《鯤鵬云安全技術與應用》第1章

內外網防護實踐第2章

華為云DDos攻擊的防護實踐第3章

主機安全服務實踐第4章

數據加密服務實踐第5章

數據庫安全審計實踐第6章Web應用防火墻服務實踐第7章

漏洞管理服務實踐第8章

云堡壘機實踐全套可編輯PPT課件

內外網防護實踐前言內外網防護是云平臺安全的重要一環。本章主要介紹鯤鵬云系統中的內外網防護，包括內網防護、內外網防護、外網邊界防護等。內網防護通過在虛擬私有云（VPC）內進行子網隔離，以業務系統為界限，對同一應用中的不同節點根據其業務端口進行細粒度的劃分，從而最大程度地增強云主機的網絡安全性。內外網防護利用虛擬專用網絡（VirtualPrivateNetwork，VPN）和云專線（DirectConnect，DC）服務來確保內外網之間的安全訪問。外網邊界防護利用云防火墻（CloudFirewall，CFW）提供云上互聯網邊界和VPC邊界的防護。通過本章的學習，讀者將能夠深入了解鯤鵬云中常用的內外網防護技術，掌握內外網防護的構建和管理。這使得讀者在日常工作中能夠更熟練地確保云安全的落實。本課件是可編輯的正常PPT課件目標1.了解內網防護的架構和原理；2.了解內外網防護的架構和原理；3.了解外網邊界防護的架構和原理。本課件是可編輯的正常PPT課件010203內網防護內外網防護外網邊界防護內網防護虛擬私有云（VPC）在華為云內網中，華為云主要通過以業務系統為界進行虛擬私有云服務（VPC）子網隔離，同一應用中不同節點根據節點業務端口進行細粒度劃分，最大程度上保證云主機網絡安全性。虛擬私有云（VirtualPrivateCloud），為云服務器、云容器、云數據庫等云上資源構建隔離、私密的虛擬網絡環境。VPC1VPC2ECSECSECSECSECSECS隧道網絡技術本課件是可編輯的正常PPT課件虛擬私有云的優勢安全可靠靈活配置高速訪問互聯互通互聯互通多種方式連接公網依靠對等連接，使用私有IP在兩個VPC間進行通信

安全可靠100%邏輯隔離多重安全防護高速訪問全動態BGP協議接入多個運營商尋路協議實時自動故障切換靈活配置自定義虛擬私有網絡支持跨可用區部署彈性云服務器本課件是可編輯的正常PPT課件虛擬私有云產品架構本課件是可編輯的正常PPT課件虛擬私有云的組成部分VPCECSECSECSRDSBMS安全組A安全組A安全組B子網1子網2私網地址：/16路由表/24/24VPC組成部分：每個虛擬私有云VPC由一個私網網段、路由表和至少一個子網組成。本課件是可編輯的正常PPT課件應用場景-云端專屬網絡場景描述：每個VPC代表一個私有網絡，與其他VPC邏輯隔離。用戶可以將業務系統部署在華為云上，構建云上私有網絡環境。如果有多個業務系統，例如生產環境和測試環境要嚴格進行隔離，那么可以使用多個VPC進行業務隔離。本課件是可編輯的正常PPT課件應用場景-Web應用/網站托管場景描述：在VPC中托管Web應用或網站，通過彈性公網IP或NAT網關連接彈性云服務器與Internet，運行彈性云服務器上部署的Web應用程序。同時結合彈性負載均衡ELB服務，用戶可以將來自Internet的流量均衡分配到不同的彈性云服務器上。本課件是可編輯的正常PPT課件威脅檢測服務（MTD）威脅檢測服務對象存儲服務OBS云解析DNS虛擬私有云VPC數據源消息通知服務SMN函數工作流FunctionGraph云審計服務CTSVoiceCall語音通話態勢感知服務統一身份認證IAM除了虛擬私有云（VPC）提供的安全隔離能力來確保云上內網資源的隔離和安全之外，華為云還提供了威脅檢測服務（ManagedThreatDetection，MTD）進一步加固內網安全。威脅檢測服務（ManagedThreatDetection，簡稱MTD），持續實時監控相關云服務日志，及時告警惡意活動和無授權行為。本課件是可編輯的正常PPT課件威脅檢測服務的優勢挖掘數據特性，創新算法架構在算法方面，分析DNS域名格式特點，創新的結合BERT思想構造三通道CNN模型黑/白名單匯集可將白名單添加到威脅檢測服務，實現自定義威脅檢測的范圍跨服務聯動響應支持將檢測結果存儲至對象存儲服務（OBS）。支持將檢測結果向上同步至態勢感知（SA）形成可視化運營，作為SA的重要能力輸入，進行后續關聯的安全運營動作。基于AI智能引擎的IAM異常行為檢測威脅檢測服務在基于威脅情報和規則基線檢測的基礎之上，融入了AI智能檢測引擎。多模型協同檢測，準確識別威脅提供4類基于AI智能引擎的算法能力、7種AI模型，結合特征規則、分布統計以及外部輸入的威脅情報，綜合構建檢測系統，有效提升威脅分析效率和準確性。智能化威脅響應MTD可以通過聯動態勢感知服務（SA）對接消息通知服務（SMN），在發現威脅的情況下，迅速通過短信或郵件的方式直接觸達用戶。MTD本課件是可編輯的正常PPT課件威脅檢測服務檢測原理威脅檢測服務通過采集統一身份認證（IAM）、云解析服務（DNS）、云審計服務（CTS）、對象存儲服務（OBS）、虛擬私有云（VPC）的日志，利用AI智能引擎、威脅情報、規則基線模型，持續監控暴力破解、惡意攻擊、滲透、挖礦攻擊等惡意活動和未經授權行為，識別云服務日志中的潛在威脅，并對檢測出的威脅告警進行統計。