大数跨境
首页
>
云平台运维规范-上篇
>
0
0

云平台运维规范-上篇

云平台运维规范-上篇 云容灾备份安全治理
2023-09-28
2


新钛云服已累计为您分享766篇技术干货


本期内容分为上下两期

本篇为云平台运维规范-上期

云平台运维规范-上期目录

一、 运维目标


二、 基本规定

2.1 适用范围

2.2 基本定义


三、 职责


四、 云运维管理规范

4.1 运维人员基本准则

4.1.1 必须遵守的运维准则

4.1.2 运维铁律

4.2 云资源使用规范

4.2.1 VPC使用规范

4.2.2 弹性公网IP使用规范

4.2.3 NAT网关使用规范

4.2.4 资源组/标签使用规范

4.3 权限管理

4.3.1 用户岗位职责描述

4.3.2 用户权限原则

4.3.3 权限分配流程

4.4 安全管理

4.4.1 网络安全

4.4.2 运维安全加固

4.4.3 云服务器安全组访问策略

                4.4.4 操作审计





一、运维目标




信息化系统的建设是一个长期、复杂、规模大的系统工程,项目维护是整个项目实施的重要组成部分,因其重要地位,秉持严格要求的态度,实行科学的管理,强化运维信息安全管理,防范计算机信息技术风险,保障网络与信息系统安全和稳定运行,提供符合要求的维护工作以及用户满意程度实行定期跟踪,确保达到以下运维服务目标:所有维护工作、系统及数据日常检测工作合格率达标;本项目运维服务范围主要是针对本信息化建设项目涉及日常维护、定期巡检、优化系统、功能维护及项目变更等。特制定本管理规范与标准。
















二、基本规定



2.1 适用范围

本办法适用于云平台系统运维管理、安全管理、权限管理、费用管理、变更管理等。













2.2 基本定义


云平台运维是指对云计算平台进行管理和维护的过程。云计算平台是一种基于互联网的计算服务模式,它将计算资源如服务器、存储、网络、应用程序等通过网络提供给用户使用。云平台运维包括对云计算平台硬件、软件、网络和安全等方面的监控、维护、优化和升级,以确保云平台的高可用性、稳定性和安全性。
随着互联网技术的发展,云计算平台已经成为企业IT架构转型的重要组成部分。云平台运维的重要性也日益凸显。云平台运维的主要职责包括但不限于以下内容:
基础设施维护:对云计算平台的基础设施进行监控、维护和更新,包括服务器、存储服务、网络服务等。
网络维护:对云计算平台的网络进行监控、维护和优化,包括网络拓扑结构、路由、交换等。网络故障可能会导致服务不可用,因此网络维护也是云平台运维必须关注的方面。
安全维护:对云计算平台的安全进行监控、维护和加固,包括防火墙、入侵检测、漏洞扫描等。网络安全是云平台运维最重要的方面之一,只有保证云平台的安全,才能让用户放心使用。
备份与恢复:云资源的备份与恢复对于保证业务连续性,提高数据可靠性,简化备份管理,改善恢复速度,降低备份成本以及数据保护合规都具有重要的作用。
费用管理:制定云费用预算并形成云费用策略,优化云资源的配置,做好费用管理工作,并通过云监控技术,在各个阶段合理地实现云资源的费用管理。帮助企业合理规划费用、提高资源利用率、减少资源浪费,从而实现更有效的业务支持和经济效益。。
通过对云平台运维的有效管理,可以保证云计算平台的高效、稳定和安全运行,提高用户的满意度和信任度。而且,云平台运维还可以帮助企业降低IT成本,提高IT资源利用率,促进企业业务创新和发展。

















