一、運(yùn)維目標(biāo)

信息化系統(tǒng)的建設(shè)是一個(gè)長期、復(fù)雜、規(guī)模大的系統(tǒng)工程，項(xiàng)目維護(hù)是整個(gè)項(xiàng)目實(shí)施的重要組成部分，因其重要地位，秉持嚴(yán)格要求的態(tài)度，實(shí)行科學(xué)的管理，強(qiáng)化運(yùn)維信息安全管理，防范計(jì)算機(jī)信息技術(shù)風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，提供符合要求的維護(hù)工作以及用戶滿意程度實(shí)行定期跟蹤，確保達(dá)到以下運(yùn)維服務(wù)目標(biāo)：所有維護(hù)工作、系統(tǒng)及數(shù)據(jù)日常檢測工作合格率達(dá)標(biāo)；本項(xiàng)目運(yùn)維服務(wù)范圍主要是針對本信息化建設(shè)項(xiàng)目涉及日常維護(hù)、定期巡檢、優(yōu)化系統(tǒng)、功能維護(hù)及項(xiàng)目變更等。特制定本管理規(guī)范與標(biāo)準(zhǔn)。

二、基本規(guī)定

2.1 適用范圍

本辦法適用于云平臺系統(tǒng)運(yùn)維管理、安全管理、權(quán)限管理、費(fèi)用管理、變更管理等。

2.2 基本定義

云平臺運(yùn)維是指對云計(jì)算平臺進(jìn)行管理和維護(hù)的過程。云計(jì)算平臺是一種基于互聯(lián)網(wǎng)的計(jì)算服務(wù)模式，它將計(jì)算資源如服務(wù)器、存儲、網(wǎng)絡(luò)、應(yīng)用程序等通過網(wǎng)絡(luò)提供給用戶使用。云平臺運(yùn)維包括對云計(jì)算平臺硬件、軟件、網(wǎng)絡(luò)和安全等方面的監(jiān)控、維護(hù)、優(yōu)化和升級，以確保云平臺的高可用性、穩(wěn)定性和安全性。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計(jì)算平臺已經(jīng)成為企業(yè)IT架構(gòu)轉(zhuǎn)型的重要組成部分。云平臺運(yùn)維的重要性也日益凸顯。云平臺運(yùn)維的主要職責(zé)包括但不限于以下內(nèi)容：

基礎(chǔ)設(shè)施維護(hù)：對云計(jì)算平臺的基礎(chǔ)設(shè)施進(jìn)行監(jiān)控、維護(hù)和更新，包括服務(wù)器、存儲服務(wù)、網(wǎng)絡(luò)服務(wù)等。

網(wǎng)絡(luò)維護(hù)：對云計(jì)算平臺的網(wǎng)絡(luò)進(jìn)行監(jiān)控、維護(hù)和優(yōu)化，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由、交換等。網(wǎng)絡(luò)故障可能會導(dǎo)致服務(wù)不可用，因此網(wǎng)絡(luò)維護(hù)也是云平臺運(yùn)維必須關(guān)注的方面。

安全維護(hù)：對云計(jì)算平臺的安全進(jìn)行監(jiān)控、維護(hù)和加固，包括防火墻、入侵檢測、漏洞掃描等。網(wǎng)絡(luò)安全是云平臺運(yùn)維最重要的方面之一，只有保證云平臺的安全，才能讓用戶放心使用。

備份與恢復(fù)：云資源的備份與恢復(fù)對于保證業(yè)務(wù)連續(xù)性，提高數(shù)據(jù)可靠性，簡化備份管理，改善恢復(fù)速度，降低備份成本以及數(shù)據(jù)保護(hù)合規(guī)都具有重要的作用。

費(fèi)用管理：制定云費(fèi)用預(yù)算并形成云費(fèi)用策略，優(yōu)化云資源的配置，做好費(fèi)用管理工作，并通過云監(jiān)控技術(shù)，在各個(gè)階段合理地實(shí)現(xiàn)云資源的費(fèi)用管理。幫助企業(yè)合理規(guī)劃費(fèi)用、提高資源利用率、減少資源浪費(fèi)，從而實(shí)現(xiàn)更有效的業(yè)務(wù)支持和經(jīng)濟(jì)效益。。

通過對云平臺運(yùn)維的有效管理，可以保證云計(jì)算平臺的高效、穩(wěn)定和安全運(yùn)行，提高用戶的滿意度和信任度。而且，云平臺運(yùn)維還可以幫助企業(yè)降低IT成本，提高IT資源利用率，促進(jìn)企業(yè)業(yè)務(wù)創(chuàng)新和發(fā)展。

三、職責(zé)

