云上日志集中审计
场景描述 云上的各类云产品和客户部署的业务系统会产生各类 日志,企业合规及安全运营等都需要在一个地方能 集中的查看和分析日志;目前各云产品日志大部分 都进了sls,但都是产品独立的project,不方便集中 审计;客户的业务系统日志各种形态都有;多云和混 合云的场景,日志也需要能集中审计。 解决问题 1.所有日志集中到SLS一个中心project下。 2.满足等保合规和内部合规需求。 3.满足运维和安全运营需求。 产品列表 日志服务SLS 专有网络VPC 弹性公网IPEIP 负载均衡SLB 云服务器ECS 云数据库RDS 云防火墙CFW
文档版本:20200630(发布日期)25 云上日志集中审计 WEB服务日志采集 步骤6 logtail配置:APACHE配置字段参数:LogFormat"%h%l%u%t \"%r\"%>s%b \"%{Referer}i\"文档版本:20200630(发布日期)26 云上日志集中审计 WEB服务日志采集 \"%{User-Agent}i\"%D%f%k%p%q%R%T%I%O"customized 如果是其他如 Nginx 等,配 置 参 数 ...
企业办公安全访问一体化
本场景模拟企业办公环境,基于 CSAS 服务构 建企业办公安全一体化方案,将“安全 + 网络” 能力无缝融合,实现了对云下办公终端安全的统 一管理,企业无需在投资复杂且昂贵的传统硬件 安全设备,即可快速构建安全、可靠、低成本的 办公安全防护体系。 1. 企业办公环境访问互联网的安全管理 2. 企业办公环境访问内网服务的安全管理 3. 企业办公网络、安全一体化管理
文档版本:20210129 53企业办公安全一体化最佳实践 企业办公访问内网服务安全防护 重复第一个步骤,配置user002允许访问OA系统,优先级设为3。文档版本:20210129 54企业办公安全一体化最佳实践 企业办公访问内网服务安全防护 配置完成后如下图所示。文档版本:20210129 55企业办公安全一体化最佳实践 企业办公访问内网服务...
云速搭部署数据库审计
本实践通过云速搭实现数据库审计的部署。
步骤6 双击 RDS,配置参数:文档版本:20211111 9 云速搭部署数据库审计 CADT部署数据库审计应用架构 步骤7 搜索数据库审计,拖入 vswtich的框内。数据库审计服务需要部署在 VPC的某个 vswitch中,通常建议和要审计的数据库在一 个 vswtich中。文档版本:20211111 10 云速搭部署数据库审计 CADT部署数据库审计应用架构 步骤...
企业上云安全建设解决方案
企业上云安全建设解决方案通过简单三步,企业可快速评估自身安全问题,建设云上基础安全能力。第一步:评估安全风险,第二步:建设基础防护,第三步:防控业务风险,共建云上安全体系。
建设基础安全能力的第1个小步骤 ——「安全基础配置」通过平台默认安全能力,减少网络攻击面和权限滥用.集中授权、集中审计提供可靠的原始数据.访问控制 RAM.分析操作记录整体安全运行态势、实现全生命周期的日志管理.日常数据记录管理、数据泄密追溯、覆盖数据全生命周期.可以提供的服务.访问控制RAM.第1步:安全基础配置....
来自:
解决方案
AK防泄漏
场景描述 用户名密码是开发运维人员访问阿里云控制台 的凭据,AK是软件程序访问阿里云资源的凭据。 如果AK被泄露,那么会造成非常严重的后果, 比如资源被释放导致业务不可用、大量服务器被 创建用来挖矿,等等。采用合适的方式来使用、 保护AK,是每一个云客户都必须关注的问题。 解决问题 1.避免AK被泄露 2.改进已经错误使用AK的方法 产品列表 访问控制RAM 云服务器ECS 操作审计Action Trail 云安全中心
操作步骤 步骤1 登录操作审计 ActionTrail控制台。(https://actiontrail.console.aliyun.com/)步骤2 点击首页,点击创建跟踪 步骤3 在创建跟踪页面,填写跟踪名称,然后点击下一步 步骤4 选择投递到本账号,选择已有日志项目,选择地域,选择之前创建的 sls 项目,点击 下一步 文档版本:20220211 10 AK防泄漏 封存主账号...
企业上云数据安全
场景描述 企业是否选择上公共云,或者哪些系统或数据上 公共云,对数据安全的关心是重要因素之一。本 最佳实践重点在于介绍狭义的数据加密存储安 全范畴,即首先使用SDDP产品进行敏感数据发 现和分级分类,然后对高级别敏感数据进行按 需、不同类型的全链路加密存储。 解决问题 1.帮助客户发现敏感数据 2.对敏感数据进行分类、分级 3.对不同级别的数据如何选择加密方式 4.具体如何进行加密 产品列表 敏感数据识别SDDP 密钥管理服务KMS 云数据库RDS 对象存储OSS
步骤2 后台开启加密存储功能。在左侧导航栏选择基础设置,并在右侧的服务器加密里点设置。3.2.2.上传下载文件 往开启加密服务的 bucket上传和下载文件,与不开启加密服务方式完全相同,加密动 作是 OSS服务后端操作,对使用者完全透明。步骤1 往开启加密服务的 bucket上传一个文件。在左侧导航栏选择 bucket-encrypted,...
