企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
帮助您构建更稳定、安全的应用,提升运维效率,降低 IT 成本,使您更专注于核心业务创新。CEN:云企业网帮助您在 VPC间,VPC与本地数据中心间搭建私网通信通道,通 过路由自动分发及学习,提高网络的快速收敛和跨网络通信的质量及安全性,实 现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。EIP:弹性...
远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
名词解释 弹性云桌面 弹性云桌面(Elastic Cloud Desktop),是一种易用、安全、高效的云上桌面服 务。它支持快速便捷的桌面环境创建、部署、统一管控与运维。无需前期传统 硬件投资,帮您快速构建安全、高性能、低成本的企业桌面办公体系。可广泛 应用于具有高数据安全管控、高性能计算等要求的安全办公、金融、设计、影 视...
虚拟桌面架构的高性能体验云上部署
场景描述 针对自建虚拟化桌面架构迁移阿里云,以及有虚拟化桌面 架构需求上云。包括但不限于: 1.有许可证合规要求,利用自带license快速上云的客户。 2.对数据安全较高要求,需要快速构建虚拟化桌面的客 户。 解决问题 利用云上灵活性和规模化优势,构建云上更加高效、高性 能体验的服务,为客户解决: 1.客户VDI部署的需求,能够更及时的得到满足。 2.解决硬件资源限制,根据业务规模化部署并集中管 控。 3.利用公共云的网络、计算、备份容灾方案、安全防护 等,提供高可靠、高性能、高体验的远程桌面服务。 产品列表 VPC(专有网络) SLB(负载均衡) CEN(云企业网) 专有宿主机 OpenAPI
应用范围 有许可证合规要求,利用自带 license快速上云的客户。对数据安全较高要求,需要快速构建虚拟化桌面场景的客户。名词解释 VPC:Virtual Private Cloud,简称 VPC。基于阿里云创建的自定义私有网络,不 同的专有网络之间二层逻辑隔离,可以在自己创建的专有网络内创建和管理云产 品实例,比如 ECS、负载均衡、RDS等。...
基于Flink的资讯场景实时数仓
场景描述 本实践针对资讯聚合类业务场景,Step by Step介绍 如何搭建实时数仓。 解决问题 1.如何搭建实时数仓。 2.通过实时计算Flink实现实时ETL和数据流。 3.通过实时计算Flink实现实时数据分析。 4.通过实时计算Flink实现事件触发。 产品列表 实时计算 专有网络VPC 云数据库RDSMySQL版 分析型数据库MySQL版 消息队列Kafka 对象存储OSS NAT网关 DataV数据可视化
6.业务系统:经过处理的数据,可直接服务于相关业务方,如运营、决策者、相关应 用等。例如,运营人员可通过实时报表中的客流分析,及时调整运营策略,提高活 动转化率;实现实时风控和在线流量反作弊,避免业务损失。文档版本:20220223(发布日期)6 基于 Flink的资讯场景实时数仓 资讯场景介绍与技术架构设计 2.资讯场景...
企业上云安全建设解决方案
企业上云安全建设解决方案通过简单三步,企业可快速评估自身安全问题,建设云上基础安全能力。第一步:评估安全风险,第二步:建设基础防护,第三步:防控业务风险,共建云上安全体系。
提供多种安全产品及服务,对客户安全痛点问题以及业务特点为客户定制安全解决方案,全面帮助客户提升云上系统安全性.定制安全方案.任何运行在阿里云平台的开发者、公司、政府、社会机构的数据,所有权绝对属于客户,阿里云不以数据变现为盈利方式,帮助客户保护数据安全,与客户共生共荣.业务数据中立.构建开放、共生、共赢...
来自:
解决方案
云上持续审计合规最佳实践
本方案是面向云上资源的操作审计和配置审 计,提供的最佳实践。适用于企业型客户。通过最佳实践帮助客户在本场景下更好的使用 阿里云,涉及到配置审计、操作审计、函数计算、SLS、OSS 等服务的实践操作。 解决问题 企业会面临外部对企业云上信息系统的合规要求,如等保2.0法规要求。 同时当云上资源达到一定规模时,在内部会制定合规管控的基线,满足自身管理效率和安全合规的需 求。 包括记录云上资源管理的操作日志、资源配置变更日志,还需依赖云平台提供的持续监控和自动告警能力,实现合规性的自主监管。
是阿里云提供的一种基础云计算服 务无需提前采购硬件设备,根据业务需要,随时创建所需数量的云服务器 ECS实 例。在使用过程中,随着业务的扩展,可以随时扩容磁盘、增加带宽。也能随时释 放资源,节省费用。文档日期:20210726 IV 云上持续审计合规最佳实践 场景描述 详见:...
云原生网关解决方案
云原生网关是阿里云提供的下一代网关解决方案,将流量网关 Nignx、微服务网关和安全网关三合一,解决了三层网关架构独立设计、独立运维导致的资源消耗大、性能损耗大、稳定性难控、安全防护复杂等难题。
支持多种认证授权方式,统一管理 API 和服务的安全设置.微服务引擎 MSE.应用实时监控服务 ARMS.Web 应用防火墙 WAF.应用身份服务 IDaaS.云原生网关解决方案.Ingress 流量网关、微服务网关、安全网关合三为一,减少50%资源消耗,性能比开源自建提高1倍以上.支持 HTTPS 证书、IP 黑名单以及多种认证授权方式,统一管理 API 和...