三、职责




任务和职责



R=负责

云运维工程师

网络工程师

安全工程师

应用服务工程师

S=支持

I=信息

()=如果必要

新增资源

R

S

I

R

权限管理

R

I

S

S

系统监控

R

R

R

R

安全管理

R

I

R

S

备份管理

R

I

S

I

补丁管理

R

I

S

S

系统巡检

R

I

I

S

费用管理

R

I

I

S

变更管理

R

S

S

S
















四、云运维管理规范



4.1 运维人员基本准则
0

4.1.1 必须遵守的运维准则

以下准则,所有运维服务人员必须时刻遵守和谨记
第一、操作线上系统,必须心存敬畏。
第二、业务正式上线前,必须完成监控与告警全覆盖,必须确保告警有效性检查。
第三、线上架构调整,必须遵循先评估、再测试、最后再调整的流程。
第四、线上系统配置变更之前,必须先备份,再确认,最后再操作。
第五、线上任何发布操作,必须做好回滚准备。
第六、重要系统,必须做好备份,必须编写详细的恢复操作文档,且定期必须进行一次备份有效性检查。
第七、主机资源回收/删除,必须再三确认,必须遵循先关机、保留至少1天、再回收。
第八、权限回收,必须再三确认,原则上只操作停用、非必要不做删除操作。
第九、update/delete数据表,必须先select确认无误,再执行update。
第十、对外暴露IP的主机,必须添加端口安全限制,必须遵循最小端口开放原则,且必须进行有效性检查。


4.1.2 运维铁律

运维铁律是运维人员最基本的素质,违者必究
第一、客户数据绝对保密,不得以任何形式对外泄露、倒卖及利用;
第二、不得收受或向客户索要好处;
第三、发现客户存在违法行为及时向公司或领导反馈;
第四、不得做任何违反法律法规的事情;
















4.2 云资源使用规范


4.2.1 VPC使用规范

4.2.1.1 VPC概述

私有网络(Virtual Private Cloud,VPC)是一块用户在云平台上自定义的逻辑隔离网络空间,用户可以为云服务器、云数据库、负载均衡等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。

私有网络VPC有三个核心组成部分:私有网络网段、子网/交换机、路由器。
· 私有网络网段在创建专有网络和交换机时,用户需要以CIDR地址块的形式指定专有网络使用的私网网段。
· 交换机/子网,是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,用户可以通过创建交换机为专有网络划分一个或多个子网,同一私有网络下不同子网默认内网互通,不同私有网络间(无论是否在同一地域)默认内网隔离。用户可以将应用部署在不同可用区的交换机内,提高应用的可用性。
· 路由器是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器至少关联一张路由表。

4.2.1.2 VPC创建规范

云环境的VPC创建需提前和网络工程师沟通并确认好相关信息,并提交相关流程审批。创建遵循如下的VPC规范:

VPC实例名称

用途

XXX-VPC-PROD

生产环境

XXX-VPC-UAT

预发布环境

XXX -VPC-DEVTEST

开发测试环境

XXX -VPC-DMZ

专门做公网应用发布用的VPC

XXX -VPC-OAM

登入管理,审计用的VPC


4.2.1.3 交换机/子网创建规范

云环境的交换机创建需提前和网络工程师沟通并确认好相关信息,并提交相关流程审批。创建交换机需注意:
· 交换机命名规范:部门-业务种类-Area-可用区
· 业务种类:Application、Portal、Database
· 阿里云推荐E、F可用区,腾讯云推荐四区、五区
· 提前确认是否需要高可用区

需要明确以下信息并提供给网络工程师:

VPC

交换机名称

可用区

是否需要高可用区

机器数量

用途








4.2.2 弹性公网IP使用规范

弹性公网 IP(Elastic IP,EIP)是可以独立购买和持有,且在某个地域下固定不变的公网 IP 地址,可以云服务器、私网负载均衡、NAT 网关、弹性网卡和高可用虚拟 IP 等云资源绑定,提供访问公网和被公网访问能力;还可与云资源的生命周期解耦合,单独进行操作;同时提供多种计费模式,用户可以根据业务特点灵活选择,以降低公网成本。
EIP是一种NAT IP,它实际位于云平台的公网网关上,通过NAT方式映射到被绑定的云资源上。当EIP和云资源绑定后,云资源可以通过EIP与公网通信。
弹性公网 IP的使用需走公司内部资源申请工单流程,通过后由网络工程师帮忙创建并配置。
*需特别注意,遵循运维规范,不允许弹性公网IP直接绑定云服务器实例,必须通过NAT网关的DNAT和SNAT功能,来分别实现“将公网NAT网关上的公网IP通过端口映射或IP映射给云服务器实例使用,使云服务器实例能够对外提供公网访问服务“与”为VPC中无公网IP的云服务器实例提供访问互联网的代理服务“的两种功能。



