云平台运维规范-上篇
新钛云服已累计为您分享766篇技术干货
本期内容分为上下两期
本篇为云平台运维规范-上期
云平台运维规范-上期目录
一、 运维目标
二、 基本规定
2.1 适用范围
2.2 基本定义
三、 职责
四、 云运维管理规范
4.1 运维人员基本准则
4.1.1 必须遵守的运维准则
4.1.2 运维铁律
4.2 云资源使用规范
4.2.1 VPC使用规范
4.2.2 弹性公网IP使用规范
4.2.3 NAT网关使用规范
4.2.4 资源组/标签使用规范
4.3 权限管理
4.3.1 用户岗位职责描述
4.3.2 用户权限原则
4.3.3 权限分配流程
4.4 安全管理
4.4.1 网络安全
4.4.2 运维安全加固
4.4.3 云服务器安全组访问策略
4.4.4 操作审计
一、运维目标
信息化系统的建设是一个长期、复杂、规模大的系统工程,项目维护是整个项目实施的重要组成部分,因其重要地位,秉持严格要求的态度,实行科学的管理,强化运维信息安全管理,防范计算机信息技术风险,保障网络与信息系统安全和稳定运行,提供符合要求的维护工作以及用户满意程度实行定期跟踪,确保达到以下运维服务目标:所有维护工作、系统及数据日常检测工作合格率达标;本项目运维服务范围主要是针对本信息化建设项目涉及日常维护、定期巡检、优化系统、功能维护及项目变更等。特制定本管理规范与标准。
二、基本规定
2.1 适用范围
本办法适用于云平台系统运维管理、安全管理、权限管理、费用管理、变更管理等。
2.2 基本定义
云平台运维是指对云计算平台进行管理和维护的过程。云计算平台是一种基于互联网的计算服务模式,它将计算资源如服务器、存储、网络、应用程序等通过网络提供给用户使用。云平台运维包括对云计算平台硬件、软件、网络和安全等方面的监控、维护、优化和升级,以确保云平台的高可用性、稳定性和安全性。
随着互联网技术的发展,云计算平台已经成为企业IT架构转型的重要组成部分。云平台运维的重要性也日益凸显。云平台运维的主要职责包括但不限于以下内容:
基础设施维护:对云计算平台的基础设施进行监控、维护和更新,包括服务器、存储服务、网络服务等。
网络维护:对云计算平台的网络进行监控、维护和优化,包括网络拓扑结构、路由、交换等。网络故障可能会导致服务不可用,因此网络维护也是云平台运维必须关注的方面。
安全维护:对云计算平台的安全进行监控、维护和加固,包括防火墙、入侵检测、漏洞扫描等。网络安全是云平台运维最重要的方面之一,只有保证云平台的安全,才能让用户放心使用。
备份与恢复:云资源的备份与恢复对于保证业务连续性,提高数据可靠性,简化备份管理,改善恢复速度,降低备份成本以及数据保护合规都具有重要的作用。
费用管理:制定云费用预算并形成云费用策略,优化云资源的配置,做好费用管理工作,并通过云监控技术,在各个阶段合理地实现云资源的费用管理。帮助企业合理规划费用、提高资源利用率、减少资源浪费,从而实现更有效的业务支持和经济效益。。
通过对云平台运维的有效管理,可以保证云计算平台的高效、稳定和安全运行,提高用户的满意度和信任度。而且,云平台运维还可以帮助企业降低IT成本,提高IT资源利用率,促进企业业务创新和发展。
三、职责
任务和职责 |
||||
R=负责 |
云运维工程师 |
网络工程师 |
安全工程师 |
应用服务工程师 |
S=支持 |
||||
I=信息 |
||||
()=如果必要 |
||||
新增资源 |
R |
S |
I |
R |
权限管理 |
R |
I |
S |
S |
系统监控 |
R |
R |
R |
R |
安全管理 |
R |
I |
R |
S |
备份管理 |
R |
I |
S |
I |
补丁管理 |
R |
I |
S |
S |
系统巡检 |
R |
I |
I |
S |
费用管理 |
R |
I |
I |
S |
变更管理 |
R |
S |
S |
