备案控制台
阿里云 全部技术解决方案

混合云多云统一安全

相关产品

相关推荐

互联网行业高弹性系统构建

在互联网行业的业务发展中,很多业务具有突发性特点。 例如互联网电商的秒杀、促销等活动,这类业务的特点是时间固定,但访问量不固定。除了提前升级配置之外,客户往往希望系统本身也能有自动弹性伸缩的能力。 对于互联网教育的场景,由于存在放假和工作日的区别,系统也需要有一定的弹性伸缩能力去应对高出平时几倍的压力,等访问减少时,业务系统能释放冗余的资源达到节约成本的目标。 典型场景和需求: 业务系统波动大,以互联网行业为典型代表; 业务系统和数据库系统都要能实现弹性伸缩; 系统可用性高,弹性收缩用户感知小; 支持手工快速提升系统和数据库性能。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB 弹性公网IP 云数据库 Redis 版 弹性伸缩 云速搭CADT

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

相关推荐

日志服务(SLS)

行业领先的日志大数据解决方案,一站式提供数据收集、清洗、分析、可视化和告警功能。全面提升海量日志处理能力,实时挖掘数据价值,智能助力研发/运维/运营/安全等场景。

Web应用防火墙

对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

数据库审计

智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断、维护及合规能力。

堡垒机

集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审计、合规可遵从。

SSL证书

SSL证书(SSL Certificates)为网站和移动应用(APP)提供HTTPS保护,对流量加密,防止数据被窃取。使用阿里云证书的三大优势:统一运维管理云上+云下所有证书;与云产品深度集成,可一键部署证书到CDN、SLB等产品;提供“证书托管”增值服务,帮您管理证书续签及自动更新。

云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
云效+ACK构建容器云Devops平台

使用云效完成容器应用自动化构建和持续部署
专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭CADT
数据湖-在线学习场景数据分析

本场景以在线教育中一个答题闯关类的应用为例,使用Web Server来模拟演示这类 日志数据的分析处理。通过Nginx和Python flask搭建Web Server,模拟应用中的关 键页面,比如登录、课程内容等,之后构造若干用户使用的模拟日志数据,投递到数 据湖进行分析后获取应用PV、UV、课程内容访问排行、平均得分等等。
专有网络 VPC 云服务器ECS 对象存储 OSS 访问控制 E-MapReduce
服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS
专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
混合云多云统一安全

企业业务部分上云,或部署在多个公共云平台,通过公共云安全统一进行安全管理和防护,满足等保合规要求。
日志服务(SLS) Web应用防火墙 数据库审计 堡垒机 SSL证书
基于ECI的ACK集群高弹性架构

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制
云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭CADT
Spark on ECI大数据分析

Spark和云原生结合提供计算与存储分离的高性价比大数据分析
专有网络 VPC 对象存储 OSS 容器服务 ACK 弹性容器实例 ECI 文件存储HDFS
互联网行业高弹性系统构建

在互联网行业的业务发展中,很多业务具有突发性特点。 例如互联网电商的秒杀、促销等活动,这类业务的特点是时间固定,但访问量不固定。除了提前升级配置之外,客户往往希望系统本身也能有自动弹性伸缩的能力。 对于互联网教育的场景,由于存在放假和工作日的区别,系统也需要有一定的弹性伸缩能力去应对高出平时几倍的压力,等访问减少时,业务系统能释放冗余的资源达到节约成本的目标。 典型场景和需求: 业务系统波动大,以互联网行业为典型代表; 业务系统和数据库系统都要能实现弹性伸缩; 系统可用性高,弹性收缩用户感知小; 支持手工快速提升系统和数据库性能。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB 弹性公网IP 云数据库 Redis 版 弹性伸缩 云速搭CADT
微服务架构日志采集运维管理

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点
云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求
云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书 云速搭CADT

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=270, bpId=116, name=混合云多云统一安全, author=null, keyword=混合云安全,多云统一安全,等保, description=企业业务部分上云,或部署在多个公共云平台,通过公共云安全统一进行安全管理和防护,满足等保合规要求。, position=null, ossUrl=bp-3DCLKFUZ8DHI6F3O.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 有些客户的业务系统部分上云、或者还没上 云,但想使用阿里云公共云的安全服务;或 者业务系统部署在多个云平台上,想使用阿 里云的安全来提供统一服务。 解决问题 1.通过阿里云的安全产品和服务,统一管理阿 里云、IDC和它云的资产; 2.满足混合云、多云的等保需求。 产品列表 云安全中心 堡垒机 数据库审计 高防IP Web应用防火墙 证书服务 日志服务 VPN网关

