云平臺運維規(guī)范-上篇
一、運維目標
信息化系統(tǒng)的建設是一個長期、復雜、規(guī)模大的系統(tǒng)工程,項目維護是整個項目實施的重要組成部分,因其重要地位,秉持嚴格要求的態(tài)度,實行科學的管理,強化運維信息安全管理,防范計算機信息技術風險,保障網(wǎng)絡與信息系統(tǒng)安全和穩(wěn)定運行,提供符合要求的維護工作以及用戶滿意程度實行定期跟蹤,確保達到以下運維服務目標:所有維護工作、系統(tǒng)及數(shù)據(jù)日常檢測工作合格率達標;本項目運維服務范圍主要是針對本信息化建設項目涉及日常維護、定期巡檢、優(yōu)化系統(tǒng)、功能維護及項目變更等。特制定本管理規(guī)范與標準。
二、基本規(guī)定
2.1 適用范圍
本辦法適用于云平臺系統(tǒng)運維管理、安全管理、權限管理、費用管理、變更管理等。
2.2 基本定義
云平臺運維是指對云計算平臺進行管理和維護的過程。云計算平臺是一種基于互聯(lián)網(wǎng)的計算服務模式,它將計算資源如服務器、存儲、網(wǎng)絡、應用程序等通過網(wǎng)絡提供給用戶使用。云平臺運維包括對云計算平臺硬件、軟件、網(wǎng)絡和安全等方面的監(jiān)控、維護、優(yōu)化和升級,以確保云平臺的高可用性、穩(wěn)定性和安全性。
隨著互聯(lián)網(wǎng)技術的發(fā)展,云計算平臺已經(jīng)成為企業(yè)IT架構轉型的重要組成部分。云平臺運維的重要性也日益凸顯。云平臺運維的主要職責包括但不限于以下內容:
基礎設施維護:對云計算平臺的基礎設施進行監(jiān)控、維護和更新,包括服務器、存儲服務、網(wǎng)絡服務等。
網(wǎng)絡維護:對云計算平臺的網(wǎng)絡進行監(jiān)控、維護和優(yōu)化,包括網(wǎng)絡拓撲結構、路由、交換等。網(wǎng)絡故障可能會導致服務不可用,因此網(wǎng)絡維護也是云平臺運維必須關注的方面。
安全維護:對云計算平臺的安全進行監(jiān)控、維護和加固,包括防火墻、入侵檢測、漏洞掃描等。網(wǎng)絡安全是云平臺運維最重要的方面之一,只有保證云平臺的安全,才能讓用戶放心使用。
備份與恢復:云資源的備份與恢復對于保證業(yè)務連續(xù)性,提高數(shù)據(jù)可靠性,簡化備份管理,改善恢復速度,降低備份成本以及數(shù)據(jù)保護合規(guī)都具有重要的作用。
費用管理:制定云費用預算并形成云費用策略,優(yōu)化云資源的配置,做好費用管理工作,并通過云監(jiān)控技術,在各個階段合理地實現(xiàn)云資源的費用管理。幫助企業(yè)合理規(guī)劃費用、提高資源利用率、減少資源浪費,從而實現(xiàn)更有效的業(yè)務支持和經(jīng)濟效益。。
通過對云平臺運維的有效管理,可以保證云計算平臺的高效、穩(wěn)定和安全運行,提高用戶的滿意度和信任度。而且,云平臺運維還可以幫助企業(yè)降低IT成本,提高IT資源利用率,促進企業(yè)業(yè)務創(chuàng)新和發(fā)展。
三、職責
任務和職責 | ||||
R=負責 | 云運維工程師 | 網(wǎng)絡工程師 | 安全工程師 | 應用服務工程師 |
S=支持 | ||||
I=信息 | ||||
()=如果必要 | ||||
新增資源 | R | S | I | R |
權限管理 | R | I | S | S |
系統(tǒng)監(jiān)控 | R | R | R | R |
安全管理 | R | I | R | S |
備份管理 | R | I | S | I |
補丁管理 | R | I | S | S |
系統(tǒng)巡檢 | R | I | I | S |
費用管理 | R | I | I | S |