4.2.3 NAT网关使用规范

NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力,可为私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。
其中SNAT功能,是为VPC中无公网IP的云服务器实例提供访问互联网的代理服务,实现无公网IP的云服务器实例访问互联网。
DNAT功能,是将公网NAT网关上的公网IP通过端口映射或IP映射两种方式映射给云服务器实例使用,使云服务器实例能够对外提供公网访问服务。
NAT网关的使用需走公司内部资源申请工单流程,通过后由网络工程师帮忙创建并配置。
可以视实际情况,评估NAT网关是否可以多项目共用。



4.2.4 资源组/标签使用规范

4.2.4.1 资源组功能

资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制,资源组对用户拥有的云资源从用途、权限、归属等维度上进行分组,实现企业内部多用户、多项目的资源分级管理。一个云资源只能属于一个资源组,云资源之间的关联关系不会因加入资源组而发生变化。
应用场景主要为如下两种:
一是将用途不同的云资源加入不同的资源组中分开管理,例如可以将生产环境的实例和测试环境的实例,分别放入生产环境和测试环境两个资源组中;产品测试时,建议只对测试环境资源组中的实例进行操作,避免对生产环境的实例发生误操作。当产品需要上线时,再选择生产环境资源组中的实例进行操作。
二是为各个资源组设置完全独立的管理员,实现资源组范围内的用户与权限管理,比如可以将公司不同部门使用的实例分别放入多个资源组中,并设置相应的管理员,从而实现分部门管理实例。


4.2.4.2 标签功能

标签(Tag)是腾讯云和阿里云提供的云资源管理工具,用户可以从不同维度对具有相同特征的云资源进行分类、搜索和聚合,从而轻松管理云上资源。
标签是由标签键和标签值两个部分组成,用户可以为云资源创建和绑定标签。一个标签键可以对应多个标签值,一对标签键和标签值可绑定多个云资源。
标签的应用场景主要为如下三种:
一是使用标签管理云资源,可以使用标签标记在云上的已有资源,实现对这些资源分类管理,也可以通过标签控制台或标签 API 根据资源的地域、类型以及标签来查询资源,查看到的资源将会以列表的形式展示。
二是使用标签控制对资源的访问,可以将标签与访问管理结合使用,能够通过标签授权的方式,让不同的子用户拥有不同云资源的访问和操作权限。
三是使用标签进行分账,可以基于组织或业务维度为资源规划标签(例如:部门、项目组、地区等),然后结合云提供的分账标签、账单详情功能实现成本的分摊管理。
标签支持的云资源:
· 阿里云支持标签的产品:
https://help.aliyun.com/document_detail/171455.html?spm=5176.21213303.J_6704733920.9.737953c9G4p1vf&scm=20140722.S_help@@%E6%96%87%E6%A1%A3@@171455._.ID_help@@%E6%96%87%E6%A1%A3@@171455-RL_%E6%94%AF%E6%8C%81%E6%A0%87%E7%AD%BE%E7%9A%84%E4%BA%A7%E5%93%81-LOC_main-OR_ser-V_2-RK_rerank-P0_1
·  腾讯云支持标签的产品:
https://cloud.tencent.com/document/product/651/30727