S |
四、云运维管理规范
4.1 运维人员基本准则
0
4.1.1 必须遵守的运维准则
以下准则,所有运维服务人员必须时刻遵守和谨记
第一、操作线上系统,必须心存敬畏。
第二、业务正式上线前,必须完成监控与告警全覆盖,必须确保告警有效性检查。
第三、线上架构调整,必须遵循先评估、再测试、最后再调整的流程。
第四、线上系统配置变更之前,必须先备份,再确认,最后再操作。
第五、线上任何发布操作,必须做好回滚准备。
第六、重要系统,必须做好备份,必须编写详细的恢复操作文档,且定期必须进行一次备份有效性检查。
第七、主机资源回收/删除,必须再三确认,必须遵循先关机、保留至少1天、再回收。
第八、权限回收,必须再三确认,原则上只操作停用、非必要不做删除操作。
第九、update/delete数据表,必须先select确认无误,再执行update。
第十、对外暴露IP的主机,必须添加端口安全限制,必须遵循最小端口开放原则,且必须进行有效性检查。
4.1.2 运维铁律
运维铁律是运维人员最基本的素质,违者必究
第一、客户数据绝对保密,不得以任何形式对外泄露、倒卖及利用;
第二、不得收受或向客户索要好处;
第三、发现客户存在违法行为及时向公司或领导反馈;
第四、不得做任何违反法律法规的事情;
4.2 云资源使用规范
4.2.1 VPC使用规范
4.2.1.1 VPC概述
私有网络(Virtual Private Cloud,VPC)是一块用户在云平台上自定义的逻辑隔离网络空间,用户可以为云服务器、云数据库、负载均衡等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。
私有网络VPC有三个核心组成部分:私有网络网段、子网/交换机、路由器。
· 私有网络网段在创建专有网络和交换机时,用户需要以CIDR地址块的形式指定专有网络使用的私网网段。
· 交换机/子网,是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,用户可以通过创建交换机为专有网络划分一个或多个子网,同一私有网络下不同子网默认内网互通,不同私有网络间(无论是否在同一地域)默认内网隔离。用户可以将应用部署在不同可用区的交换机内,提高应用的可用性。
· 路由器是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接专有网络内的各个交换机,同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器至少关联一张路由表。
4.2.1.2 VPC创建规范
云环境的VPC创建需提前和网络工程师沟通并确认好相关信息,并提交相关流程审批。创建遵循如下的VPC规范:
VPC实例名称 |
用途 |
XXX-VPC-PROD |
生产环境 |
XXX-VPC-UAT |
预发布环境 |
XXX -VPC-DEVTEST |
开发测试环境 |
XXX -VPC-DMZ |
专门做公网应用发布用的VPC |
XXX -VPC-OAM |
登入管理,审计用的VPC |
4.2.1.3 交换机/子网创建规范
云环境的交换机创建需提前和网络工程师沟通并确认好相关信息,并提交相关流程审批。创建交换机需注意:
· 交换机命名规范:部门-业务种类-Area-可用区
· 业务种类:Application、Portal、Database
· 阿里云推荐E、F可用区,腾讯云推荐四区、五区
· 提前确认是否需要高可用区
需要明确以下信息并提供给网络工程师:
VPC |
交换机名称 |
可用区 |
是否需要高可用区 |
机器数量 |
用途 |
4.2.2 弹性公网IP使用规范
