常用实践 说明 本文介绍如何在虚拟私有云中创建终端节点，实现同资源池云主机通过内网访问对象存储。云主机和ZOS天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 本文介绍如何保证ZOS中数据的安全性，只允许资源拥有者或者被授权的用户访问。 本文为您提供使用对象存储迁移服务，将第三方云厂商数据迁移至对象存储ZOS的实践。 本文介绍在云监控创建报警规则实时监控ZOS性能状态。 本文帮助您了解ZOS大文件分段上传的最佳实践。 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 本文介绍使用VPC终端节点方式接入对象存储的操作方式。

安全体检产品定义，一款面向互联网IP的全面体检产品。 安全体检是一款面向具备互联网业务的用户，提供周期性、精准、全面的互联网IP安全检查的产品，帮助用户监测、发现业务风险，生成体检报告，实时掌握业务安全状况。安全体检产品支持弱口令检测、漏洞开放检测、高危端口开放检测等，帮助用户全面掌握互联网业务安全状况，并结合体检报告提供处置建议，帮助用户快速完成加固。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

本文站在新手的角度,从了解边缘接入基本概念开始,到基础的开通和域名接入,递进式指引帮助零基础用户快速上手和使用边缘接入服务。 边缘接入基本概念 面向对象：首次使用边缘安全加速平台—边缘接入服务的客户。 初识边缘接入服务 说明 相关文档 什么是边缘安全加速平台？ 通过介绍边缘安全加速平台，主要功能和应用场景，帮助首次使用边缘安全加速平台的客户全面认识产品。 什么是边缘安全加速平台 为什么需要边缘安全加速平台？ 通过详细介绍产品优势，帮助客户全面了解边缘安全加速平台能解决的业务问题。 产品优势 边缘接入服务如何计费？ 详细介绍天翼云边缘安全加速平台—边缘接入服务支持的计费方式，指导客户如何选择合适的计费方式。 边缘接入计费模式 相关术语 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼相关专业术语并提供解释说明。 基本概念

AOne会议的本地录制功能支持将会议内容(包括音视频、屏幕共享等内容)录制后存储至本地,方便会后回放与分享。 开启本地录制 1. 入会后，主持人或联席主持人在底部工具栏点击“录制”按钮。 2. 在弹出的菜单中选择“本地录制”。 3. 本地录制开启后，会弹窗通知所有参会者。同时所有参会者的人员列表中的录制人员一行会显示本地录制小图标。 结束本地录制 1. 录制开始后，底部工具栏的“录制”按钮会切换为“结束录制”。 2. 会议进行中，可通过底部工具栏点击“结束录制”按钮停止录制，或将鼠标悬浮在窗口左上角的本地录制小图标上，再点击下拉窗口的“结束录制”按钮停止录制。 本地录制文件查看和管理 1. 会议录制者可在会议客户端首页的“设置”>“录制”>“本地录制”找到本地录制存储路径，查看和管理本地录制视频。 注意事项 支持主持人/联席主持人停止某个用户的本地录制。 本地录制的权限由主持人（含联席主持人）通过"安全模块"进行控制。 同一个人，无法同时开启本地录制、云录制。