本課件是可編輯的正常PPT課件威脅檢測服務適用場景等保合規護網重保日常運營等保2.0通用要求和云計算拓展要求的邊界防御、訪問控制、入侵防范、惡意代碼、安全審計、集中管控、網絡架構、鏡像與快照保護的8大類28子項的要求。政企，央企，金融、教育等企業每年都會參與護網與重保，大型IT科技企業自發攻防演練等都需要持續發現惡意活動和未經授權的行為檢測、告警與處置。IT科技、外企、傳統企業識別各類網絡、存儲、操作等云服務日志中的潛在的VPC東西向攻擊、惡意破壞等威脅并輸出分析結果，保障客戶的業務安全。本課件是可編輯的正常PPT課件內外網防護虛擬專用網絡（VPN）虛擬專用網絡（VirtualPrivateNetwork，以下簡稱VPN），用于在遠端用戶和虛擬私有云（VirtualPrivateCloud，以下簡稱VPC）之間建立一條安全加密的公網通信隧道。當遠端用戶需要訪問VPC的業務資源時，可以通過VPN連通VPC。本課件是可編輯的正常PPT課件虛擬專用網絡的優勢高安全靈活易用低成本高可用高可用雙連接雙活網關高安全基于IKE和IPsec對傳輸數據加密用戶獨立網關低成本利用Internet構建IPsec加密通道靈活易用支持多種鏈接模式支持分支互訪即開即用關聯企業路由器專線互備本課件是可編輯的正常PPT課件虛擬專用網絡的組網VPN由VPN網關和VPN連接組成。VPN網關提供了虛擬私有云的公網出口，與用戶本地數據中心側的遠端網關對應。VPN連接則通過公網加密技術，將VPN網關與遠端網關關聯，使本地數據中心與虛擬私有云通信，更快速、安全地構建混合云環境。本課件是可編輯的正常PPT課件應用場景-混合云部署通過VPN將用戶數據中心和云上VPC互聯，利用云上彈性和快速伸縮能力，擴展應用計算能力。本課件是可編輯的正常PPT課件應用場景-跨地域VPC互聯通過VPN將云上的不同region的VPC連接，使得用戶的數據和服務在不同地域能夠互聯互通。本課件是可編輯的正常PPT課件云專線（DC）云專線（DirectConnect）用于搭建用戶本地數據中心與華為云VPC之間高速、低時延、穩定安全的專屬連接通道，充分利用華為云服務優勢的同時，繼續使用現有的IT設施，實現靈活一體，可伸縮的混合云計算環境。本課件是可編輯的正常PPT課件云專線的優勢高安全資源無縫擴展支持大帶寬低時延低時延專用網絡進行數據傳輸，網絡性能高，延遲低，用戶使用體驗更佳。高安全用戶使用云專線接入華為云上VPC，使用專享私密通道進行通信，網絡隔離，安全性極高。支持大帶寬華為云專線單線路最大支持100Gbps帶寬連接，滿足各類用戶帶寬需求。資源無縫擴展通過云專線將用戶本地數據中心與云上資源互聯，形成靈活可伸縮的混合云部署。本課件是可編輯的正常PPT課件云專線的組成部分云專線服務主要包括物理連接、虛擬網關、虛擬接口三個組成部分。物理連接是用戶本地數據中心與接入點的運營商物理網絡的專線連接。物理連接提供兩種專線接入方式：標準專線接入，是用戶獨占端口資源的物理連接，此種類型的物理連接由用戶創建，并支持用戶創建多個虛擬接口。托管專線接入，是多個用戶共享端口資源的物理連接，此種類型的物理連接由合作伙伴創建，并且只允許用戶創建一個虛擬接口。用戶通過向合作伙伴申請來創建托管物理連接，需要合作伙伴為用戶分配VLAN和帶寬資源。虛擬網關是實現物理連接訪問VPC的邏輯接入網關，虛擬網關會關聯用戶訪問的VPC，一個虛擬網關只能關聯一個VPC，多條物理連接可以通過同一個虛擬網關實現專線接入，訪問同一個VPC。虛擬接口是用戶本地數據中心通過專線訪問VPC的入口，用戶創建虛擬接口關聯物理連接和虛擬網關，連通用戶網關和虛擬網關，實現云下數據中心和云上VPC的互訪。本課件是可編輯的正常PPT課件應用場景-本地數據中心跨區域訪問多VPC通過云專線和云連接實現跨區域多VPC與用戶IDC數據中心互通。本課件是可編輯的正常PPT課件應用場景-混合云部署通過云專線將云下用戶數據中心和云上VPC互聯，利用云上的彈性，快速擴展能力，擴展應用層的計算能力。本課件是可編輯的正常PPT課件外網邊界防護云防火墻（CFW）云防火墻（CloudFirewall，CFW）是新一代的云原生防火墻，提供云上互聯網邊界和VPC邊界的防護，包括實時入侵檢測與防御、全局統一訪問控制、全流量分析可視化、日志審計與溯源分析等，同時支持按需彈性擴容、AI提升智能防御能力、靈活擴展滿足云上業務的變化和擴張需求，極簡應用讓用戶快速靈活應對威脅。云防火墻服務是為企業業務上云提供網絡安全防護的基礎服務。互聯網華為云VPC：對外業務A對外業務AVPC：對外業務B對外業務BECSECSVPC：XX內部業務ECSECSVPC：YY內部業務ECSECSVPC：ZZ內部業務華為云CFWCFWECSECSECSECS本課件是可編輯的正常PPT課件智能防御靈活擴展極簡應用支持多種訪問控制策略借助AI防御引擎和安全情報，實時檢測攔截惡意流量精細化管控全流量，靈活調整資源支持一鍵開啟，多引擎安全策略一鍵導入基于五元組的訪問控制。基于域名的訪問控?制。基于IPS設置訪問控制。支持對IP地址組、黑名單、白名單設置ACL訪問控制策?略。云防火墻的優勢本課件是可編輯的正常PPT課件云防火墻的應用場景外部入侵防御等保合規VPC間互訪控制主動外聯管控主動外聯管控云防火墻支持基于域名的訪問控制，可對主動外聯行為進行管控。