四、云運(yùn)維管理規(guī)范

4.1 運(yùn)維人員基本準(zhǔn)則

4.1.1 必須遵守的運(yùn)維準(zhǔn)則

以下準(zhǔn)則，所有運(yùn)維服務(wù)人員必須時(shí)刻遵守和謹(jǐn)記

第一、操作線上系統(tǒng)，必須心存敬畏。

第二、業(yè)務(wù)正式上線前，必須完成監(jiān)控與告警全覆蓋，必須確保告警有效性檢查。

第三、線上架構(gòu)調(diào)整，必須遵循先評估、再測試、最后再調(diào)整的流程。

第四、線上系統(tǒng)配置變更之前，必須先備份，再確認(rèn)，最后再操作。

第五、線上任何發(fā)布操作，必須做好回滾準(zhǔn)備。

第六、重要系統(tǒng)，必須做好備份，必須編寫詳細(xì)的恢復(fù)操作文檔，且定期必須進(jìn)行一次備份有效性檢查。

第七、主機(jī)資源回收/刪除，必須再三確認(rèn)，必須遵循先關(guān)機(jī)、保留至少1天、再回收。

第八、權(quán)限回收，必須再三確認(rèn)，原則上只操作停用、非必要不做刪除操作。

第九、update/delete數(shù)據(jù)表，必須先select確認(rèn)無誤，再執(zhí)行update。

第十、對外暴露IP的主機(jī)，必須添加端口安全限制，必須遵循最小端口開放原則，且必須進(jìn)行有效性檢查。

4.1.2 運(yùn)維鐵律

運(yùn)維鐵律是運(yùn)維人員最基本的素質(zhì)，違者必究

第一、客戶數(shù)據(jù)絕對保密，不得以任何形式對外泄露、倒賣及利用；

第二、不得收受或向客戶索要好處；

第三、發(fā)現(xiàn)客戶存在違法行為及時(shí)向公司或領(lǐng)導(dǎo)反饋；

第四、不得做任何違反法律法規(guī)的事情；

4.2 云資源使用規(guī)范

4.2.1 VPC使用規(guī)范

4.2.1.1 VPC概述

私有網(wǎng)絡(luò)（Virtual Private Cloud，VPC）是一塊用戶在云平臺上自定義的邏輯隔離網(wǎng)絡(luò)空間，用戶可以為云服務(wù)器、云數(shù)據(jù)庫、負(fù)載均衡等資源構(gòu)建邏輯隔離的、用戶自定義配置的網(wǎng)絡(luò)空間，以提升用戶云上資源的安全性，并滿足不同的應(yīng)用場景需求。

私有網(wǎng)絡(luò)VPC有三個(gè)核心組成部分：私有網(wǎng)絡(luò)網(wǎng)段、子網(wǎng)/交換機(jī)、路由器。

· 私有網(wǎng)絡(luò)網(wǎng)段在創(chuàng)建專有網(wǎng)絡(luò)和交換機(jī)時(shí)，用戶需要以CIDR地址塊的形式指定專有網(wǎng)絡(luò)使用的私網(wǎng)網(wǎng)段。

· 交換機(jī)/子網(wǎng)，是組成專有網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，用來連接不同的云資源。創(chuàng)建專有網(wǎng)絡(luò)后，用戶可以通過創(chuàng)建交換機(jī)為專有網(wǎng)絡(luò)劃分一個(gè)或多個(gè)子網(wǎng)，同一私有網(wǎng)絡(luò)下不同子網(wǎng)默認(rèn)內(nèi)網(wǎng)互通，不同私有網(wǎng)絡(luò)間（無論是否在同一地域）默認(rèn)內(nèi)網(wǎng)隔離。用戶可以將應(yīng)用部署在不同可用區(qū)的交換機(jī)內(nèi)，提高應(yīng)用的可用性。

· 路由器是專有網(wǎng)絡(luò)的樞紐。作為專有網(wǎng)絡(luò)中重要的功能組件，它可以連接專有網(wǎng)絡(luò)內(nèi)的各個(gè)交換機(jī)，同時(shí)也是連接專有網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備。每個(gè)專有網(wǎng)絡(luò)創(chuàng)建成功后，系統(tǒng)會自動創(chuàng)建一個(gè)路由器。每個(gè)路由器至少關(guān)聯(lián)一張路由表。

4.2.1.2 VPC創(chuàng)建規(guī)范

云環(huán)境的VPC創(chuàng)建需提前和網(wǎng)絡(luò)工程師溝通并確認(rèn)好相關(guān)信息，并提交相關(guān)流程審批。創(chuàng)建遵循如下的VPC規(guī)范：

4.2.1.3 交換機(jī)/子網(wǎng)創(chuàng)建規(guī)范

云環(huán)境的交換機(jī)創(chuàng)建需提前和網(wǎng)絡(luò)工程師溝通并確認(rèn)好相關(guān)信息，并提交相關(guān)流程審批。創(chuàng)建交換機(jī)需注意：

· 交換機(jī)命名規(guī)范：部門-業(yè)務(wù)種類-Area-可用區(qū)

· 業(yè)務(wù)種類：Application、Portal、Database

· 阿里云推薦E、F可用區(qū)，騰訊云推薦四區(qū)、五區(qū)

· 提前確認(rèn)是否需要高可用區(qū)

