本节介绍如何扫描基线。 支持扫描全部、部分基线，也支持对基线中的部分检查项进行扫描。 扫描基线 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 单击列表右上角的“扫描基线”。 4. 在弹出的扫描窗口中设置基线范围和扫描对象。 5. 设置完成后，单击“确认”即可开始扫描。 扫描基线检查项 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 单击列表右上角的“扫描”，即可开始扫描检查相应容器、镜像和节点是否符合该基线的安全规则。

本章节介绍通过内网连接Microsoft SQL Server实例的流程。 本章介绍如何在管理控制台创建Microsoft SQL Server实例，并通过内网使用弹性云服务器上连接Microsoft SQLServer实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接Microsoft SQL Server实例。

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本节介绍内容安全检测服务的常见问题。 购买内容安全检测服务后，多长时间能出报告？ “检测类型”选择“内容安全单次检测（按需）”时，下单后7个工作日内出报告；“检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个自然月）后的7个工作日内出报告。 购买内容安全检测服务后，什么时候扣费？ 购买内容安全检测服务后，系统立即执行检测并扣费，且检测过程中，不支持修改检测域名、暂停任务、退费等操作。 内容安全检测服务支持三种检测类型：内容安全单次检测（按需）、文本安全监测（按月）、文本安全监测（按年）。选择“内容安全单次检测（按需）”时，内容安全检测服务按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。 例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 详细的计费说明请参见计费说明。 内容安全检测服务对网站的检测范围是什么？ 内容安全检测服务可对网站/新媒体平台发布的内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。 网站目录的检测范围： 检测同一个网站域名下的所有目录（检测的域名和网站名称完全一致）。例如， 不检测链接到其它域名的URL（检测的域名不一致）。例如，检测域名是“ 不检测链接到其它网站的URL（域名相同，但网站名称不一致的）。例如，检测域名是“

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

本文帮助您快速熟悉弹性云主机的安全组的查看的操作场景和操作流程。 操作场景 安全组主要是为了限制云主机/物理机的网络访问，保护云主机/物理机的安全。您可以查看云主机/物理机所关联的安全组的相关信息并根据业务需求做相应的调整。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“计算”，单击“弹性云主机”；进入云主机控制台页面。 4. 在“弹性云主机”界面，选择需要操作的云主机，点击名称进入详情页； 5. 在弹性云主机详情页，选择“安全组”页签，查看弹性云主机所属的安全组详情； 6. 支持对安全组进行更改、编辑、删除等操作，同时可以查看安全组规则，对并规则进行添加、删除、修改等操作。

本文带您了解云主机访问控制的方法。 IAM身份认证 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。具体请参考：统一身份认证IAM介绍。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需要为您帐号中的资源进行付费。 企业项目更多相关内容请参见：企业项目管理。 访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 安全组默认规则请参见安全组安全组概述。

安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的MQTT实例提供相同的访问策略。您可以通过为消息实例设置安全组，开通需访问MQTT实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。

本节介绍了容器镜像安全扫描(个人版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，如何获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通个人版实例名称。 3. 左侧导航栏点击镜像仓库。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节主要介绍修改实例安全组 使用须知 对于进行节点扩容中的实例，不可修改安全组。 操作步骤 1. 登录云数据库GeminiDB控制台。 2. 在“实例管理”页面，选择指定的实例，单击实例名称。 3. 在左侧导航树，单击“连接管理”。 4. 在“内网安全组”区域，单击，选择实例所属安全组。 1. 单击√，提交修改。此过程约需1～3分钟。 2. 单击×，取消修改。 5. 稍后可在“安全组”区域，查看修改结果。

参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid remark String 描述 strategynetworkDTOList Array of Objects 规则列表 strategynetworkDTOList 表 strategynetworkDTOList

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本小节介绍镜像恶意文件。 容器安全服务能自动检测私有镜像仓库恶意文件，为您展示资产中存在的安全威胁，大幅降低您使用镜像的安全风险。 检测周期 容器安全服务每日凌晨自动执行一次全面的检测。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的恶意文件。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、选择“镜像恶意文件”页签，查看私有镜像中恶意文件详情，并根据检测结果删除恶意文件，重新制作镜像。 恶意文件类型如：Trojan、Worm、Virus病毒和Adware垃圾软件等类型。 在“镜像版本”列，单击某个镜像版本号，可查看该镜像版本的漏洞报告详情。

本节介绍了虚拟私有云、子网、安全组、弹性IP等内容。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。 默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的弹性云主机无需添加规则即可互相访问。 图 默认安全组 默认安全组规则如下表所示。 表 默认安全组规则 方向 协议 端口范围 目的地址/源地址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。

