系統架構優化建議
減少資料外泄的通道,通過報告掌握整體的安全態勢
- 存放關鍵內容的ECS,不開通公網IP
- 在ECS前面增加SLB,多一層保護
- 資料庫服務器RDS不開通外網IP
- 遠程管理采用堡壘機中轉
- 開通“云安全中心+云監控”,并定期查看報告

系統架構的優化建議--架構舉例 1
系統架構的優化建議--架構舉例 2
相比架構1,多使用了安全組,根據應用提供的服務不同,把服務放在不同安全組

系統架構的優化建議--架構舉例3
相比架構2,多使用了VPC

系統架構的優化建議--遠程管理
使用VPN+堡壘機 來遠程管理ECS服務器
- VPN+堡壘機成為唯一的運維通道
- 堡壘機實作運維實名制
- 遠程運維程序全審計
- 滿足等級保護等法律發規要求

網路層優化建議
- 關注云盾安全報表:基礎DDoS防護
- 依據業務實際情況,配置DDoS清洗閾值
- 超過5G攻擊時,啟動“DDoS高防IP”
- 重大活動保障,啟用“安全管家服務”
主機優化建議
云服務器層的優化建議
- 啟動作業系統自帶的防火墻功能:iptables,windows防火墻
- 開放埠時,采用最小化原則
- 管理埠增加白名單IP,如:SSH,遠程桌面
- 關閉ECS里的無用埠
- 開啟“云安全中心”,“內容安全”,定期查看檢測報告
- 沒有運維團隊時,可選擇“云市場種的代維”,“安全管家”
應用層和資料層的優化建議
- 遵循軟體開發安全生命周期(SDL)
- “安全評估” 和 “安全測驗” 是基礎
- 定期查看“云安全中心”,“云監控”的報告
- 對業務系統進行分組,啟用RAM賬號,最小化權限
構建云上的安全體系

阿里云混服云方案
混合云并列架構和混合云串聯架構:
混合云串聯架構優勢:
- 僅開啟阿里云對互聯網的訪問,將互聯網出口應用全部部署在阿里云,和自建資料中心的網路、所有互聯網的訪問都必須經過阿里云
- 在阿里云的DDoS高防,WAF,云安全中心等安全能力
- 在阿里云上,通過多VPC隔離不同種類的業務

總結

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/302444.html
標籤:其他