需要明確以下信息并提供給網(wǎng)絡(luò)工程師：

4.2.2 彈性公網(wǎng)IP使用規(guī)范

彈性公網(wǎng) IP（Elastic IP，EIP）是可以獨(dú)立購買和持有，且在某個(gè)地域下固定不變的公網(wǎng) IP 地址，可以云服務(wù)器、私網(wǎng)負(fù)載均衡、NAT 網(wǎng)關(guān)、彈性網(wǎng)卡和高可用虛擬 IP 等云資源綁定，提供訪問公網(wǎng)和被公網(wǎng)訪問能力；還可與云資源的生命周期解耦合，單獨(dú)進(jìn)行操作；同時(shí)提供多種計(jì)費(fèi)模式，用戶可以根據(jù)業(yè)務(wù)特點(diǎn)靈活選擇，以降低公網(wǎng)成本。

EIP是一種NAT IP，它實(shí)際位于云平臺的公網(wǎng)網(wǎng)關(guān)上，通過NAT方式映射到被綁定的云資源上。當(dāng)EIP和云資源綁定后，云資源可以通過EIP與公網(wǎng)通信。

彈性公網(wǎng) IP的使用需走公司內(nèi)部資源申請工單流程，通過后由網(wǎng)絡(luò)工程師幫忙創(chuàng)建并配置。

*需特別注意，遵循運(yùn)維規(guī)范，不允許彈性公網(wǎng)IP直接綁定云服務(wù)器實(shí)例，必須通過NAT網(wǎng)關(guān)的DNAT和SNAT功能，來分別實(shí)現(xiàn)“將公網(wǎng)NAT網(wǎng)關(guān)上的公網(wǎng)IP通過端口映射或IP映射給云服務(wù)器實(shí)例使用，使云服務(wù)器實(shí)例能夠?qū)ν馓峁┕W(wǎng)訪問服務(wù)“與”為VPC中無公網(wǎng)IP的云服務(wù)器實(shí)例提供訪問互聯(lián)網(wǎng)的代理服務(wù)“的兩種功能。

4.2.3 NAT網(wǎng)關(guān)使用規(guī)范

NAT網(wǎng)關(guān)（NAT Gateway）是一種網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)，提供NAT代理（SNAT和DNAT）能力，可為私有網(wǎng)絡(luò)（VPC）內(nèi)的資源提供安全、高性能的 Internet 訪問服務(wù)。

其中SNAT功能，是為VPC中無公網(wǎng)IP的云服務(wù)器實(shí)例提供訪問互聯(lián)網(wǎng)的代理服務(wù)，實(shí)現(xiàn)無公網(wǎng)IP的云服務(wù)器實(shí)例訪問互聯(lián)網(wǎng)。

DNAT功能，是將公網(wǎng)NAT網(wǎng)關(guān)上的公網(wǎng)IP通過端口映射或IP映射兩種方式映射給云服務(wù)器實(shí)例使用，使云服務(wù)器實(shí)例能夠?qū)ν馓峁┕W(wǎng)訪問服務(wù)。

NAT網(wǎng)關(guān)的使用需走公司內(nèi)部資源申請工單流程，通過后由網(wǎng)絡(luò)工程師幫忙創(chuàng)建并配置。

可以視實(shí)際情況，評估NAT網(wǎng)關(guān)是否可以多項(xiàng)目共用。

4.2.4 資源組/標(biāo)簽使用規(guī)范

4.2.4.1 資源組功能

資源組（Resource Group）是在阿里云賬號下進(jìn)行資源分組管理的一種機(jī)制，資源組對用戶擁有的云資源從用途、權(quán)限、歸屬等維度上進(jìn)行分組，實(shí)現(xiàn)企業(yè)內(nèi)部多用戶、多項(xiàng)目的資源分級管理。一個(gè)云資源只能屬于一個(gè)資源組，云資源之間的關(guān)聯(lián)關(guān)系不會因加入資源組而發(fā)生變化。

應(yīng)用場景主要為如下兩種：

一是將用途不同的云資源加入不同的資源組中分開管理，例如可以將生產(chǎn)環(huán)境的實(shí)例和測試環(huán)境的實(shí)例，分別放入生產(chǎn)環(huán)境和測試環(huán)境兩個(gè)資源組中；產(chǎn)品測試時(shí)，建議只對測試環(huán)境資源組中的實(shí)例進(jìn)行操作，避免對生產(chǎn)環(huán)境的實(shí)例發(fā)生誤操作。當(dāng)產(chǎn)品需要上線時(shí)，再選擇生產(chǎn)環(huán)境資源組中的實(shí)例進(jìn)行操作。

二是為各個(gè)資源組設(shè)置完全獨(dú)立的管理員，實(shí)現(xiàn)資源組范圍內(nèi)的用戶與權(quán)限管理，比如可以將公司不同部門使用的實(shí)例分別放入多個(gè)資源組中，并設(shè)置相應(yīng)的管理員，從而實(shí)現(xiàn)分部門管理實(shí)例。