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=, cooperationList=null)
1 混合云多云统一安全 最佳实践 部署架构图 场景描述 有些客户的业务系统部分上云、或者还没上 云,但想使用阿里云公共云的安全服务;或 者业务系统部署在多个云平台上,想使用阿 里云的安全来提供统一服务。 解决问题 1. 通过阿里云的安全产品和服务,统一管理阿 里云、IDC和它云的资产; 2. 满足混合云、多云的等保需求。 产品列表 云安全中心 堡垒机 数据库审计 高防 IP Web应用防火墙 有问题请钉钉扫码联系我们: 证书服务 日志服务 VPN网关
2 阿里云 混合云多云统一安全 最佳实践 文档版本:20200630 文档版本:20150122(发布日期) II
3混合云多云统一安全 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 混合云多云统一安全最佳实践 文档编号 116 文档版本 V1.2 版本日期 2020-06-30 文档状态 外部发布 制作人 敬海 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-11-19 云滴 敬海、云魁 创建 V1.1 2019-11-22 筱晖 - 文档工程师优化 V1.2 2020-06-30 敬海 - 文档工程师优化 文档版本:20200630 I
4混合云多云统一安全 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 目录 ..................................................................................................................................................................... III 1. 方案总体设计 ............................................................................................................................................... 1 1.1. 应用场景 ........................................................................................................................................ 1 1.2. 方案架构 ........................................................................................................................................ 1 1.3. 优势 ............................................................................................................................................... 3 2. 准备它云环境 ............................................................................................................................................... 4 2.1. 服务器 ............................................................................................................................................ 4 2.2. VPN ................................................................................................................................................ 4 3. 建立网络连接 ............................................................................................................................................... 5 3.1. 开通并配置阿里云侧的 VPN ......................................................................................................... 5 3.1.1. 创建 VPC ................................................................................................................................. 5 3.1.2. 创建 VPN网关 ........................................................................................................................ 9 3.1.3. 创建用户网关....................................................................................................................... 11 3.1.4. 创建 IPsec连接 .................................................................................................................... 12 3.2. 创建它云的 VPN连接 .................................................................................................................. 16 3.2.1. 创建对端网关....................................................................................................................... 16 3.2.2. 创建 VPN通道 ...................................................................................................................... 17 3.2.3. 发布对端网段路由 ............................................................................................................... 18 3.3. 验证 IPsec VPN的连通性 ............................................................................................................. 19 3.3.1. VPN连接状态 ....................................................................................................................... 19 3.3.2. 外网连通性 .......................................................................................................................... 19 3.3.3. 后台服务连通性 ................................................................................................................... 20 3.3.4. 附加原理说明....................................................................................................................... 21 4. 服务器安全统一管理 .................................................................................................................................. 22 4.1. 开通云安全中心 .......................................................................................................................... 22 4.2. 它云服务器上手工安装 agent ..................................................................................................... 23 4.3. 验证入侵检测 .............................................................................................................................. 25 4.4. 验证漏洞检测能力....................................................................................................................... 26 4.4.1. 