4.3 权限管理

云上的权限往往通过访问管理或访问控制进行管理,在阿里云上称为访问控制RAM(Resource Access Management),即阿里云提供的管理用户身份与资源访问权限的服务。在腾讯云上称为访问管理(Cloud Access Management,CAM),即腾讯云提供的 Web 服务,主要用于帮助用户安全管理腾讯云账户下的资源的访问权限。
在注册云平台账号时,生成的账号为主账号,拥有该主账号下所有云资源的管理权限。如需要其他用户能协助一起管理账号下的云资源,可以通过访问控制(RAM)/访问管理(CAM)创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用阿里云/腾讯云资源的权限。
通过访问控制(RAM)/访问管理(CAM)的功能,可以实现统一管理访问身份及权限:
· 集中管理子用户,管理每个子用户及其登录密码或访问密钥,为子用户用户绑定多因素认证MFA(Multi Factor Authentication)设备
· 集中控制子用户的访问权限,控制每个子用户访问资源的权限
· 集中控制子用户的资源访问方式,确保子用户在指定的时间和网络环境下,通过安全信道访问特定的云资源
主账号管理员往往可以根据访问权限将用户分为以下三类:特殊用户(或系统管理员); 一般用户:系统管理员根据他们的实际需要为他们分配操作权限; 审计用户:负责系统和网络的安全控制与资源使用情况的审计。 