變更管理 | R | S | S | S |
四、云運維管理規(guī)范
4.1 運維人員基本準則
4.1.1 必須遵守的運維準則
以下準則,所有運維服務人員必須時刻遵守和謹記
第一、操作線上系統(tǒng),必須心存敬畏。
第二、業(yè)務正式上線前,必須完成監(jiān)控與告警全覆蓋,必須確保告警有效性檢查。
第三、線上架構調整,必須遵循先評估、再測試、最后再調整的流程。
第四、線上系統(tǒng)配置變更之前,必須先備份,再確認,最后再操作。
第五、線上任何發(fā)布操作,必須做好回滾準備。
第六、重要系統(tǒng),必須做好備份,必須編寫詳細的恢復操作文檔,且定期必須進行一次備份有效性檢查。
第七、主機資源回收/刪除,必須再三確認,必須遵循先關機、保留至少1天、再回收。
第八、權限回收,必須再三確認,原則上只操作停用、非必要不做刪除操作。
第九、update/delete數(shù)據(jù)表,必須先select確認無誤,再執(zhí)行update。
第十、對外暴露IP的主機,必須添加端口安全限制,必須遵循最小端口開放原則,且必須進行有效性檢查。
4.1.2 運維鐵律
運維鐵律是運維人員最基本的素質,違者必究
第一、客戶數(shù)據(jù)絕對保密,不得以任何形式對外泄露、倒賣及利用;
第二、不得收受或向客戶索要好處;
第三、發(fā)現(xiàn)客戶存在違法行為及時向公司或領導反饋;
第四、不得做任何違反法律法規(guī)的事情;
4.2 云資源使用規(guī)范
4.2.1 VPC使用規(guī)范
4.2.1.1 VPC概述
私有網(wǎng)絡(Virtual Private Cloud,VPC)是一塊用戶在云平臺上自定義的邏輯隔離網(wǎng)絡空間,用戶可以為云服務器、云數(shù)據(jù)庫、負載均衡等資源構建邏輯隔離的、用戶自定義配置的網(wǎng)絡空間,以提升用戶云上資源的安全性,并滿足不同的應用場景需求。
私有網(wǎng)絡VPC有三個核心組成部分:私有網(wǎng)絡網(wǎng)段、子網(wǎng)/交換機、路由器。
· 私有網(wǎng)絡網(wǎng)段在創(chuàng)建專有網(wǎng)絡和交換機時,用戶需要以CIDR地址塊的形式指定專有網(wǎng)絡使用的私網(wǎng)網(wǎng)段。
· 交換機/子網(wǎng),是組成專有網(wǎng)絡的基礎網(wǎng)絡設備,用來連接不同的云資源。創(chuàng)建專有網(wǎng)絡后,用戶可以通過創(chuàng)建交換機為專有網(wǎng)絡劃分一個或多個子網(wǎng),同一私有網(wǎng)絡下不同子網(wǎng)默認內網(wǎng)互通,不同私有網(wǎng)絡間(無論是否在同一地域)默認內網(wǎng)隔離。用戶可以將應用部署在不同可用區(qū)的交換機內,提高應用的可用性。
· 路由器是專有網(wǎng)絡的樞紐。作為專有網(wǎng)絡中重要的功能組件,它可以連接專有網(wǎng)絡內的各個交換機,同時也是連接專有網(wǎng)絡和其他網(wǎng)絡的網(wǎng)關設備。每個專有網(wǎng)絡創(chuàng)建成功后,系統(tǒng)會自動創(chuàng)建一個路由器。每個路由器至少關聯(lián)一張路由表。
4.2.1.2 VPC創(chuàng)建規(guī)范
云環(huán)境的VPC創(chuàng)建需提前和網(wǎng)絡工程師溝通并確認好相關信息,并提交相關流程審批。創(chuàng)建遵循如下的VPC規(guī)范:
VPC實例名稱 | 用途 |
XXX-VPC-PROD | 生產(chǎn)環(huán)境 |
XXX-VPC-UAT | 預發(fā)布環(huán)境 |
XXX -VPC-DEVTEST | 開發(fā)測試環(huán)境 |
