2022年1月6日
云计算安全扩展要求-(五)安全计算环境
摘要: 云计算安全扩展要求 五、安全计算环境 安全计算环境针对云平台提出了安全控制扩展要求,主要对象为云平台内部的所有对象,包括网络设备、安全设备、服务器设备(物理机、虚拟机)、虚拟机镜像、虚拟机监视器、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、镜像和快照保 阅读全文
posted @ 2022-01-06 17:12 武装小灰灰 阅读(1900) 评论(0) 推荐(0) 编辑
云计算安全扩展要求-(三)安全通信网络
摘要: 云计算安全扩展要求 三、安全通信网络 安全通信网络针对云计算环境网络架构提出了安全控制扩展要求。主要对象为云计算网络环境的网络架构、虚拟资源以及通信数据等;涉及的安全控制点包括网络架构。 控制点 1. 网络架构 云计算是以计算、存储和网络为基础的,网络作为云计算的重要基石之一,网络架构的安全性是云计 阅读全文
posted @ 2022-01-06 10:24 武装小灰灰 阅读(649) 评论(0) 推荐(0) 编辑
云计算安全扩展要求-(二)安全物理环境
摘要: 云计算安全扩展要求 二、安全物理环境 安全物理环境针对云计算平台/系统部署的物理机房及基础设施位置提出了安全控制扩展要求,主要对象为物理机房、办公场地和云平台建设方案等,涉及的安全控制点为基础设施位置。 控制点 1. 基础设施位置 云计算机房、网络设备、安全设备、服务器以及存储介质等基础设施的位置选 阅读全文
posted @ 2022-01-06 10:15 武装小灰灰 阅读(328) 评论(0) 推荐(0) 编辑
云计算安全扩展要求-(一)概述
摘要: 云计算安全扩展要求 一、概述 1.云计算技术 云计算是一种颠覆性的技术,不仅可以增强协作、提高敏捷性、可扩展性及可用性,还可以通过优化资源分配、提高计算效率来降低成本。云计算模式构想了一个全新的IT世界,其组件不仅可以迅速调配、置备、部署和回收,还可以迅速地扩充或缩减,以提供按需的、类似于效用计算的 阅读全文
posted @ 2022-01-06 10:14 武装小灰灰 阅读(461) 评论(0) 推荐(0) 编辑
linux 网卡绑定
摘要: 【介绍】 网卡bond一般主要用于网络吞吐量很大,以及对于网络稳定性要求较高的场景。 主要是通过将多个物理网卡绑定到一个逻辑网卡上,实现了本地网卡的冗余,带宽扩容以及负载均衡。 Linux下一共有七种网卡bond方式,实现以上某个或某几个具体功能。 最常见的三种模式是bond0,bond1,bond 阅读全文
posted @ 2022-01-06 09:53 武装小灰灰 阅读(319) 评论(0) 推荐(0) 编辑
2021年12月20日
容器平台选型的十大模式:Docker、DC/OS、K8S谁与当先?
