企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
CFW:阿里云云防火墙(Cloud Firewall)是业界首款公共云环境下的 SaaS化防 火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入 侵防御等功能,全面保护您的网络安全。详见:https://www.aliyun.com/product/cfw 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系 统,通过...
Salesforce on Alibaba Cloud
阿里云和Salesforce共同为中国客户带来了全球广受好评的CRM(客户关系管理)平台,包括销售云、服务云、电商云和 Salesforce 平台。它可以让企业的营销、销售、商务、服务和IT团队从任何地方一起协同工作,以提供卓越的客户体验。
将电子表格转变为云应用,创建与自动化流程的无缝交互,使用可配置组件自定义体验,在几分钟内构建移动优先的应用程序.构建自定义应用程序并扩展 Salesforce以满足任何业务需求.社交电商Social Commerce.围绕您的客户快速启动和扩展电子商务的构建.商品目录 品牌商可以在控制台管理商品、类别、库存和定价,可以快速设置和...
来自:
云产品
基于转发路由器构建企业级组网
通过云企业网转发路由器 1. 实现灵活的互通、隔离、引流策略 2. VPC 间的内网互访流量经过三方安全设备管控(如Palo Alto) 3. 统一多 VPC 的互联网访问出口,提高业务安全性
增加 Palo Alto防火墙配置 欢迎加入 最佳实践频道 阿里云最佳实践技术分享群 文档版本:20210204 I 基于转发路由器构建企业级组网 名词解释 名词解释 VPC:专有网络(Virtual Private Cloud),帮助您基于阿里云构建出一个隔离的网 络环境,并可以自定义 IP地址范围、网段、路由表和网关等;此外,也可以通过 专线/VPN/GRE...
互联网医疗安全等保合规解决方案
互联网医疗安全等保合规解决方案依据国家相关法律法规及行业规范,为线上医疗服务提供方、医药电商平台、医疗信息化服务商等提供安全风险识别,定级和差距评估,安全加固支持,安全等保实施一站式服务,助力企业完成快速、高效、合规、安全的等保安全认证。
云安全中心态势感知.Web应用防火墙 WAF.互联网医疗安全等保合规解决方案.Web应用防火墙 WAF.云安全中心态势感知.在安全等保测评过程中,阿里云用户无需关注物理、网络、通信等基础安全防护,只需关注涉及应用安全配置及业务数据保护的相关技术指标即可,极大节约人力和经费成本.高效合规,测评任务减负.联合各地多家咨询和...
来自:
解决方案
自建K8S集群迁移ACK弹性裸金属集群
场景描述 在微服务化改造之后,企业在享受K8S带来应 用管理的便利的同时,存在硬件性能不足,本 地扩展性差,容器容灾难,K8S管理复杂等问 题。 解决问题 1.增强K8S扩展性:如何通过弹性裸金属服务 器的强劲硬件性能,实现云端资源急速扩 展,从容应对应用访问压力大的问题。 2.如何简化云端K8S运维:通过阿里云容器服 务(ACK)实现敏捷开发和部署落地,加速 企业业务迭代。 3.如何综合考虑迁移和容灾:如何整合云上和 云下容器资源实现遇到故障时可以通过健 康检查实现自动容灾。 4.如何不改应用上云:如何实现应用上云数据 库连接零修改。 5.数据库上云及回退:如何实现上云回退; 产品列表 ACK/ECS/SLB/NAT网关/弹性裸金属服务器/DTS/RDS MySQL
vpc_cloud 外网访问内网:域名需已通过-备案域名:qinying.site 备案 网络-EIP(绑定负载均衡设备):50M,eip_slb 负载均衡设备:地域:杭州(可用区 K+J)-实例名:SLB集群负载-实例规格:标准型 II-网络:内网(IPV4,按流量计 费)-监听:80端口-后端服务器权重/端口:等权重/30080端口 防火墙配置(安全组模拟):模板...
