企业上云安全建设解决方案
企业上云安全建设解决方案通过简单三步,企业可快速评估自身安全问题,建设云上基础安全能力。第一步:评估安全风险,第二步:建设基础防护,第三步:防控业务风险,共建云上安全体系。
企业自身业务常面临资金风控、金融级身份验证、借贷反欺诈、营销风控、内容安全、黄牛及刷票刷接口等风险,需要按需建立防控能力.第三步:防控业务风险.建设基础安全能力的第1个小步骤 ——「安全基础配置」通过平台默认安全能力,减少网络攻击面和权限滥用.集中授权、集中审计提供可靠的原始数据.访问控制 RAM.分析操作...
来自:
解决方案
SLS多云日志采集、处理及分析
场景描述 从第三方云平台或线下IDC服务器上采集 日志写入到阿里云日志服务,通过日志服务 进行数据分析,帮助提升运维、运营效率, 建立DT 时代海量日志处理能力。 针对未使用其他日志采集服务的用户,推荐 在他云或线下服务器安装logtail采集并使用 Https安全传输;针对已使用其他日志采集 工具并且已有日志服务需要继续服务的情 况,可以通过Log producer SDK写入日志 服务。 解决问题 1.第三方云平台或线下IDC客户需要使用 阿里云日志服务生态的用户。 2.第三方云平台或线下IDC服务器已有完 整日志采集、处理及分析的用户。 产品列表 E-MapReduce 专有网络VPC 云服务器ECS 日志服务LOG DCDN
本文提供全流程完整的 Demo演示和源码,可作为客户、架构师 PoC验证、学习使用。应用范围 第三方云平台或线下 IDC需要使用阿里云日志服务生态。第三方云平台或线下 IDC服务器已有完整日志服务迁移至阿里云。名词解释 日志服务 LOG:日志服务(Log Service,简称 LOG/原 SLS)是针对实时数据一 站式服务,在阿里集团经历大量...
资源管理
场景描述 随着企业IT成熟度不断提高、管理的云上资源 不断增多,如何对资源进行高效管理的问题就会 凸显出来。阿里云的资源管理服务支持您按照业 务需要搭建适合的资源组织关系,使用目录、资 源夹、账号、资源组分层次组织与管理您的全部 资源,更好的实现项目成功。 解决问题 1.按照企业组织结构管理账号体系。 2.指定结算账号进行统一结算 3.统一管理成员账号权限系统 4.账号下的资源按照资源组进行分类 5.可以按照自定义财务单元进行分账管理 产品列表 资源管理
计费模式:按使用流量 公网带宽:5Mbps 安全组 选择默认安全组。配置完成,单击下一步:系统配置。文档版本:2021-07-12 24 资源管理 资源目录 步骤5 在系统配置页面,参考下表示例说明,配置相关参数。配置项 说明 登录凭证 自定义密码 登录密码 按要求设置登录密码。说明:记录下设置的登录密码,后续登录要用到。确认...
远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
(说明:此处为文章篇幅简洁,验 证方便,复用了场景 1中的云桌面环境。场景 3与场景 1相互独立,互不影响。(3)杭州和上海的网络通过 IPSec-VPN打通。(4)文件服务、云桌面用户、NAS被 IDC中的 AD管控。文档版本:20201210 8 远程办公-AD管控下的弹性云桌面最佳实践 部署最佳实践所需资源 类别 配置项 说明 区域 区域 ...
CDH迁移升级CDP最佳实践
当前 CDH 免费版停止下载,终止服务,针对需要企业版服务能力并且CDH 升级过程对业务影响较小的客户,通过安装新的 CDP 集群,将现有数据拷贝至新集群,然后将新集群切换为生产集群,升级过程没有数据丢失风险,停机时间较短,适合大部分互联网客户升级使用。
如果 Navigator配置了 LDAP或 Active Directory身份验 证,建议修改用户或用户组,删除其添加或更新元数据的权限。ᅳ 将 Navigator实体标记为 stale,标注该实体不再在 Navigator中维护。有一种 比较简单的实现方法是创建一个策略,该策略将标签分配给 CDP中的实体。元数据迁移非常耗时 请登录到 navigator页面,然后查看 ...