本节主要介绍实例操作审计。 支持审计的关键操作列表 通过云审计服务，您可以记录与GeminiDB Influx相关的操作事件，便于日后的查询、审计和回溯。 表1 GeminiDB Influx的关键操作列表 操作名称 资源类型 事件名称 创建实例 instance NoSQLCreateInstance 删除实例 instance NoSQLDeleteInstance 扩容节点 instance NoSQLEnlargeInstance 缩容节点 instance NoSQLReduceInstance 重启实例 instance NoSQLRestartInstance 恢复到新实例 instance NoSQLRestoreNewInstance 磁盘扩容 instance NoSQLExtendInstanceVolume 重置密码 instance NoSQLResetPassword 修改实例名称 instance NoSQLRenameInstance 规格变更 instance NoSQLResizeInstance 绑定弹性公网IP instance NoSQLBindEIP 解绑弹性公网IP instance NoSQLUnBindEIP 实例冻结 instance NoSQLFreezeInstance 实例解冻 instance NoSQLUnfreezeInstance 创建备份 backup NoSQLCreateBackup 删除备份 backup NoSQLDeleteBackup 设置备份策略 backup NoSQLSetBackupPolicy 添加实例标签 tag NoSQLAddTags 修改实例标签 tag NoSQLModifyInstanceTag 删除实例标签 tag NoSQLDeleteInstanceTag 创建参数模板 parameterGroup NoSQLCreateConfigurations 修改参数模板 parameterGroup NoSQLUpdateConfigurations 修改实例参数 parameterGroup NoSQLUpdateInstanceConfigurations 复制参数模板 parameterGroup NoSQLCopyConfigurations 重置参数模板 parameterGroup NoSQLResetConfigurations 应用参数模板 parameterGroup NoSQLApplyConfigurations 删除参数模板 parameterGroup NoSQLDeleteConfigurations 删除扩容失败的节点 instance NoSQLDeleteEnlargeFailNode 切换SSL instance NoSQLSwitchSSL 修改实例安全组 instance NoSQLModifySecurityGroup 实例导出参数模板 instance NoSQLSaveConfigurations 回收站策略 instance NoSQLModifyRecyclePolicy

sectiond1d6713199dc6481) 安全监控 安全趋势 各个板块数据统计周期及更新频率如下表所示： 参数名称 统计周期 更新频率 说明 安全评分 实时 每天2:00自动更新 随手动单击“重新检测”更新而更新 根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来，详细评分信息请参见安全评分。 威胁告警 近7天 每5分钟 当前工作空间内，“威胁管理 > 告警管理”中的告警总和。 漏洞 近7天 每5分钟 当前工作空间内，“风险预防 > 漏洞管理”中的漏洞总和。 合规检查 实时 每5分钟 当前工作空间内，“风险预防> 基线检查”中的问题总和。 安全趋势 近7天 每5分钟 “安全趋势”板块展示近7天内您的整体资产安全健康得分的趋势图。 安全评分 “安全评分”板块根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新，也支持通过单击“重新检测”来进行实时更新。 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见[安全评分](/document/10564662/11084525

本文简述Refere防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源链接；拒绝访问请求，CDN会返回403响应码。 注意事项 只对拉流域名生效。 该功能为可选项，默认不启用。 Referer黑名单与Referer白名单互斥，不支持同时设置。 黑名单或白名单中的域名最多支持配置400条。 操作步骤 以推拉流场景下的拉流域名为例，操作步骤如下： 1. 登录直播控制台。 2. 在【域名列表】页面，单击目标域名操作列中的【编辑】。 3. 单击【访问控制】。 4. 单击【Referer防盗链】。 5. 单击Referer防盗链开关进行启用。 6. 按需启用【是否允许空referer访问】。 7. 设置类型，可选【白名单】或【黑名单】。 参数 说明 是否允许空referer访问 可以设置是否允许空Referer字段访问资源，即是否允许通过浏览器地址栏直接访问资源URL。 类型 支持黑名单和白名单模式。 ● 白名单：允许名单内的域名或IP请求访问资源，拒绝其它域名和IP请求访问。 ● 黑名单：允许非名单内的域名和IP请求访问资源，拒绝名单中的域名或IP请求访问。 黑白名单规则 黑名单或白名单中的域名/IP。最多添加400个，使用换行符分隔，支持通配、支持IP、支持端口。 鉴权范围 配置需要进行鉴权的协议。如果未配置，则默认对所有请求进行校验。 8. 配置完成后，提交保存。