弹性公网 IP(Elastic IP,EIP)是可以独立购买和持有,且在某个地域下固定不变的公网 IP 地址,可以云服务器、私网负载均衡、NAT 网关、弹性网卡和高可用虚拟 IP 等云资源绑定,提供访问公网和被公网访问能力;还可与云资源的生命周期解耦合,单独进行操作;同时提供多种计费模式,用户可以根据业务特点灵活选择,以降低公网成本。
EIP是一种NAT IP,它实际位于云平台的公网网关上,通过NAT方式映射到被绑定的云资源上。当EIP和云资源绑定后,云资源可以通过EIP与公网通信。
弹性公网 IP的使用需走公司内部资源申请工单流程,通过后由网络工程师帮忙创建并配置。
*需特别注意,遵循运维规范,不允许弹性公网IP直接绑定云服务器实例,必须通过NAT网关的DNAT和SNAT功能,来分别实现“将公网NAT网关上的公网IP通过端口映射或IP映射给云服务器实例使用,使云服务器实例能够对外提供公网访问服务“与”为VPC中无公网IP的云服务器实例提供访问互联网的代理服务“的两种功能。
4.2.3 NAT网关使用规范
NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力,可为私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。
其中SNAT功能,是为VPC中无公网IP的云服务器实例提供访问互联网的代理服务,实现无公网IP的云服务器实例访问互联网。
DNAT功能,是将公网NAT网关上的公网IP通过端口映射或IP映射两种方式映射给云服务器实例使用,使云服务器实例能够对外提供公网访问服务。
NAT网关的使用需走公司内部资源申请工单流程,通过后由网络工程师帮忙创建并配置。
可以视实际情况,评估NAT网关是否可以多项目共用。
4.2.4 资源组/标签使用规范
4.2.4.1 资源组功能
资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制,资源组对用户拥有的云资源从用途、权限、归属等维度上进行分组,实现企业内部多用户、多项目的资源分级管理。一个云资源只能属于一个资源组,云资源之间的关联关系不会因加入资源组而发生变化。
应用场景主要为如下两种:
一是将用途不同的云资源加入不同的资源组中分开管理,例如可以将生产环境的实例和测试环境的实例,分别放入生产环境和测试环境两个资源组中;产品测试时,建议只对测试环境资源组中的实例进行操作,避免对生产环境的实例发生误操作。当产品需要上线时,再选择生产环境资源组中的实例进行操作。
二是为各个资源组设置完全独立的管理员,实现资源组范围内的用户与权限管理,比如可以将公司不同部门使用的实例分别放入多个资源组中,并设置相应的管理员,从而实现分部门管理实例。
4.2.4.2 标签功能
标签(Tag)是腾讯云和阿里云提供的云资源管理工具,用户可以从不同维度对具有相同特征的云资源进行分类、搜索和聚合,从而轻松管理云上资源。
标签是由标签键和标签值两个部分组成,用户可以为云资源创建和绑定标签。一个标签键可以对应多个标签值,一对标签键和标签值可绑定多个云资源。
标签的应用场景主要为如下三种:
一是使用标签管理云资源,可以使用标签标记在云上的已有资源,实现对这些资源分类管理,也可以通过标签控制台或标签 API 根据资源的地域、类型以及标签来查询资源,查看到的资源将会以列表的形式展示。
二是使用标签控制对资源的访问,可以将标签与访问管理结合使用,能够通过标签授权的方式,让不同的子用户拥有不同云资源的访问和操作权限。
三是使用标签进行分账,可以基于组织或业务维度为资源规划标签(例如:部门、项目组、地区等),然后结合云提供的分账标签、账单详情功能实现成本的分摊管理。
标签支持的云资源:
· 阿里云支持标签的产品:
https://help.aliyun.com/document_detail/171455.html?spm=5176.21213303.J_6704733920.9.737953c9G4p1vf&scm=20140722.S_help@@%E6%96%87%E6%A1%A3@@171455._.ID_help@@%E6%96%87%E6%A1%A3@@171455-RL_%E6%94%AF%E6%8C%81%E6%A0%87%E7%AD%BE%E7%9A%84%E4%BA%A7%E5%93%81-LOC_main-OR_ser-V_2-RK_rerank-P0_1
· 腾讯云支持标签的产品:
https://cloud.tencent.com/document/product/651/30727
4.3 权限管理
云上的权限往往通过访问管理或访问控制进行管理,在阿里云上称为访问控制RAM(Resource Access Management),即阿里云提供的管理用户身份与资源访问权限的服务。在腾讯云上称为访问管理(Cloud Access Management,CAM),即腾讯云提供的 Web 服务,主要用于帮助用户安全管理腾讯云账户下的资源的访问权限。
在注册云平台账号时,生成的账号为主账号,拥有该主账号下所有云资源的管理权限。如需要其他用户能协助一起管理账号下的云资源,可以通过访问控制(RAM)/访问管理(CAM)创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用阿里云/腾讯云资源的权限。
通过访问控制(RAM)/访问管理(CAM)的功能,可以实现统一管理访问身份及权限:
· 集中管理子用户,管理每个子用户及其登录密码或访问密钥,为子用户用户绑定多因素认证MFA(Multi Factor Authentication)设备
· 集中控制子用户的访问权限,控制每个子用户访问资源的权限
· 集中控制子用户的资源访问方式,确保子用户在指定的时间和网络环境下,通过安全信道访问特定的云资源
主账号管理员往往可以根据访问权限将用户分为以下三类:特殊用户(或系统管理员); 一般用户:系统管理员根据他们的实际需要为他们分配操作权限; 审计用户:负责系统和网络的安全控制与资源使用情况的审计。
4.3.1 用户岗位职责描述
· 特殊用户:负责生产环境各个操作系统、网络系统、硬件设备及应用软件的管理和维护工作。
· 一般用户:负责日常值班、监控等相关工作。
· 审计用户:负责生产系统相关的审计工作。
4.3.2 用户权限原则
· 遵循最小授权原则
企业需要评估每个角色的任务和职责,然后只授权所需权限,可将用户账户授权的范围限制在最少必要的范围内,以减少账户被攻击或非授权访问的风险,同时提高账户管理的精细性和可控性。
· 使用策略限制条件
使用策略限制条件可以进一步加强账户的安全性,以确保只有授权访问资源的用户才能进行访问。策略限制条件可以帮助管理员根据需要安全地限制用户的访问,例如限制访问时间、允许的IP地址范围、允许的操作类型等,并且可以限制哪些用户可以执行特定的操作(比如只能读数据,而不能写)等等。
· 将用户管理、权限管理与资源管理分离
将用户、权限和资源分离管理通常被称为“三权分立”模型,这是一种在安全领域中非常常见的做法,其主要思想是将用户、权限和资源分别管理,以加强安全控制。
在这个模型中,用户管理、权限管理和资源管理分别归属于不同的角色或组织单元,以便在管理和控制时更加细致和有效。具体来说,可以实现以下措施:
用户管理:负责创建、修改、删除用户帐户,管理用户的组和角色等。用户管理的主要任务是确保每个账户有一个唯一标识符,且每个账户都专注于其特定的任务或工作负载。这有助于确保账户安全和控制账户的适当访问权限。
权限管理:负责定义、授予和撤销角色和权限,以便管理用户的访问权限。权限管理的主要任务是确保每个用户只能访问其所需的资源,防止未经授权的访问或数据泄露。
资源管理:负责创建、修改和删除资源,并提供必要的维护和保护服务。资源管理的主要任务是确保适当的资源配置和访问控制,并监控任何资源的异常活动或安全问题。