XXX -VPC-DMZ | 專門做公網(wǎng)應用發(fā)布用的VPC |
XXX -VPC-OAM | 登入管理,審計用的VPC |
4.2.1.3 交換機/子網(wǎng)創(chuàng)建規(guī)范
云環(huán)境的交換機創(chuàng)建需提前和網(wǎng)絡工程師溝通并確認好相關信息,并提交相關流程審批。創(chuàng)建交換機需注意:
· 交換機命名規(guī)范:部門-業(yè)務種類-Area-可用區(qū)
· 業(yè)務種類:Application、Portal、Database
· 阿里云推薦E、F可用區(qū),騰訊云推薦四區(qū)、五區(qū)
· 提前確認是否需要高可用區(qū)
需要明確以下信息并提供給網(wǎng)絡工程師:
VPC | 交換機名稱 | 可用區(qū) | 是否需要高可用區(qū) | 機器數(shù)量 | 用途 |
4.2.2 彈性公網(wǎng)IP使用規(guī)范
彈性公網(wǎng) IP(Elastic IP,EIP)是可以獨立購買和持有,且在某個地域下固定不變的公網(wǎng) IP 地址,可以云服務器、私網(wǎng)負載均衡、NAT 網(wǎng)關、彈性網(wǎng)卡和高可用虛擬 IP 等云資源綁定,提供訪問公網(wǎng)和被公網(wǎng)訪問能力;還可與云資源的生命周期解耦合,單獨進行操作;同時提供多種計費模式,用戶可以根據(jù)業(yè)務特點靈活選擇,以降低公網(wǎng)成本。
EIP是一種NAT IP,它實際位于云平臺的公網(wǎng)網(wǎng)關上,通過NAT方式映射到被綁定的云資源上。當EIP和云資源綁定后,云資源可以通過EIP與公網(wǎng)通信。
彈性公網(wǎng) IP的使用需走公司內部資源申請工單流程,通過后由網(wǎng)絡工程師幫忙創(chuàng)建并配置。
*需特別注意,遵循運維規(guī)范,不允許彈性公網(wǎng)IP直接綁定云服務器實例,必須通過NAT網(wǎng)關的DNAT和SNAT功能,來分別實現(xiàn)“將公網(wǎng)NAT網(wǎng)關上的公網(wǎng)IP通過端口映射或IP映射給云服務器實例使用,使云服務器實例能夠對外提供公網(wǎng)訪問服務“與”為VPC中無公網(wǎng)IP的云服務器實例提供訪問互聯(lián)網(wǎng)的代理服務“的兩種功能。
4.2.3 NAT網(wǎng)關使用規(guī)范
NAT網(wǎng)關(NAT Gateway)是一種網(wǎng)絡地址轉換服務,提供NAT代理(SNAT和DNAT)能力,可為私有網(wǎng)絡(VPC)內的資源提供安全、高性能的 Internet 訪問服務。
其中SNAT功能,是為VPC中無公網(wǎng)IP的云服務器實例提供訪問互聯(lián)網(wǎng)的代理服務,實現(xiàn)無公網(wǎng)IP的云服務器實例訪問互聯(lián)網(wǎng)。
DNAT功能,是將公網(wǎng)NAT網(wǎng)關上的公網(wǎng)IP通過端口映射或IP映射兩種方式映射給云服務器實例使用,使云服務器實例能夠對外提供公網(wǎng)訪問服務。
NAT網(wǎng)關的使用需走公司內部資源申請工單流程,通過后由網(wǎng)絡工程師幫忙創(chuàng)建并配置。
可以視實際情況,評估NAT網(wǎng)關是否可以多項目共用。
4.2.4 資源組/標簽使用規(guī)范
4.2.4.1 資源組功能
資源組(Resource Group)是在阿里云賬號下進行資源分組管理的一種機制,資源組對用戶擁有的云資源從用途、權限、歸屬等維度上進行分組,實現(xiàn)企業(yè)內部多用戶、多項目的資源分級管理。一個云資源只能屬于一個資源組,云資源之間的關聯(lián)關系不會因加入資源組而發(fā)生變化。
應用場景主要為如下兩種:
一是將用途不同的云資源加入不同的資源組中分開管理,例如可以將生產(chǎn)環(huán)境的實例和測試環(huán)境的實例,分別放入生產(chǎn)環(huán)境和測試環(huán)境兩個資源組中;產(chǎn)品測試時,建議只對測試環(huán)境資源組中的實例進行操作,避免對生產(chǎn)環(huán)境的實例發(fā)生誤操作。當產(chǎn)品需要上線時,再選擇生產(chǎn)環(huán)境資源組中的實例進行操作。
二是為各個資源組設置完全獨立的管理員,實現(xiàn)資源組范圍內的用戶與權限管理,比如可以將公司不同部門使用的實例分別放入多個資源組中,并設置相應的管理員,從而實現(xiàn)分部門管理實例。
4.2.4.2 標簽功能
標簽(Tag)是騰訊云和阿里云提供的云資源管理工具,用戶可以從不同維度對具有相同特征的云資源進行分類、搜索和聚合,從而輕松管理云上資源。
標簽是由標簽鍵和標簽值兩個部分組成,用戶可以為云資源創(chuàng)建和綁定標簽。一個標簽鍵可以對應多個標簽值,一對標簽鍵和標簽值可綁定多個云資源。
標簽的應用場景主要為如下三種:
一是使用標簽管理云資源,可以使用標簽標記在云上的已有資源,實現(xiàn)對這些資源分類管理,也可以通過標簽控制臺或標簽 API 根據(jù)資源的地域、類型以及標簽來查詢資源,查看到的資源將會以列表的形式展示。
二是使用標簽控制對資源的訪問,可以將標簽與訪問管理結合使用,能夠通過標簽授權的方式,讓不同的子用戶擁有不同云資源的訪問和操作權限。
三是使用標簽進行分賬,可以基于組織或業(yè)務維度為資源規(guī)劃標簽(例如:部門、項目組、地區(qū)等),然后結合云提供的分賬標簽、賬單詳情功能實現(xiàn)成本的分攤管理。
標簽支持的云資源:
· 阿里云支持標簽的產(chǎn)品:
· 騰訊云支持標簽的產(chǎn)品:
https://cloud.tencent.com/document/product/651/30727
4.3 權限管理
云上的權限往往通過訪問管理或訪問控制進行管理,在阿里云上稱為訪問控制RAM(Resource Access Management),即阿里云提供的管理用戶身份與資源訪問權限的服務。在騰訊云上稱為訪問管理(Cloud Access Management,CAM),即騰訊云提供的 Web 服務,主要用于幫助用戶安全管理騰訊云賬戶下的資源的訪問權限。
在注冊云平臺賬號時,生成的賬號為主賬號,擁有該主賬號下所有云資源的管理權限。如需要其他用戶能協(xié)助一起管理賬號下的云資源,可以通過訪問控制(RAM)/訪問管理(CAM)創(chuàng)建、管理和銷毀用戶(組),并使用身份管理和策略管理控制其他用戶使用阿里云/騰訊云資源的權限。
通過訪問控制(RAM)/訪問管理(CAM)的功能,可以實現(xiàn)統(tǒng)一管理訪問身份及權限:
· 集中管理子用戶,管理每個子用戶及其登錄密碼或訪問密鑰,為子用戶用戶綁定多因素認證MFA(Multi Factor Authentication)設備
· 集中控制子用戶的訪問權限,控制每個子用戶訪問資源的權限
· 集中控制子用戶的資源訪問方式,確保子用戶在指定的時間和網(wǎng)絡環(huán)境下,通過安全信道訪問特定的云資源
主賬號管理員往往可以根據(jù)訪問權限將用戶分為以下三類:特殊用戶(或系統(tǒng)管理員); 一般用戶:系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限; 審計用戶:負責系統(tǒng)和網(wǎng)絡的安全控制與資源使用情況的審計。
4.3.1 用戶崗位職責描述
· 特殊用戶:負責生產(chǎn)環(huán)境各個操作系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設備及應用軟件的管理和維護工作。
