华为云产品术语
2023-02-14 11:02:26 4 举报
AI智能生成
华为云产品学习笔记
作者其他创作
大纲/内容
高数据可靠性:基于分布式架构,可弹性扩展的虚拟块存储服务;具有高数据可靠性,高I/O吞吐能力,能够保证任何一个副本故障时快速进行数据迁移恢复,避免单一硬件故障造成数据丢失。
支持云服务器和云硬盘的备份及恢复:可预先设置好自动备份策略,实现在线自动备份。也可以根据需要随时通过控制台或API,备份云服务器和云硬盘指定时间点的数据。
多种安全服务,多维度防护:Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。
安全评估:提供对用户云环境的安全评估,帮助用户快速发现安全弱点和威胁,同时提供安全配置检查,并给出安全实践建议,有效减少或避免由于网络中病毒和恶意攻击带来的损失。
智能化进程管理:提供智能的进程管理服务,基于可定制的白名单机制,自动禁止非法程序的执行,保障ECS的安全性。
漏洞扫描:支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。
弹性云服务器
稳定可靠
安全保障
通用入门型:适合平时都保持很低的CPU利用率,但偶尔需要瞬时CPU占用超高的场景
通用计算型:对网络收发包性能有较高要求的网站和Web应用,轻量级数据库及缓存服务器,中轻载企业应用。
通用计算增强型:适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。
内存优化型:大规模并行处理数据仓库,MapReduce和Hadoop分布式计算,分布式文件系统,网络文件系统、日志或数据处理应用。
磁盘增强型:分布式文件系统 ,网络文件系统、日志或数据处理应用。
高性能计算型:基因工程、游戏动画、生物制药的计算和存储系统。
分类
网络收发包PPS是指ECS每秒可以处理的网络数据包数量,包括收发包两个方向,不区分内外网流量。网络收发包能力指出方向和入方向相加能达到的最大能力。网络收发包单位是PPS,即packets per second,是指每秒发包数量的意思。
什么是网络收发包PPS?
ECS
安全可靠:BMS是用户专属的计算资源,支持VPC、安全组隔离;支持主机安全相关组件集成;基于擎天架构的BMS支持云磁盘作为系统盘和数据盘,支持硬盘备份恢复能力;支持对接专属存储,满足企业数据安全和监管的业务安全和可靠性诉求。
性能卓越:BMS继承物理服务器特征,无虚拟化开销和性能损失,100%释放算力资源。结合华为自研擎天软硬协同架构,支持高带宽、低时延云存储、云网络访问性能;满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。
敏捷的部署效率:BMS基于擎天加速硬件支持云磁盘作为系统盘快速发放;分钟级资源发放,基于统一console控制台、开放API和SDK,支持自助式资源生命周期管理和运维。
云服务和解决方案快速集成:BMS基于统一的VPC模型,支持公有云云服务的快速机型;帮助企业客户实现数据库、大数据、容器、HPC、AI等关键业务云化解决方案集成和加速业务云化上线效率。
优势
虚拟私有云网络:用户可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间的访问规则,加强BMS的安全保护。
带宽提升至10 GE及以上。
租户自定义网络平面数量,最多支持4 K个子网。
支持裸金属服务器虚拟化访问外网。
高速网络,相比上一代高速网络,增强高速网络具有如下三大优势:
自定义VLAN网络的网卡是成对出现的,用户可以通过配置bond实现高可用。
自定义VLAN网络当前不支持跨AZ互通。
自定义VLAN网络:
B网络因其低延迟、高带宽的网络特性被用于很多高性能计算HPC项目,IB网络采用了100GMellanoxIB网卡,通过专用IB交换机和控制器软件UFM实现网络通信和管理。
IB网络
网络类型
政企、金融关键的数据库业务必须通过资源专享、网络隔离、性能有保障的物理服务器承载。BMS为用户提供独享的高性能的物理服务器,满足业务需求。
数据库场景
互联网大数据相关业务,包含大数据存储、分析等典型业务。支持裸金属本地存储和结合OBS服务的存算分离方案。
大数据场景
互联网弹性业务负载。相比虚拟机,BMS提供更高的部署密度更低的资源开销,更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。
容器场景
超算、基因测序、人工智能等高性能计算场景,处理的数据量大,BMS满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。
高性能计算/AI场景
应用场景
BMS属于裸金属架构,相当于物理机。和ECS相比,资源归用户独享,主要适用在关键类应用或性能要求较高的业务,并且要求安全可靠的运行环境。
BMS属于裸金属架构,没有提供虚拟化平台
DeH搭载了华为云虚拟化系统,购买之后可以直接使用ECS的公共镜像发放虚拟机
DeH也提供独立的物理机,但与BMS存在一定区别
与其他服务器类型对比
裸金属服务器
BMS
专属主机
Deh
GPU加速云服务器
