互联网系统案例以及改进要求

时间:2023-02-10 01:18:31
互联网系统案例以及改进要求[此文共1905字]

一、典型案例回顾

(一)变更操作不当

20XX年12月1日,某系统的项目组发现其云上系统历史数据丢失,经查,由于另一项目组人员于11月25日执行数据删除操作时误删除了该系统的历史数据所致。由于该系统曾将数据备份到云硬盘,并做了定期快照,通过快照数据恢复找回了历史数据。

(二)未与关联系统有效协同应急

20XX年12月4日,联通互联网线路故障导致公有云联通线路异常,某系统在应急处置过程中,将互联网出访通道从联通地址切换至其他运营商地址,由于未进行关联系统协同应急,切换后的地址不在对端应用白名单范围内,导致应用报“IP地址白名单校验失败”错误,经再次调整出访地址后恢复。

(三)租户端网络容量不足和配置缺陷

20XX年8月30日,某系统的用户通过互联网办理业务缓慢,经查,由于当天为学校新学期报到日,当天业务量约为平时的3.5倍,其申请的公有云带宽被占满,导致交易缓慢。

20XX年12月6日,某租户连接私有云的PLA线路故障,导致业务受到影响,经查,由于该租户专线通道未配置BFD探测(双向转发检测),无法实现故障通道的自动切换。

(四)安全风险意识不够导致安全事件频发。

20XX年9月11日,安全团队在日常监控中发现某租户账号下的三台虚机命中木马。经查,因租户未经WAF防护将关键业务接口直接暴露在互联网上,且缺失相应的权限校验,导致黑客可直接利用该接口进行木马植入。事后通过销毁该集群,彻底根除该木马的威胁。 ……此处隐藏645个字……公网及专线网络配置

项目组完善租户端监控指标和告警策略配置,定期检查包括租户端带宽等资源使用情况,确保资源容量满足运行要求。

1.对于公有云网络产品如负载均衡、弹性公网IP等,注意设置流量下限、上限监控告警。

2.对端连接为私有云的专线通道

(1)对于29位掩码的专线通道,应开启BFD探测,保证故障通道自动切换,并将专线通道的冗余模式设置为负载均衡模式。

(2)对于30位掩码的专线通道,应尽快确定时间窗口,将专线通道改造为29位掩码,开启BFD探测,并将专线通道的冗余模式设置为负载均衡模式。

2.对端连接为其他外联单位的专线通道

(1)对于29位掩码的专线通道,应尽快与外联单位明确是否开启BFD以及专线通道的冗余模式,并约定切换策略。

(2)对于30位掩码的专线通道,如确定不开启BFD,则通道不具有故障自动切换能力,需将通道冗余模式设置为主备模式,保证通道的手动切换能力。

(六)强化安全意识和安全管控

1. 除通过WAF开放的业务通道以及通过龙堡垒开放的管理通道外,禁止租户私自对互联网开放端口和服务,如确有特殊需求,一事一批;

2.弹性公网IP(EIP)禁止直接和云主机绑定用于业务或管理入口,如确有特殊需求,一事一批;

3.暴力破解是目前互联网上最常见也最有效的攻击手段,务必提高口令安全强度,规避此类攻击风险;

4.实时关注建行云安全产品发送的告警信息和漏洞信息,并实时进行跟踪和处置;

5. 禁止使用NAT网关新建端口转发规则的方式实现互联网入访;

6.严禁将未备案的域名指向公有云IP地址。

《互联网系统案例以及改进要求[此文共1905字].doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式