· 一般用戶:負責日常值班、監(jiān)控等相關工作。
· 審計用戶:負責生產(chǎn)系統(tǒng)相關的審計工作。
4.3.2 用戶權限原則
· 遵循最小授權原則
企業(yè)需要評估每個角色的任務和職責,然后只授權所需權限,可將用戶賬戶授權的范圍限制在最少必要的范圍內,以減少賬戶被攻擊或非授權訪問的風險,同時提高賬戶管理的精細性和可控性。
· 使用策略限制條件
使用策略限制條件可以進一步加強賬戶的安全性,以確保只有授權訪問資源的用戶才能進行訪問。策略限制條件可以幫助管理員根據(jù)需要安全地限制用戶的訪問,例如限制訪問時間、允許的IP地址范圍、允許的操作類型等,并且可以限制哪些用戶可以執(zhí)行特定的操作(比如只能讀數(shù)據(jù),而不能寫)等等。
· 將用戶管理、權限管理與資源管理分離
將用戶、權限和資源分離管理通常被稱為“三權分立”模型,這是一種在安全領域中非常常見的做法,其主要思想是將用戶、權限和資源分別管理,以加強安全控制。
在這個模型中,用戶管理、權限管理和資源管理分別歸屬于不同的角色或組織單元,以便在管理和控制時更加細致和有效。具體來說,可以實現(xiàn)以下措施:
用戶管理:負責創(chuàng)建、修改、刪除用戶帳戶,管理用戶的組和角色等。用戶管理的主要任務是確保每個賬戶有一個唯一標識符,且每個賬戶都專注于其特定的任務或工作負載。這有助于確保賬戶安全和控制賬戶的適當訪問權限。
權限管理:負責定義、授予和撤銷角色和權限,以便管理用戶的訪問權限。權限管理的主要任務是確保每個用戶只能訪問其所需的資源,防止未經(jīng)授權的訪問或數(shù)據(jù)泄露。
資源管理:負責創(chuàng)建、修改和刪除資源,并提供必要的維護和保護服務。資源管理的主要任務是確保適當?shù)馁Y源配置和訪問控制,并監(jiān)控任何資源的異常活動或安全問題。
通過將用戶管理、權限管理和資源管理分離,可以更好地保障賬戶的安全性和數(shù)據(jù)的保密性。此外,還可以為每個職能領域指定一個特定的管理員,以便更好地監(jiān)督賬戶訪問和資源使用情況。
· 為主賬戶和高風險權限子用戶啟用多因素認證(MFA)
多因素認證(MFA)是一種增加賬戶訪問安全性的方式,可以在登錄過程中要求用戶輸入兩個或者更多的身份驗證因素,例如用戶密碼和手機短信驗證等。對于主賬戶和高風險權限子用戶,啟用MFA可以進一步提高賬戶的保護級別。
啟用MFA的原因是,在某些情況下,只有密碼是不夠安全的。例如,如果密碼被泄露或者被猜測到,黑客可以使用該密碼登錄用戶的賬戶,并未獲取用戶賬戶的完全控制。啟用MFA可以幫助檢測潛在的惡意登錄嘗試并增加訪問賬戶的安全級別,這些認證因素通常是動態(tài)生成的,加密密鑰或其他特殊設備。
為主賬戶和高風險子用戶啟用MFA是非常重要的,因為這兩個賬戶通常具有最高的權限訪問。黑客攻擊者通常滿足于能夠獲得主賬戶和子賬戶的控制,進而獲取對應用程序和數(shù)據(jù)的完全訪問權限。但是,啟用MFA創(chuàng)造了一個額外的安全層,需要黑客攻擊者同時盜取或猜測到兩個或多個身份驗證因素的信息,才能成功進入賬戶。
· 設置所有用戶的密碼強度及登錄限制
設置控制臺的密碼強度和登錄限制,可以幫助管理員防范可能的惡意攻擊和不當操作,提高賬戶安全性。
要求密碼長度大于等于8個字符,并使用大小寫字母、數(shù)字和符號等多種字符類型;并設置密碼的重試錯誤次數(shù)和重復限制。
· 使用群組給子用戶分配權限
通過創(chuàng)建群組,可以將多個子用戶集成在一起,并為整個群組授權特定的權限。這使得管理和控制子用戶的權限和訪問更加簡單和高效,同時也能夠靈活地管理各個群組的訪問。