外部入侵防御

通過云防火墻，對已開放公網訪問的服務資產進行安全盤點，可一鍵開啟入侵檢測與防御。

VPC間互訪控制

云防火墻支持VPC間流量的訪問控制，實現內部業務互訪活動的可視化與安全防護。等保合規云防火墻可滿足《網絡安全等級保護2.0》中對區域邊界防護、網絡入侵防范、網絡訪問控制、安全日志審計等檢查要求。本課件是可編輯的正常PPT課件本章小節本章主要介紹了鯤鵬云系統中的內外網防護技術，包括內網防護技術、內外網防護技術、外網邊界防護技術等。內網防護技術主要通過以業務系統為界進行虛擬私有云服務（VPC）子網隔離，同一應用中不同節點根據節點業務端口進行細粒度劃分，最大程度上保證云主機網絡安全性。內外網防護技術利用虛擬專用網絡（VirtualPrivateNetwork，VPN）和云專線（DirectConnect，DC）服務來確保內外網之間的安全訪問。外網邊界防護技術利用云防火墻（CloudFirewall，CFW）提供云上互聯網邊界和VPC邊界的防護。通過本章的學習，讀者將能夠深入了解鯤鵬云中常用的內外網防護技術，掌握內外網防護技術的構建和管理。這使得讀者在日常工作中能夠更熟練地確保云安全的落?實。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件華為云DDos攻擊的防護實踐前言拒絕服務（DenialofService，DoS）攻擊也稱洪水攻擊，是一種網絡攻擊手法，其目的在于使目標計算機的網絡或系統資源耗盡，服務暫時中斷或停止，導致合法用戶不能夠訪問正常網絡服務的行為。當攻擊者使用網絡上多個被攻陷的計算機作為攻擊機器向特定的目標發動DoS攻擊時，稱為分布式拒絕服務攻擊（DistributedDenialofServiceAttack）。對DoS攻擊或DDoS攻擊的防護是云平臺安全必不可少的一環。本課件是可編輯的正常PPT課件目標1.了解DDoS原生基礎防護的架構和原理；2.了解DDoS原生高級防護的架構和原理；3.了解DDoS高防的架構和原?理。本課件是可編輯的正常PPT課件010203華為云DDoSDDoS原生基礎防護DDoS原生高級防護04DDoS高防華為云DDoS什么是DDoS攻擊拒絕服務（DenialofService，簡稱DoS）攻擊也稱洪水攻擊，是一種網絡攻擊手法，其目的在于使目標電腦的網絡或系統資源耗盡，服務暫時中斷或停止，導致合法用戶不能夠訪問正常網絡服務的行為。當攻擊者使用網絡上多個被攻陷的電腦作為攻擊機器向特定的目標發動DoS攻擊時，稱為分布式拒絕服務攻擊（DistributedDenialofServiceAttack，簡稱DDoS）。本課件是可編輯的正常PPT課件常見DDoS攻擊類型攻擊類型說明舉例網絡層攻擊通過大流量擁塞被攻擊者的網絡帶寬，導致被攻擊者的業務無法正常響應客戶訪問。NTPFlood攻擊。傳輸層攻擊通過占用服務器的連接池資源，達到拒絕服務的目的。SYNFlood攻擊、ACKFlood攻擊、ICMPFlood攻擊。會話層攻擊通過占用服務器的SSL會話資源，達到拒絕服務的目的。SSL連接攻擊。應用層攻擊通過占用服務器的應用處理資源，極大消耗服務器處理性能，達到拒絕服務的目的。HTTPGetFlood攻擊、HTTPPostFlood攻擊。本課件是可編輯的正常PPT課件如何向網監報案？當業務遭受大量DDoS攻擊時，首先可以采用DDoS高防服務來保障業務的穩定，另一方面建議立即向網監部門進行報案。其報案流程如?下:遭受DDoS攻擊后，應該盡快向當地網監部門進行報案，并根據網監部門的要求提供相關信?息。網監部門判斷是否符合立案標準，并進入網監處理流?程。正式立案后，華為云會配合網監部門負責人提供攻擊取?證。租戶的報案在網監部門立案后，華為云將配合網監部門提供以下協助：華為云會配合網監部門，向網監負責人提供在華為云平臺上的業務的流量日志、遭受攻擊信息?等。華為云不能對流量日志和攻擊信息等進行分析，直接給出誰是攻擊者的結?論。華為云會及時響應網監部門的協助調查要求，配合開展工作。因此，租戶在遭受安全攻擊時，應參考當地網監部門的立案調查標準，積極請求網警進行立案調?查。本課件是可編輯的正常PPT課件DDoS防護針對DDoS攻擊，華為云提供多種安全防護方案，可以根據實際業務選擇合適的防護方案。華為云DDoS防護服務（Anti-DDoSService）提供了DDoS原生基礎防護（Anti-DDoS流量清洗）、DDoS原生高級防護（DDoS原生標準版、DDoS原生防護-全力防基礎版和DDoS原生防護-全力防高級版）和DDoS高防（DDoS高防中國地區和DDoS高防國際版）三個子服務。其中，Anti-DDoS流量清洗為免費服務，DDoS原生高級防護和DDoS高防為收費服務。本課件是可編輯的正常PPT課件DDoS原生基礎防護DDoS原生基礎防護DDoS原生基礎防護（Anti-DDoS流量清洗）服務（以下簡稱Anti-DDoS）為華為云內公網IP資源（彈性云服務器、彈性負載均衡），提供網絡層和應用層的DDoS攻擊防護（如泛洪流量型攻擊防護、資源消耗型攻擊防護），并提供攻擊攔截實時告警，有效提升用戶帶寬利用率，保障業務穩定可靠。Internet引流回注檢測IP地址1IP地址2清洗中心檢測中心Anti-DDoS檢測數據正常流量異常流量數據中心本課件是可編輯的正常PPT課件DDoS原生基礎防護的優勢優質防護：實時監測，及時發現DDoS攻擊，丟棄攻擊流量，將正常流量轉發至目標IP。