4.2.4.2 標(biāo)簽功能

標(biāo)簽（Tag）是騰訊云和阿里云提供的云資源管理工具，用戶可以從不同維度對具有相同特征的云資源進(jìn)行分類、搜索和聚合，從而輕松管理云上資源。

標(biāo)簽是由標(biāo)簽鍵和標(biāo)簽值兩個(gè)部分組成，用戶可以為云資源創(chuàng)建和綁定標(biāo)簽。一個(gè)標(biāo)簽鍵可以對應(yīng)多個(gè)標(biāo)簽值，一對標(biāo)簽鍵和標(biāo)簽值可綁定多個(gè)云資源。

標(biāo)簽的應(yīng)用場景主要為如下三種：

一是使用標(biāo)簽管理云資源，可以使用標(biāo)簽標(biāo)記在云上的已有資源，實(shí)現(xiàn)對這些資源分類管理，也可以通過標(biāo)簽控制臺或標(biāo)簽 API 根據(jù)資源的地域、類型以及標(biāo)簽來查詢資源，查看到的資源將會以列表的形式展示。

二是使用標(biāo)簽控制對資源的訪問，可以將標(biāo)簽與訪問管理結(jié)合使用，能夠通過標(biāo)簽授權(quán)的方式，讓不同的子用戶擁有不同云資源的訪問和操作權(quán)限。

三是使用標(biāo)簽進(jìn)行分賬，可以基于組織或業(yè)務(wù)維度為資源規(guī)劃標(biāo)簽（例如：部門、項(xiàng)目組、地區(qū)等），然后結(jié)合云提供的分賬標(biāo)簽、賬單詳情功能實(shí)現(xiàn)成本的分?jǐn)偣芾怼?/p>

標(biāo)簽支持的云資源：

· 阿里云支持標(biāo)簽的產(chǎn)品：

https://help.aliyun.com/document_detail/171455.html?spm=5176.21213303.J_6704733920.9.737953c9G4p1vf&scm=20140722.S_help@@%E6%96%87%E6%A1%A3@@171455._.ID_help@@%E6%96%87%E6%A1%A3@@171455-RL_%E6%94%AF%E6%8C%81%E6%A0%87%E7%AD%BE%E7%9A%84%E4%BA%A7%E5%93%81-LOC_main-OR_ser-V_2-RK_rerank-P0_1

·  騰訊云支持標(biāo)簽的產(chǎn)品：

https://cloud.tencent.com/document/product/651/30727

4.3 權(quán)限管理

云上的權(quán)限往往通過訪問管理或訪問控制進(jìn)行管理，在阿里云上稱為訪問控制RAM（Resource Access Management），即阿里云提供的管理用戶身份與資源訪問權(quán)限的服務(wù)。在騰訊云上稱為訪問管理（Cloud Access Management，CAM），即騰訊云提供的 Web 服務(wù)，主要用于幫助用戶安全管理騰訊云賬戶下的資源的訪問權(quán)限。

在注冊云平臺賬號時(shí)，生成的賬號為主賬號，擁有該主賬號下所有云資源的管理權(quán)限。如需要其他用戶能協(xié)助一起管理賬號下的云資源，可以通過訪問控制（RAM）/訪問管理（CAM）創(chuàng)建、管理和銷毀用戶（組），并使用身份管理和策略管理控制其他用戶使用阿里云/騰訊云資源的權(quán)限。

通過訪問控制（RAM）/訪問管理（CAM）的功能，可以實(shí)現(xiàn)統(tǒng)一管理訪問身份及權(quán)限：

· 集中管理子用戶，管理每個(gè)子用戶及其登錄密碼或訪問密鑰，為子用戶用戶綁定多因素認(rèn)證MFA（Multi Factor Authentication）設(shè)備

· 集中控制子用戶的訪問權(quán)限，控制每個(gè)子用戶訪問資源的權(quán)限

· 集中控制子用戶的資源訪問方式，確保子用戶在指定的時(shí)間和網(wǎng)絡(luò)環(huán)境下，通過安全信道訪問特定的云資源

主賬號管理員往往可以根據(jù)訪問權(quán)限將用戶分為以下三類:特殊用戶(或系統(tǒng)管理員); 一般用戶：系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限; 審計(jì)用戶：負(fù)責(zé)系統(tǒng)和網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。 

4.3.1 用戶崗位職責(zé)描述

· 特殊用戶：負(fù)責(zé)生產(chǎn)環(huán)境各個(gè)操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)備及應(yīng)用軟件的管理和維護(hù)工作。

· 一般用戶：負(fù)責(zé)日常值班、監(jiān)控等相關(guān)工作。

· 審計(jì)用戶：負(fù)責(zé)生產(chǎn)系統(tǒng)相關(guān)的審計(jì)工作。

4.3.2 用戶權(quán)限原則

· 遵循最小授權(quán)原則

企業(yè)需要評估每個(gè)角色的任務(wù)和職責(zé)，然后只授權(quán)所需權(quán)限，可將用戶賬戶授權(quán)的范圍限制在最少必要的范圍內(nèi)，以減少賬戶被攻擊或非授權(quán)訪問的風(fēng)險(xiǎn)，同時(shí)提高賬戶管理的精細(xì)性和可控性。