例如,作為管理員,可以創(chuàng)建不同的群組,為不同的群組分配不同的權限范圍。對于每個子用戶,只需要將其分配到合適的群組即可,而無需逐個為每個子用戶單獨分配權限。這可以大大節(jié)省管理員的時間和精力,同時也能幫助最大程度地確保賬戶的安全性。
此外,可以將群組繼承來自其他群組的權限,這意味著可以通過將子群組嵌入到其他群組中來分配權限。通過這種方法,可以更輕松地管理和控制賬戶權限,并確保權限的合理和精細分配。
· 將控制臺用戶與 API 用戶分離
控制臺用戶是用于登錄云服務的賬戶,具有管理控制臺的權限;而API用戶是用來訪問云服務的應用程序,具有對云資源的訪問和管理的權限。
將控制臺用戶和API用戶分離的原因是,兩類用戶之間的訪問權限不同,必須進行分類管理。控制臺用戶可以進行各種管理操作,包括訪問、創(chuàng)建、修改、刪除云資源等;而API用戶只需要訪問和管理用戶指定的特定資源,因此具有更小的訪問范圍。
通過將兩類用戶分離,可以減少因某一用戶權限泄露而導致的安全風險。同時,也能更好地實現(xiàn)用戶權限的精細化管理和控制。例如,可以根據(jù)需要為API用戶批準或撤銷特定的資源訪問權限,而無需擔心控制臺用戶操作誤操作或濫用權限。
· 及時撤銷用戶不再需要的權限
一旦用戶不再需要某些權限,可以將其從賬戶中刪除或者將其權限進行降級。這可以減少賬戶被黑客攻擊或泄漏的風險,同時能夠幫助安全管理員更好的管理賬戶權限。
在進行權限撤銷時,可以制定一套詳細的流程和規(guī)范,確保權限的去除和更新操作能夠被安全和順利地執(zhí)行。例如,在流程中可以設定針對多個權限撤銷設置不同的有效期限;為不同權限的撤銷設定試用期;制定一套詳細的管理和交接的流程,確保新管理員能夠及時掌握賬戶權限情況。
· 禁止主賬號密碼共享
如果多個用戶共享同一個賬號和密碼,那么賬號的安全性將會受到威脅,容易被黑客攻擊或泄漏,甚至會丟失重要的用戶數(shù)據(jù)和信息。
此外,多人共享同一個賬號密碼還存在其他的問題。例如,不同的用戶應該擁有不同的訪問權限,共享賬號將無法實現(xiàn)個性化的權限設置。同時,共享賬號也會使用戶行為難以追蹤和管理,無法精準地監(jiān)控用戶的操作和流量使用情況。
因此,禁止主賬號密碼共享不僅有助于保護用戶賬號的安全性,也有助于提高用戶的使用體驗和系統(tǒng)的安全管理性。如果需要多個人訪問同一個平臺或服務,可以使用多個子賬號,并分配不同的權限和訪問范圍,來保障賬號的安全和管理。
· 不要為主賬號創(chuàng)建訪問密鑰
訪問密鑰實際上是一組臨時憑證,用于對云服務進行身份驗證和授權,而不需要使用主賬號和密碼。與主賬號和密碼不同,訪問密鑰可以隨時進行創(chuàng)建和撤銷,使得賬號的安全性更高。但是由于主賬號權限過高,如果不妥善管理訪問密鑰,出現(xiàn)訪問密鑰意外泄露的情況,黑客可以使用這些憑證來訪問用戶的賬戶并竊取敏感信息,危害遠遠大于子賬號的訪問密鑰泄漏。
4.3.3 權限分配流程
1. 鑒別用戶身份
在為用戶授權之前,必須要先確認用戶的身份,確認用戶的真實姓名、職務、所屬部門等信息,確保對正確的人員進行授權。
2. 制定授權策略
對于不同的角色,企業(yè)需要制定相應的授權策略,根據(jù)用戶的實際需求來為其分配相應的權限,嚴格按照“最小權限原則”和“依據(jù)需求授權”原則來執(zhí)行。
3. 審批授權請求
用戶在申請權限時,需要經(jīng)過上級的審批,審批人員需要核實用戶的身份和申請權限的合理性,然后根據(jù)實際情況來審批申請。
4. 分配權限
在經(jīng)過審批之后,根據(jù)授權策略為用戶分配相應的權限,確保用戶只擁有所需的最低權限,防止授權過度導致的風險和漏洞。
5. 定期審查權限
定期審查每個角色的權限模板,以確保已包括必要的權限并且沒有包括不必要的權限。審查每個用戶/角色的權限以確保它們的權限是最新的并且合理的。審計安全事件記錄來查看是否存在未經(jīng)授權的權限請求或使用。