企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
人员权限管 理混乱,离职员工在云上的身份梳理不清难以 及时清理造成极大的安全隐患;账号权限过 大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各 业务系统各自为政,数据泄露、业务中断、安 全入侵风险升级。为了提升云上的管控效率和安全性,总公司 解决问题 成立新的信息安全中心和...
ACK容器平台集群安全控制
场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 容器集群API Server的安全访问控 制 容器服务多租户场景下的授权管理 容器中的敏感信息数据的存储 容器服务集群安全策略配置管理 产品列表 容器服务Kubernetes版 负载均衡SLB 专有网络VPC 访问控制RAM
ACK容器平台集群安全控制 最佳实践 部署架构 场景描述 本方案实践主要是通过一些实践示例来介 绍用户对于在阿里云上使用 Kubernetes 集群服务的容器平台安全管控的实践验证 与使用建议。方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 产品列表 容器集群 API Server的安全访问控制 ...
E-HPC低成本实现量化策略回测
在量化交易场景下,量化策略的构建流程一般包括:想法、数据获取、建模、回测、结果分析等,在回测过程中往往需要海量的算力,进行大量数据的分析和处理,如何快速、高效和低成本的进行批量任务的调度,并快速获取结果是量化领域遇到的普遍挑战,这也是云计算能够带给客户的巨大优势。
部署模式:精简。登录节点和管控节点混合部署在一个节点上,计算节点分离部 署。调度器:PBS。一款用于复杂和高性能计算环境(比如网格)的工作负载管理器和 调度器。您可以使用它来简化作业提交、跨多个平台集群分布工作负载,以及扩展 到数百甚至数千个处理器。域账号:NIS。网络信息服务(Network Information Service)...
数据迁移上云
随着越来越多的企业选择将业务系统上云,各种类型的数据如何便捷、平滑的迁移上 云,成了用户上云较为关注的点;业务上云后,因为业务或者其他方面调整等因素, 也存在如跨区域,跨账号等数据迁移的场景。针对以上需求,阿里云上提供了较为丰 富的工具(如ossimport)、服务(在线迁移服务),旨在能够帮助客户便捷进行数据迁 移。 本文通过云架构设计工具CADT来快速创建云上基础资源,并以杭州区域来模拟线 下IDC(或友商),深圳区域模拟阿里云云上资源。通过云上的工具命令、服务来提 供常见数据迁移场景的最佳实践。
云企业网可帮助您在不同地域 VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络 的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一 文档版本:20201013 II 数据迁移上云最佳实践 前言 张 具 有 企 业 级 规 模 和 通 信 能 力 的 互 联 网 络。详见:...
云上IT治理workshop
假设您负责假设您负责一家集团公司的IT 基础设施,集团 旗下有多个分公司(如制造分公司和销售分公 司),各分公司有独立的开发、测试以及运维团 队。现在选择阿里云作为合作伙伴,拟达到以下 业务目标: 1. 各个分公司拥有独立的账号,可以购买云资 源,由集团账号统一付费。 2. 集团对各个分公司的账号以及权限拥有管理 权限。 3. 网络资源由独立的平台账号统一规划和创 建,分配给各个公司使用。 4. 集团对分公司账号具有配置管理和操作审计 权限。 5. 各分公司内部独立管理账号权限以及资源。
更新以下配置项:实例规格:ecs.c6.large 镜像版本:Alibaba Cloud Linux 3.2104 64位 系统盘类型:cloud_essd 性能级别:PL0 资源组选择:测试资源组 文档版本:20210909(发布日期)73 云上 IT治理 Workshop 权限验证 重复上述步骤,更新开发 ECS配置,资源组选择开发资源组。步骤5 单击右上角保存按钮,自定义命名应用...
传统企业业务上云基础安全防护
场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1.服务器安全、应用安全 2.网络安全、数据安全 3.安全审计、安全管理 产品列表 云安全中心 Web应用防火墙 云防火墙 SSL证书 数据库审计 堡垒机
根据客 户业务,可以选择不能规格证 书。云防火墙 高级版;包年 边界防护、网络层访问控制、IPS、网络流量审计。云安全中心 高级版;包年 入侵防范、主机侧恶意代码防 范,应用层安全审计。堡垒机 20实例版本,包月 运维授权及审计、双因子认证。数据库审计 专业版3实例;包月 数据库审计,特别是自建数据库 的审计。文档...