4.3.1 用户岗位职责描述

· 特殊用户:负责生产环境各个操作系统、网络系统、硬件设备及应用软件的管理和维护工作。

· 一般用户:负责日常值班、监控等相关工作。

· 审计用户:负责生产系统相关的审计工作。


4.3.2 用户权限原则

· 遵循最小授权原则
企业需要评估每个角色的任务和职责,然后只授权所需权限,可将用户账户授权的范围限制在最少必要的范围内,以减少账户被攻击或非授权访问的风险,同时提高账户管理的精细性和可控性。
· 使用策略限制条件
使用策略限制条件可以进一步加强账户的安全性,以确保只有授权访问资源的用户才能进行访问。策略限制条件可以帮助管理员根据需要安全地限制用户的访问,例如限制访问时间、允许的IP地址范围、允许的操作类型等,并且可以限制哪些用户可以执行特定的操作(比如只能读数据,而不能写)等等。
· 将用户管理、权限管理与资源管理分离
将用户、权限和资源分离管理通常被称为“三权分立”模型,这是一种在安全领域中非常常见的做法,其主要思想是将用户、权限和资源分别管理,以加强安全控制。
在这个模型中,用户管理、权限管理和资源管理分别归属于不同的角色或组织单元,以便在管理和控制时更加细致和有效。具体来说,可以实现以下措施:
用户管理:负责创建、修改、删除用户帐户,管理用户的组和角色等。用户管理的主要任务是确保每个账户有一个唯一标识符,且每个账户都专注于其特定的任务或工作负载。这有助于确保账户安全和控制账户的适当访问权限。
权限管理:负责定义、授予和撤销角色和权限,以便管理用户的访问权限。权限管理的主要任务是确保每个用户只能访问其所需的资源,防止未经授权的访问或数据泄露。
资源管理:负责创建、修改和删除资源,并提供必要的维护和保护服务。资源管理的主要任务是确保适当的资源配置和访问控制,并监控任何资源的异常活动或安全问题。
通过将用户管理、权限管理和资源管理分离,可以更好地保障账户的安全性和数据的保密性。此外,还可以为每个职能领域指定一个特定的管理员,以便更好地监督账户访问和资源使用情况。
· 为主账户和高风险权限子用户启用多因素认证(MFA)
多因素认证(MFA)是一种增加账户访问安全性的方式,可以在登录过程中要求用户输入两个或者更多的身份验证因素,例如用户密码和手机短信验证等。对于主账户和高风险权限子用户,启用MFA可以进一步提高账户的保护级别。
启用MFA的原因是,在某些情况下,只有密码是不够安全的。例如,如果密码被泄露或者被猜测到,黑客可以使用该密码登录用户的账户,并未获取用户账户的完全控制。启用MFA可以帮助检测潜在的恶意登录尝试并增加访问账户的安全级别,这些认证因素通常是动态生成的,加密密钥或其他特殊设备。
为主账户和高风险子用户启用MFA是非常重要的,因为这两个账户通常具有最高的权限访问。黑客攻击者通常满足于能够获得主账户和子账户的控制,进而获取对应用程序和数据的完全访问权限。但是,启用MFA创造了一个额外的安全层,需要黑客攻击者同时盗取或猜测到两个或多个身份验证因素的信息,才能成功进入账户。
· 设置所有用户的密码强度及登录限制
设置控制台的密码强度和登录限制,可以帮助管理员防范可能的恶意攻击和不当操作,提高账户安全性。
要求密码长度大于等于8个字符,并使用大小写字母、数字和符号等多种字符类型;并设置密码的重试错误次数和重复限制。
· 使用群组给子用户分配权限
通过创建群组,可以将多个子用户集成在一起,并为整个群组授权特定的权限。这使得管理和控制子用户的权限和访问更加简单和高效,同时也能够灵活地管理各个群组的访问。
例如,作为管理员,可以创建不同的群组,为不同的群组分配不同的权限范围。对于每个子用户,只需要将其分配到合适的群组即可,而无需逐个为每个子用户单独分配权限。这可以大大节省管理员的时间和精力,同时也能帮助最大程度地确保账户的安全性。
此外,可以将群组继承来自其他群组的权限,这意味着可以通过将子群组嵌入到其他群组中来分配权限。通过这种方法,可以更轻松地管理和控制账户权限,并确保权限的合理和精细分配。
· 将控制台用户与 API 用户分离
控制台用户是用于登录云服务的账户,具有管理控制台的权限;而API用户是用来访问云服务的应用程序,具有对云资源的访问和管理的权限。
将控制台用户和API用户分离的原因是,两类用户之间的访问权限不同,必须进行分类管理。控制台用户可以进行各种管理操作,包括访问、创建、修改、删除云资源等;而API用户只需要访问和管理用户指定的特定资源,因此具有更小的访问范围。
通过将两类用户分离,可以减少因某一用户权限泄露而导致的安全风险。同时,也能更好地实现用户权限的精细化管理和控制。例如,可以根据需要为API用户批准或撤销特定的资源访问权限,而无需担心控制台用户操作误操作或滥用权限。
· 及时撤销用户不再需要的权限
一旦用户不再需要某些权限,可以将其从账户中删除或者将其权限进行降级。这可以减少账户被黑客攻击或泄漏的风险,同时能够帮助安全管理员更好的管理账户权限。
在进行权限撤销时,可以制定一套详细的流程和规范,确保权限的去除和更新操作能够被安全和顺利地执行。例如,在流程中可以设定针对多个权限撤销设置不同的有效期限;为不同权限的撤销设定试用期;制定一套详细的管理和交接的流程,确保新管理员能够及时掌握账户权限情况。
· 禁止主账号密码共享
如果多个用户共享同一个账号和密码,那么账号的安全性将会受到威胁,容易被黑客攻击或泄漏,甚至会丢失重要的用户数据和信息。
此外,多人共享同一个账号密码还存在其他的问题。例如,不同的用户应该拥有不同的访问权限,共享账号将无法实现个性化的权限设置。同时,共享账号也会使用户行为难以追踪和管理,无法精准地监控用户的操作和流量使用情况。
因此,禁止主账号密码共享不仅有助于保护用户账号的安全性,也有助于提高用户的使用体验和系统的安全管理性。如果需要多个人访问同一个平台或服务,可以使用多个子账号,并分配不同的权限和访问范围,来保障账号的安全和管理。
· 不要为主账号创建访问密钥
访问密钥实际上是一组临时凭证,用于对云服务进行身份验证和授权,而不需要使用主账号和密码。与主账号和密码不同,访问密钥可以随时进行创建和撤销,使得账号的安全性更高。但是由于主账号权限过高,如果不妥善管理访问密钥,出现访问密钥意外泄露的情况,黑客可以使用这些凭证来访问用户的账户并窃取敏感信息,危害远远大于子账号的访问密钥泄漏。