· 使用策略限制條件

使用策略限制條件可以進(jìn)一步加強(qiáng)賬戶的安全性，以確保只有授權(quán)訪問資源的用戶才能進(jìn)行訪問。策略限制條件可以幫助管理員根據(jù)需要安全地限制用戶的訪問，例如限制訪問時(shí)間、允許的IP地址范圍、允許的操作類型等，并且可以限制哪些用戶可以執(zhí)行特定的操作（比如只能讀數(shù)據(jù)，而不能寫）等等。

· 將用戶管理、權(quán)限管理與資源管理分離

將用戶、權(quán)限和資源分離管理通常被稱為“三權(quán)分立”模型，這是一種在安全領(lǐng)域中非常常見的做法，其主要思想是將用戶、權(quán)限和資源分別管理，以加強(qiáng)安全控制。

在這個(gè)模型中，用戶管理、權(quán)限管理和資源管理分別歸屬于不同的角色或組織單元，以便在管理和控制時(shí)更加細(xì)致和有效。具體來說，可以實(shí)現(xiàn)以下措施：

用戶管理：負(fù)責(zé)創(chuàng)建、修改、刪除用戶帳戶，管理用戶的組和角色等。用戶管理的主要任務(wù)是確保每個(gè)賬戶有一個(gè)唯一標(biāo)識符，且每個(gè)賬戶都專注于其特定的任務(wù)或工作負(fù)載。這有助于確保賬戶安全和控制賬戶的適當(dāng)訪問權(quán)限。

權(quán)限管理：負(fù)責(zé)定義、授予和撤銷角色和權(quán)限，以便管理用戶的訪問權(quán)限。權(quán)限管理的主要任務(wù)是確保每個(gè)用戶只能訪問其所需的資源，防止未經(jīng)授權(quán)的訪問或數(shù)據(jù)泄露。

資源管理：負(fù)責(zé)創(chuàng)建、修改和刪除資源，并提供必要的維護(hù)和保護(hù)服務(wù)。資源管理的主要任務(wù)是確保適當(dāng)?shù)馁Y源配置和訪問控制，并監(jiān)控任何資源的異?；顒踊虬踩珕栴}。

通過將用戶管理、權(quán)限管理和資源管理分離，可以更好地保障賬戶的安全性和數(shù)據(jù)的保密性。此外，還可以為每個(gè)職能領(lǐng)域指定一個(gè)特定的管理員，以便更好地監(jiān)督賬戶訪問和資源使用情況。

· 為主賬戶和高風(fēng)險(xiǎn)權(quán)限子用戶啟用多因素認(rèn)證（MFA）

多因素認(rèn)證（MFA）是一種增加賬戶訪問安全性的方式，可以在登錄過程中要求用戶輸入兩個(gè)或者更多的身份驗(yàn)證因素，例如用戶密碼和手機(jī)短信驗(yàn)證等。對于主賬戶和高風(fēng)險(xiǎn)權(quán)限子用戶，啟用MFA可以進(jìn)一步提高賬戶的保護(hù)級別。

啟用MFA的原因是，在某些情況下，只有密碼是不夠安全的。例如，如果密碼被泄露或者被猜測到，黑客可以使用該密碼登錄用戶的賬戶，并未獲取用戶賬戶的完全控制。啟用MFA可以幫助檢測潛在的惡意登錄嘗試并增加訪問賬戶的安全級別，這些認(rèn)證因素通常是動態(tài)生成的，加密密鑰或其他特殊設(shè)備。

為主賬戶和高風(fēng)險(xiǎn)子用戶啟用MFA是非常重要的，因?yàn)檫@兩個(gè)賬戶通常具有最高的權(quán)限訪問。黑客攻擊者通常滿足于能夠獲得主賬戶和子賬戶的控制，進(jìn)而獲取對應(yīng)用程序和數(shù)據(jù)的完全訪問權(quán)限。但是，啟用MFA創(chuàng)造了一個(gè)額外的安全層，需要黑客攻擊者同時(shí)盜取或猜測到兩個(gè)或多個(gè)身份驗(yàn)證因素的信息，才能成功進(jìn)入賬戶。

· 設(shè)置所有用戶的密碼強(qiáng)度及登錄限制

設(shè)置控制臺的密碼強(qiáng)度和登錄限制，可以幫助管理員防范可能的惡意攻擊和不當(dāng)操作，提高賬戶安全性。

要求密碼長度大于等于8個(gè)字符，并使用大小寫字母、數(shù)字和符號等多種字符類型；并設(shè)置密碼的重試錯(cuò)誤次數(shù)和重復(fù)限制。