混合云多云统一安全
场景描述 有些客户的业务系统部分上云、或者还没上 云,但想使用阿里云公共云的安全服务;或 者业务系统部署在多个云平台上,想使用阿 里云的安全来提供统一服务。 解决问题 1.通过阿里云的安全产品和服务,统一管理阿 里云、IDC和它云的资产; 2.满足混合云、多云的等保需求。 产品列表 云安全中心 堡垒机 数据库审计 高防IP Web应用防火墙 证书服务 日志服务 VPN网关
(不适用 HW云,目前 HW云不支持手工配置 100.64.0.0/10网段路由到 VPN网关)公网 IP方式:比如 IDC的 SNAT网关分配公网 IP,通过防火墙做网络访问控制;操作非常简单,适合 poc测试。本最佳实践采用第二种方式,建立 VPN隧道方式。3.1.开通并配置阿里云侧的 VPN 3.1.1.创建 VPC 步骤1 登录阿里云管理控制台。...
企业应用(酒店PMS)混合云组网最佳实践
酒店上云是分阶段实施,线下和云上的混合云是长期 状态,需要保证线下多地域多分支、云上多地域之间 互相访问,且需要满足不同类型的企业节点的服务要 求,比如总部 IDC 要求带宽大,对安全可靠性要求 高等。
部署架构 产品列表 智能接入网关 SAG 负载均衡 CLB 云服务器 ECS 云企业网 CEN 云速搭 CADT 最佳实践频道 阿里云最佳实践技术分享群 云服务器 ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云 企业应用(酒店 PMS)混合云组网最佳实践 文档版本:20220520(发布日期)文档版本:20220520 2 企业应用(酒店 PMS)...
基于DDH+MyBase降本合规
出版、金融、保险等传统行业一方面希望能借助云计算以更好地适应业务发展需求(政策上云),另一方面出于对降低单实例部署成本(CPU 超分超配)以及满足更严格合规和监管要求的考虑,希望能对云上资源有更多的自主控制权(监管合规)。从业务系统架构云上部署的角度,基于专有宿主机DDH 和云数据库专属集群MyBase 的解决方案,可以很好地满足这两方面的需求。 解决问题: 1. 国家政策上云趋势和需求 2. 更严格的云上安全合规要求 3. 对云上资源有更灵活的管控权 4. 有效降低企业上云的整体拥有成本(TCO) 方案优势: 1、单租户隔离 DDH和 MyBase都可以提供宿主机级别物理隔离,可以独占资源,可以开放更多接口 , 同时杜绝 多租户间 干扰 。 2、安全合规:在完备的隔离基础之上,开放更多数据库权限和 OS权限 。 3、资源灵活部署和调度 创建 ECS实例、从共享宿主机迁移 ECS实例至专有宿主机或在专有宿主机之间迁移 ECS实例时,若您不指定专有宿主机,系统将自动帮您选择专有宿主机部署实例。 针对于初始部署数据库实例时,提 供紧凑型和均衡型两种方式将数据库实例分不到不同的主机上。 4、超配 降本 DDH和 MyBase组合的方式可以实现资源自定义 CPU内存 配比以及CPU超分 ,可以降低单 ECS实例以及云数据库实例的部署成本。
安全组:安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,可以配置一 系列的安全组规则,允许或禁止安全组内的 ECS实例对公网或私网的访问。安全 组是重要的网络安全隔离手段,用于在云端划分安全域。文档版本:20220414 III 基于 DDH+MyBase降本合规最佳实践 前言 SLB:Server Load Balancer,简称 SLB。多台云...
弹性裸金属自建ORACLE数据库单机版
场景描述 1.客户业务系统选型ORACLE数据库且不愿 做业务改造:由于历史原因,客户业务系统 只支持ORACLE数据库。适配开源数据库 业务改造量大,客户没有技术/时间去做改 造。 2.高性能:客户希望拥有比虚拟机更高的性能 和稳定性,以保障数据库高性能,支撑高并 发的业务系统; 3.高可用:在单机条件下,极端情况下数据库 发生宕机时,客户希望能快速拉起数据库服 务,减少停机时间; 4.数据安全性:极端情况下能找回数据。数据 备份和恢复更方便。
CADT提供大量预制的应用架构模板,同时也支持自助拖拽方式定 义应用云上架构,支持大量阿里云服务的配置和管理,可以方便地对云上架构方案的 成本、部署、运维、回收进行全生命周期的管理。(介绍及操作手册详见云速搭帮助文 档(https://help.aliyun.com/document_detail/183861.htm))本最佳实践设计的资源部署,也可以...