GACS
服务器
云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,用户可以在云上轻松部署、管理和扩展容器化应用程序。
深度集成应用服务网格和Helm标准模板,真正实现开箱即用。
云容器引擎
一站式自动化部署和运维容器应用,整个生命周期都在容器服务内一站式完成。
简单易用
基于在计算、网络、存储、异构等方面多年的行业技术积累,提供业界领先的高性能云容器引擎,支撑业务的高并发、大规模场景。
采用高性能裸金属NUMA架构和高速IB网卡,AI计算性能提升3-5倍以上。
高性能
高可靠:集群内节点和工作负载支持跨可用区(AZ)部署,帮助用户轻松构建多活业务架构,保证业务系统在主机故障、机房中断、自然灾害等情况下可持续运行,获得生产环境的高稳定性,实现业务系统零中断。
高安全:私有集群,完全由用户掌控,并深度整合IAM和Kubernetes RBAC能力,支持用户在界面为子用户设置不同的RBAC权限。
安全可靠
云容器引擎在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能,提高了大规模容器集群管理的便捷性。
云容器引擎基于业界主流的Kubernetes实现,与社区最新版本保持紧密同步,完全兼容Kubernetes API和Kubectl。
开放兼容
CCE
当业务需求增长时,AS自动为您增加弹性云服务器(ECS)实例或带宽资源,以保证业务能力;当业务需求下降时,AS自动为您缩减弹性云服务器(ECS)实例或带宽资源,以节约成本。AS支持自动调整弹性云服务器和带宽资源。
自动调整资源:AS能够实现应用系统自动按需调整资源,即在业务增长时能够实现自动增加实例数量和带宽大小,以满足业务需求,业务下降时能够实现应用系统自动缩容,保障业务平稳运行。
加强成本管理:AS能够实现按需使用实例和带宽,并自动调整系统中的资源,节省了资源和人为调整资源带来的损耗,为用户最大程度节约了成本。
提高可用性:AS可确保应用系统始终拥有合适的容量以满足当前流量需求。当AS和负载均衡器结合后,伸缩组会自动地为新加入的实例绑定负载均衡监听器。访问流量将通过负载均衡监听器自动分发到伸缩组内的所有实例。
提高容错能力:AS可以检测到应用系统中实例的运行状况,并启用新实例以替换运行状况不佳的实例。
AS的优势
伸缩控制:配置策略设置指标阈值/伸缩活动执行的时间,通过云监控监控指标是否达到阈值,通过定时调度,实现伸缩控制。
配置策略:可以根据业务需求,配置告警策略/定时策略/周期策略。
配置告警策略:可配置CPU、内存、磁盘、入网流量等监控指标。
配置定时策略:通过配置触发时间可以配置定时策略。
配置周期策略:通过配置重复周期、触发时间、生效时间可以配置周期策略。
云监控监控到所配置的告警策略中的某些指标达到告警阈值,从而触发伸缩活动,实现ECS实例的增加/减少或带宽的增大/减小。
到达所配置的触发时间时,触发伸缩活动,实现ECS实例的增加/减少或带宽的增大/减小。
特点
AS
容器
云手机(Cloud Phone,简称CPH)是基于华为云鲲鹏裸金属服务器虚拟出的带有原生安卓操作系统,同时具有虚拟手机功能的云服务器。用户可以远程实时控制云手机,实现安卓APP的云端运行;也可以基于云手机的基础算力,高效搭建应用。
CPH
云手机
镜像服务(Image Management Service,简称IMS)提供镜像的生命周期管理能力。用户可以灵活地使用公共镜像、私有镜像或共享镜像申请ECS和BMS。同时,用户还能通过已有的云服务器或使用外部镜像文件创建私有镜像,实现业务上云或云上迁移。
便捷:使用公共镜像、市场镜像,或者自建的私有镜像均可批量创建云服务器,降低部署难度。通过IMS提供的共享、复制、导出等功能,轻松实现私有镜像在不同帐号、不同区域,甚至不同云平台间的迁移。
安全:镜像后端对应的镜像文件使用华为云对象存储服务进行多份冗余存储,具有高数据可靠性和持久性。可以使用密钥管理服务提供的信封加密方式对私有镜像进行加密,确保数据安全性。
灵活:通过管理控制台或API方式均能完成镜像的生命周期管理,用户可以按照需求灵活选择。不管是服务器上云、服务器运行环境备份,还是云上迁移,镜像服务都能满足用户的需求。
统一:镜像服务提供统一的镜像自助管理平台,简化维护的复杂度。通过镜像,实现应用系统的统一部署与升级,提高运维效率,保证应用环境的一致性。
IMS
镜像服务
FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数,只需编写业务函数代码并设置运行的条件,无需配置和管理服务器等基础设施,函数以弹性、免运维、高可靠的方式运行。
用户使用FunctionGraph时,不需要开通或者预配置计算、存储、网络等服务,由FunctionGraph提供和管理底层计算资源,包括服务器CPU、内存、网络和其他配置/资源维护、代码部署、弹性伸缩、负载均衡、安全升级、资源运行情况监控等,用户只需要按照FunctionGraph支持的编程语言提供程序包,上传即可运行。
FunctionGraph
函数工作流服务
计算
是一种基于分布式架构的,可弹性扩展的虚拟块存储服务