4.3.3 权限分配流程

1. 鉴别用户身份
在为用户授权之前,必须要先确认用户的身份,确认用户的真实姓名、职务、所属部门等信息,确保对正确的人员进行授权。
2. 制定授权策略
对于不同的角色,企业需要制定相应的授权策略,根据用户的实际需求来为其分配相应的权限,严格按照“最小权限原则”和“依据需求授权”原则来执行。
3. 审批授权请求
用户在申请权限时,需要经过上级的审批,审批人员需要核实用户的身份和申请权限的合理性,然后根据实际情况来审批申请。
     4. 分配权限
在经过审批之后,根据授权策略为用户分配相应的权限,确保用户只拥有所需的最低权限,防止授权过度导致的风险和漏洞。
5. 定期审查权限
定期审查每个角色的权限模板,以确保已包括必要的权限并且没有包括不必要的权限。审查每个用户/角色的权限以确保它们的权限是最新的并且合理的。审计安全事件记录来查看是否存在未经授权的权限请求或使用。
6. 撤销用户权限
当用户不再需要某些权限时,立即撤销这些权限。离职或调岗的用户的权限必须立即撤销。















4.4 安全管理



4.4.1 网络安全


4.4.1.1 开放访问外网

如果用户的服务器需要访问外网或对外提供服务,不能直接将EIP绑定到ECS,这样会存在安全风险。相反,用户需要按照一定的规范进行配置,以确保安全性和可靠性。

第一步,申请EIP和NAT资源
EIP(Elastic IP Address)是一种公网IP地址,可被动态地分配和释放。在云平台上,用户可以将其申请并绑定到云服务器实例上,从而实现实例的公网访问。但是,为了保障安全,用户不得直接将EIP绑定到云服务器上,用户需要申请NAT网关,再通过SNAT将ECS私网IP地址转换为公网EIP地址,以实现对外通信。
第二步,申请SNAT和DNAT配置,及云防火墙配置
SNAT(Source Network Address Translation)是一种源地址转换技术,可将内网IP地址转换为外网IP地址,以实现内网与外网的通信。在云平台上,用户可以通过配置SNAT条目来实现该功能。
DNAT(Destination Network Address Translation)是一种目标地址转换技术,可将外网IP地址转换为内网IP地址,以实现公网访问内网资源。在云平台上,用户可以通过配置DNAT条目来实现该功能。
此外,用户还需要为云服务器配置云防火墙规则,以保障网络安全。通过添加防火墙规则,用户可以限制流量的进出,避免恶意攻击和数据泄露。
总之,无论需不需要将服务发布到公共互联网上,都请不要将EIP直接绑定到云服务器上,而应该按照规范进行相关网络配置。这样可以有效地提高网络安全性和可靠性。

4.4.1.2 防火墙配置

为了保护云资产安全,需要在云上配置防火墙,而且防火墙的管理由安全部门进行统一进行。以获取外网资源为例,首先需要在用户内部确认需求,领导沟通确认后再向安全部门提交工单,明确说明哪些机器需要访问哪些资源。工单中需要详细描述每台机器需要访问的资源名称、类型以及机器名称,以便安全部门能够根据这些信息快速准确地设置防火墙规则。这样可以保障系统的安全和稳定,防止恶意攻击和数据泄露,从而确保企业的正常运营和业务发展。

4.4.1.3 网络划分

在云环境中,为了实现不同部门之间的网络隔离与安全,可以使用虚拟专有网络(VPC)技术。根据实际需求多个部门需要共用同一个VPC,则需要将VPC内部的网络进行分段,并为每个部门创建对应的交换机。通过这种方式,不同部门之间的网络可以互通,但是互相之间不会产生干扰。

在VPC中,唯一的限制是通过安全组进行控制。安全组是一种网络安全服务,可以用来控制进出VPC的流量。通过设置安全组规则,可以限制VPC内部不同部门之间的流量,仅允许必要的流量通过。这样,就可以保证VPC内部各部门的网络安全,防止网络攻击和数据泄露等风险。