提供優質帶寬，保證業務連續性和穩定性，保障用戶訪問速度。全面精準：海量IP黑名單庫，精準有效；七層過濾的手術刀式清洗機制，動態流量基線智能學習。秒級響應：先進的逐包檢測機制，各類攻擊威脅秒級響應；強大的清洗設備性能，極低的清洗時延。自動開啟：本服務在購買EIP時自動開啟防護，無需采購昂貴清洗設備，無需安裝。免費使用：本服務是免費服務，使用時不需要購買資源，不產生任何費用，用戶可放心使用。本課件是可編輯的正常PPT課件DDoS原生基礎防護的應用場景DDoS原生基礎防護（Anti-DDoS流量清洗）僅對華為云內的公網IP提供DDoS攻擊防護。檢測中心根據用戶配置的安全策略，檢測網絡訪問流量。當發生攻擊時，將數據引流到清洗設備進行實時防御，清洗異常流量，轉發正常流量。本課件是可編輯的正常PPT課件DDoS原生高級防護DDoS原生高級防護DDoS原生高級防護（CloudNativeAnti-DDoS，CNAD）是華為云推出的針對華為云ECS、ELB、WAF、EIP等云服務直接提升其DDoS防御能力的安全服務。DDoS原生高級防護對華為云上的IP生效，通過簡單的配置，DDoS原生高級防護提供的安全能力就可以直接加載到云服務上，提升云服務的安全防護能力，確保云服務上的業務安全、可靠。透明接入IPv4/IPv6雙協議防護全力防護聯動防護IP黑白名單流量清洗協議封禁本課件是可編輯的正常PPT課件DDoS原生高級防護的優勢快速接入:無需配置轉發規則，快速接入服務即可直接提升華為云上EIP的防護能力。彈性防護能力:遭受大規模攻擊時自動調用當前區域華為云最大DDoS防護能力提供全力防護。海量清洗帶寬:擁有多線BGP防護帶寬，輕松抵御DDoS攻擊，可以滿足活動大促、活動上線等

重要業務的安全穩定性保障需求。卓越清洗能力:全自動檢測和攻擊策略匹配，實時防護；業務流量采用集群分發，性能高，時

延低，穩定性好。豐富的防護報表:提供多維度統計報表，通過查看流量信息，了解當前網絡安全狀態。本課件是可編輯的正常PPT課件DDoS原生高級防護應用場景DDoS原生高級防護適用于部署在華為云服務上，且華為云服務有公網IP資源的業務，能夠滿足業務規模大、對網絡質量要求高的用戶。DDoS原生高級防護適用于具有以下特征的業務：業務部署在華為云服務上，且云服務能提供公網IP資源業務帶寬或QPS較大。例如，在線視頻、直播等對業務帶寬要求比較高的領域。IPv6類型業務防護需求華為云上公網IP資源較多，業務中大量端口、域名、IP需要DDoS攻擊防護本課件是可編輯的正常PPT課件DDoS高防DDoS高防DDoS高防（AdvancedAnti-DDoS）是企業重要業務連續性的有力保障。當您的服務器遭受大流量DDoS攻擊時，DDoS高防可以保護用戶業務持續可用。DDoS高防通過高防IP代理源站IP對外提供服務，將惡意攻擊流量引流到高防IP清洗，確保重要業務不被攻擊中斷。可服務于華為云、非華為云及IDC的互聯網主機。DDoS高防為用戶提供DDoS防護服務，可以防護各類網絡層、應用層的DDoS攻擊。本課件是可編輯的正常PPT課件DDoS高防的優勢海量帶寬專業運營團隊彈性防護高可用服務高可用服務全自動檢測和攻擊策略匹配，實時防護；業務流量采用集群分發，性能高，時延低，穩定性好。

海量帶寬

15T以上DDoS高防總體防御能力，單IP最高1000G防御能力，抵御各類網絡層、應用層的DDoS攻擊。彈性防護通過基礎帶寬+彈性帶寬的購買方式，DDoS防護閾值支持彈性調整，可隨時升級更高級別的防護。專業運營團隊7*24小時運營團隊隨時應對；專業的運營人員隨時解答您的疑問，為您的業務保駕護航。本課件是可編輯的正常PPT課件DDoS高防原理DDoS高防服務通過高防IP代理源站IP對外提供服務，將所有的公網流量都引流至高防IP，進而隱藏源站，避免源站（用戶業務）遭受大流量DDoS攻擊。源站被防護服務器高防中心接入高防高防IP源站IPDNS服務=源站IP=高防CNAME①②③流量回源用戶1.修改DNS或對外服務IP2.流量切入高防中心3.正常用戶流量回源域名接入IP接入Client端訪問源站IPClient端訪問高防IPClient端本課件是可編輯的正常PPT課件DDoS高防應用場景DDoS高防服務的主要使用場景包括：娛樂（游戲）、金融、政府、電商、媒資、教育（在線）等行業：本課件是可編輯的正常PPT課件本章小節本章主要介紹鯤鵬云系統中關于DDoS防護服務技術，包括DDoS原生基礎防護、DDoS高級基礎防護以及DDoS高防。通過本章的學習，讀者將能夠深入了解鯤鵬云中常用的DDoS防護技術，掌握DDoS防護技術的構建和管理。這使得讀者在日常工作中能夠更熟練地確保云安全的落?實。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件主機安全服務實踐前言主機安全服務（HostSecurityService，HSS）是以工作負載為中心的安全產品，集成了主機安全、容器安全和網頁防篡改，旨在解決混合云、多云數據中心基礎架構中服務器工作負載的獨特保護要求。HSS不受地理位置影響，為主機、容器等提供統一的可視化和控制能力。HSS通過對主機、容器進行系統完整性的保護、應用程序控制、行為監控和基于主機的入侵防御等，保護工作負載免受攻擊。本單元主要介紹鯤鵬云系統的主機安全服務技術，以及主機安全服務技術的搭建和部署。本課件是可編輯的正常PPT課件目標了解企業主機安全防護知識和原理；了解容器安全知識和原理；了解網頁防篡改的知識和原?理。本課件是可編輯的正常PPT課件010203主機安全容器安全網頁防篡改主機安全主機安全（HSS）主機安全服務是一個用于全面保障主機整體安全的服務，能幫助用戶高效管理主機的安全狀態，并構建服務器安全體系，降低當前服務器面臨的主要安全風險。HSS云端防護中心使用AI、機器學習和深度算法等技術分析主機中的各項安全分析。集成多種殺毒引擎、深度查殺主機中的惡意程序。Agent上報主機安全信息管理控制臺下發配置信息下發檢測任務Agent華為云Linux主機華為云Windows主機第三方云主機云下主機AgentAgentAgent下發配置信息上報主機安全信息本課件是可編輯的正常PPT課件主機安全防護的優勢集中管理網頁防篡改輕量Agent全面防護全面防護提供事前預防、事中防御、事后檢測的全面防護，全面降低入侵風險。