将裸磁盘空间整个映射给主机/VM使用,用户可以根据需要随意将存储格式化成文件系统来使用。
云硬盘
分布式3副本技术,数据高可靠性9个9。
高可靠
单盘最大支持12.8万IOPS,1000 MB/s
极致性能
单盘最大支持32 TB,支持在线扩容
弹性扩容
256位AES加密技术,应用无感知,安全便捷
安全合规
EVS
块
为用户的弹性云服务器提供一个完全托管的共享文件存储,包含SFS和SFS Turbo服务
提供按需扩展的高性能文件存储,可为云上多个ECS,容器,BMS提供共享访问。
好比是一个共享文件夹,文件系统已经存在,用户可以直接将自己的数据存放在文件存储上,比如Windows远程目录共享。
弹性文件服务
提供托管的文件存储服务,无须关心底层硬件基础设施,避免了部署、维护硬件带来的复杂性。
易用
基于华为云安全技术,保护用户数据安全;基于VPC认证,保证用户间数据隔离。
安全
通过多级可靠性架构,保障数据持久99.999999996(10个9),服务可用性达99.95%。
稳定
提供多种文件存储服务,分别具有高IOPS、低时延、高带宽等性能特点,满足不同业务场景需求
高效
SFS
SFS Turbo通用型文件系统为用户提供一个完全托管的共享文件存储,能够弹性伸缩至320 TB规模,具备高可用性和持久性,为海量的小文件、低延迟高IOPS型应用提供有力支持。
同时支持与ECS、CCE、BMS对接。
灵活对接
时延1~2ms,IOPS最高30K
支持标准NFS协议、文件数据加密、备份与恢复
功能丰富
SFS Turbo
文件
是存储文档、图片、影音视频等非结构化数据的云存储服务
每个数据对应着一个唯一的id,在面向对象存储中,不再有类似文件系统的目录层级结构,完全扁平化存储,即可以根据对象的id直接定位到数据的位置。
对象存储服务
例如:大数据、移动应用、热点视频、社交图片等场景。
标准存储
例如:文件同步/共享、企业备份等场景。与标准存储相比,低频访问存储有相同的数据持久性、吞吐量以及访问时延,且成本较低,但是可用性略低于标准存储。
低频访问存储
例如:数据归档、长期备份等场景。归档存储安全、持久且成本极低,可以用来替代磁带库。为了保持成本低廉,数据取回时间可能长达数分钟到数小时不等。
归档存储
存储类别
对象存储服务OBS在配置数据冗余存储策略时,可结合业务场景选择多AZ存储和单AZ存储。当选择多AZ存储时,多AZ间的数据通过容灾等手段,保障数据持久性高达99.9999999999%,业务连续性高达99.995%,远高于传统架构。
持久性:99.9999999999%(12个9)的持久性意味着平均每年对象损失率预计为0.0000000001%。例如,用户在OBS中存储了一亿个对象,则预计平均每一万年才会出现丢失一个对象的可能。
可用性:可用性也可以理解为业务连续性,99.995%的可用性意味着如果连续访问OBS十万分钟(69天左右),期间出现不可访问的时长不超过5分钟。
跨区域复制是指通过创建跨区域复制规则,将一个桶(源桶)中的数据自动、异步地复制到不同区域的另外一个桶(目标桶)中,源桶和目标桶必须属于同一个帐号,暂不支持跨帐号复制
跨区域复制
多版本功能可在用户意外覆盖或删除对象的情况下提供一种恢复手段。用户可以使用多版本功能来保存、检索和还原对象的各个版本,这样用户能够从意外操作或应用程序故障中轻松恢复数据。多版本功能还可用于数据保留和存档。
多版本控制功能
当启用服务端加密功能后,用户上传对象时,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。OBS支持两种方式的服务端加密,两种方式都采用行业标准的AES256加密算法。
服务端加密功能
OBS依赖SMN提供消息通知功能。用户可以将OBS桶中对象的上传、删除等操作事件通过SMN发送给指定的订阅终端,以实时掌握OBS桶中发生的关键事件。例如,配置SMN通知,规定当用户往桶中上传对象时,SMN发送消息通知到指定的邮箱
事件通知功能
功能
OBS
对象
基于分布式块存储构建,为用户提供独享的物理存储资源
可提供独享的物理存储资源,提供高可用性和持久性,以及稳定的低时延性能;可对接ECS、BMS以及DCC等多种类型的计算服务,适用于HPC、OLAP以及混合负载等应用场景。
储资源独享,保证高读写性能,且保证数据安全与合规性,为用户提供VIP级别的存储服务。
存储专享
支持共享EVS、EVS加密、EVS备份、ECS备份、快照等功能,满足不同业务场景的需求。
特性丰富
灵活对接ECS、BMS以及专属计算集群等。适用于HPC、OLAP、多负载等多种应用场景。
场景丰富
采用分布式存储架构,可平滑扩展,性能线性增长,为业务提供高吞吐、高并发的存储能力。
高IO:高性能、高扩展、高可靠,适用于性能相对较高,读写速率要求高,有实时数据存储需求的应用场景。
超高IO:低时延、高性能,适用于低时延,高读写速率要求,数据密集型应用场景。
规格丰富
按需扩容:可根据业务需求扩容存储池。
性能线性增长:支持在线扩容DSS下的磁盘,并且性能线性增长,满足业务需求。
弹性扩展
三副本冗余:数据持久性高达99.9999999%。
数据加密:系统盘和数据盘均支持数据加密,保护数据安全。