通过将用户管理、权限管理和资源管理分离,可以更好地保障账户的安全性和数据的保密性。此外,还可以为每个职能领域指定一个特定的管理员,以便更好地监督账户访问和资源使用情况。
· 为主账户和高风险权限子用户启用多因素认证(MFA)
多因素认证(MFA)是一种增加账户访问安全性的方式,可以在登录过程中要求用户输入两个或者更多的身份验证因素,例如用户密码和手机短信验证等。对于主账户和高风险权限子用户,启用MFA可以进一步提高账户的保护级别。
启用MFA的原因是,在某些情况下,只有密码是不够安全的。例如,如果密码被泄露或者被猜测到,黑客可以使用该密码登录用户的账户,并未获取用户账户的完全控制。启用MFA可以帮助检测潜在的恶意登录尝试并增加访问账户的安全级别,这些认证因素通常是动态生成的,加密密钥或其他特殊设备。
为主账户和高风险子用户启用MFA是非常重要的,因为这两个账户通常具有最高的权限访问。黑客攻击者通常满足于能够获得主账户和子账户的控制,进而获取对应用程序和数据的完全访问权限。但是,启用MFA创造了一个额外的安全层,需要黑客攻击者同时盗取或猜测到两个或多个身份验证因素的信息,才能成功进入账户。
· 设置所有用户的密码强度及登录限制
设置控制台的密码强度和登录限制,可以帮助管理员防范可能的恶意攻击和不当操作,提高账户安全性。
要求密码长度大于等于8个字符,并使用大小写字母、数字和符号等多种字符类型;并设置密码的重试错误次数和重复限制。
· 使用群组给子用户分配权限
通过创建群组,可以将多个子用户集成在一起,并为整个群组授权特定的权限。这使得管理和控制子用户的权限和访问更加简单和高效,同时也能够灵活地管理各个群组的访问。
例如,作为管理员,可以创建不同的群组,为不同的群组分配不同的权限范围。对于每个子用户,只需要将其分配到合适的群组即可,而无需逐个为每个子用户单独分配权限。这可以大大节省管理员的时间和精力,同时也能帮助最大程度地确保账户的安全性。
此外,可以将群组继承来自其他群组的权限,这意味着可以通过将子群组嵌入到其他群组中来分配权限。通过这种方法,可以更轻松地管理和控制账户权限,并确保权限的合理和精细分配。
· 将控制台用户与 API 用户分离
控制台用户是用于登录云服务的账户,具有管理控制台的权限;而API用户是用来访问云服务的应用程序,具有对云资源的访问和管理的权限。
将控制台用户和API用户分离的原因是,两类用户之间的访问权限不同,必须进行分类管理。控制台用户可以进行各种管理操作,包括访问、创建、修改、删除云资源等;而API用户只需要访问和管理用户指定的特定资源,因此具有更小的访问范围。
通过将两类用户分离,可以减少因某一用户权限泄露而导致的安全风险。同时,也能更好地实现用户权限的精细化管理和控制。例如,可以根据需要为API用户批准或撤销特定的资源访问权限,而无需担心控制台用户操作误操作或滥用权限。
· 及时撤销用户不再需要的权限
一旦用户不再需要某些权限,可以将其从账户中删除或者将其权限进行降级。这可以减少账户被黑客攻击或泄漏的风险,同时能够帮助安全管理员更好的管理账户权限。
在进行权限撤销时,可以制定一套详细的流程和规范,确保权限的去除和更新操作能够被安全和顺利地执行。例如,在流程中可以设定针对多个权限撤销设置不同的有效期限;为不同权限的撤销设定试用期;制定一套详细的管理和交接的流程,确保新管理员能够及时掌握账户权限情况。
· 禁止主账号密码共享
如果多个用户共享同一个账号和密码,那么账号的安全性将会受到威胁,容易被黑客攻击或泄漏,甚至会丢失重要的用户数据和信息。
此外,多人共享同一个账号密码还存在其他的问题。例如,不同的用户应该拥有不同的访问权限,共享账号将无法实现个性化的权限设置。同时,共享账号也会使用户行为难以追踪和管理,无法精准地监控用户的操作和流量使用情况。