SAP S/4HANA上云最佳实践
本实践以SAP S/4HANA上阿里云的场景为原型,阐述了如何通过CADT在阿里云上快速交付符合最佳实践的基础云架构。
事后:借助阿里云堡垒机,云上统一、高效、安全运维通道,集中管理资产权限,全 程监控操作行为,实时还原运维场景,保障云端运维身份可鉴别、权限可管控、风险 可阻断、操作可审计,助力等保合规。文档版本:20211202 11 SAP S/4HANA上云规划 SAP S/4HANA上云最佳实践 2.4.SAP系统架构设计 结合上述章节,整体 SAP S/4 ...
本地数据中心基于SMB/NFS协议访问对象存储最佳实践
1. 云存储扩容和迁移 集成智能缓存算法,自动识别冷热数据,将热数据保留在本地缓存,保证数据访问体验,无感知的将海量云存储数据接入本地数据中心,拓展存储空间。同时在云端 保留全量数据(冷+热)保证数据的一致性 2.云容灾 随着云计算的普及,越来越多的用户把自己的业务放到了云上。但是随着业务的发展,如何提高业务的可靠性和连续性,跨云容灾是一个比较热门的话题。借助云存 储网关对虚拟化的全面支持,可以轻松应对各种第三方云厂商对接阿里云的数据容灾。 3. 多地数据共享和分发 通过多个异地部署的文件网关实例,对接同一个阿里云OSS Bucket,可以实现快速的异地文件共享和分发,非常适合多个分支机构之间互相同步和共享数据。 4. 适配传统应用 有很多用户在云上的业务是新老业务的结合,老业务是从数据中心迁移过来的使用的是标准的存储协议,例如: NFS/SMB/iSCSI。新的应用往往采用比较新的技 术,支持对象访问的协议。如何沟通两种业务之间的数据是一个比较麻烦的事情,云存储网关正好起到一个桥梁的作用,可以便捷的沟通新旧业务,进行数据交换。 5. 替代 ossfs 和 ossftp ossfs 和 ossftp 都是基于文件协议的开源工具,用户可以通过它们直接上传文件到OSS。但是这两个开源文件都不建议在生产环境使用(POSIX 兼容度低),同时挂 载在用户的客户端需要额外的配置和缓存资源,对于多个客户端的情况安装配置繁琐。通过文件网关的服务可以完美替代 ossfs 和 ossftp。通过创建文件网关,用 户只需要执行简单的挂载(NFS)和映射(Windows SMB)就可以像使用本地文件系统一样使用 OSS。
块网关提供两种 模式:透传模式和缓存模式。透传模式可以将块卷数据切片同步上云,适用于专线 等高速链路客户;缓存模式提供本地缓存盘进行读写加速,缓存数据异步上云,适 用于期望本地快速访问但是上云链路慢的客户。对象存储 OSS:阿里云对象存储 OSS(Object Storage Service)是一款海量、安 全、低成本、高可靠的云...
企业办公安全访问一体化
本场景模拟企业办公环境,基于 CSAS 服务构 建企业办公安全一体化方案,将“安全 + 网络” 能力无缝融合,实现了对云下办公终端安全的统 一管理,企业无需在投资复杂且昂贵的传统硬件 安全设备,即可快速构建安全、可靠、低成本的 办公安全防护体系。 1. 企业办公环境访问互联网的安全管理 2. 企业办公环境访问内网服务的安全管理 3. 企业办公网络、安全一体化管理
文档版本:20210129 4企业办公安全一体化最佳实践 基础环境配置 在CADT页面,基于官方模板库新建,选择《企业办公安全访问一体化最佳实践》模 板。基于方案新建,保存为新的应用,应用名称可以自定义。文档版本:20210129 5企业办公安全一体化最佳实践 基础环境配置 双击画布中的region、vpc、vswitch等元素可以对其进行...
- 产品推荐
- 这些文档可能帮助您