云平台内部操作透明化
场景描述 云平台基于用户的请求或监管要求等,进行的内 部操作对用户如果不可见,用户可能会担心自己 的数据是否收到了影响或者是否被触碰了,影响 用户对平台的信任。 解决问题 1.内部操作对用户可见 2.增强用户对平台的可信度 产品列表 操作审计Actiontrail 对象存储OSS 日志服务SLS
云平台内部操作透明化 最佳实践 业务逻辑图 场景描述 云平台基于用户的请求或监管要求等,进行 的内部...权威审计报告 云平台内部操作透明化功能,已通过国际知名会计师事务所安永的审计,保证了内部 操作透明化机制的完整性和准确性。如需要获取该商定程序报告,请提交工单或联系 自己的客户经理索取。文档版本:20200630 11
跨地域跨账号网络互通方案
跨地域跨账号网络互通方案,致力于为客户构建企业级云上网络。该方案支持跨地域、跨账号的网络互通,可实现企业云上一张网。当客户业务遍及多地,并且在阿里云多个账号多个地域均部署了服务时,采用该方案可以实现云上资源的灵活使用,提高了企业组网的灵活性和效率,并保障了企业数据的安全性和可控性。
组网便捷利用云企业网及转发路由器跨地域连接功能,快速简便实现跨地域组网,极大降低组网复杂度。应用场景大规模互联网应用多地域部署互联网应用可根据用户群体分布范围及系统需求,部署在不同地域并实现网络互通,提供更优质的用户访问体验。多地域部署可以提高应用的弹性和可用性,当一个地域发生故障或网络中断时,其他...
来自:
解决方案
企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
步骤10 输入访问配置的名称 步骤11 选择使用系统策略,此处选择云防火墙和云安全中心管理权限。文档版本:20220224 12 企业多账号环境下的安全资源统一管控 云 SSO实现多账号统一配置 文档版本:20220224 13 企业多账号环境下的安全资源统一管控 云 SSO实现多账号统一配置 {"Statement":[{"Effect":"Allow","Action":"ram:...
混合云存储构建VMware虚拟化平台
场景描述 本文以混合云存储阵列SA2600系统为例,介绍如 何在混合云存储环境下部署VMware虚拟化平台, 以及混合云环境下虚拟机的部署、扩容、云备份等功 能演示。 解决问题 1.如何使用混合云存储部署VMware虚拟化平台。 2.存储阵列在混合云环境下的使用,比如虚拟机部 署、扩容、云备份等。 产品列表 1.混合云存储阵列 2.对象存储OSS
文档版本:20191223 14 混合云存储构建VMware虚拟化平台 存储阵列系统初始化配置 步骤9 此时系统初始化工作已完成,弹出摘要界面,显示了接下来需要执行的操作,按照步 骤完成以后,单击完成即可进入系统的管理界面。说明:系统初始化也可以通过服务助手来进行,SA系列的存储阵列缺省的服务IP地 址为:192.168.70.10/11,...
基于ALB的统一流量调度和监控
企业在走向容器化过渡阶段,内部同时存在ECS应用和容器应用的情况,在多域名业务场景下,为了对应用的入方向流量进行统一的调度和监控,可通过ALB快速完成内部应用统一流量的管控。 典型场景 多域名转发到混合应用类型场景。 方案优势 1、 高弹性,高并发 2、 减少SLB+EIP数量 3、 一键WAF透明接入 4、 配置简单易上手 5、 统一流量运营分析
制品名称:按默认 打包路径:target/application.jar deploy.sh 步骤13 主机部署步骤配置如下图所示:制品名称:按默认 主机组:选择步骤 7创建的主机组 文档版本:20210915 36 环境准备 基于 ALB统一流量调度和监控 下载路径:/home/admin/app/package.tgz 执行用户:root 部署脚本:mkdir-p/home/admin/application tar ...