来自:
解决方案
Salesforce on Alibaba Cloud
阿里云和Salesforce共同为中国客户带来了全球广受好评的CRM(客户关系管理)平台,包括销售云、服务云、电商云和 Salesforce 平台。它可以让企业的营销、销售、商务、服务和IT团队从任何地方一起协同工作,以提供卓越的客户体验。
服务云Service Cloud.Salesforce Platform(平台云)是扩展CRM范围和功能的应用程序开发平台。通过简单的拖放操作,几乎任何人都可以创建自动化业务流程或帮助客户查找重要信息的应用程序.平台云Salesforce Platform.Connected Experiences Gateway(互联网关)是一款专为中国市场打造的本地化集成套件,包括社交电商、社交...
来自:
云产品
加密服务HSM
阿里云加密服务(HSM)即云密码机,提供云上加密服务。加密服务使用经国家密码管理局检测认证的硬件密码机作为服务底层,帮助您满足数据安全方面的监管合规要求,保护云上业务数据隐私。为2022年北京冬奥会全面提供数据加密服务,保障冬奥会线上系统数据安全。
提供用户身份认证服务.用户身份认证.提供票据真实性、票据完整性等.密钥管理服务.云数据库RDS MySQL 版.云服务器ECS.推荐搭配使用.电子票据加密.查看全部日志.更多产品与服务.更多产品与服务.通用服务器密码机.满足《GM/T 0030 服务器密码机技术规范》要求,提供国际通用的密码服务接口,能独立或并行为多个应用实体提供...
来自:
云产品
可信一证通解决方案-安全-阿里云
基于阿里云高安全可用的可信云计算底座和业界领先的可信数据统一认证与分发服务,助力园区建议统一的身份安全认证与可分发,统一的权限验证与统一分发,对园区的门禁卡、芯片卡、手机虚拟卡、二维码、终端SAM模块等多重可信身份凭证介质进行统一的授权管理与数据安全分发,实现园区的门禁、食堂、商超、停车、休闲娱乐等一卡通用,让出入园区的每一个人都能够一卡在手,畅行园区。
售前专家免费服务.IoT设备身份认证.IoT固件安全检测.IoT安全运营中心.IoT可信执行环境.基于阿里云的可信云计算底座和可信数据统一认证与分发服务,对园区的门禁卡、芯片卡、手机虚拟卡、二维码、终端SAM模块等多重可信身份凭证介质进行统一的授权管理与数据安全分发,实现园区的门禁、食堂、商超、停车、休闲娱乐等一卡通用...
来自:
解决方案
EMR集群安全认证和授权管理
场景描述 阿里云EMR服务Kafka和Hadoop安全集群使 用Kerberos进行用户安全认证,通过Apache Ranger服务进行访问授权管理。本最佳实践中以 Apache Web服务器日志为例,演示基于Kafka 和Hadoop的生态组件构建日志大数据仓库,并 介绍在整个数据流程中,如何通过Kerberos和 Ranger进行认证和授权的相关配置。 解决问题 1.创建基于Kerberos的EMR Kafka和 Hadoop集群。 2.EMR服务的Kafka和Hadoop集群中 Kerberos相关配置和使用方法。 3.Ranger中添加Kafka、HDFS、Hive和 Hbase服务和访问策略。 4.Flume中和Kafka、HDFS相关的安全配 置。 产品列表:E-MapReduce、专有网络VPC、云服务器ECS、云数据库RDS版
通过身份认证建立用户身 份是 Hadoop中安全访问的基础,用户需要可靠地标识自己,然后将该标识传播到整 个 Hadoop集群中以访问集群资源。Kerberos Kerberos是一种行业标准,用于对 Hadoop集群中的用户和资源进行身份验证。在您创建阿里云 EMR集群时,选择开启高安全集群,阿里云将自动安装和配置 Kerberos。大多数阿里云 ...
基于DDH+MyBase降本合规
出版、金融、保险等传统行业一方面希望能借助云计算以更好地适应业务发展需求(政策上云),另一方面出于对降低单实例部署成本(CPU 超分超配)以及满足更严格合规和监管要求的考虑,希望能对云上资源有更多的自主控制权(监管合规)。从业务系统架构云上部署的角度,基于专有宿主机DDH 和云数据库专属集群MyBase 的解决方案,可以很好地满足这两方面的需求。 解决问题: 1. 国家政策上云趋势和需求 2. 更严格的云上安全合规要求 3. 对云上资源有更灵活的管控权 4. 有效降低企业上云的整体拥有成本(TCO) 方案优势: 1、单租户隔离 DDH和 MyBase都可以提供宿主机级别物理隔离,可以独占资源,可以开放更多接口 , 同时杜绝 多租户间 干扰 。 2、安全合规:在完备的隔离基础之上,开放更多数据库权限和 OS权限 。 3、资源灵活部署和调度 创建 ECS实例、从共享宿主机迁移 ECS实例至专有宿主机或在专有宿主机之间迁移 ECS实例时,若您不指定专有宿主机,系统将自动帮您选择专有宿主机部署实例。 针对于初始部署数据库实例时,提 供紧凑型和均衡型两种方式将数据库实例分不到不同的主机上。 4、超配 降本 DDH和 MyBase组合的方式可以实现资源自定义 CPU内存 配比以及CPU超分 ,可以降低单 ECS实例以及云数据库实例的部署成本。
云速搭 CADT:是一款为上云应用提供自助式云架构管理的产品,显著地降低应 用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支 持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可 以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。RAM(Resource Access ...
- 产品推荐
- 这些文档可能帮助您