本小节介绍购买主机安全防护配额。 通过本节介绍，您将了解如何购买主机防护配额。 购买说明 配额只能在购买时所选择的区域使用。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 为了防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部都部署主机安全服务。 购买主机安全配额后，请到主机安全服务控制台“主机管理”页面开启主机防护。 购买网页防篡改赠送旗舰版，包含旗舰版所有功能。 注意 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部署主机安全服务 。 购买企业版选择“按需计费”模式时，当ECS关机后，主机安全将停止计费。 前提条件 帐号具备BSS Administrator权限用于购买配额版本，若没有该权限需使用主帐号购买或使用主帐号对子帐号进行授权后进行购买。 操作步骤 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在界面右上角，单击“购买主机安全”，进入“购买主机安全”界面。 5、在“购买主机安全配额”界面，选择购买的规格。 购买主机安全配额 购买主机安全参数说明 参数名称 参数说明 取值样例 计费模式 根据您的需求选择“包年/包月”或“按需”计费模式。 包年/包月：在版本选择时可选择基础版、企业版、旗舰版、网页防篡改版，单次购买固定的版本使用周期，费用方面比“按需”付费方式每月优惠30%，如果您长期使用，建议包周期购买。 按需：当前购买页支持选择企业版，开启防护需要在服务器列表页开启。按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 开启按需防护步骤： 1. 在购买页选择按需，默认选择企业版，在页面右下角单击“立即开通”，页面跳转到云服务器列表页面。 2. 在云服务器列表的“操作”列单击“开启防护”，“计费模式”选择“按需计费”，“主机安全版本”选择“企业版”。 3. 确认信息无误，单击“确认”完成开启。 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 HSS不支持跨区域使用，如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。 苏州 版本选择 支持购买的版本有“基础版（包年/包月）”、“企业版”、“旗舰版”、“网页防篡改版”。 首次开启基础版可免费体验30天，体验结束后进行购买即可。 若您购买的是基础版/企业版/旗舰版配额，请在“资产管理>主机管理>云服务器”页面开启防护。 若您购买的网页防篡改版配额，请在“主动防御>网页防篡改>防护配置”页面开启防护。 企业版 购买时长 根据您的需求选择时长，“按需”模式无需选择。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的主机安全到期时，如果帐号余额充足，系统将自动为购买的主机安全续费，续费周期与购买时长保持一致。 若未勾选自动“自动续费”，在即将到期时，请手动续费。 1年 防护主机数量 输入购买主机安全防护配额的数量，“按需”模式无需选择。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，购买的主机安全服务数量建议与使用的主机数量保持一致。 购买成功后不支持增加配额，如需增加配额，请重新购买即可。 20 标签 为同一种类型云资源进行自定义标签，帮助您实现快速查找，“按需”模式无需填写。 data 6、在页面右下角，单击“立即购买”，进入“订单确认”界面。 7、确认订单无误后，请阅读《主机安全免责声明》并勾选“我已阅读并同意《主机安全免责声明》”。 8、单击“去支付”，进入付款页面，单击“确认付款”，完成支付，购买成功。

物理机是否可以关联多个安全组？ 弹性裸金属支持关联多个安全组。 通过将弹性裸金属添加到不同的安全组中，您可以为其应用多个安全规则，以提供更灵活和细粒度的网络访问控制。这样可以实现不同层次、不同需求的安全隔离和保护。通过合理配置安全组规则，可以限制入站和出站流量，控制来源和目标IP地址、端口以及协议类型等，从而加强对物理机的网络安全防护。 说明：当弹性裸金属同时属于多个安全组时，它将同时遵循所有安全组规则。因此，在管理和配置安全组规则时，需要确保规则之间的协调和一致，以避免可能引发的网络通信故障。 安全组为什么无法绑定到物理机上？ 只有弹性裸金属支持关联安全组，标准裸金属不支持关联安全组。 标准裸金属不支持关联安全组，怎么解决网络端口无法访问的问题？ 参考关闭及禁用防火墙操作文档。 为什么有的子网不支持VPC和子网切换？ 多az资源池的标准裸金属不支持VPC/子网切换，建议您在多az资源池创建标准裸金属前，提前做好网络规划。 物理机可以和同一VPC内的弹性云主机通信吗？ 可以。 当物理机和弹性云主机在同一个子网内时，它们可以直接相互通信，无需经过路由器。建议在安全组规则中配置允许物理机和弹性云主机之间通信的策略。

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本小节介绍安全专区最佳实践。 背景信息 安全专区为一站式套餐产品，客户无需手动配置下单完成后会自动交付，如遇到问题可以了联系产品客服跟踪处理。 前期准备 下单完成后交付人员会联系客户完成部署调研表以为客户系统进行割接配置。 操作配置 安全专区整合六大安全组件功能集于安全管理中心，使用过程无需过多配置，交付完成后可参照产品使用手册进行日常维护。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