集中管理

實現檢測和防護的一體化管控，降低管理的難度和復雜度。輕量AgentAgent占用資源極少，不影響主機系統的正常運行。網頁防篡改使用第三代網頁防篡改技術，內核級事件觸發技術，鎖定用戶目錄下的文件后，有效阻止非法篡改行為。本課件是可編輯的正常PPT課件主機安全工作原理主機安全是提升主機整體安全性的服務，通過主機管理、風險預防、入侵檢測、高級防御、安全運營、網頁防篡改功能，全面識別并管理主機中的信息資產，實時監測主機中的風險并阻止非法入侵行為，幫助企業構建服務器安全體系，降低當前服務器面臨的主要安全風險。本課件是可編輯的正常PPT課件主機安全的應用場景主機安全是等保合規的關鍵項，主機安全服務提供的入侵檢測功能，能協助各企業保護企業云服務器賬戶、系統的安全。主機安全服務提供統一的主機安全管理能力，幫助用戶更方便地管理云服務器的安全配置和安全事件，降低安全風險和管理成本。對主機系統進行安全評估，將系統存在的各種風險（賬戶、端口、軟件漏洞、弱口令等）進行展示，提示用戶及時加固，消除安全隱患。提供覆蓋事前、事中和事后的賬戶安全保護功能。支持雙因子認證登錄，防止用戶云服務器上的賬戶遭受暴力破解攻擊，提高云服務器的安全性。等保合規統一安全管理安全風險評估賬戶安全保護通過清點主機安全資產，管理主機漏洞與不安全配置，預防安全風險；通過網絡、應用、文件主動防護引擎主動防御安全風險。提供主機全攻擊路徑檢測能力，能夠實時、準確地感知黑客入侵事件，并提供入侵事件的響應手段，對業務系統“零”影響，有效應對APT攻擊等高級威脅。主動安全防御黑客入侵檢測本課件是可編輯的正常PPT課件容器安全容器安全服務（CGS）容器安全服務（ContainerGuardService，CGS）能夠掃描鏡像中的漏洞與配置信息，幫助企業解決傳統安全軟件無法感知容器環境的問題；同時提供容器進程白名單、文件只讀保護和容器逃逸檢測功能，有效防止容器運行時安全風險事件的發生。本課件是可編輯的正常PPT課件容器安全的優勢統一安全管理:統一管理CCE集群中所有節點上運行的容器與鏡像的安全狀態豐富漏洞庫:漏洞庫包含豐富的100,000+漏洞，能夠有效檢測容器鏡像漏洞輕量Agent:客戶端以容器方式運行，系統資源的占用率極低，正常僅1%，峰值不超過5%容器防逃逸:內置10大類，100小類容器逃逸行為規則，有效檢測容器逃逸滿足等保安全合規:滿足等保安全合規入侵防范條款和惡意代碼防范條款本課件是可編輯的正常PPT課件容器安全的應用場景外界鏡像容易存在漏洞，可以使用容器安全服務與對鏡像倉庫、運行鏡像和Docker官方鏡像進行漏洞掃描，惡意文件掃描，基線檢查等操作，CGS提供漏洞修復建議。通常容器的行為是固定不變的，容器安全服務可幫助企業制定容器行為的白名單，確保容器以最小權限運行，有效阻止容器安全風險事件的發生。容器鏡像安全容器運行時安全滿足等保合規容器安全服務的核心功能能夠滿足入侵防范與惡意代碼防范等保條款，購買容器安全服務，可以幫助容器化部署的客戶通過等保測評。Images本課件是可編輯的正常PPT課件網頁防篡改網頁防篡改網頁防篡改可實時監控網站目錄，并通過備份恢復被篡改的文件或目錄，保障重要系統的網站信息不被惡意篡改，從而保護網站的網頁、電子文檔、圖片等文件不被黑客篡改和破壞。本課件是可編輯的正常PPT課件本章小節本單元主要介紹鯤鵬云系統的主機安全服務技術，包括主機安全、容器安全和網頁安全等。通過本單元的學習，讀者將能夠深入了解鯤鵬云中常用的主機安全服務技術，掌握主機安全服務技術的搭建和部署。這使得讀者能方便地管理主機、容器的安全風險，實時發現勒索、挖礦、滲透、逃逸等入侵行為，是等保合規、護網、重保必備服?務。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件數據加密服務實踐前言數據加密服務（DataEncryptionWorkshop）是一個綜合的云上數據加密服務。它可以提供專屬加密、密鑰管理、密鑰對管理、憑據管理功能。其密鑰由硬件安全模塊（HSM）保護，并與許多鯤鵬云服務集成。本單元主要介紹鯤鵬云系統的數據加密服務技術和數據加密服務的配置和使用。本課件是可編輯的正常PPT課件目標了解數據加密的原理；了解密鑰管理、云憑據管理和密鑰對管理的原理；了解專屬加密的知識和原?理。本課件是可編輯的正常PPT課件010203數據加密服務密鑰管理服務云憑據管理服務04專屬加密05密鑰對管理服務數據加密服務數據加密數據是企業的核心資產，每個企業都有自己的核心敏感數據。這些數據都需要被加密，從而保護它們不會被他人竊取。數據加密服務（DataEncryptionWorkshop,DEW）是一個綜合的云上數據加密服務。它提供密鑰管理（KMS）、憑據管理（CSMS）、密鑰對管理（KPS）、專屬加密(DHSM）四個微服務。本課件是可編輯的正常PPT課件數據加密服務的基本術語概念名稱定義硬件安全模塊（HardwareSecurityModule，HSM）硬件安全模塊是一種用于保護和管理強認證系統所使用的密鑰同時提供相關密碼學操作的計算機硬件設備用戶主密鑰（CustomerMasterKey，CMK）用戶主密鑰是用戶或云服務通過密鑰管理創建的密鑰，是一種密鑰加密密鑰，主要用于加密并保護數據加密密鑰；一個用戶主密鑰可以加密多個數據加密密鑰；用戶主密鑰分為自定義密鑰和默認主密鑰默認主密鑰（DefaultMasterKey）默認主密鑰是對象存儲服務（ObjectStorageService，OBS）等其他云服務自動通過密鑰管理為用戶創建的用戶主密鑰，其別名后綴為“/default”密鑰材料（KeyMaterial）密鑰材料是密碼運算操作的重要輸入之一，與密鑰ID、基本元數據共同組成用戶主密鑰（CustomerMasterKey，CMK）信封加密（EnvelopeEncryption）信封加密是一種加密手段，將加密數據的數據密鑰封入信封中存儲、傳遞和使用，不再使用用戶主密鑰直接加解密數據數據加密密鑰（DataEncryptKey，DEK）數據加密密鑰是用于加密數據的密鑰對稱密鑰加密對稱密鑰加密又稱專用密鑰加密；信息的發送方和接收方使用相同密鑰去加密和解密數據；優點：加密和解密速度快；缺點：每對密鑰需保持唯一性，所以用戶量大時密鑰管理困難；適用場景：加密大量數據非對稱密鑰加密非對稱密鑰加密又稱公開密鑰加密；它需要使用一對密鑰來分別完成加密和解密的操作，一個公開發布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰；優點：加密和解密使用密鑰不同，所以安全性高；缺點：加密和解密速度較慢；適用場景：對敏感信息加密密鑰對密鑰對是非對稱密鑰中的一個公鑰和對應的私鑰，默認采用RSA_2048位的加密方式私有密鑰對私有密鑰對是僅支持當前賬號查看或使用的密鑰對賬號密鑰對賬號密鑰對是支持本賬號下所有用戶查看或使用的密鑰對國密國密即國家密碼局認定的國產密碼算法；其中包括對稱加密算法、橢圓曲線非對稱加密算法、摘要算法；國密算法包括SM2、SM4等；SM1為對稱加密算法，加密強度為128位，采用硬件實現；SM2為非對稱加密算法，其加密強度為256位；SM3為密碼摘要算法，消息分組長度為512位，摘要值長度為256位；SM4為對稱加密算法，加密強度為128位本課件是可編輯的正常PPT課件密鑰管理服務密鑰管理服務（KMS）密鑰管理，即密鑰管理服務（KeyManagementService,KMS），是一種安全、可靠、簡單易用的密鑰托管服務，幫助用戶輕松創建和管理密鑰，保護密鑰的安?全。KMS通過使用硬件安全模塊HSM（HardwareSecurityModule,HSM）保護密鑰的安全，所有的用戶密鑰都由HSM中的根密鑰保護，避免密鑰泄?露。KMS對密鑰的所有操作都會進行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足審計和合規性要?求。密鑰加密數據密鑰1用戶主密鑰1數據密鑰2數據密鑰3數據密鑰4數據加密IMSOBSEVSVBS用戶主密鑰2用戶主密鑰3用戶主密鑰4密鑰管理KMS集成云服務，海量密鑰分發、管理本課件是可編輯的正常PPT課件密鑰管理服務的優勢服務集成廣泛與OBS、EVS、IMS等服務集成，用戶可以通過KMS管理這些服務的密鑰，還可以通過KMSAPI完成用戶本地數據的加解密。與CTS服務集成，用戶可以通過CTS服務查看近期KMS的操作記錄。合規遵循密鑰由經過安全認證的第三方硬件安全模塊（HSM）產生，對密鑰的關鍵操作都會進行訪問控制及日志跟蹤，符合中國和國際法律合規的要求。高易用性無需購買硬件加密設備，通過控制臺或者API的方式實現密鑰易用、易管理。本課件是可編輯的正常PPT課件應用場景-小數據加解密當有少量數據（例如：密碼、證書、電話號碼等）需要加解密時，用戶可以通過KMS界面使用在線工具加解密數據，或者調用KMS的API接口使用指定的用戶主密鑰直接加密、解密數據。當前支持不大于4KB的小數據加解?密。以保護服務器HTTPS證書為例，采用調用KMS的API接口方式進行說明本課件是可編輯的正常PPT課件應用場景-大數據加解密當有大量數據（例如：照片、視頻或者數據庫文件等）需要加解密時，用戶可采用信封加密方式加解密數據，無須通過網絡傳輸大量數據即可完成數據加解密。加密本地文件：解密本地文件：本課件是可編輯的正常PPT課件云憑據管理服務憑據管理（CSMS）適用場景傳統方法CSMS憑據統一管理敏感信息分散，管理混亂可對敏感憑據進行統一的存儲、檢索、使用等全生命周期管控，可靠性高憑據安全檢索訪問數據或服務時需校驗身份，常明文寫在配置文件中，安全性低可通過API調用的方法查詢動態憑據，不含敏感信息，安全性高輪換憑據和密鑰相關應用均需更新，容易遺漏，造成業務中斷通過多版本管理，直接調用API/SDK實現應用層憑據輪換，效率高對敏感憑據的全生命周期和統一管理User瀏覽器APP其他ClientKMSHSMCSMS憑據加密存儲保護。憑據查詢通過API，降低暴露風險。憑據和加密密鑰雙重輪換，提高安全性。降低密鑰暴露機會是一種重要的安全思想。CSMS實現敏感憑據全生命周期管理，降低暴露機會，CSMS與傳統密鑰管理的區別有：本課件是可編輯的正常PPT課件憑據管理的優勢憑據加密保護:憑據通過集成KMS進行加密存儲，加密密鑰基于第三方認證的硬件安全模塊（HSM）來

