系统架构优化建议

减少数据外泄的通道,通过报告掌握整体的安全态势

  1. 存放关键内容的ECS,不开通公网IP
  2. 在ECS前面增加SLB,多一层保护
  3. 数据库服务器RDS不开通外网IP
  4. 远程管理采用堡垒机中转
  5. 开通“云安全中心+云监控”,并定期查看报告

系统架构的优化建议--架构举例 1

系统架构的优化建议--架构举例 2

相比架构1,多使用了安全组,根据应用提供的服务不同,把服务放在不同安全组

系统架构的优化建议--架构举例3

相比架构2,多使用了VPC

系统架构的优化建议--远程管理

使用VPN+堡垒机 来远程管理ECS服务器

  1. VPN+堡垒机成为唯一的运维通道
  2. 堡垒机实现运维实名制
  3. 远程运维过程全审计
  4. 满足等级保护等法律发规要求

网络层优化建议

  1. 关注云盾安全报表:基础DDoS防护
  2. 依据业务实际情况,配置DDoS清洗阈值
  3. 超过5G攻击时,启动“DDoS高防IP”
  4. 重大活动保障,启用“安全管家服务”

主机优化建议

云服务器层的优化建议

  1. 启动操作系统自带的防火墙功能:iptables,windows防火墙
  2. 开放端口时,采用最小化原则
  3. 管理端口增加白名单IP,如:SSH,远程桌面
  4. 关闭ECS里的无用端口
  5. 开启“云安全中心”,“内容安全”,定期查看检测报告
  6. 没有运维团队时,可选择“云市场种的代维”,“安全管家”

应用层和数据层的优化建议

  1. 遵循软件开发安全生命周期(SDL)
  2. “安全评估” 和 “安全测试” 是基础
  3. 定期查看“云安全中心”,“云监控”的报告
  4. 对业务系统进行分组,启用RAM账号,最小化权限

构建云上的安全体系

阿里云混服云方案

混合云并列架构和混合云串联架构:

混合云串联架构优势:

  1.  仅开启阿里云对互联网的访问,将互联网出口应用全部部署在阿里云,和自建数据中心的网络、所有互联网的访问都必须经过阿里云
  2. 在阿里云的DDoS高防,WAF,云安全中心等安全能力
  3. 在阿里云上,通过多VPC隔离不同种类的业务

总结

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