混合云自有K8S弹性使用ECI
场景描述 本文介绍线下IDC与云端通过专线构建混合云架构,自有K8S利用虚拟节点弹性调用ECI承载业务高峰期资源需求的最佳实践。 解决问题 混合云环境下,自有K8S集群注册至ACK,实现云端纳管。纳管K8S集群部署Virtual Node,使集群具备ECI资源调度能力。在以上环境中部署Web及离线作业应用,并使用ECI资源作为弹性资源池满足业务波峰需求。 产品列表 云服务器ECS 云架构设计工具CADT 专有网络VPC 访问控制RAM 云企业网CEN 弹性容器实例ECI Nat网关NAT 容器镜像服务ACR 负载均衡SLB 容器服务Kubernetes版ACK 弹性公网IPEIP
操作步骤 步骤1 接上章节,在 my-k8s集群详情页面,配置管理>配置项,进入配置项页面。选择 kueb-system命名空间,编辑 eci-profile 配置项。文档版本:20210520 32 混合云 IDC自有 K8S弹性使用 ECI 部署虚拟节点 步骤2 将 enableHybridMode参数的值改为 true。文档版本:20210520 33 混合云 IDC自有 K8S弹性使用 ECI 使用 ...
云速搭部署堡垒机最佳实践
通过云速搭实现堡垒机的部署
详 见 https://www.aliyun.com/product/ecs 堡垒机:堡垒机是一个集核心系统运维和安全审计为一体的综合性运维管控平台,提供运维身份鉴别、账号管控、系统操作审计等多种功能,帮助您保障云端运维工 作 权 限 受 控、操 作 审 计、安 全 合 规。详见:https://help.aliyun.com/product/52862.html 文档版本:20211104 3 ...
多账号下企业分账
场景描述 财务分账,是根据企业的成本中心,将云上资源的成本划分到给各个项目组/业务部门;助力企业快速梳理云上成本结构,搭建复杂组织架构下的成本关系,便捷地进行财务和云上成本的管理。 大型企业或集团公司,由于组织架构复杂,业务复杂等原因,通常拥有多个阿里云账号来管理规模庞大的云上资源。针对云上资源,如何建立有效的分账方案,是财务关注的重要问题。 解决问题 解决CIO/CTO最关心的云上IT治理,IT成本核算等问题。 弄清楚企业内各部门成本及云上IT成本结构。 让CIO/CTO准确地掌握云上资源成本情况,清楚业务与成本的关系。 让采购/运维轻松搞定每月的IT成本汇报。
为 保证标签质量,可以通过阿里云提供的配置审计功能来对标签的合规进行稽查,防止 漏打标,打错标。配置审计使用方法,详见《单账户下企业分账最佳实践》(https://bp.aliyun.com/detail/168)。文档版本:20210128 10 多账号下企业分账最佳实践 配置多账号分账体系 3.配置多账号分账体系 3.1.准备阿里云账号 本例涉及 4个...
互联网电商行业离线大数据分析
电商网站销售数据通过大数据分析后将业务指标数据在大屏幕上展示,如销售指标、客户指标、销售排名、订单地区分布等。大屏上销售数据可视化动态展示,效果震撼,触控大屏支持用户自助查询数据,极大地增强数据的可读性。
首先使用时,需要先进行授权DataWorks系统默认角色来进行辅助数据同步任务配 置、元数据采集等。再重试如上配置。互联网电商行业离线大数据分析 步骤5(可选)如果上述步骤测试连通性结果为无法连通,可基于连通性诊断工具进行自 助排查。互联网电商行业离线大数据分析 步骤6 测试连通性通过后,查看已将RDS加入到数据源中...
混合云数据库统一管理
本最佳实践描述在混合云场景下,用户利用数据库网关将IDC自建数据库和云上RDS实例统一管理。通过DMS管理云上RDS实例和IDC自建数据库,并通过DTS实现IDC数据库和云上RDS的数据同步, DBS将数据备份到云上
systemctl enable postgresql-10 service postgresql-10 start 文档版本:20201224(发布日期)15 混合云数据库统一管理 模拟环境构建 service postgresql-10 status 步骤3 修改配置并重启服务。1.修改 postgresql.conf。vim/var/lib/pgsql/10/data/postgresql.conf 修改如下配置项:listen_addresses='*' 2.修改 pg_hba....
资源管理
场景描述 随着企业IT成熟度不断提高、管理的云上资源 不断增多,如何对资源进行高效管理的问题就会 凸显出来。阿里云的资源管理服务支持您按照业 务需要搭建适合的资源组织关系,使用目录、资 源夹、账号、资源组分层次组织与管理您的全部 资源,更好的实现项目成功。 解决问题 1.按照企业组织结构管理账号体系。 2.指定结算账号进行统一结算 3.统一管理成员账号权限系统 4.账号下的资源按照资源组进行分类 5.可以按照自定义财务单元进行分账管理 产品列表 资源管理
统一由这个账号配置配置审计的规则并下发到各个成员账 号。安全账号:一般是企业里面负责安全角色会使用这个账号进行配置相关安全产品。文档版本:2021-07-12 4 资源管理 企业级统一账号架构 比如常见的 web应用防火墙(WAF)、高防 IP等。日志账号:聚合所有成员账号的日志。包括云产品的操作行为日志,审计日志以及 业务...
- 产品推荐
- 这些文档可能帮助您