本文帮助您了解对象存储批量删除桶内对象的最佳实践。 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 一、使用客户端工具批量删除 使用S3Browser批量删除桶中的对象 S3Browser工具是一款客户端工具，可在S3Browser官网下载，安装即可使用非商用版。使用方法可参考S3Browser网站相关文章。 S3Browser对象列表中选择多个对象删除 按住Ctrl 键，鼠标点击S3Browser对象列表中的对象，可以同时选中多个对象，点击对象列表下方【Delete】按钮，弹出确认对话框，点击【确认】按钮可同时删除多个对象。 S3Browser全选对象列表删除 点击S3Browser 菜单项中的【Files】项，再点击【Select All】项，可将对象列表中展示的对象（最多1000个）全部选中。 点击对象列表下方的【Delete】按钮，并点击【确认】后，可将对象列表中展示的对象全部删除。 二、使用SDK调用接口删除桶内对象 参考《开发者文档》，选择合适的SDK，适配环境后，调用接口，即可删除对象。 Python SDK 删除桶中对象 以Python SDK 为例，Python SDK的使用方法请参考《ZOS对象存储PythonSDK使用手册》，此处举例说明调用接口删除一个桶中的全部对象。 config.py Bucketname"testbk" AK"test" SK"test" URL" multipoolnum16 loglevel"debug" log.py

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

云主机备份和云硬盘备份有什么区别？ 两者的主要差异如下表所示。 对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

本文简述如何配置源站信息。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 注意事项 一个加速域名最多配置60个源站。 配置说明 1.登录边缘安全加速控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置” 4.点击“添加源站”，输入源站地址，在“层级”下拉框中选择“主或备”，即可添加源站。 5.如需对已经添加的源站信息进行修改，可直接在配置项中进行修改。 6.也可以点击对应源站后面的“删除”键删除对应源站。

阶段 项目活动 工作内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》

本文介绍了如何新增子用户关联内置角色。 使用场景 AOne安全与加速平台内置了边缘安全加速平台管理者、边缘安全加速平台参与者、边缘安全加速平台查看者角色。用户创建子用户后，可直接为子用户赋予内置角色。 内置角色的权限策略不可编辑。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子用户赋予定制角色。操作步骤参考：新增子用户关联定制角色。 操作流程 新建子用户 方式一：手动新增 1. 登录CDN+平台，并进入需要进行共享的工作区。 2. 进入子用户管理菜单，左上角点击【新增】按钮。 3. 输入子用户的基本信息，包括登录凭据、显示名称、用户邮箱（非必填）、用户手机（非必填）、登录密码，通过验证码检验之后即可完成添加。完成子用户添加后，您可立即添加角色，也可以稍后再进行添加。

参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid remark String 描述 strategynetworkDTOList Array of Objects 规则列表 strategynetworkDTOList 表 strategynetworkDTOList

本小节介绍服务器安全卫士的购买开通步骤。 开通步骤 1.登录云平台，进入产品安全服务器安全卫士产品介绍页面，点击“立即开通”，进入订单开通页面。 2.选择规格、授权数量和订购时长，提交订单，购买成功后即可进入控制中心“服务器安全卫士”界面进行后续操作。 产品介绍 订单开通页面基础版 订单开通页面企业版 订单开通页面旗舰版

介绍如何修改实例安全组。 操作场景 RDSPostgreSQL支持修改实例的安全组，从而变更实例的流量进出规则，适配客户的需求变化。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页中，点击在“网络”>“安全组”中的编辑按钮，即可进行安全组的修改。 7. 在弹出框中选择需要变更的安全组，点击确定提交变更任务，点击取消不进行变更。 注意 用户可以变更实例安全组，但不能解绑安全组，也就是实例必须要和一个安全组绑定。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本小节介绍终端杀毒术语解释。 安全基线 安全基线（Security Base Line）指为了满足安全要求，相关系统和服务安全配置必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估产品是否达到安全基线，包括账号配置安全、口令配置安全、授权配置、日志配置、网络配置等。安全基线评估结果在一定程度上，反映了服务器的安全性。 隔离文件 隔离技术把存在恶意行为的木马、病毒文件进行隔离存储，避免恶意文件持续扩散。 未授权访问 未授权访问（Unauthorized Access）是不满足安全基线导致的一类问题，主要指相关服务没有对服务的访问条件进行限制，例如设置密码、限制访问来源等，导致任何人都可以直接连接服务进行操作，从而产生安全问题。