需要注意的是,使用VPC和安全组并不能完全消除网络安全风险,仍然需要采取其他措施来保护云上的资源。只有通过综合的安全策略,才能保证云上资源的安全性和可靠性。


4.4.2 运维安全加固

使用安全中间件组件进行安装,并进行系统与应用的安全加固,含:

· 遵循最小授权原则;

· 禁用或删除无用账号;

· 将用户管理、权限管理与资源管理分离;

· 禁用 root 权限;

· 不要为主账号创建访问密钥;

· 将控制台用户与 API 用户分离;

· 修改 SSH、应用默认端口号;

· 关闭不常用服务及端口;

· 限制外网 IP 登陆;

· 添加用户登陆警告信息;

· 设置异地登陆服务器短信和邮件告警;

· 根据需要,设置登陆时间限制、定期修改密码;

· 梳理安全组策略,对业务访问进行精细化访问控制;

· RDS、Redis等进行白名单设置。


4.4.3 云服务器安全组访问策略

云服务器的安全组提供了防火墙功能,是重要的网络安全隔离手段,通过设定各安全组之间的安全规则,可搭建多层访问控制体系,实现访问安全。
建立应用、数据和管理的安全组,分别对应用服务器、数据库及数据服务器的连接进行访问管控。下文中的安全组访问控制规则为简单举例,实际中会根据具体的安全要求进行调整。
1) Web服务器组规则示例

访问源

规则

方向

授权

策略

网卡

类型

协议

目的

端口

规则

防火墙

入方向

允许

外网

HTTP

80

允许从任何地方对Web服务器进行入站HTTP访问

防火墙

入方向

允许

外网

HTTPS

443

允许从任何地方对Web服务器进行入站HTTPS访问
2) 数据库服务器组规则示例

访问源

规则

方向

授权

策略

网卡

类型

协议

目的

端口

规则

内网特定 IP或 IP段

入方向

允许

内网

TCP

1433

允许本地网络中的特定 IP 地址或 IP 地址范围访问 Microsoft SQL Server 数据库的默认端口

内网特定 IP或 IP段

入方向

允许

内网

TCP

3306

允许本地网络中的特定 IP 地址或 IP 地址范围访问MySQL Server数据库的默认端口


4.4.4 操作审计

云平台都提供了操作审计功能,可以记录云平台账号下的所有操作日志。阿里云上是操作审计功能,腾讯云上的是云审计功能,通过这个功能,用户可以清楚地了解账号下所有操作的情况,包括哪些人员进行了哪些操作,以及何时进行的操作等等。这对于管理阿里云资源、保障账号安全非常重要。
· 要开启阿里云的操作审计功能,用户需要先在阿里云控制台上创建一个审计日志服务(SLS)项目,并将需要审计的云账号添加到该项目中。然后,在控制台上设置审计策略,定义哪些操作需要被记录下来。
· 在创建腾讯云账号时,云审计将会被启用 ,自动接入不同云产品。当腾讯云账号中发生活动时,该活动将被记录在云审计事件中。用户可以转到事件历史轻松查看 云审计控制台中的事件。
一旦开启了操作审计/云审计功能,用户就可以在控制台上查询审计日志,了解账号下所有操作的详细情况。此外,云平台还提供了实时监控和告警功能,用户可以及时获得操作异常的警报,并及时采取措施。
总之,云平台的操作审计功能对于管理云平台资源、保障账号安全非常有帮助,建议用户合理使用该功能。













    推荐阅读   




    推荐视频    


【声明】内容源于网络
0
0
云容灾备份安全治理
分享云灾备规划、实施、运营、备份与恢复、数据安全、数据治理;窥视国内外备份软件与监控软件知识前沿水平线; 越努力,越幸运!
内容 2171
粉丝 0
云容灾备份安全治理 分享云灾备规划、实施、运营、备份与恢复、数据安全、数据治理;窥视国内外备份软件与监控软件知识前沿水平线; 越努力,越幸运!
总阅读4.5k
粉丝0
内容2.2k