摘要: 例如,如果你是一个初创型的主营业务非IT的小公司,自然不应该花大力气在数据中心里面自己搭建一套大规模、高并发、高性能的容器平台。 什么情况下使用IaaS就够了? 如图,左面是经常挂在嘴边的所谓容器的优势,但是虚拟机都能一一怼回去。 如果部署的是一个传统的应用,这个应用启动速度慢,进程数量少,基本不更 阅读全文
posted @ 2021-12-20 10:18 武装小灰灰 阅读(663) 评论(0) 推荐(0) 编辑
为什么Kubernetes天然适合微服务
摘要: 最近在反思,为什么在支撑容器平台和微服务的竞争中,Kubernetes会取得最终的胜出。因为在很多角度来讲三大容器平台从功能角度来说,最后简直是一摸一样,具体的比较可以参考本人前面的两篇文章。 《Docker, Kubernetes, DCOS 不谈信仰谈技术》 《容器平台选型的十大模式:Docke 阅读全文
posted @ 2021-12-20 10:13 武装小灰灰 阅读(162) 评论(0) 推荐(0) 编辑
k8s使用ceph实现动态持久化存储
摘要: 简介 本文章介绍如何使用ceph为k8s提供动态申请pv的功能。ceph提供底层存储功能,cephfs方式支持k8s的pv的3种访问模式ReadWriteOnce,ReadOnlyMany ,ReadWriteMany ,RBD支持ReadWriteOnce,ReadOnlyMany两种模式 访问模 阅读全文
posted @ 2021-12-20 10:07 武装小灰灰 阅读(886) 评论(0) 推荐(0) 编辑
kubernetes日志管理最佳实践EFK
摘要: 一、kubernetes和docker都有哪些日志 以上日志都是默认日志,对日志不进行配置就这样 kubectl logs和docker logs一样的,都是查看容器内部应用的日志 对于容器内部应用产生stdout和stderr日志一定会被引擎拦截,如果在应用中通过代码把日志保存到容器内部,那么会产 阅读全文
posted @ 2021-12-20 09:08 武装小灰灰 阅读(893) 评论(0) 推荐(0) 编辑
nginx-ingress控制器
摘要: 主机nginx 一般nginx做主机反向代理(网关)有以下配置 upstream order{ server 192.168.1.10:5001; server 192.168.1.11:5001; } server { listen 80; server_name order.example.co 阅读全文
posted @ 2021-12-20 08:53 武装小灰灰 阅读(585) 评论(0) 推荐(0) 编辑
Prometheus + Grafana 实现服务器监控数据可视化
摘要: Prometheus 简介 Prometheus 是一个开源监控工具,实现了高维数据模型。Prometheus 有多种数据可视化模式,其中一种是集成 Grafana。Prometheus 以高效的自定义格式将时间序列数据存储在内存和本地磁盘上。 Prometheus 有许多客户端可用于轻松监控服务, 阅读全文
posted @ 2021-12-20 08:52 武装小灰灰 阅读(772) 评论(0) 推荐(0) 编辑
2021年12月1日
安全管理中心-(三)安全管理
摘要: 安全管理中心 控制点 3.安全管理 安全管理通过安全管理员实施完成,安全管理可以每个安全设备单独管理也可以通过统一安全管理平台集中管理,安全管理主要关注是否对安全管理员进行身份鉴别、是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作、是否对安全管理操作进行审计。 a)* 安全要求:应对安全 阅读全文
posted @ 2021-12-01 13:52 武装小灰灰 阅读(808) 评论(0) 推荐(0) 编辑
安全管理中心-(四)集中管控
摘要: 安全管理中心 控制点 4.集中管控 集中管控是指在网络中建立一个独立的管理区域,由该区域对安全设备或安全组件进行统一管控的过程。为了提高安全运维管理的有效性,通过集中管控的方式,实现设备的统一监控、日志的统一分析。安全策略的统一管理和安全事件的统一分析等。实现集中管控可以通过一个平台实现,也可通过多 阅读全文
posted @ 2021-12-01 13:52 武装小灰灰 阅读(2137) 评论(0) 推荐(0) 编辑
安全区域边界-(六)可信验证
摘要: 安全区域边界 控制点 6.可信验证 可参看(安全通信网络-3.可信验证),这里的设备对象是实现边界防护作用的设备,可能包括网闸、防火墙、交换机、路由器等。 安全要求:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验 阅读全文
posted @ 2021-12-01 13:50 武装小灰灰 阅读(1908) 评论(0) 推荐(0) 编辑
安全管理中心-(一)系统管理