生成和保護。憑據檢索時，通過TLS安全傳輸到服務器本地。憑據安全檢索:使用CSMS服務，將應用程序代碼中的硬編碼憑據替換為對憑據的API調用，以便以編程

方式動態檢索和管理憑據，實現憑據安全管理。同時對分散在各個應用程序中的敏感

憑據統一集中管理，降低暴露風險。憑據集中管控:與IAM集成，通過身份、權限管理確保只有授權用戶可以檢索或修改憑據，與CTS集成，

持續監控對憑據的操作訪問。有效防范對敏感信息的非法訪問和泄漏。憑據變更通知:通過與SMN服務集成，憑據基礎事件變化及時通知，并通過函數工作流服務

(FunctionGraph)配置函數，實現憑據自動更新或輪轉等功能。憑據安全調用:與CCE集成，通過CCE插件允許用戶將憑據掛載至業務Pod內，從而將敏感信息與集群環

境解耦，有效避免程序硬編碼或明文配置等問題導致的敏感信息泄密。本課件是可編輯的正常PPT課件憑據管理的應用場景以數據庫用戶名及密碼管理為示例：①首先需要在憑據管理服務中使用控制臺或者API創建一個憑據，用來存儲數據庫的相關信息（例如：數據庫地址、端口、密碼）。②當用戶使用應用程序訪問數據庫時，憑據管理服務會去查詢步驟1所創建的憑據存儲的內?容。③憑據管理服務檢索并解密憑據密文，將憑據中保存的信息通過憑據管理API安全地返回到應用程序?中。④應用程序獲取到解密后的憑據明文信息，使用這些安全的信息訪問數據?庫。本課件是可編輯的正常PPT課件密鑰對管理服務密鑰對管理服務（KPS）密鑰對管理（KeyPairService，簡稱KPS）是一種安全、可靠、簡單易用SSH密鑰對托管服務，可以幫助用戶集中管理SSH密鑰對，保護SSH密鑰對的安全。ECS用戶自帶私鑰KPS公鑰驗證密鑰對管理KPS用戶自帶私鑰登錄，避免口令破解密鑰對登錄ECS，方便私密。本地私鑰可托管，防止丟失。密鑰對可重置、替換，安全性更高。KPS利用HSM產生的硬件真隨機數來生成密鑰對，并提供了一套完善和可靠的密鑰對的管理方案，解決弱口令爆破問題、消減私鑰失竊威脅、防撞庫。KPS可幫助用戶輕松創建、導入和管理SSH密鑰對。生成的SSH密鑰對的公鑰文件均保存在華為云中，私鑰文件由用戶自己下載保存在本地，保障了SSH密鑰對的私有性和安全性。ECSCCSBMSRDSworkspace私鑰盜取弱口令爆破KMS/KPScredvaultpwd直接使用本地靜態存儲的私鑰/口令登錄1私鑰/口令動態獲取2私鑰登錄2口令登錄口令竊聽動態獲取云上私鑰/口令后登錄本課件是可編輯的正常PPT課件密鑰對管理服務的優勢登錄安全增強合規遵循無需密碼登錄到Linux云服務器，可以有效防止密碼被攔截、破解造成的賬戶密碼泄露，從而提高Linux云服務器的安全性。隨機數由經過安全認證的第三方硬件安全模塊（HSM）產生，對密鑰對的所有操作都會進行訪問控制及日志跟蹤，符合中國和國際法律合規的要求。本課件是可編輯的正常PPT課件密鑰對管理服務的應用場景①登錄Linux操作系統的彈性云服務器若用戶購買的是Linux操作系統的彈性云服務器，可以選擇“密鑰對方式”登錄。購買彈性云服務器時，可供選擇的密鑰對包含以下兩?種。用戶通過云服務器控制臺界面創建或者導入密鑰?對。用戶通過KPS界面創建或者導入密鑰?對。兩種密鑰對沒有區別，只是導入的渠道不?同。②獲取Windows操作系統彈性云服務器的登錄密碼若用戶購買的是Windows操作系統的彈性云服務器，需要使用密鑰對的私鑰獲取登錄密碼。購買彈性云服務器時，可供選擇的密鑰對包含以下兩種：用戶通過云服務器控制臺界面創建或者導入密鑰?對。用戶通過KPS界面創建或者導入密鑰?對。兩種密鑰對沒有區別，只是導入的渠道不?同。用戶在購買彈性云服務器（ElasticCloudServer，ECS）時，選擇KPS提供的SSH密鑰對對登錄彈性云服務器的用戶進行身份認證，或者通過提供的密鑰對獲取Windows操作系統彈性云服務器的登錄密?碼。本課件是可編輯的正常PPT課件專屬加密專屬加密（HSM）專屬加密（DedicatedHardwareSecurityModule，DedicatedHSM）是一種云上數據加密的服務，可處理加解密、簽名、驗簽、產生密鑰和密鑰安全存儲等操?作。DedicatedHSM為用戶提供經國家密碼管理局檢測認證的加密硬件，幫助用戶保護彈性云服務器上數據的安全性與完整性，滿足FIPS140-2安全要求。同時，用戶能夠對專屬加密實例生成的密鑰進行安全可靠的管理，也能使用多種加密算法來對數據進行可靠的加解密運?算。生成、存儲、導入、導出和管理加密密鑰（包括對稱密鑰和非對稱密鑰）。使用對稱和非對稱算法加密和解密數據。使用加密哈希函數計算消息摘要和基于哈希的消息身份驗證代碼。對數據進行加密簽名（包括代碼簽名）并驗證簽名。以加密方式生成安全隨機數據。DedicatedHSM提供的功能本課件是可編輯的正常PPT課件專屬加密的優勢云上使用DedicatedHSM旨在滿足用戶將線下加密設備能力轉移到云上的要求，降低運維成本。安全合規DedicatedHSM為您提供經國家密碼管理局檢測認證的專屬加密實例，幫助您保護彈性云服務器上數據的安全性和隱私性要求，滿足監管合規要求。權限認證敏感指令支持分類授權控制，有效防止越權行為。支持用戶名口令認證、數字證書認證等多種權限認證方式。彈性擴容靈活調整專屬加密的數量，滿足不同業務的加解密運算要求。安全管理專屬加密實例設備管理與內容（敏感信息）管理權限分離可靠性基于國家密碼局認證或FIPS140-2第3級驗證的硬件加密機，對高安全性要求的用戶提供高性能專屬加密服務。應用廣泛DedicatedHSM可提供認證合規的金融加密機、服務器加密機以及簽名驗簽服務器等，靈活支撐用戶業務場景。本課件是可編輯的正常PPT課件應用場景-敏感數據加密應用領域：政府公共事業、互聯網企業、包含大量敏感信息的系統應?用。數據是企業的核心資產，每個企業都有自己的核心敏感數據。通過專屬加密服務對敏感數據進行完整性校驗和加密存儲，有效防止敏感數據被竊取、篡改，權限被非法獲?取。本課件是可編輯的正常PPT課件應用場景-金融支付應用領域：交通卡支付、電商支付、各種預付費卡支付等系統應?用。保證支付數據在傳輸和存儲過程中的完整性、保密性和支付身份的認證、支付過程的不可否認?性。本課件是可編輯的正常PPT課件應用場景-驗偽應用領域：交通、制造、醫?療。保證電子合同、電子發票、電子保單、電子病例在傳輸、存儲過程中的保密性和完整?性。本課件是可編輯的正常PPT課件應用場景-視頻監控應用領域：平安城市，智慧園區保證視頻、人臉、車輛、軌跡等隱私信息，以及個人數據在存儲過程中的保密性，防止數據泄?露。本課件是可編輯的正常PPT課件本章小節本單元主要介紹鯤鵬云系統的數據加密服務技術，包括數據加密、密鑰管理、云憑據管理、密鑰管理、專屬加密等。通過本單元的學習，讀者將能夠深入了解鯤鵬云中常用的數據加密技術，掌握數據加密服務的配置和使用。這使得讀者可以借此服務開發自己的加密應?用。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件數據庫安全審計實踐前言數據庫安全服務（DatabaseSecurityService，DBSS）是一個智能的數據庫安全服務，基于機器學習機制和大數據分析技術，提供數據庫審計，SQL注入攻擊檢測，風險操作識別等功能，保障云上數據庫的安全。本單元主要介紹鯤鵬云系統的數據庫安全審計，學習數據庫安全審計的配置和使用。本課件是可編輯的正常PPT課件目標了解數據庫安全審計的概念和原理；了解數據庫安全審計的功能特性和產品優勢；了解數據庫安全審計的部署架構。本課件是可編輯的正常PPT課件010203數據庫安全服務部署架構與安全個人數據保護機制04DBSS權限管理數據庫安全服務數據庫安全服務數據庫安全服務（DatabaseSecurityService，DBSS）是一個智能的數據庫安全服務，基于機器學習機制和大數據分析技術，提供數據庫審計，SQL注入攻擊檢測，風險操作識別等功能，保障云上數據庫的安全。數據庫入侵防御：實時阻斷SQL注入攻擊等；細粒度訪問控制：基于角色、最小化權限；學習模式：通過自我學習，生成安全模式，可應用到防火墻策略。數據庫防火墻敏感數據自動發現：根據合規要求自動發現敏感數據，一鍵生成脫敏規則；動態脫敏：不修改原始數據，可對列脫敏；多種脫敏規則：郵箱脫敏、字符串脫敏等。授權用戶敏感數據發現和脫敏DBSS查詢生日查詢生日xxxxxxx未授權用戶正常用戶攻擊者DBSSRDSECS自建數據庫正常請求數據庫攻擊攔截數據庫RDSECS自建數據庫數據庫19900808非脫敏查詢xxxxxxxx脫敏查詢19900808活動及異常監控：列表級管理活動和訪問活動監控，行為/登錄/訪問異常監控；實時告警：SQL注入等實時告警；審計報告：可生成合規審計報告。用戶1數據庫審計DBSS查詢刪除用戶2RDSECS自建數據庫數據庫用戶3修改遠端日志存儲查詢操作修改操作刪除操作本課件是可編輯的正常PPT課件數據庫安全服務功能特性數據庫安全審計提供用戶行為發現審計、多維度分析、實時告警和報表功能。關聯應用層和數據庫層的訪問操作；提供內置或自定義隱私數據保護規則，防止審計日志中的隱私數據（例如，賬號密碼）在控制臺上以明文顯?示。用戶行為發現審計風險操作支持通過操作類型、操作對象、風險等級等多種元素細粒度定義要求監控的風險操作行為；數據庫安全審計提供SQL注入庫，可以基于SQL命令特征或風險等級，發現數據庫異常行為立即告警；當系統資源（CPU、內存和磁盤）占用率達到設置的告警閾值時立即告?警。風險操作、SQL注入實時告警行為線索支持審計時長、語句總量、風險總量、風險分布、會話統計、SQL分布等多維度的快速分析；會話線索支持根據時間、數據庫用戶、客戶端等多角度進行分析；語句線索提供時間、風險等級、數據用戶、客戶端IP、數據庫IP、操作類型、規則等多種語句搜索條?件。多維度線索分析會話行為提供客戶端和數據庫用戶會話分析報表；風險操作提供風險分布情況分析報表；合規報表提供滿足數據安全標準（例如Sarbanes-Oxley）的合規報?告。針對各種異常行為提供精細化報表功能特性