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

本章介绍网页防篡改、容器安全与主机安全共用Agent。 是的。同一服务器安装一次Agent即可满足网页防篡改、容器安全与主机安全所有版本的使用，无需多次安装。

本文帮助您快速熟悉设置IPv4/IPv6双栈安全组的操作方法。 在“网络控制台”→“访问控制”→“安全组”中，可点击安全组名称进行IPv6出、入方向规则设置。具体可参考“添加安全组规则”部分，并在类型选择“IPv6”,源地址或目的地址填写IPv6地址。

本章节列举了使用云硬盘备份过程中的通用类问题,以及相对应的解答。 什么是云硬盘备份？ 云硬盘备份（Volume Backup Service）提供对公有云环境中云硬盘的基于快照技术的数据保护服务，简称VBS。 VBS使您的数据更加安全可靠。例如，当您的云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 VBS支持全量备份和增量备份。第一次做备份时，系统默认做全量备份，非第一次的备份，系统默认做增量备份。无论是全量还是增量都可以方便的将云硬盘恢复至备份时刻的状态。 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云硬盘绑定到备份策略，可以为云硬盘执行自动备份。 云硬盘备份支持对弹性云主机中所有云硬盘进行备份吗？ 支持。云硬盘备份可以备份系统盘和数据盘。可通过创建备份策略并绑定多个云硬盘，对多个云硬盘进行备份。

本文介绍如何购买安全加速服务。 1.打开天翼云官网 2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务； 3.实名认证后进入安全加速产品详情页快速了解产品，之后单击【立即开通】； 4.在购买页面选择适合的计费方式和产品能力，确认订单，点击【立即开通】，安全加速服务即开通； 5.安全加速服务开通后，便可以根据操作手册去控制台开始接入您要加速的域名了。

问题描述 在安装Windows操作系统的本地PC上，通过远程桌面RDP协议（如MSTSC方式）连接Windows云服务器时，报错提示：出现身份验证错误，要求的函数不受支持。 如果报错信息中仅提示：出现身份验证错误，要求的函数不受支持。请参考“处理方法”部分解决该问题。 如果报错信息中附加提示“这可能是由于CredSSP加密数据库修正”，如下图所示，那么可能原因是微软于2018年3月发布安全补丁，该安全补丁会影响RDP连接CredSSP，从而导致通过RDP协议访问云服务器时连接失败。 处理方法 1. 登陆云服务器。 2. 打开“开始”菜单，右键单击“计算机”，选择“属性”，左侧导航栏选择“远程设置”。 3. 在“远程”页签中“远程桌面”栏，选择“允许远程连接到此计算机”。

本章节主要介绍Redis4.0的命令。 DCS Redis4.0基于开源4.0.14版本进行开发，兼容开源的协议和命令。 本章节主要介绍DCS Redis4.0命令的兼容性，包括支持命令列表，禁用命令列表。命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis缓存实例支持Redis的绝大部分命令，具体支持的命令，请参考Redis4.0命令，任何兼容Redis协议的客户端都可以访问DCS。 因安全原因，部分Redis命令在分布式缓存服务中被禁用，具体请见Redis4.0禁用的命令。 DCS集群实例支持多个key，但不支持跨slot访问的Redis命令列表，如实例受限使用命令所示。 部分Redis命令使用时有限制，具体请见部分命令使用限制。 Redis4.0支持的命令 下表列举了Redis4.0单机、主备、cluster集群实例支持的Redis命令。 下表列举了Redis 4.0 Proxy集群实例支持的Redis命令。 下表列举了Redis 4.0读写分离实例支持的Redis命令。 说明 Redis高版本的命令，在低版本中不被兼容。判断DCS Redis是否支持某个命令，可通过在Rediscli执行该命令，如果得到（error）ERR unknown command ‘xxx’的提示，则说明不支持该命令。 Redis 4.0 Cluster版本集群实例使用pipeline时，要确保管道中的命令都能在同一分片执行。 表 Redis4.0单机、主备、Cluster集群支持命令清单 [Keys](

