云平台安全性

举报
liujiaxiao 发表于 2018/12/25 23:13:40 2018/12/25
【摘要】 1.1云平台及业务数据完整性安全性保证特性1:HA(High Available) 功能即高可用性群集,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点。当活动节点A出现问题,导致正在运行的业务(任务)不能正常运行时,节点B此时就会侦测到,并立即接续活动节点A来执行业务。从而实现业务的瞬间恢复 特性2:FT 容错功能由于种种原因在系统中出现了数据、文件损坏或丢失时,系统能够自动将这...

1.1云平台业务数据完整性安全性保证

特性1HA(High Available) 功能

即高可用性群集,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点。当活动节点A出现问题,导致正在运行的业务(任务)不能正常运行时,节点B此时就会侦测到,并立即接续活动节点A来执行业务。从而实现业务的瞬间恢复

 图片1.png

特性2FT 容错功能

由于种种原因在系统中出现了数据、文件损坏或丢失时,系统能够自动将这些损坏或丢失的文件和数据恢复到发生事故以前的状态,使系统能够连续正常运行的一种技术。

     图片2.png 

特性3云服务器故障快速检测机制及恢复

云服务器故障快速检测:是指对云平台与云服务器长期建立会话机制,确定云服务器的健康状况,自动发现当前云服务器状态,并通过邮件或者短信通知相关人员

² 故障检测手段全面,不仅限通过Ping来判断云服务器是否正常,而且能够通过全方位的云主机监控直接判断云服务器是否正常。

² 支持跨数据中心迁移,支持将区域A的云服务器迁移至区域B

 

特性4多级别数据备份

 级别数据备份的技术特点:多种备份方案、灵活方便;周期性增量、全量备份;备份快照可恢复到任意虚拟机;镜像去重技术,节省备份存储空间。

图片3.png 

1.2云平台业务数据访问性安全性保证

特性1网络安全隔离

网络安全隔离的技术特点:基础设施的管理平面、存储平面、业务平面物理网络隔离;虚拟机之间通过Vlan隔离,或者通过防火墙三层隔离;VM DHCP欺骗防范。

图片4.png 

 

特性2虚拟机安全组

虚拟机安全组的技术特点:安全组为同一VLAN内虚拟机组提供额外的3层隔离机制;安全组之间可根据IP/Port等灵活设置隔离与授权策略;可设置安全组与外网的隔离策略。

图片5.png 

 

特性3账号安全管理

账号安全管理的技术特点:遵从账户-角色模型:每个角色分权,具体到创建虚拟机、创建卷等操作;分域,按逻辑集群纬度;支持账户、角色的生命周期管理;支持账户口令复杂度策略管理,包括密码长度、锁定、解锁等;支持账户资源授权管理,可根据不同账户进行计算、存储、网络资源额度授权。

图片6.png 

1.3私有云外部访问安全性保障

特性1防护

防火墙系统是网络边界上的访问控制设备,它置于不同网络安全域之间,可以强化网络安全策略,根据策略控制进出网络的信息,防止内部信息外泄和抵御外部攻击。防火墙系统需要具备如下功能:

² 边界不同的安全域之前通过业防火墙进行隔离,实现七元组的访问控制策 对网络边界的服务请求进行访问控制。防火墙可以通过白名单机制实现系统内外交互资源的可控,拒绝一切未被明确允许的访问请求,以保证网络的安全性。

² 考虑业务的连续性和网络的健壮性,边界主要安全设备需具备冗余能力高可用性(HA),使其不间断的提供服务。

² 安全网关具备入侵防护功能,包括:端口扫描、强力攻击、木马后门攻击等各类攻击行为,并配置入侵检测设备的日志模块,记录记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并通过一定的方式进行告警。

² 安全网关具备恶意代码防护功能,实现内部信息系统边界和内部区域各网络边界处对恶意代码的检测和清除。

特性2维安全防护

在运维审计方面,通过运维审计系统实现系统内部运行维护人员对网络设备、主机系统、数据库等进行操作时的身份认证和权限管理,进行运维人员身份认证、授权和审计。

² 人员的帐号使用(登录、资源访问)情况、资源使用情况等。审计:TelnetFTPSSHRDPWindows Terminal)、XwindowsVNC等。所有的操作访问过程记录,并支持录屏回放。

² 提供统一的认证接口,提供静态密码、双因素、一次性口令等多种认证方式,而且系统具有灵活的定制接口,可以方便的与其它第三方认证服务器之间结合。

² 访问控制策略可以细化到命令级,可有效授权命令的输入,度保证云平台所有系统的安全性

² 提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,只有经授权的人员才能登陆指定的服务器,最大限度保护用户资源的安全。

3WEB全防护

过部署WEB应用防护系统(WAF),对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、网页篡改及网页挂马等威胁阻断及防护。实现事前,扫描Web应用漏洞,检测Web应用程序是否存在SQL注入、跨站脚本漏洞;事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护;事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。

特性4:脆弱性

通过漏洞扫描系统,定期对系统内的主机、网络设备、安全设备、数据库进行脆弱性扫描,及时发现系统漏洞。通过修补这些安全弱点来尽量减少被恶意攻击的可能性。帮助安全管理员集中了解系统中存在的安全漏洞,并提供相应的网络安全漏洞解决方案。漏洞扫描器配合安全管理员监视 WindowsLinuxUnixRouterIDSFirewall 及其他网络设备,找出系统可能存在的漏洞。

特性5通信完整性与保密性

为保障应用系统的通信完整性,可在边界网关上部署基于证书或密码技术的VPNSSL密传输策略,信息系统与外部网络进行通信时,在双方建立连接之前应用利密码技术信息系统与外部网络进行会话初始化验证,并对通信过程中的用户身份鉴别信息等敏感信息字段进行加密。

特性6:敏感信息过滤

可过滤Web应用中的关键字,防止敏感信息泄露的同时,还可防止不和谐内容的出现,净化网络空间,落实Web应用相关政策法规


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。