· 使用群組給子用戶分配權(quán)限

通過創(chuàng)建群組，可以將多個(gè)子用戶集成在一起，并為整個(gè)群組授權(quán)特定的權(quán)限。這使得管理和控制子用戶的權(quán)限和訪問更加簡單和高效，同時(shí)也能夠靈活地管理各個(gè)群組的訪問。

例如，作為管理員，可以創(chuàng)建不同的群組，為不同的群組分配不同的權(quán)限范圍。對于每個(gè)子用戶，只需要將其分配到合適的群組即可，而無需逐個(gè)為每個(gè)子用戶單獨(dú)分配權(quán)限。這可以大大節(jié)省管理員的時(shí)間和精力，同時(shí)也能幫助最大程度地確保賬戶的安全性。

此外，可以將群組繼承來自其他群組的權(quán)限，這意味著可以通過將子群組嵌入到其他群組中來分配權(quán)限。通過這種方法，可以更輕松地管理和控制賬戶權(quán)限，并確保權(quán)限的合理和精細(xì)分配。

· 將控制臺用戶與 API 用戶分離

控制臺用戶是用于登錄云服務(wù)的賬戶，具有管理控制臺的權(quán)限；而API用戶是用來訪問云服務(wù)的應(yīng)用程序，具有對云資源的訪問和管理的權(quán)限。

將控制臺用戶和API用戶分離的原因是，兩類用戶之間的訪問權(quán)限不同，必須進(jìn)行分類管理。控制臺用戶可以進(jìn)行各種管理操作，包括訪問、創(chuàng)建、修改、刪除云資源等；而API用戶只需要訪問和管理用戶指定的特定資源，因此具有更小的訪問范圍。

通過將兩類用戶分離，可以減少因某一用戶權(quán)限泄露而導(dǎo)致的安全風(fēng)險(xiǎn)。同時(shí)，也能更好地實(shí)現(xiàn)用戶權(quán)限的精細(xì)化管理和控制。例如，可以根據(jù)需要為API用戶批準(zhǔn)或撤銷特定的資源訪問權(quán)限，而無需擔(dān)心控制臺用戶操作誤操作或?yàn)E用權(quán)限。

· 及時(shí)撤銷用戶不再需要的權(quán)限

一旦用戶不再需要某些權(quán)限，可以將其從賬戶中刪除或者將其權(quán)限進(jìn)行降級。這可以減少賬戶被黑客攻擊或泄漏的風(fēng)險(xiǎn)，同時(shí)能夠幫助安全管理員更好的管理賬戶權(quán)限。

在進(jìn)行權(quán)限撤銷時(shí)，可以制定一套詳細(xì)的流程和規(guī)范，確保權(quán)限的去除和更新操作能夠被安全和順利地執(zhí)行。例如，在流程中可以設(shè)定針對多個(gè)權(quán)限撤銷設(shè)置不同的有效期限；為不同權(quán)限的撤銷設(shè)定試用期；制定一套詳細(xì)的管理和交接的流程，確保新管理員能夠及時(shí)掌握賬戶權(quán)限情況。

· 禁止主賬號密碼共享

如果多個(gè)用戶共享同一個(gè)賬號和密碼，那么賬號的安全性將會受到威脅，容易被黑客攻擊或泄漏，甚至?xí)G失重要的用戶數(shù)據(jù)和信息。

此外，多人共享同一個(gè)賬號密碼還存在其他的問題。例如，不同的用戶應(yīng)該擁有不同的訪問權(quán)限，共享賬號將無法實(shí)現(xiàn)個(gè)性化的權(quán)限設(shè)置。同時(shí)，共享賬號也會使用戶行為難以追蹤和管理，無法精準(zhǔn)地監(jiān)控用戶的操作和流量使用情況。

因此，禁止主賬號密碼共享不僅有助于保護(hù)用戶賬號的安全性，也有助于提高用戶的使用體驗(yàn)和系統(tǒng)的安全管理性。如果需要多個(gè)人訪問同一個(gè)平臺或服務(wù)，可以使用多個(gè)子賬號，并分配不同的權(quán)限和訪問范圍，來保障賬號的安全和管理。

· 不要為主賬號創(chuàng)建訪問密鑰

訪問密鑰實(shí)際上是一組臨時(shí)憑證，用于對云服務(wù)進(jìn)行身份驗(yàn)證和授權(quán)，而不需要使用主賬號和密碼。與主賬號和密碼不同，訪問密鑰可以隨時(shí)進(jìn)行創(chuàng)建和撤銷，使得賬號的安全性更高。但是由于主賬號權(quán)限過高，如果不妥善管理訪問密鑰，出現(xiàn)訪問密鑰意外泄露的情況，黑客可以使用這些憑證來訪問用戶的賬戶并竊取敏感信息，危害遠(yuǎn)遠(yuǎn)大于子賬號的訪問密鑰泄漏。

4.3.3 權(quán)限分配流程

1. 鑒別用戶身份

在為用戶授權(quán)之前，必須要先確認(rèn)用戶的身份，確認(rèn)用戶的真實(shí)姓名、職務(wù)、所屬部門等信息，確保對正確的人員進(jìn)行授權(quán)。