本文为您介绍容器安全卫士的产品规格。 根据支持功能不同，容器安全卫士提供标准版和高级版供用户选择。 一级功能 二级功能 功能描述 标准版 高级版 仪表盘 从全局视角统计重要资产、防护情况、告警趋势、及安全情况，便于用户更好的进行安全响应处置，提升运营效率。 ✓ ✓ 资产中心 查看集群资产、镜像资产、主机节点资产、应用服务资产、K8S配置详细信息。 ✓ ✓ 告警响应 运行态检测 查看所有容器、主机、K8S入侵告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 镜像告警 查看所有触发安全策略的镜像告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 IaC告警 查看存在未通过高危检查的文件。 × ✓ 告警响应 响应中心 查看告警处置记录，包括隔离Pod列表、暂停容器列表、重启Pod列表、镜像阻断列表，并进行白名单管理、一键封堵。 ✓ ✓ 安全合规 基线管理 对各版本的Linux系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 对各版本的kubernetes按照CIS基线要求检测。 对各个版本容器运行环境按照CIS基线要求检测。 ✓ ✓ 安全合规 基线配置 自定义配置基线扫描周期、安全合规达标率等。 ✓ ✓ 镜像安全 镜像管理 对业务环境主机中和镜像仓库中的镜像资产统一管理、安全扫描，并提供可写入dockerfile的修复建议。 ✓ ✓ 镜像安全 镜像策略 通过漏洞规则、文件规则、软件包规则、及其他规则设置来对风险制品镜像进行告警或阻断管控。 ✓ ✓ 镜像安全 镜像设置 配置节点镜像和仓库镜像扫描周期。 ✓ ✓ 容器安全 实时检测 从命名空间或节点的视角实时检测容器安全状态，对容器进行基线检查、容器审计等。 ✓ ✓ 容器安全 容器策略 创建并管理容器入侵检测策略及入侵检测规则。 ✓ ✓ 容器安全 文件防篡改 创建并管理容器防篡改策略。 × ✓ 容器安全 进程访问控制 创建并管理容器进程访问策略，支持进程阻断/放行。 × ✓ 容器安全 弱口令 弱口令字典管理及弱口令检测。 × ✓ 容器安全 容器设置 设置容器保留时长、容器审计信息保留时长，及容器扫描周期。 ✓ ✓ 节点安全 节点安全 查看节点信息、集群组件信息、防御容器健康状态，对节点实时入侵监测，扫描节点漏洞，开启节点debug日志。 ✓ ✓ 节点安全 节点设置 自定扫描新增节点，设置节点更新周期。 ✓ ✓ IaC安全 IaC检查 对于部署资源所编写的编排文件，支持扫描编写内容是否存在风险以及是否符合编写规范。 × ✓ IaC安全 规则管理 统一管理K8S manifests/helmchart文件规则、Dockerfile文件规则、ConfigMap文件规则等。 × ✓ IaC安全 IaC设置 配置自动扫描、周期扫描策略。 × ✓ 集群安全 组件漏洞 扫描Kubernetes 内的kubelet、calico、etcd等组件漏洞信息。 × ✓ 集群安全 安全检查 对集群进行安全检查，发现未通过检查项及影响范围，提供解决方案及参考链接。 × ✓ 集群安全 插件管理 可通过提供插件的形式，帮助用户验证1day漏洞信息。 × ✓ 集群安全 集群审计 记录了对APIServer的访问事件，通过查看、分析日志，可以了解集群的运行状况、排查异常，发现集群潜在的安全、性能等风险对异常事件支持报警。 × ✓ 集群安全 集群策略 配置集群审计策略，管理集群审计规则，管理集群告警规则。 × ✓ 集群安全 集群设置 配置自动扫描新增集群及集群扫描周期。 × ✓ 网络安全 网络策略 通过对单个业务之间，业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围。 × ✓ 网络雷达 对容器环境中网络流量进行绘图，打破网络黑洞，支持对命名空间、Pod、主机、集群、外网级别的网络监测。通过对单个业务之间、业务组之间以及多租户之间的网络访问策略配置，通过对业务之间的隔离，来减小被入侵之后的影响范围。通过网络拓扑图从网络层判断入侵的影响范围。 × ✓ 平台管理 日志审计 对系统操作日志进行统计及报表输出。 ✓ ✓ 安装配置 支持天翼云原生集群或非原生集群部署方式。 ✓ ✓ 订单中心 查看用户订单情况，可以进行退订、扩容、续订等操作。 ✓ ✓ 任务中心 查看任务执行情况，可以进行终止、删除、查看详情等操作。 ✓ ✓ 消息中心 查收系统内部消息。 ✓ ✓

