Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
数据分析 |

Spark和云原生结合提供计算与存储分离的高性价比大数据分析

专有网络 VPC 对象存储 OSS 容器服务 ACK 弹性容器实例 ECI 文件存储HDFS
数据分析 |

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点

云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=270, bpId=116, name=混合云多云统一安全, author=null, keyword=混合云安全,多云统一安全,等保, description=企业业务部分上云,或部署在多个公共云平台,通过公共云安全统一进行安全管理和防护,满足等保合规要求。, position=null, ossUrl=bp-JU9P3O4U38O9LK4N.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=场景描述 有些客户的业务系统部分上云、或者还没上 云,但想使用阿里云公共云的安全服务;或 者业务系统部署在多个云平台上,想使用阿 里云的安全来提供统一服务。 解决问题 1.通过阿里云的安全产品和服务,统一管理阿 里云、IDC和它云的资产; 2.满足混合云、多云的等保需求。 产品列表 云安全中心 堡垒机 数据库审计 高防IP Web应用防火墙 证书服务 日志服务 VPN网关, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 混合云多云统一安全 最佳实践 部署架构图 场景描述 有些客户的业务系统部分上云、或者还没上 云,但想使用阿里云公共云的安全服务;或 者业务系统部署在多个云平台上,想使用阿 里云的安全来提供统一服务。 解决问题 1. 通过阿里云的安全产品和服务,统一管理阿 里云、IDC和它云的资产; 2. 满足混合云、多云的等保需求。 产品列表 云安全中心 堡垒机 数据库审计 高防 IP Web应用防火墙 有问题请钉钉扫码联系我们: 证书服务 日志服务 VPN网关
2 阿里云 混合云多云统一安全 最佳实践 文档版本:20200630 文档版本:20150122(发布日期) II
3混合云多云统一安全 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 混合云多云统一安全最佳实践 文档编号 116 文档版本 V1.2 版本日期 2020-06-30 文档状态 外部发布 制作人 敬海 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-11-19 云滴 敬海、云魁 创建 V1.1 2019-11-22 筱晖 - 文档工程师优化 V1.2 2020-06-30 敬海 - 文档工程师优化 文档版本:20200630 I
4混合云多云统一安全 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 目录 ..................................................................................................................................................................... III 1. 方案总体设计 ............................................................................................................................................... 1 1.1. 应用场景 ........................................................................................................................................ 1 1.2. 方案架构 ........................................................................................................................................ 1 1.3. 优势 ............................................................................................................................................... 3 2. 准备它云环境 ............................................................................................................................................... 4 2.1. 服务器 ............................................................................................................................................ 4 2.2. VPN ................................................................................................................................................ 4 3. 建立网络连接 ............................................................................................................................................... 5 3.1. 开通并配置阿里云侧的 VPN ......................................................................................................... 5 3.1.1. 创建 VPC ................................................................................................................................. 5 3.1.2. 创建 VPN网关 ........................................................................................................................ 9 3.1.3. 创建用户网关....................................................................................................................... 11 3.1.4. 创建 IPsec连接 .................................................................................................................... 12 3.2. 创建它云的 VPN连接 .................................................................................................................. 16 3.2.1. 创建对端网关....................................................................................................................... 16 3.2.2. 创建 VPN通道 ...................................................................................................................... 17 3.2.3. 发布对端网段路由 ............................................................................................................... 18 3.3. 验证 IPsec VPN的连通性 ............................................................................................................. 19 3.3.1. VPN连接状态 ....................................................................................................................... 19 3.3.2. 外网连通性 .......................................................................................................................... 19 3.3.3. 后台服务连通性 ................................................................................................................... 20 3.3.4. 附加原理说明....................................................................................................................... 21 4. 服务器安全统一管理 .................................................................................................................................. 22 4.1. 开通云安全中心 .......................................................................................................................... 22 4.2. 它云服务器上手工安装 agent ..................................................................................................... 