企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
人员权限管 理混乱,离职员工在云上的身份梳理不清难以 及时清理造成极大的安全隐患;账号权限过 大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各 业务系统各自为政,数据泄露、业务中断、安 全入侵风险升级。为了提升云上的管控效率和安全性,总公司 解决问题 成立新的信息安全中心和...
ACK容器平台集群安全控制
场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 容器集群API Server的安全访问控 制 容器服务多租户场景下的授权管理 容器中的敏感信息数据的存储 容器服务集群安全策略配置管理 产品列表 容器服务Kubernetes版 负载均衡SLB 专有网络VPC 访问控制RAM
这样会存在安全隐患风险,因此出于解决此风险考虑,Kubernetes 给出了安 全增强特性,通过 Annotations的方式仅允许 Pod挂载配置为 Pod的 ServiceAccount 可挂载 Secrets列表里的 Secret从而限制 Pod可挂载的 Secret。步骤1 创建保密字典(Secret)在阿里云容器服务 ACK控制台上,选择应用配置>保密字典,点击创建进行保密字 ...
通过私网访问云服务
使用PrivateLink就可以通过私网访问其他VPC提供的服务,无需创建NAT网关或EIP等公网出口,更好的保障安全性和网络质量。支持同账号和跨账号的VPC间私网访问。另外 私网调用阿里云OpenAPI也有两种可选方案
但公网访问方式容易受到攻击,存在安 全隐患,且网络质量和时延无法得到可靠保障。若服务提供方和服务使用方所在的 VPC存在地 址冲突也无法通过云企业网进行私网互联通信。解决方案 使用 PrivateLink就可以通过私网访问其他 VPC 提供的服务,无需创建 NAT网关或 EIP等公网出 口,更好的保障安全性和网络质量。支持同账号 和...
云架构必修课:云上高可用架构
从企业上云最基础的需求出发,面向可能遇到的单点故障风险,介绍了经典的业务上云高可用架构方案设计。
业务面临的稳定性挑战企业在业务发展初期,单点架构是一种常见的部署架构,满足业务基本需要,通常是由一台服务器,一个单节点数据库组成,但是这样的简单架构,面临着一些隐患:企业在业务发展初期,单点架构是一种常见的部署架构,满足业务基本需要,通常是由一台服务器,一个单节点数据库组成,但是这样的简单架构,面临...
来自:
解决方案
数据库自治服务DAS
阿里云数据库自治服务(Database Autonomy Service,简称DAS)是一种基于机器学习和专家经验实现数据库自感知、自修复、自优化、自运维及自安全的云服务,帮助用户消除数据库管理的复杂性及人工操作引发的服务故障,有效保障数据库服务的稳定、安全及高效。
对各类攻击和威胁进行实时检测,及时发现安全隐患.通过智能算法、海量模型,智能识别高危操作.高危操作识别.自动识别新增或者异常的访问来源.异常访问来源识别.云数据库 RDS.云数据库 PolarDB.推荐搭配使用.随着云计算的普及,企业可以更为便捷的根据不同的业务类型,使用不同的数据库,或者将数据库部署在不同的环境中,多...
来自:
云产品
渗透测试服务
阿里云渗透测试(Penetration Test)是一种黑盒安全测试方法,安全专家通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,深入评估漏洞可能造成的实际影响。帮助企业挖掘出正常业务流程中的隐藏的安全缺陷和漏洞,并提出修复建议。
阿里云以攻击者(黑客)思维,对业务系统进行全面深入的安全测试,帮助客户排查正常业务流程中隐藏的安全缺陷和漏洞,并提出修复建议,助力客户先于攻击者(黑客)发现安全风险,排查安全隐患.包括基础业务逻辑测试、OWASP TOP 10漏洞测试、服务器压力测试、第三方组件测试、权限认证测试、安全配置测试、业务流程测试等...
来自:
云产品
基于云拨测的网站用户体验监测最佳实践
网站作为电商行业开展业务的核心场景,不同区域、不同运营商、不同的终端用户,给网站体验带来了巨大的一致性挑战。打开卡顿、缓慢,甚至无响应,都会影响到运营效果、甚至出现负面影响。阿里云基于多年业务经验,为云上客户提供完整的电商网站运营期间的用户体验监测方案。
用户可以方便的 对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。更多信息,请 参考:https://www.aliyun.com/product/developerservices/cadt 文档版本:20220322 III 基于云拨测的网站用户体验监测 前言 云拨测:云拨测为云上用户提供开箱即用的企业级主动拨测式应用监测解决方案,利用遍布全球的监控网络...
基于日志服务构建业务可观测性系统
现在已知的各种监控数据的工具,以及对应的监控系统有非常多的选择,比如ZABBIX,Prometheus,Skywalking等。但是这些系统都存在同样的一个问题,只覆盖了可观察性的一部分,举个简单的类比,大家在日常开车的过程中,会用到很多的辅助设备,仪表盘,行车记录仪,导航,倒车影像等等,这些设备都各自承载了一部分的功能,但是都存在着如下的问题: l 数据覆盖不完整 l 存在数据孤岛(无法关联协同) l 使用门槛高,不够人性化 核心价值 l 全覆盖,统一协议,支持各类平台。 l 数据关联,统一Schema,关联Metrics/Logs。 l 云原生,SaaS服务,拥抱云原生。 l 简单易用,自动化埋点,数十项易用功能。 智能化,异常诊断,根因分析。
基于日志服务构建业务可观察性系统 部署架构 场景描述 现在已知的各种监控数据的工具,以及对应的监 控系统有非常多的选择,比如 ZABBIX,Prometheus,Skywalking等。但是这些系统都存 在同样的一个问题,只覆盖了可观察性的一部分,举个简单的类比,大家在日常开车的过程中,会用 到很多的辅助设备,仪表盘,行车记录仪,...
微服务应用问题定位及故障演练
场景描述 用户微服务架构应用基于阿里云 ACK 部署, 通 过 ARMS 监控发现微服务应用的容错能力是否 健壮, 容器编排配置是否合理, 以及节点故障引 发的问题等, 方案通过 AHAS 故障注入模拟生 产环境产生的故障, 通过 ARMS 及时发现问题、 定位问题, 并结合 ARMS 的告警功能快速发现 并解决问题。 发现调用下游一个服务实例出现异常。 发现业务 Pod 故障, 验证业务的稳定性。 发现调用数据库延迟故障, 验证 Pod 的水 平扩容能力。 解决问题 1. 定位并解决微服务应用的容错能力。 2. 定位并解决微服务应用编排合理性。 3. 发现故障并验证系统故障的告警时效性。 产品列表 应用高可用服务 AHAS 性能测试 PTS 应用实时监控服务 ARMS 容器服务 kubernetes 版 负载均衡 SLB 专有网络 VPC 日志服务 SLS
借助本产品,您可以基于前端、应用、业 务自定义等维度,迅速便捷地为企业构建秒级响应的业务监控能力。ARMS工作流程如下图所示:数据收集:ARMS 支持通过配置从 ECS Log、MQ 和 Loghub 上抓取日志。任务定义:ᅳ 通过任务配置来定义实时处理、数据存储、展示分析、数据 API 和报警等任 务,从而定义出自己的应用场景。ᅳ ...
- 产品推荐
- 这些文档可能帮助您