摘要: 安全管理中心 按照“一个中心,三重防御”的纵深防御思想,“安全管理中心”将是纵深防御体系的“大脑”,即通过“安全管理中心”实现技术层面的系统管理、审计管理和安全管理,同时高级别等级保护对象通过“安全管理中心”实现集中管控。注意这里的“安全管理中心”并非一个机构,也并非一个产品,它是一个技术管控枢纽, 阅读全文
posted @ 2021-12-01 13:50 武装小灰灰 阅读(1367) 评论(0) 推荐(0) 编辑
安全管理中心-(二)审计管理
摘要: 安全管理中心 控制点 2.审计管理 审计管理通过审计管理员实施完成,审计管理可以每个设备单独管理也可以通过统一日志审计平台集中管理,审计管理主要关注是否对审计管理员进行身份鉴别、是否只允许审计管理员通过特定的命令或操作界面进行审计管理操作、是否对审计管理操作进行审计。审计管理的主要目的是为了确保审计 阅读全文
posted @ 2021-12-01 13:50 武装小灰灰 阅读(636) 评论(0) 推荐(0) 编辑
安全区域边界-(五)安全审计
摘要: 安全区域边界 控制点 5.安全审计 安全审计是指针对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可确保用户对其行为负责,证实安全政策得以实施,并可用作调查工具。通过检查审计记录结果可以判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。另外安全审计可协助安 阅读全文
posted @ 2021-12-01 13:48 武装小灰灰 阅读(2245) 评论(0) 推荐(0) 编辑
安全区域边界-(四)恶意代码和垃圾邮件防范
摘要: 安全区域边界 控制点 4.恶意代码和垃圾邮件防范 恶意代码是指怀有恶意目的可执行程序,计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。恶意代码的传播方式在迅速地演化,目前恶意代码主要都是通过网页、邮件等网络载体进行传播,恶意代码防范的形势越来越严峻。另外,随着邮件的广泛使用,垃圾邮件 阅读全文
posted @ 2021-12-01 13:32 武装小灰灰 阅读(1850) 评论(0) 推荐(0) 编辑
安全区域边界-(二)访问控制
摘要: 安全区域边界 控制点 2.访问控制 访问控制技术是指通过技术措施防止对网络资源进行未授权的访问,从而使计算机系统在合法的范围内使用。在基础网络层面,访问控制主要是通过在网络边界及各网络区域间部署访问控制设备,如网闸、防火墙等。 访问控制设备中,应启用有效的访问控制策略,且应采用白名单机制,仅授权的用 阅读全文
posted @ 2021-12-01 13:31 武装小灰灰 阅读(3461) 评论(0) 推荐(0) 编辑
安全区域边界-(三)入侵防范
摘要: 安全区域边界 控制点 3.入侵防范 随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,新型技术的不断涌现,等级保护对象与外部网络互联具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络更易遭受恶意的入侵攻击,威胁网络信息的安全; 阅读全文
posted @ 2021-12-01 13:31 武装小灰灰 阅读(1410) 评论(0) 推荐(0) 编辑
安全通信网络-(三)可信验证
摘要: 安全通信网络 控制点 3.可信验证 传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击,黑客可以未经授权就访问固件或篡改固件,在组件的闪存中植入恶意代码,这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性破坏。通信设备如果基于硬件的可信根,在加电后基于可信根实现预装软件 阅读全文
posted @ 2021-12-01 13:30 武装小灰灰 阅读(4955) 评论(0) 推荐(0) 编辑
安全区域边界-(一)边界防护
摘要: 安全区域边界 网络实现了不同系统的互联互通,但是现实环境中往往需要根据不同的安全需求对系统进行切割,对网络进行划分,形成不同系统的网络边界或不同等级保护对象的边界。按照“一个中心,三重防御”的纵深防御思想,网络边界防护构成了安全防御的第二道防线。在不同的网络间实现互联互通的同时,在网络边界采取必要的 阅读全文
posted @ 2021-12-01 13:30 武装小灰灰 阅读(4248) 评论(0) 推荐(0) 编辑
安全通信网络-(二)通信传输
摘要: 安全通信网络 控制点 2.通信传输 通信传输为等级保护对象在网络环境的安全运行提供支持。为了防止数据被篡改或泄露,确保在网络中传输数据的保密性、完整性和可用性等。本层面重点针对在网络中传输的数据是否具有完整性校验;数据是否采用加密等安全措施来保障数据的完整性和保密性。 a)* 安全要求:应采用校验技 阅读全文
posted @ 2021-12-01 13:29 武装小灰灰 阅读(2017) 评论(0) 推荐(0) 编辑