2. 制定授權(quán)策略

對于不同的角色，企業(yè)需要制定相應(yīng)的授權(quán)策略，根據(jù)用戶的實(shí)際需求來為其分配相應(yīng)的權(quán)限，嚴(yán)格按照“最小權(quán)限原則”和“依據(jù)需求授權(quán)”原則來執(zhí)行。

3. 審批授權(quán)請求

用戶在申請權(quán)限時(shí)，需要經(jīng)過上級的審批，審批人員需要核實(shí)用戶的身份和申請權(quán)限的合理性，然后根據(jù)實(shí)際情況來審批申請。

 4. 分配權(quán)限

在經(jīng)過審批之后，根據(jù)授權(quán)策略為用戶分配相應(yīng)的權(quán)限，確保用戶只擁有所需的最低權(quán)限，防止授權(quán)過度導(dǎo)致的風(fēng)險(xiǎn)和漏洞。

5. 定期審查權(quán)限

定期審查每個(gè)角色的權(quán)限模板，以確保已包括必要的權(quán)限并且沒有包括不必要的權(quán)限。審查每個(gè)用戶/角色的權(quán)限以確保它們的權(quán)限是最新的并且合理的。審計(jì)安全事件記錄來查看是否存在未經(jīng)授權(quán)的權(quán)限請求或使用。

6. 撤銷用戶權(quán)限

當(dāng)用戶不再需要某些權(quán)限時(shí)，立即撤銷這些權(quán)限。離職或調(diào)崗的用戶的權(quán)限必須立即撤銷。

4.4 安全管理

4.4.1 網(wǎng)絡(luò)安全

4.4.1.1 開放訪問外網(wǎng)

如果用戶的服務(wù)器需要訪問外網(wǎng)或?qū)ν馓峁┓?wù)，不能直接將EIP綁定到ECS，這樣會存在安全風(fēng)險(xiǎn)。相反，用戶需要按照一定的規(guī)范進(jìn)行配置，以確保安全性和可靠性。

第一步，申請EIP和NAT資源

EIP（Elastic IP Address）是一種公網(wǎng)IP地址，可被動態(tài)地分配和釋放。在云平臺上，用戶可以將其申請并綁定到云服務(wù)器實(shí)例上，從而實(shí)現(xiàn)實(shí)例的公網(wǎng)訪問。但是，為了保障安全，用戶不得直接將EIP綁定到云服務(wù)器上，用戶需要申請NAT網(wǎng)關(guān)，再通過SNAT將ECS私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)EIP地址，以實(shí)現(xiàn)對外通信。

第二步，申請SNAT和DNAT配置，及云防火墻配置

SNAT（Source Network Address Translation）是一種源地址轉(zhuǎn)換技術(shù)，可將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為外網(wǎng)IP地址，以實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的通信。在云平臺上，用戶可以通過配置SNAT條目來實(shí)現(xiàn)該功能。

DNAT（Destination Network Address Translation）是一種目標(biāo)地址轉(zhuǎn)換技術(shù)，可將外網(wǎng)IP地址轉(zhuǎn)換為內(nèi)網(wǎng)IP地址，以實(shí)現(xiàn)公網(wǎng)訪問內(nèi)網(wǎng)資源。在云平臺上，用戶可以通過配置DNAT條目來實(shí)現(xiàn)該功能。

此外，用戶還需要為云服務(wù)器配置云防火墻規(guī)則，以保障網(wǎng)絡(luò)安全。通過添加防火墻規(guī)則，用戶可以限制流量的進(jìn)出，避免惡意攻擊和數(shù)據(jù)泄露。

總之，無論需不需要將服務(wù)發(fā)布到公共互聯(lián)網(wǎng)上，都請不要將EIP直接綁定到云服務(wù)器上，而應(yīng)該按照規(guī)范進(jìn)行相關(guān)網(wǎng)絡(luò)配置。這樣可以有效地提高網(wǎng)絡(luò)安全性和可靠性。

4.4.1.2 防火墻配置

為了保護(hù)云資產(chǎn)安全，需要在云上配置防火墻，而且防火墻的管理由安全部門進(jìn)行統(tǒng)一進(jìn)行。以獲取外網(wǎng)資源為例，首先需要在用戶內(nèi)部確認(rèn)需求，領(lǐng)導(dǎo)溝通確認(rèn)后再向安全部門提交工單，明確說明哪些機(jī)器需要訪問哪些資源。工單中需要詳細(xì)描述每臺機(jī)器需要訪問的資源名稱、類型以及機(jī)器名稱，以便安全部門能夠根據(jù)這些信息快速準(zhǔn)確地設(shè)置防火墻規(guī)則。這樣可以保障系統(tǒng)的安全和穩(wěn)定，防止惡意攻擊和數(shù)據(jù)泄露，從而確保企業(yè)的正常運(yùn)營和業(yè)務(wù)發(fā)展。