关停加速服务 1、登录边缘安全加速控制台进行停用操作，域名点击停用后，天翼云接入层CNAME将立刻解析至不可访问地址。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，CDN节点虽会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过账户充值结清欠款，并对域名进行【启用】操作，边缘安全加速平台即可恢复服务。操作步骤如下： 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名】【域名管理】。 3. 在域名列表页面，找到【已停止】的域名，单击【操作】列的【启用】。 4. 对弹出的【启用确认】，单击【确认启用】。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

本节介绍智算安全专区常见问题。 大模型安全卫士是什么？ 大模型安全卫士是一款专为大模型安全设计的一站式防护产品，提供从开发、训练、部署到运营的全生命周期安全闭环，保护用户的智算基础设施。 开通大模型安全卫士需要哪些要求？ 大模型安全卫士需要部署在和安装大模型的云主机所在的同一个虚拟私有云（VPC）内。 大模型安全卫士能解决智算场景下哪些安全问题？ 有效拦截大模型推理过程中的潜在违规内容，对输入和输出的语义进行深度分析和检测，防止模型被利用进行恶意攻击或生成有害内容，强化了模型推理过程中的安全保障。 代理RAG业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 支持开启模型推理的情况下检测聊天内容中的隐私信息并脱敏。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问MQTT实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

查询监测任务执行情况 如果您需要查询任务执行情况，查询方式如下: 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要查看的域名。 3. 在任务列表中，在【操作】栏中单击【任务执行情况】按钮，您可以在查看到监测开始时间、监测结束时间、任务执行状态，重新监测和查看风险日志。 关闭所有扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 单击【网站风险监测】开关，会停止所有扫描任务。 查看及导出内容安全风险日志 若您在内容安全监测任务结束后，有查看和导出风险日志的需求，可以在监测任务>任务执行情况，点击查看风险日志跳转网站风险日志页面。 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要操作的域名。 3. 在监测任务列表选择您要查看报告的任务，点击【任务执行情况】。 4. 点击【查看风险日志】跳转至【网站风险日志】页面。 5. 内容安全监测风险日志支持查看安全风险名称、发现时间、风险URL、监测分类、风险等级等等。 6.

本文介绍如何购买安全加速服务。 1.打开天翼云官网 2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务； 3.实名认证后进入安全加速产品详情页快速了解产品，之后单击【立即开通】； 4.在购买页面选择适合的计费方式和产品能力，确认订单，点击【立即开通】，安全加速服务即开通； 5.安全加速服务开通后，便可以根据操作手册去控制台开始接入您要加速的域名了。

本小节介绍安全专区资产管理服务器主机部署情况。 资产描述区域 服务器名称：服务器资产IP地址； 所属VPC：可选择； 操作系统：服务器资产类型。 防御部署状态区域 服务器主机安全组件部署情况。 数据库审计：是否已配置数据库审计； 日志审计：是否已配置日志审计； 主机安全：是否已安装终端安全EDR客户端。 安全数据区域 汇总展示服务器主机威胁、漏洞安全情况。 分组浏览 可选择服务器分组进行筛选资产。

本文将重点介绍企业访问安全相关策略。 使用场景 边缘安全加速平台的零信任服务秉承“持续验证，永不信任”的原则，在基于身份认证和应用授权构建的访问信任基础之上，持续验证每个网络请求，及时识别并拦截攻击行为，全方位地保障您的企业资源安全，本文将重点介绍企业访问安全相关策略。 操作限制 进行相关安全策略前提需购买零信任服务，且产品服务处于服务中。 安全策略 重点介绍常用的企业办公安全所需的安全策略，主要策略如下： 身份识别与登录认证：通过密码强校验、二次认证等策略进行强化登录过程中的安全系数。 细粒度的应用资源管控：针对应用、身份进行最小权限限制，避免越权。 持续认证的高级安全防护：通过横向扫描防护、准入管控、终端环境感知来持续动态评估接入内容的访问请求的安全性，如有异常及时进行相关处置。 灵活的访问控制：可针对用户、IP、应用等进行灵活组合限制，满足企业安全管控需求。 身份识别与登录认证 您可以在控制台的身份管理模块为企业员工创建对应的零信任用户账号。企业员工通过零信任客户端登录鉴权后才能访问相关应用资源。零信任服务支持您自定义配置密码合规策略、密码校验失败锁定、二次认证等策略，来加强用户登录过程的安全系数，详情请见身份管理。

会前设置 1. 创建者预定会议时，在预定会议页面点击“更多安全设置”。 2. 进入“安全设置”>“参会者管理”页面，根据需求调整参会者权限。 会中设置 1. 点击底部工具栏 “安全”按钮。 2. 进入“安全设置”>“参会者管理”页面，根据需求调整参会者权限。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。