安全通信网络-(一)网络架构
摘要: 安全通信网络 随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互,当大量的设备连成网络后,网络安全成了最为关注的问题。按照“一个中心,三重防御”的纵深防御思想,边界外部通过广域网或城域网的通信安全是首先需要考虑的问题,但是边界内部的局域网网络架构设计是否合理,内部通过网络传 阅读全文
posted @ 2021-12-01 13:28 武装小灰灰 阅读(1739) 评论(1) 推荐(0) 编辑
2021年11月26日
安全物理环境-(九)电力供应
摘要: 安全物理环境 控制点 9.电力供应 为防止电力中断或电流变化产生的损害,需要采用铺设冗余或并行的电力电缆线路、安装稳压装置、防过载装置和备用供电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应在机房供电线路上配置稳压器和过电压防护设备。 要求解读:机房供电线路上需要安装电流 阅读全文
posted @ 2021-11-26 13:17 武装小灰灰 阅读(820) 评论(0) 推荐(0) 编辑
安全物理环境-(十)电磁防护
摘要: 安全物理环境 控制点 10.电磁防护 为防止电磁辐射和干扰产生的损害,需要采取电源线和通信线缆隔离铺设、安装电磁屏蔽装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应电源线和通信线缆应隔离铺设,避免互相干扰。 要求解读:机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架内, 阅读全文
posted @ 2021-11-26 13:17 武装小灰灰 阅读(1045) 评论(0) 推荐(0) 编辑
安全物理环境-(八)温湿度控制
摘要: 安全物理环境 控制点 8.温湿度控制 为防止温湿度变化产生的损害,需要安装温、湿度自动调节装置,保证机房内设备、存储介质和线缆的安全。 安全要求:应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 要求解读:机房内需要安装温、湿度自动调节装置,如空调、除湿机、通风机等,使机 阅读全文
posted @ 2021-11-26 13:16 武装小灰灰 阅读(896) 评论(0) 推荐(0) 编辑
安全物理环境-(六)防水和防潮
摘要: 安全物理环境 控制点 6.防水和防潮 为防止渗水、漏水、水蒸气结露等产生的损害,需要对机房采取防渗漏、防积水、安装水敏感检测报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 要求解读:机房内需要采取防渗漏措施,防止窗户、屋顶 阅读全文
posted @ 2021-11-26 13:15 武装小灰灰 阅读(1256) 评论(0) 推荐(0) 编辑
安全物理环境-(七)防静电
摘要: 安全物理环境 控制点 7.防静电 为防止静电产生的损害,需要对机房采取安装防静电地板、配置防静电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采用防静电地板或地面并采用必要的接地防静电措施。 要求解读:机房机房内需要安装防静电地板或在地面采取必要的接地措施,防止静电的产生 阅读全文
posted @ 2021-11-26 13:15 武装小灰灰 阅读(416) 评论(0) 推荐(0) 编辑
安全物理环境-(四)防雷击
摘要: 安全物理环境 控制点 4.防雷击 为防止雷击产生的损害,需要对机房所在建筑物及其房内设施和设备采取接地、安装防雷装置等有效措施,保证机房的设备、存储介质和线缆的安全。 a) 安全要求:应将各类机柜、设施和设备等通过接地系统安全接地。 要求解读:在机房内对机柜、各类设施和设备采取接地措施,防止雷击对电 阅读全文
posted @ 2021-11-26 13:14 武装小灰灰 阅读(604) 评论(0) 推荐(0) 编辑
安全物理环境-(五)防火
摘要: 安全物理环境 控制点 5.防火 为防止火灾产生的损害,需要机房使用防火建筑材料,进行合理分区,并采取安装自动消防系统等有效措施,保证机房的设备,存储介质和线缆的安全。 a) 安全要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火。 要求解读:机房内需要设置火灾自动消防系统,可在 阅读全文
posted @ 2021-11-26 13:14 武装小灰灰 阅读(443) 评论(0) 推荐(0) 编辑
安全物理环境-(三)防盗窃和防破坏
摘要: 安全物理环境 控制点 3.防盗窃和防破坏 为防止盗窃、故意破坏等行为,需要对机房采取设备固定、安装防盗报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应将设备或主要部件进行固定,并设置明显的不易除去的标志。 要求解读:对于安放在机房内用于保障系统正常运行的设备或主要部件需 阅读全文