弹性裸金属自建ORACLE数据库双机
场景描述 1.客户业务系统选型ORACLE数据库且不愿做 业务改造:由于历史原因,客户业务系统只支持 ORACLE数据库,客户没有技术/时间去做技术栈 改造。 2.高性能:希望拥有比虚拟机更高的性能和稳定 性,以保障数据库高性能,支撑高并发的业务系 统。 3.高可用:追求数据库服务的高可用,在某一台数 据库服务器宕机时快速切换备机,实现对业务应 用的最小影响。 4.数据安全性:极端情况下能找回数据,数据备份 和恢复更方便。
ORCL=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=db01)(PORT=1521))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=orcl))文档版本:20220207 44 弹性裸金属自建 ORACLE数据库双机 配置Data Guard)#该链接配置备库的链接,后面备库创建好了再配也可以。ORCL_ST=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=...
云上高并发系统改造
场景描述 随着业务的发展,系统并发压力越来越大,如何 进行系统改造以满足高并发场景的业务需求成 为了一个技术难题。本实践抽象于客户的实际场 景,提供高并发下系统改造的理论指导和部分实 操演示。主要适用于以下场景: 1.系统并发压力大,需要进行系统应用改造。 2.数据层并发压力大,需进行分库分表改造。 3.数据库数据量巨大,亟待分库分表解决查询 和写入瓶颈的场景。 方案优势/解决问题 1.在水平扩展阶段,我们除了通过SLB做负载 均衡外,我们可以通过SLB下挂nginx的方 式,增加负载均衡侧的可扩展性 2.在数据库拆分阶段,在做好数据规划后,我 们借助DTS进行数据迁移,通过DRDS将 RDS MySQL的数据拆分到多个分库和分 表中。 产品列表 专用网络VPC 负载均衡SLB 云服务器ECS 数据库RDSMySQL 数据传输服务DTS PrivateZone 分布式关系型数据库DRDS
文档版本:20220506(发布日期)51 云上高并发系统改造 附录2 资源清单 附录 2 资源清单 网络资源规划 资源类别 配置项 配置明细 说明 区域 区域 华东 2(上海)本最佳实践全部资源部署在上海 专有网络 VPC 状态 新购(根据实际情况选择新购 云上选择专有网络(VPC)以保障安全性。或已保有,本最佳实践新购 选择离原系统...
Hyper-V on 弹性裸金属最佳实践
场景描述 本方案适用于基于弹性裸金属服务器(神龙)自 建Microsoft Hyper-V环境的场景。 解决问题 l使用神龙自建+Microsoft Hyper-V虚拟 化环境环境。 l创建LinuxHyper-VVM。 lHyper-VVM访问外部网络。 l外部网络访问Hyper-VVM上的服务。 产品列表 l神龙GPU云服务器(ecs.ebmg5s) l专有网络VPC
解决问题 使用神龙自建+Microsoft Hyper-V虚拟化环境 环境 创建 Linux Hyper-V VM Hyper-V VM访问外部网络 外部网络访问 Hyper-V VM上的服务 部署架构 产品列表 神龙 GPU云服务 专有网络 VPC 弹性公网 IP 云速搭 CADT 最佳实践频道 阿里云最佳实践分享群 云服务器 ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云...
渗透测试服务
阿里云渗透测试(Penetration Test)是一种黑盒安全测试方法,安全专家通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,深入评估漏洞可能造成的实际影响。帮助企业挖掘出正常业务流程中的隐藏的安全缺陷和漏洞,并提出修复建议。
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,可以帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求.Web应用防火墙(WAF).Web应用防火墙(WAF)对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被...
来自:
云产品
混合云数据库统一管理
本最佳实践描述在混合云场景下,用户利用数据库网关将IDC自建数据库和云上RDS实例统一管理。通过DMS管理云上RDS实例和IDC自建数据库,并通过DTS实现IDC数据库和云上RDS的数据同步, DBS将数据备份到云上
阿里云提供了通过数据库网关录入第三方云数据库的功能,无需开放数据库的公网地 址即可完成连接,对数据传输进行安全加密,同时免防火墙配置,大大降低使用门槛。本最佳实践描述在混合云场景下,如何利用阿里云数据库网关服务对云上的 RDS 服 务和 IDC中的本地数据库进行统一管理。本最佳实践的网络规划方案如下:类型 地域...
- 产品推荐
- 这些文档可能帮助您