本課件是可編輯的正常PPT課件數據庫安全服務的優勢采用數據庫旁路部署方式，操作簡單，快速上?手。支持對華為云上的RDS、ECS/BMS自建的數據庫進行審?計。實現99%+的應用關聯審計、完整的SQL解析、精確的協議分?析。每秒萬次入庫、海量存儲、億級數據秒級響?應。部署簡單全量審計快速識別高效分析滿足等保三級數據庫審計需求；滿足網安法，SOX等國內外法?案。系統管理員，安全管理員，審計管理員權限分離，滿足審計安全需?求。多種合規“三權分立”本課件是可編輯的正常PPT課件部署架構與安全數據庫安全審計Agent部署架構數據庫安全審計采用數據庫旁路部署方式，支持對華為云上的關系型數據庫服務、彈性云服務器/裸金屬服務器自建的數據庫進行審計。數據庫安全審計的Agent部署說明：ECS/BMS自建數據庫：在數據庫端部署Agent；RDS關系型數據庫：在應用端或代理端部署Agent。本課件是可編輯的正常PPT課件安全審計與日?志服務韌性監控安全風險認證證書數據保護技術身份認證與訪問控?制資產識別與管理責任共擔本課件是可編輯的正常PPT課件個人數據保護機制個人數據保護機制為了確保網站訪問者的個人數據（例如用戶名、密碼、手機號碼等）不被未經過認證、授權的實體或者個人獲取，DBSS通過控制個人數據訪問權限以及記錄操作日志等方法防止個人數據泄露，保證用戶的個人數據安?全。擁有“DBSSSystemAdministrator”權限的用戶才可以設置郵箱通知，且用戶只能查看自己業務的郵箱信?息。類型收集方式存儲方式是否可以修改是否必須用戶名在登錄管理臺時，由用戶在登錄界面輸入不屬于敏感數據，明文存?儲否是，用戶名是用戶的身份標識信息郵箱在數據庫安全審計設置郵件通知時，由用戶在界面輸入加密存?儲是否本課件是可編輯的正常PPT課件DBSS權限管理DBSS權限管理如果需要對華為云上購買的DBSS資源，為企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，可以使用統一身份認證服務（IdentityandAccessManagement，IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助用戶安全地控制華為云資源的訪?問。通過IAM，用戶可以在華為云賬號中給員工創建IAM用戶，并授權控制員工對華為云資源的訪問范圍。例如用戶的員工中有負責軟件開發的人員，該用戶希望這些員工擁有DBSS的使用權限，但是不希望這些員工擁有刪除DBSS等高危操作的權限，那么可以使用IAM為開發人員創建用戶，通過授予僅能使用DBSS，但是不允許刪除DBSS的權限，控制員工對DBSS資源的使用范?圍。IAM是華為云提供權限管理的基礎服務，無須付費即可使用，只需要為賬號中的資源進行付?費。本課件是可編輯的正常PPT課件DBSS權限默認情況下，管理員創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操?作。角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于華為云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。權限根據授權精細程度分為角色和策略策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。多數細粒度策略以API接口為粒度進行權限拆分，權限的最小粒度為API授權項（action），DBSS支持的API授權項請參見策略支持的授權項。本課件是可編輯的正常PPT課件本章小節本單元主要介紹鯤鵬云系統的數據庫安全服務，包括數據庫安全概念，特點，部署架構等。通過本單元的學習，讀者將能夠深入了解鯤鵬云的數據庫安全技術，掌握數據庫安全服務的配置和使用。這使得讀者可以借此服務保障云上數據庫的安?全。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件Web應用防火墻服務實踐前言Web應用防火墻（WebApplicationFirewall，WAF）是一種用于保護Web應用程序的安全設備，其主要功能是檢測和過濾Web應用程序中的惡意請求。Web應用防火墻可以通過檢查HTTP請求的內容、參數、請求方法、頭部信息等多個方面來識別和攔截各種攻擊如SQL注入、跨站點腳本（XSS）、跨站點請求偽造（CSRF）、文件包含攻擊等。Web應用防火墻可以分為軟件型和硬件型兩種，軟件型一般以插件形式集成到Web服務器中，硬件型則通常獨立于Web服務器，作為獨立的設備運行。Web應用防火墻的優點在于其不需要對Web應用程序進行任何修改，即可提供有效的安全保護，同時Web應用防火墻可以高度定制化，能夠根據特定的應用程序進行優化。本章主要介紹Web應用防火墻防護原理、功能特性以及Web應用防火墻的安全防護實踐。通過本單元的學習，讀者將能夠深入了解鯤鵬云中常用的Web應用防火墻，掌握Web應用防火墻的構建和管理。這使得讀者在日常工作中能夠更熟練地確保云安全的落?實。本課件是可編輯的正常PPT課件目標了解Web應用防火墻的架構和原理；了解Web應用防火墻的功能特性；了解Web應用防火墻個人數據保護機?制。本課件是可編輯的正常PPT課件010203Web應用防火墻防護原理功能特性04個人數據保護機制與安全Web應用防火墻Web應用防火墻Web應用防火墻（WebApplicationFirewall，WAF），通過對HTTP(S）請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護Web服務安全穩?定。購買Web應用防火墻后，在WAF管理控制臺將網站添加并接入WAF，即可啟用Web應用防火墻。啟用之后，網站所有的公網流量都會先經過Web應用防火墻，惡意攻擊流量在Web應用防火墻上被檢測過濾，而正常流量返回給源站IP，從而確保源站IP安全、穩定、可?用。本課件是可編輯的正常PPT課件Web應用防火墻的優勢Web應用防火墻對網站業務流量進行多維度檢測和防護，降低數據被篡改、失竊的風險。0day漏洞快速修復助力企業安全合規保護用戶數據隱私精準高效的威脅檢測精準高效的威脅檢測采用規則和AI雙引擎架構，默認集成最新的防護規則和優秀實踐。企業級用戶策略定制，支持攔截頁面自定義、多條件的CC防護策略配置、海量IP黑名單等，使網站防護更精準。0day漏洞快速修復

