一:安全區域邊界
入侵防範
- 購買雲的WEB應用防火牆,如圖第一個進去購買
- 購買之後,進入WEB應用防火牆,點選網站設定
- 點選添加防護網站
- 輸入要做防火牆的域名
- 輸入相關資訊
- 配置好後如圖
- 配置好WEB防火牆會生成CNAME,在域名配置dns解析那邊解析選擇cname使用複制的CNAME進行解析
- 配置好如圖
可以看到安全總覽監控
惡意代碼防範
- 購買企業主機HSS,搜尋hss第一個,購買之後進入主機安全
- 點選主機管理
- 選擇雲伺服器開啟防護,如果沒有配置agent,需要先配置,開啟之後如圖
- 檢視總覽可以看到安全風險趨勢圖,監控圖
安全審計
- 華為雲搜尋CTS雲審計
- 設定追蹤器
- 配置相關資訊
- 配置審計日志到OBS
OBS對象存儲引擎
- 華為雲搜尋obs
- OBS相關設定
- 配置桶,建立桶
- 檢視桶清單
二:AED伺服器
對rsyslog與auditd生成的日志進行備份,儲存180天
- 檢視auditd的狀态
audit工具是Linux系統中負責審計的程序,可以用來記錄Linux系統的一些操作,比如系統調用,檔案修改,執行的程式,系統登入登出和記錄所有系統中所有的事件
- 檢視rsyslog
syslog伺服器可以用做一個網絡中的體制監控中心,所有能夠通過網絡來發送日志的設施(包含了Linux和Windows伺服器,路由器,交換機以及其他主機)都可以把日志發送給它。通過設定一個syslog伺服器,可以将不同設施/主機發送的日志
- 查詢到有這個兩個服務,如果沒有開通可以進行開通
- 可以從以下伺服器目錄進行7天備份一次日志audit,secure日志
伺服器設定白名單
- 找到伺服器對應的安全組,設定通路白名單
快照定期對伺服器進行備份
- 購買伺服器自動備份服務,定時每天對伺服器鏡像進行備份,或者對伺服器進行一次全量備份,後續對伺服器進行手動增量備份
二:AED伺服器
雲伺服器的備份管理
- 每天會進行伺服器的備份
- 手動一周進行下載下傳備份到電腦或者實體硬碟
- 雲伺服器的日志清單
- SQL審計日志,設定儲存180天
設定雲資料庫的白名單
- 在雲資料庫的安全組裡面設定通路資料庫的白名單
三:系統
配置密碼複雜度政策并設定定期更換密碼(如90天)
- 修改代碼使用者密碼的複雜度判斷
- 輸入不符合規範的密碼提示
- 隔段時間進行更換密碼複雜度
配置登入失敗處理(如登入失敗三次,鎖定10分鐘)并配置登入逾時功能(一小時内)
- 加入redis配置
- 加入redis相關屬性
- 登入校驗,超過redis存儲的次數,提示等待時間
- 登入超過次數效果