云备份服务:可为专属分布式存储下的磁盘创建备份,利用备份数据回滚磁盘,最大限度保障数据的安全性和正确性,确保业务安全。
备份恢复
DSS
专属分布式文件存储
为云上的ECS、BMS、EVS和云下VMware虚拟化环境,提供简单易用的备份服务,针对病毒入侵、人为误删除、软硬件故障等场景,可将数据恢复到任意备份点。云备份保障用户数据的安全性和正确性,确保业务安全。云备份由备份、存储库和策略组成。
支持ECS多盘一致性备份,数据库服务器应用一致性备份,使用户的数据更加安全可靠
可靠
永久增量备份,缩短95%备份时长。即时恢复,RPO最小为1小时,RTO可达分钟级。
操作简单,3步完成备份配置,无需具备专业的备份软件技能。相比传统备份系统,使用更简单
简单
加密盘的备份数据自动加密,保证数据安全。支持路Region复制备份数据,可在异地Region恢复,实现异地灾备。
备份即一个备份对象执行一次备份任务产生的备份数据,包括备份对象恢复所需要的全部数据。
备份
云备份使用存储库来存放备份。创建备份前,需要先创建至少一个存储库,并将服务器或磁盘绑定至存储库。服务器或磁盘产生的备份则会存放至绑定的存储库中
存储库分为备份存储库和复制存储库两种。备份存储库用于存放备份对象产生的备份,复制存储库用于存放复制操作产生的备份
不同类型的备份对象产生的备份需要存放在不同类型的存储库中。
存储库
备份策略:需要对备份对象执行自动备份操作时,可以设置备份策略。通过在策略中设置备份任务执行的时间、周期以及备份数据的保留规则,将备份存储库绑定到备份策略,可以为存储库执行自动备份。
复制策略:需要对备份或存储库执行自动复制操作时,可以设置复制策略。通过在策略中设置复制任务执行的时间、周期以及备份数据的保留规则,将备份存储库绑定到复制策略,可以为存储库执行自动复制。复制产生的备份需要存放在复制存储库中。
策略
功能组成
云硬盘备份提供对云硬盘的基于快照技术的数据保护。
云硬盘备份
云服务器备份提供对弹性云服务器的基于多云硬盘一致性快照技术的数据保护。同时,未部署数据库等应用的服务器产生的备份为服务器备份,部署数据库等应用的服务器产生的备份为数据库服务器备份。
云服务器备份
SFS Turbo备份提供对SFS Turbo文件系统的数据保护。
SFS Turbo备份
混合云备份提供对线下备份存储OceanStor Dorado阵列中的备份数据以及VMware服务器备份的数据保护。
混合云备份
备份类型
CBR
与EVS数据分开存储,存储在对象存储(OBS)中,可以实现在EVS存储损坏情况下的数据恢复
与EVS数据存储在一起
快照
存储方案
保存EVS指定时刻的数据,可以设置自动备份。如果将创建备份的EVS删除,那么对应的备份不会被同时删除
保存EVS指定时刻的数据。如果将创建快照的EVS删除,那么对应的快照也会被同时删除。重装操作系统或切换操作系统后,系统盘快照会自动删除;数据盘快照不受影响,可以照常使用
数据同步
与EVS位于同一个AZ内,云服务器备份支持跨区域复制
与EVS位于同一个AZ内
容灾范围
通过恢复备份至EVS,或者通过备份创建新的云硬盘,找回数据,恢复业务。数据持久性高
通过回滚快照至EVS,或者逼过快照创建新的EVS,找回数据,恢复业务
业务恢复
与快照的区别
云备份
是基于数据同步复制提供RPO=O的跨AZ容灾服务对象存储服务
是一种为ECS、EVS和DSS等服务提供容灾的服务。通过存储复制、数据冗余和缓存加速等多项技术,提供给用户高级别的数据可靠性以及业务连续性,简称存储容灾。
RPO=0:基于8+年自研存储层同步复制技术,保障数据零丢失。
分钟级RTO:灾难发生后,分钟级完成故障切换。
在线容灾演练:可在不影响业务的情况下,按需在线执行容灾演练,用以检验容灾方案的可行性、有效性。
RPO=0保障数据零丢失,分钟级RTO,支持在线容灾演练
一键容灾切换:SDRS支持一键容灾切换,切换完成后,通过手动快速启动ECS即可恢复业务。
三步容灾:只需通过创建保护组、创建保护实例、开启保护三步即可轻松在云上实现业务容灾保护。
业务粒度保护:SDRS支持以业务为粒度做容灾保护,即将同一个业务的多个ECS加入SDRS同一个保护组中做容灾保护。
无需安装插件:无需在容灾的ECS中安装插件,部署简单。
网络自动迁移:容灾切换完成后,ECS的IP、MAC、EIP支持迁移到新的生产站点,无需再次配置IP和EIP。
支持一键切换/切回,生产端与容灾端弹性云服务器可不同规格
易使用
TCO降低60%:相较于传统容灾方案,省去硬件、电力维护等成本,容灾TCO下降约60%。
容灾端ECS不收费:正常状态下,容灾端ECS处于关机状态,计算资源不收费。
容灾站点计算资源不收费,相较传统容灾方案,TCO 下降显著
低成本
SDRS
存储容灾服务
(Recovery Point Objective)即数据恢复点目标,主要指的是业务系统所能容忍的数据丢失量
RPO
(Recovery Time Objective)即恢复时间目标,主要指的是所能容忍的业务停止服务的最长时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。
RTO
存储
VPC
增强网络
DNS
静态内容加速