6. 撤銷用戶權限
當用戶不再需要某些權限時,立即撤銷這些權限。離職或調崗的用戶的權限必須立即撤銷。
4.4 安全管理
4.4.1 網(wǎng)絡安全
4.4.1.1 開放訪問外網(wǎng)
如果用戶的服務器需要訪問外網(wǎng)或對外提供服務,不能直接將EIP綁定到ECS,這樣會存在安全風險。相反,用戶需要按照一定的規(guī)范進行配置,以確保安全性和可靠性。
第一步,申請EIP和NAT資源
EIP(Elastic IP Address)是一種公網(wǎng)IP地址,可被動態(tài)地分配和釋放。在云平臺上,用戶可以將其申請并綁定到云服務器實例上,從而實現(xiàn)實例的公網(wǎng)訪問。但是,為了保障安全,用戶不得直接將EIP綁定到云服務器上,用戶需要申請NAT網(wǎng)關,再通過SNAT將ECS私網(wǎng)IP地址轉換為公網(wǎng)EIP地址,以實現(xiàn)對外通信。
第二步,申請SNAT和DNAT配置,及云防火墻配置
SNAT(Source Network Address Translation)是一種源地址轉換技術,可將內網(wǎng)IP地址轉換為外網(wǎng)IP地址,以實現(xiàn)內網(wǎng)與外網(wǎng)的通信。在云平臺上,用戶可以通過配置SNAT條目來實現(xiàn)該功能。
DNAT(Destination Network Address Translation)是一種目標地址轉換技術,可將外網(wǎng)IP地址轉換為內網(wǎng)IP地址,以實現(xiàn)公網(wǎng)訪問內網(wǎng)資源。在云平臺上,用戶可以通過配置DNAT條目來實現(xiàn)該功能。
此外,用戶還需要為云服務器配置云防火墻規(guī)則,以保障網(wǎng)絡安全。通過添加防火墻規(guī)則,用戶可以限制流量的進出,避免惡意攻擊和數(shù)據(jù)泄露。
總之,無論需不需要將服務發(fā)布到公共互聯(lián)網(wǎng)上,都請不要將EIP直接綁定到云服務器上,而應該按照規(guī)范進行相關網(wǎng)絡配置。這樣可以有效地提高網(wǎng)絡安全性和可靠性。
4.4.1.2 防火墻配置
為了保護云資產(chǎn)安全,需要在云上配置防火墻,而且防火墻的管理由安全部門進行統(tǒng)一進行。以獲取外網(wǎng)資源為例,首先需要在用戶內部確認需求,領導溝通確認后再向安全部門提交工單,明確說明哪些機器需要訪問哪些資源。工單中需要詳細描述每臺機器需要訪問的資源名稱、類型以及機器名稱,以便安全部門能夠根據(jù)這些信息快速準確地設置防火墻規(guī)則。這樣可以保障系統(tǒng)的安全和穩(wěn)定,防止惡意攻擊和數(shù)據(jù)泄露,從而確保企業(yè)的正常運營和業(yè)務發(fā)展。
4.4.1.3 網(wǎng)絡劃分
在云環(huán)境中,為了實現(xiàn)不同部門之間的網(wǎng)絡隔離與安全,可以使用虛擬專有網(wǎng)絡(VPC)技術。根據(jù)實際需求多個部門需要共用同一個VPC,則需要將VPC內部的網(wǎng)絡進行分段,并為每個部門創(chuàng)建對應的交換機。通過這種方式,不同部門之間的網(wǎng)絡可以互通,但是互相之間不會產(chǎn)生干擾。
在VPC中,唯一的限制是通過安全組進行控制。安全組是一種網(wǎng)絡安全服務,可以用來控制進出VPC的流量。通過設置安全組規(guī)則,可以限制VPC內部不同部門之間的流量,僅允許必要的流量通過。這樣,就可以保證VPC內部各部門的網(wǎng)絡安全,防止網(wǎng)絡攻擊和數(shù)據(jù)泄露等風險。
需要注意的是,使用VPC和安全組并不能完全消除網(wǎng)絡安全風險,仍然需要采取其他措施來保護云上的資源。只有通過綜合的安全策略,才能保證云上資源的安全性和可靠性。