專業安全團隊7*24小時運營，實現緊急0day漏洞2小時內修復完成，幫助用戶快速抵御最新威脅。保護用戶數據隱私支持用戶對攻擊日志中的賬號、密碼等敏感信息進行脫敏。支持PCI-DSS標準的SSL安全配置。支持TLS協議版本和加密套件的配置。助力企業安全合規幫助企業滿足等保測評、PCI-DSS等安全標準的技術要求。本課件是可編輯的正常PPT課件WAF與CFW的區別類別云防火墻Web應用防火墻防護機制云原生SaaS服務，可以對公網資產、內部資產自動安全盤點網站成功接入WAF后，WAF作為一個反向代理存在于客戶端和服務器之間，網站所有訪問請求將先流轉到WAF，WAF檢測過濾惡意攻擊流量后，將正常流量返回給源站，從而確保源站安全、穩定、可用防護對象互聯網邊界和VPC邊界域名或IP，華為云、非華為云或云下的Web業務功能特性對已開放公網訪問的服務資產進行安全盤點，進行實時入侵檢測與防御基于域名的訪問控制，可對主動外聯行為進行精準管控VPC間流量全局統一訪問控制，全流量分析可視化，日志審計與溯源分析網站SQL注入、跨站腳本攻擊、網頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊防護本課件是可編輯的正常PPT課件WAF適用場景常規防護防護常見的Web安全問題，比如命令注入、敏感文件訪問等高危攻擊。電商搶購秒殺防護當業務舉辦定時搶購秒殺活動時，業務接口可能在短時間承擔大量的惡意請求。WAF可以靈活設置CC攻擊防護的限速策略，能夠保證業務服務不會因大量的并發訪問而崩潰，同時盡可能地給正常用戶提供業務服務。0Day漏洞爆發防范當第三方Web框架、插件爆出高危漏洞，業務無法快速升級修復，WAF會第一時間升級預置防護規則，保障業務安全穩定。防數據泄露惡意訪問者通過SQL注入，網頁木馬等攻擊手段，入侵網站數據庫，竊取業務數據或其他敏感信息。用戶可通過WAF配置防數據泄露規則，精準識別采用語義分析+正則表達式雙引擎，對流量進行多維度精確檢測，精準識別攻擊流量。防網頁篡改攻擊者利用黑客技術，在網站服務器上留下后門或篡改網頁內容，造成經濟損失或帶來負面影響。用戶可通過WAF配置網頁防篡改規則，檢測惡意代碼，保護網站訪問者安全。Web應用的威脅：√其他類型的威脅：×本課件是可編輯的正常PPT課件云上架構中的應用安全防護產品VPC-1Region-1ECS-1Subnet-B：業務層ECS-NSubnet-C：數據層RDSDCSInternetCBHELB運維ECS-1ECS-NSubnet-A：DMZ區Subnet-D：O&M區WAFECS-2ECS-2本課件是可編輯的正常PPT課件防護原理云模式-CNAME接入、獨享模式接入通過WAF云模式-CNAME接入或者獨享模式將網站添加并接入WAF后，網站所有訪問請求將先流轉到WAF，WAF檢測過濾惡意攻擊流量后，將正常流量返回給源站，從而確保源站安全、穩定、可用。流量經WAF返回源站的過程稱為回源。WAF通過回源IP代替客戶端發送請求到源站服務器，接入WAF后，在客戶端看來，所有的目標IP都是WAF的IP，從而隱藏源站IP。本課件是可編輯的正常PPT課件云模式-ELB接入通過云模式-ELB接入的方式將網站接入WAF防護。本課件是可編輯的正常PPT課件功能特性Web應用防火墻的功能特性功能功能說明Web基礎防護覆蓋OWASP（OpenWebApplicationSecurityProject，OWASP）TOP10中常見安全威脅，通過預置豐富的信譽庫，對惡意掃描器、IP、網馬等威脅進行檢測和攔?截。CC攻擊防護根據業務需要，配置防護動作和返回頁面內容，有效緩解CC攻擊（HTTPFlood）帶來的業務影響。IPv6防護針對仍然使用IPv4協議棧的Web業務，Web應用防火墻支持NAT64機制（NAT64是一種通過網絡地址轉換（NAT）形式促成IPv6與IPv4主機間通信的IPv6轉換機制），即WAF可以將IPv4源站轉化成IPv6網站，將外部IPv6訪問流量轉化成對內的Ipv4流?量。支持防護非標準端口Web應用防火墻除了可以防護標準的80，443端口外，還支持非標準端口188個。精準訪問防護基于豐富的字段和邏輯條件組合，打造強大的精準訪問控制策?略。掃描器爬蟲防護自定義掃描器與爬蟲規則，用于阻斷非授權的網頁爬取行為，添加定制的惡意爬蟲、掃描器特征，使爬蟲防護更精?準。黑白名單設置添加始終攔截與始終放行的黑白名單IP，增加防御準確?性。地理位置訪問控制可以針對地理位置來源IP進行自定義訪問控?制。網頁防篡改對網站的靜態網頁進行緩存配置，當用戶訪問時返回給用戶緩存的正常頁面，并隨機檢測網頁是否被篡?改。網站反爬蟲動態分析網站業務模型，結合人機識別技術和數據風控手段，精準識別爬蟲行?為。誤報屏蔽針對特定請求忽略某些攻擊檢測規則，用于處理誤報事?件。隱私屏蔽避免在防護事件日志中，出現用戶名或者密碼等敏感信?息。防敏感信息泄露防止在頁面中泄露用戶的敏感信息，例如用戶的身份證號碼、手機號碼、電子郵箱?等。告警通知通過Web應用防火墻服務對攻擊日志進行通知設置。開啟告警通知后，Web應用防火墻將僅記錄和攔截的攻擊日志通過用戶設置的郵箱發送給用?戶。本課件是可編輯的正常PPT課件個人數據保護機制與安全個人數據保護機制與安全為了確保網站訪問者的個人數據（例如用戶名、密碼、手機號碼等）不被未經過認證、授權的實體或者個人獲取，WAF通過加密存儲個人數據、控制個人數據訪問權限以及記錄操作日志等方法防止個人數據泄露，保證用戶的個人數據安?全。對敏感字段提供了脫敏配置，其他字段在日志中明文保?存，且用戶只能查看自己業務的相關日?志。類型收集方式是否可以修改是否必須請求源IP攻擊防護域名時，被WAF攔截或者記錄的攻擊者IP否是URL攻擊的防護域名的URL，被WAF攔截或者記錄的防護域名的URL否是HTTP/HTTPSHeader信息（包括Cookie）用戶在配置CC攻擊、精準訪問防護規則時，在配置界面輸入的Cookie值和Header值否否，如果配置的Cookie和Header信息不含有用戶的個人信息，則WAF記錄的相關請求中不會收集及產生用戶的個人數據請求參數（Get、Post）防護日志里，WAF記錄的請求詳情否否，如果請求參數里不含有用戶的個人信息，則WAF記錄的相關請求中不會收集及產生用戶的個人數據本課件是可編輯的正常PPT課件本章小節Web應用防火墻（WAF）是一種針對Web應用程序的安全解決方案，它通過對HTTP/HTTPS請求進行檢測和過濾，識別并阻斷多種攻擊行為，如SQL注入、跨站腳本攻擊、CC攻擊等，從而保護Web服務的安全穩定。WAF的使用可以有效地降低Web應用被攻擊的風險，維護網站的正常運營。WAF具有多項功能特性，如Web基礎防護、CC攻擊防護、IPv6防護、黑白名單設置、精準訪問防護、掃描器爬蟲防護等，同時支持非標準端口防護和地理位置訪問控制等功能。此外，WAF還提供個人數據保護機制與安全，通過加密存儲、權限控制和操作日志等方式，保證用戶的個人數據安全。總的來說，WAF是一種非常有效的Web應用程序安全解決方案，它提供了多項功能特性和個人數據保護機制，可以幫助網站維護正常運營，減少被攻擊的風險。本課件是可編輯的正常PPT課件本課件是可編輯的正常PPT課件漏洞管理服務實踐前言漏洞管理服務，它是一種用于檢測和評估系統中存在的漏洞的安全解決方案，通過對系統進行全面掃描和分析，它能夠檢測操作系統、應用程序和網絡設備等的漏洞、配置錯誤和密碼弱點等問題，并生成詳細的漏洞報告，幫助組織及時采取措施修復這些漏洞，從而提高系統的安全性。它具有漏洞檢測、安全報告、自動化掃描、合規支持和可定制性等功能特性，適用于各種類型的信息系統環境。通過學習本章，讀者將了解到漏洞管理服務的基本原理和工作流程，掌握漏洞管理服務的功能特性和報告功能，以及了解使用漏洞管理服務的優勢和價值。這使得讀者在日常工作中能夠更熟練地確保云安全的落?實。本課件是可編輯的正常PPT課件目標1.了解漏洞管理服務的架構和原理；2.了解漏洞管理服務的功能特性；3.了解漏洞管理服務個人數據保護機?制。本課件是可編輯的正常PPT課件010203漏洞管理服務功能特性個人數據保護機制漏洞管理服務漏洞管理服務漏洞管理服務是針對網站、主機、移動應用、軟件包/固件進行漏洞掃描的一種安全檢測服務，目前提供通用漏洞檢測、漏洞