内容防篡改
支持range回源
防盗链
CDN
ELB
VPN
边界网关协议,多线机房,全国访问权衡流畅
BGP
网络功能
网络
记录云账户下的资源的操作
CTS
AI智能分析潜在危险
MTD
云工作负载是在云资源上运行服务的负载,包括虚拟机、容器等,这是承载企业业务的核心。
企业主机安全(Host Security Service,简称HSS)是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产的功能,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
资产管理:同时支持企业主机和企业镜像的管理。可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务。
漏洞管理:将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞,帮助用户识别潜在风险。
基线检查:扫描出主机系统和关键软件含有风险的配置信息。支持配置检查和弱口令检查,其中配置检查包涵系统配置和常见Tomcat,Nginx,SSH配置,且支持修复建议。
入侵检测:可识别并阻止入侵主机的行为,实时检测主机内部的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等,支持双因子认证
安全响应:支持告警通知、周报月报。
主要功能
企业主机安全HSS
云容器安全服务(Container Guard Service,简称CGS)是华为云针对容器安全风险推出的安全防护产品。容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款,能够扫描容器镜像中的漏洞,以及提供容器安全策略设置和防逃逸功能。
容器镜像安全:容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像(CGS支持对基于Linux操作系统制作的容器镜像进行检测)。
容器安全策略:通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。
容器运行时安全:容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒素等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
云容器安全CGS
云堡垒机(Cloud Bastion Host,简称CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。
身份认证:采用多因子认证和远程认证技术,加强用户身份认证管理。
账户管理:集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体系
权限控制:集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全。
操作审计:基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警
高效运维:通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,提升运维效率
工单申请:系统运维用户在运维过程中,遇到需运维资源而无权限情况,可提交系统工单申请资源控制权限,寻求管理人员授权审批。
云堡垒机CBH
工作负载安全
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求,并相互信任的云服务器、云容器、云数据库等实例提供访问策略。
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。
安全组&ACL
云防火墙(Cloud Firewall)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护。
通过云防火墙,对已开放公网访问的服务资产进行安全盘点,可一键开启入侵检测与防御。
外部入侵防御
云防火墙支持基于域名的访问控制,可对主动外联行为进行精准管控。
主动外联管控
云防火墙支持VPC间流量的访问控制,实现内部业务互访活动的可视化与安全防护。
VPC间互访控制
云防火墙可满足《等保2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求
等保合规
适用场景
云防火墙CFW
拒绝服务DoS(Denial of Service)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时,称为分布式拒绝服务攻击DDoS(Distributed Denial of Service Attack)。
华为云DDoS防护服务ADS(Anti-DDoS Service)是华为云针对DDoS攻击提出的安全防护方案,一共有DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生高级防护(Cloud Native Anti-DDoS)和DDoS高防(Advanced Anti-DDoS)三个子服务。
