企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
人员权限管 理混乱,离职员工在云上的身份梳理不清难以 及时清理造成极大的安全隐患;账号权限过 大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各 业务系统各自为政,数据泄露、业务中断、安 全入侵风险升级。为了提升云上的管控效率和安全性,总公司 解决问题 成立新的信息安全中心和...
企业上云数据安全
场景描述 企业是否选择上公共云,或者哪些系统或数据上 公共云,对数据安全的关心是重要因素之一。本 最佳实践重点在于介绍狭义的数据加密存储安 全范畴,即首先使用SDDP产品进行敏感数据发 现和分级分类,然后对高级别敏感数据进行按 需、不同类型的全链路加密存储。 解决问题 1.帮助客户发现敏感数据 2.对敏感数据进行分类、分级 3.对不同级别的数据如何选择加密方式 4.具体如何进行加密 产品列表 敏感数据识别SDDP 密钥管理服务KMS 云数据库RDS 对象存储OSS
20210809 21 企业上云数据安全 SDDP敏感数据发现 2.SDDP敏感数据发现 敏感数据保护(Sensitive Data Discovery and Protection,简称 SDDP)可以从您资 产的海量数据中快速发现和定位敏感数据,追踪敏感数据的使用情况,并根据您选择 的安全管理规则,为您呈现系统化的数据总览图,以确保您能实时了解资产数据的安 ...
应用身份服务IDaaS
IDaaS是阿里云为企业用户提供的一套集中式身份、权限、应用管理服务,支持一个账号打通所有业务应用,统一控制多因子身份认证,集中管理的应用访问权限控制,集中透明的用户访问日志审计,助力企业解决单点登录问题,是5A统一身份认证管理系统。使用场景分为CIAM和EIAM,是国内第一家提供完整公有云、私有化 CIAM 解决方案的服务提供方。
打通全生命周期应用 SSO.对研发管理场景进行了深度功能优化,使用方便.门户查看所有企业应用,一键单点登录.研发应用账户管理.研发应用账户管理.免费开通使用.IDaaS 支持员工、临时工、实习生、合作伙伴、生态公司等各类账户的统一管理,并统筹账户到业务、财务、HRSaaS、等各类企业应用的访问权限.预集成更广泛场景的业务...
来自:
云产品
基于SAE的一站式Web服务托管方案
通过SAE提供的内置CICD能力,代码提交后可以触发自动构建,并部署应用到SAE,部署完成后,应用自动产生访问域名,外部请求通过域名可以直接访问应用。SAE提供了内置的可观测,灰度,回滚能力,通过控制台可以白屏化完成整个操作。SAE适合应用容器化快速上云,客户只需要提供代码仓库,后续的CICD,应用访问,弹性管理,运维监控,SAE都提供了内置的集成能力
云速搭 CADT(Cloud Architect Design Tools):是一款为上云应用提供自助式云架构管 理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构 模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命...
从HTTP到HTTPS让网站更安全
本方案介绍如何在ECS上搭建Web应用以及在Nginx服务器上部署SSL证书开启HTTPS安全访问。
证书统一管理:云上云下的证书统一管理,包括:查看证书、部署到云产品、到期提醒和证书托管等。证书统一管理:云上云下的证书统一管理,包括:查看证书、部署到云产品、到期提醒和证书托管等。一键部署:与阿里云产品深度集成,支持一键将SSL证书部署到已开通的阿里云产品中,以低成本和快捷的方式运维和管理不同的证书。...
来自:
解决方案
基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步
应用场景 在大数据场景,企业的Kafka实例可能存在多种情况,比如使用阿里云Kafka服务,可能是自建开源Kafka,或者是其他云上的云Kafka。不同的业务使用不同类型的Kafka实例,在这个前提下Kafka实例之间可能会需要消息同步的情况: 同帐号容灾场景:比如Kafka实例都是阿里云Kafka,但是Kafka实例会有主备之分,需要将主Kafka实例的消息实时同步到备Kafka。 跨帐号或异地容灾:这类场景比如主Kafka是阿里云Kafka,备Kafka是IDC开源自建Kafka,或者是其他云上的Kafka。 不同业务之间消息同步:因为现在的业务通常不会是信息孤岛,都需要消息互通,所以可能是A业务的Kafka实例消息需要同步到B业务的Kafka实例,并且这两个Kafka实例归属不同的RAM角色,有自己独自的权限控制。 解决问题 解决使用开源组件做消息同步的高成本问题。 解决使用开源组件做消息同步的并发性能、稳定性问题。 解决使用开源组件做消息同步的可靠性问题(重试机制,容错机制,死信队列等)。 大幅提升构建消息同步架构的效率,降低构建复杂度问题。
安全组的类型:分为普通安全组和企业安全组,根据业务实际情况选择。安全组规则:根据业务实际情况配置。示例中的策略是在入方向允许所有端口。步骤11双击名为SG-ECS的安全组,查看配置信息。文档版本:20240330 9基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步 部署基础环境●购买方式:可以选择新购或者导入已...