因此,禁止主账号密码共享不仅有助于保护用户账号的安全性,也有助于提高用户的使用体验和系统的安全管理性。如果需要多个人访问同一个平台或服务,可以使用多个子账号,并分配不同的权限和访问范围,来保障账号的安全和管理。
· 不要为主账号创建访问密钥
访问密钥实际上是一组临时凭证,用于对云服务进行身份验证和授权,而不需要使用主账号和密码。与主账号和密码不同,访问密钥可以随时进行创建和撤销,使得账号的安全性更高。但是由于主账号权限过高,如果不妥善管理访问密钥,出现访问密钥意外泄露的情况,黑客可以使用这些凭证来访问用户的账户并窃取敏感信息,危害远远大于子账号的访问密钥泄漏。
4.3.3 权限分配流程
1. 鉴别用户身份
在为用户授权之前,必须要先确认用户的身份,确认用户的真实姓名、职务、所属部门等信息,确保对正确的人员进行授权。
2. 制定授权策略
对于不同的角色,企业需要制定相应的授权策略,根据用户的实际需求来为其分配相应的权限,严格按照“最小权限原则”和“依据需求授权”原则来执行。
3. 审批授权请求
用户在申请权限时,需要经过上级的审批,审批人员需要核实用户的身份和申请权限的合理性,然后根据实际情况来审批申请。
4. 分配权限
在经过审批之后,根据授权策略为用户分配相应的权限,确保用户只拥有所需的最低权限,防止授权过度导致的风险和漏洞。
5. 定期审查权限
定期审查每个角色的权限模板,以确保已包括必要的权限并且没有包括不必要的权限。审查每个用户/角色的权限以确保它们的权限是最新的并且合理的。审计安全事件记录来查看是否存在未经授权的权限请求或使用。
6. 撤销用户权限
当用户不再需要某些权限时,立即撤销这些权限。离职或调岗的用户的权限必须立即撤销。
4.4 安全管理
4.4.1 网络安全
4.4.1.1 开放访问外网
如果用户的服务器需要访问外网或对外提供服务,不能直接将EIP绑定到ECS,这样会存在安全风险。相反,用户需要按照一定的规范进行配置,以确保安全性和可靠性。
第一步,申请EIP和NAT资源
EIP(Elastic IP Address)是一种公网IP地址,可被动态地分配和释放。在云平台上,用户可以将其申请并绑定到云服务器实例上,从而实现实例的公网访问。但是,为了保障安全,用户不得直接将EIP绑定到云服务器上,用户需要申请NAT网关,再通过SNAT将ECS私网IP地址转换为公网EIP地址,以实现对外通信。
第二步,申请SNAT和DNAT配置,及云防火墙配置
SNAT(Source Network Address Translation)是一种源地址转换技术,可将内网IP地址转换为外网IP地址,以实现内网与外网的通信。在云平台上,用户可以通过配置SNAT条目来实现该功能。
DNAT(Destination Network Address Translation)是一种目标地址转换技术,可将外网IP地址转换为内网IP地址,以实现公网访问内网资源。在云平台上,用户可以通过配置DNAT条目来实现该功能。
此外,用户还需要为云服务器配置云防火墙规则,以保障网络安全。通过添加防火墙规则,用户可以限制流量的进出,避免恶意攻击和数据泄露。
总之,无论需不需要将服务发布到公共互联网上,都请不要将EIP直接绑定到云服务器上,而应该按照规范进行相关网络配置。这样可以有效地提高网络安全性和可靠性。
4.4.1.2 防火墙配置
为了保护云资产安全,需要在云上配置防火墙,而且防火墙的管理由安全部门进行统一进行。以获取外网资源为例,首先需要在用户内部确认需求,领导沟通确认后再向安全部门提交工单,明确说明哪些机器需要访问哪些资源。工单中需要详细描述每台机器需要访问的资源名称、类型以及机器名称,以便安全部门能够根据这些信息快速准确地设置防火墙规则。这样可以保障系统的安全和稳定,防止恶意攻击和数据泄露,从而确保企业的正常运营和业务发展。
4.4.1.3 网络划分