DDoS攻击防护方案ADS
网络安全
Web应用防火墙(Web Application Firewall,简称WAF)是保障web应用的安全服务。为网站拦截SQL注入、XSS跨站、命令注入、网站挂马、CC攻击、恶意爬虫等Web类型的攻击。
SQL注入攻击指攻击者通过欺骗数据库服务器,来执行未授权的任意查询。SQL注入攻击借助SQL语法,针对应用程序开发者在编程过程中的缺陷或不严谨代码,当攻击者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入攻击就发生了。
XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者),XSS涉及到三方,即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互。
命令注入攻击,是指由于嵌入式应用程序或者web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。
网页挂马指的是把一个木马程序上传到网站生成网马,执行时会生成更多木马,用户下载木马后执行并继续下载执行,进入恶性循环,从而使用户的电脑遭到攻击和控制。
CC攻击(Challenge Collapsar Attack,CC)是针对Web服务器或应用程序的攻击,利用获取信息的标准的GET/POST请求,如请求涉及数据库操作的URI(Universal Resource Identifier)或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
常见攻击方式
防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击
常规防护
当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。WAF可以灵活设置CC攻击防护的眼速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务
电商抢购秒杀防护
当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,WAF会第一时间升级预置防护规则,保障业务安全稳定。
0Day漏洞爆发防范
恶意访问着通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据成其他敏感情意。用户可通过WAF配置防数据泄露规则,精准识别采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量。
防数据泄露
攻击者利用黑窖技术,在网站服务器上留下后门或篡改网页内容,造成经济损失成带来负面影响。用户可通过WAF配置网页防篡改规则,检测恶意代码,保护网站访问者安全。
防网页篡改
使用场景
Web应用防火墙WAF
应用安全
数据安全中心服务(Data Security Center,简称DSC)是新一代的云化数据安全平台。 DSC提供全生命周期数据安全能力,包括:敏感数据发现、数据隐私保护和数据风险管理。
敏感数据自动识别分类:从海量数据中自动发现并分析敏感数据使用情况,基于数据识别引擎,对其储存结构化数据(RDS)和非结构化数据(OBS)进行扫描、分类、分级,解决数据“盲点”,以此做进一步安全防护。
用户异常行为分析:通过深度行为识别引擎,建立用户行为基线,实现基线外异常操作实时告警,行为操作实时查询,行为轨迹可视化,风险事件关联识别,针对风险事件关联用户操作,完善溯源审计链条。及时发现数据使用是否存在安全违规并及时预警,预防数据泄露。
数据脱敏保护:通过多种预置脱敏算法+用户自定义脱敏算法,搭建数据保护引擎,实现非结构化数据脱敏储存,结构化数据静态脱敏,防止敏感数据泄露。
满足信息合规要求:DSC拥有数十种合规模板,包含GDPR,PCI DSS,HIPAA等,多种合规规则一键匹配识别,生成报表供针对性整改,精准区分和保护个人数据,避免产生合规问题。
数据安全中心DSC
数据库安全服务(Database Security Service,简称DBSS)是一个智能的数据库安全服务,可以保障数据库处理过程中的数据安全。基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。
数据库入侵防御:实时阻断SQL注入攻击等
细粒度访问控制:基于角色、最小化权限;
学习模式:通过自我学习,生成安全模式,可应用到防火墙策略。
数据库防火墙
敏感数据自动发现:根据合规要求自动发现敏感数据,一键生成脱敏规则;
动态脱敏:不修改原始数据,可对列脱敏;
多种脱敏规则:邮箱脱敏、字符串脱敏等。
敏感数据发现和脱敏
活动及异常监控:列表级管理活动和访问活动监控,行为/登录/访问异常监控
实时告警:SQL注入等实时告警;
审计报告:可生成合规审计报告。
数据库审计
数据库安全DBSS
