系统架构优化建议
减少数据外泄的通道,通过报告掌握整体的安全态势
- 存放关键内容的ECS,不开通公网IP
- 在ECS前面增加SLB,多一层保护
- 数据库服务器RDS不开通外网IP
- 远程管理采用堡垒机中转
- 开通“云安全中心+云监控”,并定期查看报告
系统架构的优化建议--架构举例 1
系统架构的优化建议--架构举例 2
相比架构1,多使用了安全组,根据应用提供的服务不同,把服务放在不同安全组
系统架构的优化建议--架构举例3
相比架构2,多使用了VPC
系统架构的优化建议--远程管理
使用VPN+堡垒机 来远程管理ECS服务器
- VPN+堡垒机成为唯一的运维通道
- 堡垒机实现运维实名制
- 远程运维过程全审计
- 满足等级保护等法律发规要求
网络层优化建议
- 关注云盾安全报表:基础DDoS防护
- 依据业务实际情况,配置DDoS清洗阈值
- 超过5G攻击时,启动“DDoS高防IP”
- 重大活动保障,启用“安全管家服务”
主机优化建议
云服务器层的优化建议
- 启动操作系统自带的防火墙功能:iptables,windows防火墙
- 开放端口时,采用最小化原则
- 管理端口增加白名单IP,如:SSH,远程桌面
- 关闭ECS里的无用端口
- 开启“云安全中心”,“内容安全”,定期查看检测报告
- 没有运维团队时,可选择“云市场种的代维”,“安全管家”
应用层和数据层的优化建议
- 遵循软件开发安全生命周期(SDL)
- “安全评估” 和 “安全测试” 是基础
- 定期查看“云安全中心”,“云监控”的报告
- 对业务系统进行分组,启用RAM账号,最小化权限
构建云上的安全体系
阿里云混服云方案
混合云并列架构和混合云串联架构:
混合云串联架构优势:
- 仅开启阿里云对互联网的访问,将互联网出口应用全部部署在阿里云,和自建数据中心的网络、所有互联网的访问都必须经过阿里云
- 在阿里云的DDoS高防,WAF,云安全中心等安全能力
- 在阿里云上,通过多VPC隔离不同种类的业务
总结
4320
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