基于FC实现的Web端视频录制最佳实践
场景描述在很多互娱场景,在线教育领域会有直播视频录制的需求,但是往往一个页面上的内容是多种多样的,不止有直播流,可能还有白板,评论等其他元素,如果只是录直播流,那内容是不完整的,所以需要将整个屏幕的内容录制为视频。该最佳实践可以有效解决这个场景。
ACR企业版支 持全球同步加速、大规模和大镜像分发加速、多代码源构建加速等全链路加速能 力,与容器服务 ACK无缝集成,帮助企业降低交付复杂度,打造云原生应用一 站式解决方案。文档版本:20240325 III 基于 FC实现的 Web端视频录制最佳实践 目录 目录 文档版本信息.I 法律声明.II 前言.III 目录.IV 最佳实践概述.1 前置...
容器场景下的应用性能监控、调用链拓扑、内存剖析
场景描述 随着云原生及微服务技术的普及,越来越多的系统已经通过云原生和微服务技术实现企业的降本增效,同时因微服务及云原生的复杂性给系统运维带来非常大的挑战,云原生应用监控arms通过全链路应用监控,从端到端及代码级别的链路下钻能力、CPU、内存持续剖析及诊断能力,帮助客户降低系统故障定位难度,此demo,您将体验arms的链路监控、内存剖析等能力 应用场景 微服务+容器场景下链路调用拓扑,调用链可以显示出服务之间的调用顺序和层次关系,帮助开发人员理解和追踪代码的执行流程 在分布式系统中,一个请求往往需要通过多个服务来完成。当出现问题时,如请求超时、错误或异常,很难快速定位问题所在。 解决问题 调用链可以帮助运维人员解决以下问题: · 故障排查:当请求失败或出现错误时,调用链可以显示整个请求的路径和每个服务的执行情况,从而帮助运维人员快速定位问题所在。 · 性能优化:通过调用链,运维人员可以了解请求在系统中的执行时间和瓶颈所在,从而进行优化。 · 系统监测:调用链可以提供实时的系统监测和分析,帮助运维人员了解系统的健康状况和资源利用情况。
容器场景下的应用性能监控、调用链拓扑、内存剖析 最佳实践 场景描述 业务架构 随着云原生及微服务技术的普及,越来越多的系 统已经通过云原生和微服务技术实现企业的降 本增效,同时因微服务及云原生的复杂性给系统 运维带来非常大的挑战,云原生应用监控arms 通过全链路应用监控,从端到端及代码级别的链 路下钻能力、CPU...
可观测链路 OpenTelemetry版结合日志服务SLS关联分析最佳实践
可观测链路 OpenTelemetry 版为分布式应用的开发者提供了完整的调用链路还原、调用请求量统计、链路拓扑、应用依赖分析等工具,可以帮助开发者快速分析和诊断分布式应用架构下的性能瓶颈,当应用出现业务异常问题时,您可以在可观测链路 OpenTelemetry 版控制台关联查看日志进行分析,精准定位业务异常。
容器服务 Kubernetes 版 ACK:容器服务 Kubernetes 版(简称 ACK)提供高性 文档版本:20240428 V 可观测链路 OpenTelemetry 版结合日志服务 SLS最佳实践 最佳实践概述 能且可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。在 2021 年,ACK 成为国内唯一连续三年入选 Gartner 公共云容器报告的产品,同 ...
基于函数计算FC实现物联网音视频处理
在物联网场景中,智能设备会产生大量的非结构化数据,并且采集量和频率都很高。比如各类摄像头(家用摄像头、车载摄像头、工业监控摄像头等)采集的数据。企业需要对这些非结构化数据做快速的分析和处理,然后应用到下游业务中,所以需要一套高并发、低成本、自动化的方案。该最佳实践就适用于这类场景。
云工作流简化了开发和运行业务流程所需要的任务协调、状态管 理以及错误处理等繁琐工作,让您聚焦业务逻辑开发。 云服务器ECS(ElasticComputeService):是阿里云提供的性能卓越、稳定可靠、弹性扩 展的IaaS(InfrastructureasaService)级别云计算服务。云服务器ECS免去了您采购IT 硬件的前期准备,让您像使用水、电、...
高效构建安全合规的企业新账号
通过账号工厂解决方案能够高效构建安全合规的新账号。在本方案中会介绍如何利用开源的IaC工具(Terraform)来快速创建安全合规的新账号。通过此方案可以统一企业内不同账号内的基线,灵活适配不同企业对账号初始化的个性需求。
方案预估:免费(资源管理、访问控制、专有网络均为免费产品)方案部署一步步跟随方案教程,带你快速上手,进行方案部署。方案介绍高效构建安全合规的企业新账号在本架构中,通过资源目录能够创建同实名认证主体新账号,在资源管理账号中给执行的RAM用户授予AssumeRole及资源目录权限。执行RAM用户就可以通过角色扮演到新...
