务上云的企业都会面临多多少少的困惑,企业迁移上云的困惑一般有以下: 1、企业IT人员没有经验,不具备设计迁移上云、实施迁移的技术能力,不清楚怎么迁移; 2、企业IT人员有技术能力,因不熟悉华为云,无法快速匹配上对应的方案; 3、企业担心迁移风险高,过程中业务受损,不能做到平滑迁移,且额外增加企业IT工作量,故比较谨慎;
-
SFS的常见问题解答。
-
GaussDB是华为自主创新研发的分布式关系型数据库。具备企业级复杂事务混合负载能力,同时支持分布式事务,同城跨AZ部署,数据0丢失,支持1000+节点的扩展能力,PB级海量存储。
-
本文让我们来看看一些优学院关于账号的常见问题的解决方法。
-
对等连接常见问题汇总解答。
-
预热的任务一直在处理中的可能原因有如下几种:可能当前CDN处于预热高峰期,您的预热任务正在排队中。缓存预热的时候CDN要回源请求资源,会占用源站带宽。当您要执行大批量文件预热时,可能会导致您的源站带宽资源被占满,建议:预热时请尽量分批次执行。您可以在访问量低的时间(如夜间)进行预热。升级您的源站带宽。
企业上云面临的问题教程视频
最佳实践视频帮助您快速了解搭建流程 了解更多
更多相关专题
长按/截图保存,微信识别二维码
或者关注公众号“华为云”