云证书管理服务(Cloud Certificate Manager Service,简称CCM)是一个云上海量证书颁发和全生命周期管理的服务,目前可以提供SSL证书管理和私有证书管理服务。
当前国际证书颁发机构签发的SSL证书,有效期基本都为1年。CCM支持私有证书轮换配置,可以根据私有证书的过期时间来设定轮换周期,在旧私有证书过期前,将新私有证书替换到对应的工作节点上,避免因私有证书过期导致业务通信中断。
SSL证书管理
私有证书管理
云证书管理CCM
数据加密服务(Data Encryption Workshop,简称DEW)是一个综合的云上数据加密服务,可以通过密钥加密机制来对存储数据进行保密管理。
DEW提供了专属加密、密钥管理、密钥对管理、凭据管理四个服务模块,不同的加密场景,可以匹配不同的服务产品。
云上加密机,单独提供给客户,满足高合规场景(业务比较庞大,并发业务高,比如我们的支付业务)。
是华为云为用户提供的云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。
专属加密服务DHSM
云服务加密(集成),数据磁盘加密、小数据加密。
是一个安全易用的云上密钥托管服务,其密钥安全由HSM保护,可与许多其他华为云服务集成以保护存储在这些服务上的数据,也可以借助KMS开发自己的加密应用。
KMS密钥管理服务和华为云产品广泛集成,客户可以在KMS控制台自行创建密钥,或者导入外部密钥,对存放在RDS、ECS、OBS、SFS、DDS、EVS等45+款云产品上的数据进行加密保护,保障数据安全。
密钥管理服务KMS
主要是针对主机登陆。
是一种安全、可靠、简单易用SSH密钥对托管服务,可以帮助用户集中管理SSH密钥对,保护SSH密钥对的安全。
KPS利用HSM产生的硬件真随机数来生成密钥对,并提供了一套完善和可靠的密钥对的管理方案,解决弱口令爆破问题、消减私钥失窃威胁、防撞库。
KPS可帮助用户轻松创建、导入和管理SSH密钥对。生成的SSH密钥对的公钥文件均保存在华为云中,私钥文件由用户自己下载保存在本地,保障了SSH密钥对的私有性和安全性。
密钥对管理服务KPS
重要的密码、口令、令牌存储。
是一种安全、可靠、简单易用的凭据托管服务。
用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期和统一管理,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密以及权限失控带来的业务风险。
凭据管理服务CSMS
数据加密服务DEW
数据安全
是华为云提供权限管理的基础服务,帮助用户安全地控制华为云服务和资源的访问权限。
IAM服务可将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。分配常常考虑最小权限原则
AK:Access Key,访问密钥ID。与私有访问密钥关联的唯一标识符,访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
SK:Secret Access Key,私有访问ID。与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
密钥验证
统一身份认证IAM
是华为云安全管理与态势分析平台,能够检测出超过20大类的云上安全风险,利用大数据分析技术,为用户呈现出全局安全攻击态势。
云上业务众多,云上资产日益庞大,以及云资产的变化频繁,大大增加了云上安全风险。
SA集中呈现云上主机或漏洞资产风险状况。集中云上所有资产安全状况,实时监控云上业务整体安全,让服务器中的漏洞、威胁和攻击情况一目了然,保障所有资产的安全,帮助企业轻松应对资产安全风险。
资产风险管理
云上各类安全威胁一直存在,还有各类新型威胁类型不断涌出
SA通过汇集全网流量数据和安全防护设备日志信息,能够实时检测和监控云上安全风险,实时呈现告警事件的统计信息,并可对各种威胁事件进行汇聚统计。针对常见的暴力破解、Web攻击、后门木马、僵尸主机威胁事件,可预制的安全防护策略有效防御威胁风险,提升运维效率。
威胁事件告警
随着企业业务的不断上云,为避免漏洞被成功利用,需尽可能多的找出并修复漏洞。
SA通过采集云上应急安全通告,能够实时披露新发现的漏洞,通报突发安全漏洞事件和预警潜在漏洞;同时通过集成漏洞扫描结果,能够定期进行漏洞扫描,集中管理主机漏洞和网站漏洞,对系统、软件和网站进行检测,检测出系统、软件和网站存在的漏洞,针对检测到的漏洞提供修复建议。集中进行云上漏洞管理,快速帮助用户识别关键风险,发现攻击者可能感兴趣的资产,帮助用户快速弥补安全短板。
漏洞风险通报
SA支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。
风险配置管理
产品功能
态势感知SA
威胁检测服务(Managed Threat Detection,简称MTD),持续实时监控相关云服务日志,及时告警恶意活动和无授权行为。
MTD服务通过采集:统一身份认证(IAM)、云解析服务(DNS)、云审计服务(CTS)、对象存储服务(OBS)、虚拟私有云(VPC)的日志利用AI智能引擎、威胁情报、规则基线模型,持续监控暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为,识别云服务日志中的潜在威胁,并对检测出的威胁告警进行统计。