来自:
解决方案
基于MSE云原生网关实现全链路灰度
在微服务场景中,应用间的调用是随机的。当您部署的Spring Cloud应用或Dubbo应用存在升级版本时,可能会导致无法将具有一定特征的流量路由到应用的目标版本。通过MSE提供的全链路灰度能力,您无需修改业务代码,就可以实现端到端的全链路流量控制。泳道可以将应用的相关版本隔离成一个独立的运行环境。通过设置泳道规则,可以将满足规则的请求流量路由到目标版本的应用。
提供高性能且可伸缩的容器应用管 理能力,支持企业级容器化应用的全生命周期管理。在2021年,ACK 成为国 内唯一连续三年入选Gartner 公共云容器报告的产品,同时在2022年成为国 内唯一进入Forrester领导者象限的产品。ACK 整合了阿里云的虚拟化、存储、网络和安全能力,助力企业高效运行云端Kubernetes容器化应用。文档版本...
基于函数计算FC镜像部署Stable Diffusion大模型
在现代AI应用中, Stable Diffusion等模型因其强大的功能而受到关注。然而,这些模型对计算资源的高需求和复杂的运维管理成为部署时的挑战。基于函数计算FC的无服务器计算模式为这类模型的部署提供了全新的解决方案。用户只需关注模型的部署和调用逻辑,而无需关心底层的服务器配置、资源分配和扩展性等问题。函数计算FC能够自动处理函数的执行环境,包括冷启动、弹性伸缩等,确保模型能够在大规模的请求下稳定运行。
ACR企业版 支持全球同步加速、大规模和大镜像分发加速、多代码源构建加速等全链路加速 能力,与容器服务 ACK无缝集成,帮助企业降低交付复杂度,打造云原生应用一 站式解决方案。ECS:Elastic Compute Service,简称 ECS。是阿里云提供的一种基础云计算服 务。无需提前采购硬件设备,根据业务需要,随时创建所需数量的云...
基于函数计算FC实现阿里云Kafka消息轻量级ETL处理
在大数据ETL场景,Kafka是数据的流转中心,Kafka中的数据一般是原始数据,可能存在多种数据混杂的情况,需要进一步做数据清洗后才能进行下一步的处理或者保存。利用函数计算FC,可以快速高效的搭建数据处理链路,用户只需要关注数据处理的逻辑,数据的触发,弹性伸缩,运维监控等阿里云函数计算都已经做了集成,函数计算FC也支持多种下游,OSS/数据库/消息队列/ES等都可以自定义的对接
云速搭 CADT(Cloud Architect Design Tools):是一款为上云应用提供自助式云架构管 理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构 模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命...
基于MSE和SAE的微服务部署与压测
通过云原生微服务引擎MSE、SAE、PTS、ARMS产品,为spring cloud微服务应用提供部署和测试能力,提供一个经典微服务应用上云的典型架构,实现微服务应用的快速落地。
通过PTS压测,展示SAE弹性能力 文档版本:20240415 IV基于MSE和SAE的微服务部署与压测 最佳实践概述 部署架构 架构说明 1个SAE命名空间(SAE-Namespace) 3个SAE应用(sc-A,sc-B,sc-C),采用高可用部署, 1个EIP(NAT-EIP), 1个SLB(SAE-DEMO-CLB), 1个MSE注册配置中心(MSE-Nacos), 1个SAE使用的安全组(SAE-...
高效防护 Web 应用
随着网络技术的不断发展,您的Web应用如果没有流量入口的防护,会面临诸多风险。本方案以ECS实例接入WAF为例,推荐您使用Web应用防火墙(WAF)开启应用防护,避免网站服务器被恶意入侵导致性能异常等问题,保障网站的业务安全和数据安全。同时,为您节约开发成本,满足行业合规要求。
本方案以ECS实例接入WAF为例,推荐您使用Web应用防火墙(WAF)开启应用防护,避免网站服务器被恶意入侵导致性能异常等问题,保障网站的业务安全和数据安全。同时,为您节约开发成本,满足行业合规要求。阿里云提供WAF 3.0版实例的免费试用活动,如果您是产品新用户,可以在免费试用频道领用。如果您不符合试用资格,选用...
来自:
解决方案
Landing-zone
企业上云第一步,规划和落地云上资源结构、访问安全、网络架构、安全合规体系,为企业搭建安全、高效、可管理的云环境。
持续优化成本,减少资源浪费标签Tag费用中心03网络规划·按照业务对网络分区,控制区域间的隔离互通·多种方式实现混合云组网,打造全球化网络架构·设计DMZ区,统一管理公网出口专有网络 VPC云企业网 CEN负载均衡 SLBNAT 网关04身份权限·配置SSO,让企业用户有统一的登录方式·配置运维所需要的权限·限制访问的安全策略...
来自:
解决方案
- 产品推荐
- 这些文档可能帮助您