posted @ 2021-11-26 13:13 武装小灰灰 阅读(875) 评论(0) 推荐(0) 编辑
安全物理环境-(二)物理访问控制
摘要: 安全物理环境 控制点 2.物理访问控制 为防止非授权人员擅自进入机房,需要安装电子门禁系统控制人员进出机房的行为,保证机房内设备、存储,介质和线缆的安全。 安全要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 要求解读:为防止非授权人员进入机房,需要安装电子门禁系统,对机房及机房内区 阅读全文
posted @ 2021-11-26 13:12 武装小灰灰 阅读(910) 评论(0) 推荐(0) 编辑
安全物理环境-(一)物理位置选择
摘要: 安全物理环境 等级保护对象是由计算机或其他终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。保障等级保护对象中设备的物理安全,包括防止设备被破坏,被盗用,保障物理环境的条件,确保设备正常运行,减少技术故障等等,是所有安全的基础。通常等级保护对象的相关设备均集中存放在机 阅读全文
posted @ 2021-11-26 13:11 武装小灰灰 阅读(1140) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.12安全事件处置
摘要: 在等级保护对象的运行过程中会出现很多安全事件,需要针对所有安全事件进行分类分级,并对不同类型不同级别的安全事件制定对应的响应流程,使得安全事件能够得到及时有效的处置,确保等级保护对象安全、稳定的运行。 10.12.1 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 如发现系统有潜在的弱点和可疑 阅读全文
posted @ 2021-11-26 13:04 武装小灰灰 阅读(440) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.13应急预案管理
摘要: 为有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一框架下制定针对不同安全事件的应急预案,就应急预案内容向涉及的人员开展培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果开展应急预案的评估、修订与完善。 10.13.1 应规定统一的应急预案框架,包括启动预案的条件、应急组织构 阅读全文
posted @ 2021-11-26 13:04 武装小灰灰 阅读(444) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.14外包运维管理
摘要: 运维工作在等级保护对象生命周期中持续时间最长,直接关系到系统能否安全、稳定的运行。对于委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择,在服务协议中明确指出对服务商的能力要求、工作范围要求和工作内容等要求。 10.14.1应确保外包运维服务商的选择符合国家的有关规定。 外包服务商应满 阅读全文
posted @ 2021-11-26 13:04 武装小灰灰 阅读(535) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.11备份与恢复管理
摘要: 数据备份是保障等级保护对象在发生数据丢失或被破坏时得以恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。 10.11.1 应识别需要定期备份的重要业务信息、系统数据及软件 阅读全文
posted @ 2021-11-26 13:03 武装小灰灰 阅读(643) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.10变更管理
摘要: 等级保护对象在运行过程中会面临各种各样的变更操作。如果变更过程缺乏管理和控制,会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循有案可查,遇到问题有路可退,确保变更操作不给系统造成安全风险。 10.10.1 应明确变更需求,变更前根据变更需求制定变更方案, 阅读全文
posted @ 2021-11-26 13:02 武装小灰灰 阅读(769) 评论(0) 推荐(0) 编辑
10 安全运维管理 10.9密码管理
摘要: 密码技术是保证信息保密性和完整性的重要技术,为保证密码技术使用过程的安全,在遵循相关的国家标准和行业标准基础上,对于涉及到的产品、设备和密码需要加强管理。 10.9.1 应遵循密码相关的国家标准和行业标准。 密码生产需要授权许可,密码产品需要符合国家和行业的相关标准。 【测评方法】 1)访谈安全管理 阅读全文
posted @ 2021-11-26 12:49 武装小灰灰 阅读(354) 评论(0) 推荐(0) 编辑