在云环境中,为了实现不同部门之间的网络隔离与安全,可以使用虚拟专有网络(VPC)技术。根据实际需求多个部门需要共用同一个VPC,则需要将VPC内部的网络进行分段,并为每个部门创建对应的交换机。通过这种方式,不同部门之间的网络可以互通,但是互相之间不会产生干扰。
在VPC中,唯一的限制是通过安全组进行控制。安全组是一种网络安全服务,可以用来控制进出VPC的流量。通过设置安全组规则,可以限制VPC内部不同部门之间的流量,仅允许必要的流量通过。这样,就可以保证VPC内部各部门的网络安全,防止网络攻击和数据泄露等风险。
需要注意的是,使用VPC和安全组并不能完全消除网络安全风险,仍然需要采取其他措施来保护云上的资源。只有通过综合的安全策略,才能保证云上资源的安全性和可靠性。
4.4.2 运维安全加固
使用安全中间件组件进行安装,并进行系统与应用的安全加固,含:
· 遵循最小授权原则;
· 禁用或删除无用账号;
· 将用户管理、权限管理与资源管理分离;
· 禁用 root 权限;
· 不要为主账号创建访问密钥;
· 将控制台用户与 API 用户分离;
· 修改 SSH、应用默认端口号;
· 关闭不常用服务及端口;
· 限制外网 IP 登陆;
· 添加用户登陆警告信息;
· 设置异地登陆服务器短信和邮件告警;
· 根据需要,设置登陆时间限制、定期修改密码;
· 梳理安全组策略,对业务访问进行精细化访问控制;
· RDS、Redis等进行白名单设置。
4.4.3 云服务器安全组访问策略
云服务器的安全组提供了防火墙功能,是重要的网络安全隔离手段,通过设定各安全组之间的安全规则,可搭建多层访问控制体系,实现访问安全。
建立应用、数据和管理的安全组,分别对应用服务器、数据库及数据服务器的连接进行访问管控。下文中的安全组访问控制规则为简单举例,实际中会根据具体的安全要求进行调整。
1) Web服务器组规则示例
访问源 |
规则 方向 |
授权 策略 |
网卡 类型 |
协议 |
目的 端口 |
规则 |
防火墙 |
入方向 |
允许 |
外网 |
HTTP |
80 |
允许从任何地方对Web服务器进行入站HTTP访问 |
防火墙 |
入方向 |
允许 |
外网 |
HTTPS |
443 |
允许从任何地方对Web服务器进行入站HTTPS访问 |
2) 数据库服务器组规则示例
访问源 |
规则 方向 |
授权 策略 |
网卡 类型 |
协议 |
目的 端口 |
规则 |
内网特定 IP或 IP段 |
入方向 |
允许 |
内网 |
TCP |
1433 |
允许本地网络中的特定 IP 地址或 IP 地址范围访问 Microsoft SQL Server 数据库的默认端口 |
内网特定 IP或 IP段 |
入方向 |
允许 |
内网 |
TCP |
3306 |
允许本地网络中的特定 IP 地址或 IP 地址范围访问MySQL Server数据库的默认端口 |
4.4.4 操作审计
云平台都提供了操作审计功能,可以记录云平台账号下的所有操作日志。阿里云上是操作审计功能,腾讯云上的是云审计功能,通过这个功能,用户可以清楚地了解账号下所有操作的情况,包括哪些人员进行了哪些操作,以及何时进行的操作等等。这对于管理阿里云资源、保障账号安全非常重要。
· 要开启阿里云的操作审计功能,用户需要先在阿里云控制台上创建一个审计日志服务(SLS)项目,并将需要审计的云账号添加到该项目中。然后,在控制台上设置审计策略,定义哪些操作需要被记录下来。
· 在创建腾讯云账号时,云审计将会被启用 ,自动接入不同云产品。当腾讯云账号中发生活动时,该活动将被记录在云审计事件中。用户可以转到事件历史轻松查看 云审计控制台中的事件。
一旦开启了操作审计/云审计功能,用户就可以在控制台上查询审计日志,了解账号下所有操作的详细情况。此外,云平台还提供了实时监控和告警功能,用户可以及时获得操作异常的警报,并及时采取措施。
总之,云平台的操作审计功能对于管理云平台资源、保障账号安全非常有帮助,建议用户合理使用该功能。
推荐阅读
推荐视频