23 4.3. 验证入侵检测 .............................................................................................................................. 25 4.4. 验证漏洞检测能力....................................................................................................................... 26 4.4.1. 执行漏洞检测....................................................................................................................... 26 4.4.2. 查看检测结果....................................................................................................................... 28 4.4.3. 风险修复 .............................................................................................................................. 29 4.5. 其他安全能力 .............................................................................................................................. 29 5. 统一运维管理 ............................................................................................................................................. 30 5.1. 开通堡垒机 .................................................................................................................................. 30 5.1.1. 购买堡垒机实例 ................................................................................................................... 30 5.1.2. 启用实例 .............................................................................................................................. 31 5.2. 创建运维账号 .............................................................................................................................. 33 5.3. 创建堡垒机使用的 VPN连接 ...................................................................................................... 35 5.3.1. 新建阿里云侧 VPN连接 ...................................................................................................... 35 文档版本:20200630 III
5混合云多云统一安全 目录 5.3.2. 它云侧 VPN通道新增连接................................................................................................... 37 5.3.3. 查看 IPSec连接状态 ............................................................................................................ 39 5.4. 非阿里云服务器管理 ................................................................................................................... 39 5.4.1. 创建主机 .............................................................................................................................. 40 5.4.2. 创建主机账号....................................................................................................................... 41 5.4.3. 创建运维规则....................................................................................................................... 43 5.5. 运维非阿里云服务器 ................................................................................................................... 45 5.5.1. 运维一台服务器 ................................................................................................................... 45 5.5.2. 查看运维日志....................................................................................................................... 47 6. Web安全防护 ............................................................................................................................................. 48 7. DDoS防护 ................................................................................................................................................... 49 8. 统一日志管理 ............................................................................................................................................. 50 9. 数据库审计 ................................................................................................................................................. 51 文档版本:20200630 IV
6混合云多云统一安全 方案总体设计 1. 方案总体设计 1.1. 应用场景 本最佳实践主要解决客户对混合云或多云统一安全管理、及混合云或多云等保需要的 问题。 混合云:这里指同时拥有公共云和专有云(或称为私有云)资源的情况,比如阿里 云公共云和阿里专有云; 多云:这里指同时拥有多个公共云平台云资源的情况,比如同时拥有阿里云和非 阿里云云平台的资源。 不论是混合云还是多云,从安全方案的角度(包括等保合规)来看,是没有太大的差 别的。所以本最佳实践中,以阿里云和它云组成的多云场景来演示安全方案及安全产 品的部署实操步骤。 混合云或多云的细分场景多样,包括: 客户的所有业务系统和数据都在私有云或 IDC,只想使用公共云的安全产品来做 安全方案。 客户的前端业务系统已经部署至公共云,核心业务系统和数据还在私有云或 IDC, 想使用公共云的安全产品来做安全方案。 客户的业务系统部分在非阿里云云平台,部分在阿里云公共云平台,想使用阿里 云公共云的安全产品来做安全方案。 客户的业务系统既有部分在私有云或 IDC,也有部分在非阿里云云平台、部分在 阿里云公共云平台的情况,即混合云和多云都包含,想使用阿里云公共云的安全 产品来做安全方案。 1.2. 方案架构 不论是哪种混合云或多云的情况,都需要把 IDC与公共云、或两个公共云平台打通, 即建立私网连接,因为一般两个类数据中心之间不经由公网互通,主要是安全及可靠 性方面的考虑。 如果客户有条件,一般都会拉专线来打通两个数据中心,这样延迟小、稳定性和安全 性高;如果客户业务要求不是很高,或者在验证测试,可以通过两端建立 IPSec VPN 文档版本:20200630 1
7混合云多云统一安全 方案总体设计 的方式。 本最佳实践为了客户自服务性,通过 IPSec VPN方式来阐述。 对于部分业务在阿里云、部分在 IDC或它云的情况,可以归类为阿里云安全解决方案 叠加阿里云对它云的安全解决方案,所以为了简化逻辑,本最佳实践中主要阐述业务 和数据都在它云、只有安全部署在阿里云的最典型的场景。 本最佳实践中,业务系统全部部署在它云内,网络及应用安全使用云上高防及 WAF, 回源到它云服务器;使用 VPN网关在云上 VPC和它云内网间建立 IPSec加密隧道, 主机安全,运维及安全审计使用云上相应服务。 同时,在它云或 IDC侧,只需要有一台带 VPN的防火墙即可,做网络访问控制及与 阿里云之间建立 VPN隧道;如果有 IPS能力最好,可以做非 7层网络的入侵检测和 防御。所以在 IDC侧,有一台 NGFW(下一代防火墙)最好,同时包含了 VPN、防火 墙和 IPS功能。 文档版本:20200630 2
8混合云多云统一安全 方案总体设计 1.3. 优势 本方案可以充分利用云上的安全能力来解决混合云或多云的安全需求、等保需求,具 体包括: 维护简单,特别适用于纯网站业务,修改 DNS解析,建立 IPSec隧道即完成部 署,云上安全资源一键开通,对原有网络架构零侵入。 云上安全资源自带高可用属性,无需考虑冗余,安全资源弹性扩容,轻松应对业务 高峰。 公共云和私有云资源由同一套安全产品来统一管理,降低安全运维成本。 天然的统一安全产品控制台,满足等保合规要求。 文档版本:20200630 3