4.4.1.3 網(wǎng)絡(luò)劃分

在云環(huán)境中，為了實(shí)現(xiàn)不同部門之間的網(wǎng)絡(luò)隔離與安全，可以使用虛擬專有網(wǎng)絡(luò)（VPC）技術(shù)。根據(jù)實(shí)際需求多個(gè)部門需要共用同一個(gè)VPC，則需要將VPC內(nèi)部的網(wǎng)絡(luò)進(jìn)行分段，并為每個(gè)部門創(chuàng)建對應(yīng)的交換機(jī)。通過這種方式，不同部門之間的網(wǎng)絡(luò)可以互通，但是互相之間不會產(chǎn)生干擾。

在VPC中，唯一的限制是通過安全組進(jìn)行控制。安全組是一種網(wǎng)絡(luò)安全服務(wù)，可以用來控制進(jìn)出VPC的流量。通過設(shè)置安全組規(guī)則，可以限制VPC內(nèi)部不同部門之間的流量，僅允許必要的流量通過。這樣，就可以保證VPC內(nèi)部各部門的網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等風(fēng)險(xiǎn)。

需要注意的是，使用VPC和安全組并不能完全消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，仍然需要采取其他措施來保護(hù)云上的資源。只有通過綜合的安全策略，才能保證云上資源的安全性和可靠性。

4.4.2 運(yùn)維安全加固

使用安全中間件組件進(jìn)行安裝，并進(jìn)行系統(tǒng)與應(yīng)用的安全加固，含：

· 遵循最小授權(quán)原則；

· 禁用或刪除無用賬號；

· 將用戶管理、權(quán)限管理與資源管理分離；

· 禁用 root 權(quán)限；

· 不要為主賬號創(chuàng)建訪問密鑰；

· 將控制臺用戶與 API 用戶分離；

· 修改 SSH、應(yīng)用默認(rèn)端口號；

· 關(guān)閉不常用服務(wù)及端口；

· 限制外網(wǎng) IP 登陸；

· 添加用戶登陸警告信息；

· 設(shè)置異地登陸服務(wù)器短信和郵件告警；

· 根據(jù)需要，設(shè)置登陸時(shí)間限制、定期修改密碼；

· 梳理安全組策略，對業(yè)務(wù)訪問進(jìn)行精細(xì)化訪問控制；

· RDS、Redis等進(jìn)行白名單設(shè)置。

4.4.3 云服務(wù)器安全組訪問策略

云服務(wù)器的安全組提供了防火墻功能，是重要的網(wǎng)絡(luò)安全隔離手段，通過設(shè)定各安全組之間的安全規(guī)則，可搭建多層訪問控制體系，實(shí)現(xiàn)訪問安全。

建立應(yīng)用、數(shù)據(jù)和管理的安全組，分別對應(yīng)用服務(wù)器、數(shù)據(jù)庫及數(shù)據(jù)服務(wù)器的連接進(jìn)行訪問管控。下文中的安全組訪問控制規(guī)則為簡單舉例，實(shí)際中會根據(jù)具體的安全要求進(jìn)行調(diào)整。

1) Web服務(wù)器組規(guī)則示例

2) 數(shù)據(jù)庫服務(wù)器組規(guī)則示例

4.4.4 操作審計(jì)

云平臺都提供了操作審計(jì)功能，可以記錄云平臺賬號下的所有操作日志。阿里云上是操作審計(jì)功能，騰訊云上的是云審計(jì)功能，通過這個(gè)功能，用戶可以清楚地了解賬號下所有操作的情況，包括哪些人員進(jìn)行了哪些操作，以及何時(shí)進(jìn)行的操作等等。這對于管理阿里云資源、保障賬號安全非常重要。

· 要開啟阿里云的操作審計(jì)功能，用戶需要先在阿里云控制臺上創(chuàng)建一個(gè)審計(jì)日志服務(wù)（SLS）項(xiàng)目，并將需要審計(jì)的云賬號添加到該項(xiàng)目中。然后，在控制臺上設(shè)置審計(jì)策略，定義哪些操作需要被記錄下來。

· 在創(chuàng)建騰訊云賬號時(shí)，云審計(jì)將會被啟用 ，自動接入不同云產(chǎn)品。當(dāng)騰訊云賬號中發(fā)生活動時(shí)，該活動將被記錄在云審計(jì)事件中。用戶可以轉(zhuǎn)到事件歷史輕松查看 云審計(jì)控制臺中的事件。

一旦開啟了操作審計(jì)/云審計(jì)功能，用戶就可以在控制臺上查詢審計(jì)日志，了解賬號下所有操作的詳細(xì)情況。此外，云平臺還提供了實(shí)時(shí)監(jiān)控和告警功能，用戶可以及時(shí)獲得操作異常的警報(bào)，并及時(shí)采取措施。

總之，云平臺的操作審計(jì)功能對于管理云平臺資源、保障賬號安全非常有幫助，建議用戶合理使用該功能。