执行漏洞检测....................................................................................................................... 26 4.4.2. 查看检测结果....................................................................................................................... 28 4.4.3. 风险修复 .............................................................................................................................. 29 4.5. 其他安全能力 .............................................................................................................................. 29 5. 统一运维管理 ............................................................................................................................................. 30 5.1. 开通堡垒机 .................................................................................................................................. 30 5.1.1. 购买堡垒机实例 ................................................................................................................... 30 5.1.2. 启用实例 .............................................................................................................................. 31 5.2. 创建运维账号 .............................................................................................................................. 33 5.3. 创建堡垒机使用的 VPN连接 ...................................................................................................... 35 5.3.1. 新建阿里云侧 VPN连接 ...................................................................................................... 35 文档版本:20200630 III
5混合云多云统一安全 目录 5.3.2. 它云侧 VPN通道新增连接................................................................................................... 37 5.3.3. 查看 IPSec连接状态 ............................................................................................................ 39 5.4. 非阿里云服务器管理 ................................................................................................................... 39 5.4.1. 创建主机 .............................................................................................................................. 40 5.4.2. 创建主机账号....................................................................................................................... 41 5.4.3. 创建运维规则....................................................................................................................... 43 5.5. 运维非阿里云服务器 ................................................................................................................... 45 5.5.1. 运维一台服务器 ................................................................................................................... 45 5.5.2. 查看运维日志....................................................................................................................... 47 6. Web安全防护 ............................................................................................................................................. 48 7. DDoS防护 ................................................................................................................................................... 49 8. 统一日志管理 ............................................................................................................................................. 50 9. 数据库审计 ................................................................................................................................................. 51 文档版本:20200630 IV
6混合云多云统一安全 方案总体设计 1. 方案总体设计 1.1. 应用场景 本最佳实践主要解决客户对混合云或多云统一安全管理、及混合云或多云等保需要的 问题。 混合云:这里指同时拥有公共云和专有云(或称为私有云)资源的情况,比如阿里 云公共云和阿里专有云; 多云:这里指同时拥有多个公共云平台云资源的情况,比如同时拥有阿里云和非 阿里云云平台的资源。 不论是混合云还是多云,从安全方案的角度(包括等保合规)来看,是没有太大的差 别的。所以本最佳实践中,以阿里云和它云组成的多云场景来演示安全方案及安全产 品的部署实操步骤。 混合云或多云的细分场景多样,包括: 客户的所有业务系统和数据都在私有云或 IDC,只想使用公共云的安全产品来做 安全方案。 客户的前端业务系统已经部署至公共云,核心业务系统和数据还在私有云或 IDC, 想使用公共云的安全产品来做安全方案。 客户的业务系统部分在非阿里云云平台,部分在阿里云公共云平台,想使用阿里 云公共云的安全产品来做安全方案。 客户的业务系统既有部分在私有云或 IDC,也有部分在非阿里云云平台、部分在 阿里云公共云平台的情况,即混合云和多云都包含,想使用阿里云公共云的安全 产品来做安全方案。 1.2. 方案架构 不论是哪种混合云或多云的情况,都需要把 IDC与公共云、或两个公共云平台打通, 即建立私网连接,因为一般两个类数据中心之间不经由公网互通,主要是安全及可靠 性方面的考虑。 如果客户有条件,一般都会拉专线来打通两个数据中心,这样延迟小、稳定性和安全 性高;如果客户业务要求不是很高,或者在验证测试,可以通过两端建立 IPSec VPN 文档版本:20200630 1
7混合云多云统一安全 方案总体设计 的方式。 本最佳实践为了客户自服务性,通过 IPSec VPN方式来阐述。 对于部分业务在阿里云、部分在 IDC或它云的情况,可以归类为阿里云安全解决方案 叠加阿里云对它云的安全解决方案,所以为了简化逻辑,本最佳实践中主要阐述业务 和数据都在它云、只有安全部署在阿里云的最典型的场景。 本最佳实践中,业务系统全部部署在它云内,网络及应用安全使用云上高防及 WAF, 回源到它云服务器;使用 VPN网关在云上 VPC和它云内网间建立 IPSec加密隧道, 主机安全,运维及安全审计使用云上相应服务。 同时,在它云或 IDC侧,只需要有一台带 VPN的防火墙即可,做网络访问控制及与 阿里云之间建立 VPN隧道;如果有 IPS能力最好,可以做非 7层网络的入侵检测和 防御。所以在 IDC侧,有一台 NGFW(下一代防火墙)最好,同时包含了 VPN、防火 墙和 IPS功能。 文档版本:20200630 2
8混合云多云统一安全 方案总体设计 1.3. 优势 本方案可以充分利用云上的安全能力来解决混合云或多云的安全需求、等保需求,具 体包括: 维护简单,特别适用于纯网站业务,修改 DNS解析,建立 IPSec隧道即完成部 署,云上安全资源一键开通,对原有网络架构零侵入。 云上安全资源自带高可用属性,无需考虑冗余,安全资源弹性扩容,轻松应对业务 高峰。 公共云和私有云资源由同一套安全产品来统一管理,降低安全运维成本。 天然的统一安全产品控制台,满足等保合规要求。 文档版本:20200630 3