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

本章将为大家介绍如何管理共享云硬盘,包括共享云硬盘使用的场景,如何挂载、删除等操作。 创建共享云硬盘的场景 用户在创建共享云硬盘时，可以创建VBD类型的共享云硬盘和SCSI类型的共享云硬盘。 VBD类型的共享云硬盘：默认为VBD类型，不支持SCSI锁。 SCSI类型的共享云硬盘：SCSI类型的共享云硬盘支持SCSI锁。 挂载共享云硬盘 普通云硬盘单次可挂载至1台弹性云主机，而共享云硬盘最多可同时挂载至16台弹性云主机。 SCSI类型的共享云硬盘支持SCSI锁。为了提升业务数据的安全性，请结合云主机组的反亲和性策略来使用SCSI锁，将SCSI类型的共享云硬盘挂载到位于同一个强制反亲和性的云主机组内。不属于任何一个强制反亲和性云主机组的云主机，不允许挂载SCSI类型的共享云硬盘，否则SCSI锁无法正常使用，会导致您的数据面临风险。 SCSI锁和强制反亲和性云主机组的概念： SCSI锁工作原理：通过SCSI Reservation命令来进行SCSI锁的操作。如果一台云主机给云硬盘传输了一条SCSI Reservation命令，则这个云硬盘对于其他云主机就处于锁定禁用状态，其他云主机此时无法对云硬盘执行读写操作，在共享云硬盘的基础上进一步避免了对数据的损坏。 强制反亲和性云主机组：强制反亲和策略的云主机组中的云主机，严格地将云主机分散地创建在不同的宿主机上。 挂载共享云硬盘的具体操作可参见挂载云硬盘中的挂载共享云硬盘模块。

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

为资产绑定安全规则 单条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.选择需要启用的安全规则 ，单击该条目的资产数量字段中的图标。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。 多条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.勾选多条需要启用的安全规则，单击列表下方的“启用选中项”。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。

路由自动学习和分发 全网路由自动管理与学习，让网络运维不再是头疼事。 路由管理 全网实现多节点，多级路由的自动转发与学习，全网路由快速收敛。 用户配置 您不再需要进行繁重的路由配置及管理工作。 跨区域互通带宽配置 跨区域互通带宽指所规划的场景中，一个区域到另一个区域的网络带宽，可以实现两个区域之间的互通。您可以根据规划的网络连通情况，为需要进行互通的两个区域设置跨区域互通带宽。 带宽共享 多个跨区域互通带宽配置可以共用同一个带宽包。基于一个带宽包配置的多个跨区域互通带宽的总和不能超过带宽包的总带宽。 自主管理 云间高速（标准版）支持灵活分配跨区域互通带宽，可通过控制台秒级变更带宽。 与SDWAN混合组网 当本地多个数据中心需要与云上多个区域的VPC进行私网通信时，您可以将SDWAN与云间高速（标准版）进行绑定，实现混合组网，即可帮助客户快速安全地访问多个云资源池。

本小节介绍终端杀毒术语解释。 安全基线 安全基线（Security Base Line）指为了满足安全要求，相关系统和服务安全配置必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估产品是否达到安全基线，包括账号配置安全、口令配置安全、授权配置、日志配置、网络配置等。安全基线评估结果在一定程度上，反映了服务器的安全性。 隔离文件 隔离技术把存在恶意行为的木马、病毒文件进行隔离存储，避免恶意文件持续扩散。 未授权访问 未授权访问（Unauthorized Access）是不满足安全基线导致的一类问题，主要指相关服务没有对服务的访问条件进行限制，例如设置密码、限制访问来源等，导致任何人都可以直接连接服务进行操作，从而产生安全问题。