入云:流量从Internet流入华为云方向,例如,从公网下载资源到云内ECS。
出云:从华为云流出到Internet方向,例如,云内的ECS对外提供服务,外部用户下载云内ECS上的资源。
等保2.0通用要求和云计算拓展要求的边界防御、访问控制、入侵防范、恶意代码、安全审计、集中管控、网络架构、镜像与快照保护的8大类28子项的要求。
政企,央企,金融、教育等企业每年都会参与护网与重保,大型IT科技企业自发攻防演练等都需要持续发现恶意活动和未经授权的行为检测、告警与处置。
护网重保
IT科技、外企、传统企业识别各类网络、存储、操作等云服务日志中的潜在的VPC东西向攻击、恶意破坏等威胁并输出分析结果,保障客户的业务安全。
日常运营
威胁检测服务MTD
管理检测与响应(Managed Detection Response,简称MDR)是华为云提供的安全风险管控体系,由管理、技术与运维构成。
MDR结合华为30年安全经验积累,以及企业与机构业务的安全需求反馈和防控效果,对用户安全防护进行持续改进,帮助企业与机构实现对安全风险与安全事件的有效监控,并及时采取有效措施持续降低安全风险,消除安全事件带来的损失。
结合用户云上业务,量身定制云安全体系,进行网络隔离,账号权限管控等
安全方案设计
输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略
安全配置服务
对服务器进行全面安全基线加固,指导用户根据渗透测试结果进行WEB应用加固
安全加固
对安全事件进行应急处理,帮助快速恢复业务并进行溯源
应急响应
对托管服务器进行7*24小时安全监控,及时发现潜在的威胁和威胁
安全监控
根据用户业务,组合安全产品进行防护服务,达到最大的防御效果
安全防护服务
管理检测与响应MDR
安全管理
RDS for MySQL
RDS for PostgreSQL
RDS for SQL Server
是华为公司倾力打造的自研企业级分布式关系型数据库,该产品具备企业级复杂事务混合负载能力,同时支持优异的分布式事务,PB级海量存储等企业级数据库特性。
GaussDB(for openGauss)
是华为自研的最新一代企业级高扩展海量存储分布式数据库,完全兼容MySQL。基于华为最新一代DFV存储,采用计算存储分离架构,无需分库分表,既拥有商业数据库的高可用和性能,又具备开源低成本效益
GaussDB(for MySQL)
关系型数据库
是一款兼容MongoDB生态的云原生NoSQL数据库,具有企业级性能、灵活弹性、高可靠、可视化管理等特点。
GaussDB(for Mongo)
GaussDB(for Cassandra)
是一款基于计算存储分离架构,兼容Redis生态的云原生NoSQL数据库。GaussDB(for Redis)突破了开源Redis的内存限制,通过将数据进行冷热分离,在保证热数据驻留计算节点内存满足业务低时延要求的同时,将冷数据置换入分布式存储池进行持久化存储,最大程度的降低使用成本
GaussDB(for Redis)
GaussDB(for Influx)
文档数据库服务(Document Database Service)完全兼容MongoDB协议,提供安全、高可用、高可靠、弹性伸缩和易用的数据库服务,同时提供一键部署、弹性扩容、容灾、备份、恢复、监控和告警等功能。文档数据库服务支持多种实例类型,能够满足不同的业务场景。
DDS
分布式缓存服务(Distributed Cache Service,简称DCS)为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力,兼容Redis和Memcached,提供单机、主备、集群等丰富的实例类型,满足用户高并发及快速数据访问的业务诉求
DCS
非关系型数据库
DDM是由华为云自主研发的云原生分布式数据库中间件,采用存算分离架构,提供分库分表、读写分离、弹性扩容等能力,具有稳定可靠、高度可扩展、持续可运维的特点。
服务器集群管理对用户完全透明,用户通过DDM管理控制台进行数据库运维与数据读写,提供类似传统单机数据库的使用体验。
产品优势:自动分库分表、读写分离、弹性扩容。
分布式数据库中间件DDM
数据复制服务(Data Replication Service,简称为DRS)致力于提供数据库零停机的迁移上云体验,支持同构异构数据库、分布式数据库、分片式数据库之间的迁移,通过DRS也可以让数据库到数据库、数仓、大数据的数据集成与数据传输秒级可达,为企业数据贯穿和数字化转型打下坚实的第一步。
DRS
数据库和应用迁移UGO(Database and Application Migration UGO,简称UGO)是专注于异构数据库结构迁移和应用SQL语法转换的专业云服务。通过UGO的预迁移评估、自动化语法转换,帮助用户提前识别迁移风险,提升迁移效率,最大化降低用户的数据库迁移成本。
UGO
数据库生态服务
数据库
可用区
AZ
应用信任中心
ATC
其他
华为云术语
0 条评论
回复 删除
下一页