4.4.2 運維安全加固
使用安全中間件組件進行安裝,并進行系統(tǒng)與應用的安全加固,含:
· 遵循最小授權原則;
· 禁用或刪除無用賬號;
· 將用戶管理、權限管理與資源管理分離;
· 禁用 root 權限;
· 不要為主賬號創(chuàng)建訪問密鑰;
· 將控制臺用戶與 API 用戶分離;
· 修改 SSH、應用默認端口號;
· 關閉不常用服務及端口;
· 限制外網(wǎng) IP 登陸;
· 添加用戶登陸警告信息;
· 設置異地登陸服務器短信和郵件告警;
· 根據(jù)需要,設置登陸時間限制、定期修改密碼;
· 梳理安全組策略,對業(yè)務訪問進行精細化訪問控制;
· RDS、Redis等進行白名單設置。
4.4.3 云服務器安全組訪問策略
云服務器的安全組提供了防火墻功能,是重要的網(wǎng)絡安全隔離手段,通過設定各安全組之間的安全規(guī)則,可搭建多層訪問控制體系,實現(xiàn)訪問安全。
建立應用、數(shù)據(jù)和管理的安全組,分別對應用服務器、數(shù)據(jù)庫及數(shù)據(jù)服務器的連接進行訪問管控。下文中的安全組訪問控制規(guī)則為簡單舉例,實際中會根據(jù)具體的安全要求進行調整。
1) Web服務器組規(guī)則示例
訪問源 | 規(guī)則 方向 | 授權 策略 | 網(wǎng)卡 類型 | 協(xié)議 | 目的 端口 | 規(guī)則 |
防火墻 | 入方向 | 允許 | 外網(wǎng) | HTTP | 80 | 允許從任何地方對Web服務器進行入站HTTP訪問 |
防火墻 | 入方向 | 允許 | 外網(wǎng) | HTTPS | 443 | 允許從任何地方對Web服務器進行入站HTTPS訪問 |
2) 數(shù)據(jù)庫服務器組規(guī)則示例
訪問源 | 規(guī)則 方向 | 授權 策略 | 網(wǎng)卡 類型 | 協(xié)議 | 目的 端口 | 規(guī)則 |
內網(wǎng)特定 IP或 IP段 | 入方向 | 允許 | 內網(wǎng) | TCP | 1433 | 允許本地網(wǎng)絡中的特定 IP 地址或 IP 地址范圍訪問 Microsoft SQL Server 數(shù)據(jù)庫的默認端口 |
內網(wǎng)特定 IP或 IP段 | 入方向 | 允許 | 內網(wǎng) | TCP | 3306 | 允許本地網(wǎng)絡中的特定 IP 地址或 IP 地址范圍訪問MySQL Server數(shù)據(jù)庫的默認端口 |
4.4.4 操作審計
云平臺都提供了操作審計功能,可以記錄云平臺賬號下的所有操作日志。阿里云上是操作審計功能,騰訊云上的是云審計功能,通過這個功能,用戶可以清楚地了解賬號下所有操作的情況,包括哪些人員進行了哪些操作,以及何時進行的操作等等。這對于管理阿里云資源、保障賬號安全非常重要。
· 要開啟阿里云的操作審計功能,用戶需要先在阿里云控制臺上創(chuàng)建一個審計日志服務(SLS)項目,并將需要審計的云賬號添加到該項目中。然后,在控制臺上設置審計策略,定義哪些操作需要被記錄下來。
· 在創(chuàng)建騰訊云賬號時,云審計將會被啟用 ,自動接入不同云產(chǎn)品。當騰訊云賬號中發(fā)生活動時,該活動將被記錄在云審計事件中。用戶可以轉到事件歷史輕松查看 云審計控制臺中的事件。
一旦開啟了操作審計/云審計功能,用戶就可以在控制臺上查詢審計日志,了解賬號下所有操作的詳細情況。此外,云平臺還提供了實時監(jiān)控和告警功能,用戶可以及時獲得操作異常的警報,并及時采取措施。
總之,云平臺的操作審計功能對于管理云平臺資源、保障賬號安全非常有幫助,建議用戶合理使用該功能。
