• 【cmwill】块存储
    云硬盘EVS形成过程原理并解释优势所在。如图:优势所在:Evs的核心技术原理采用Raid2.0技术不断将底层disk的空间进行拆分重组,以此达到空间负载均衡的效果空间完全负载均衡的设计可一方面减少高压情况下的高压盘(负载分担),另一方面尽可能减少存储池内空闲盘的存储,提升整体工作利用率;此外,在云硬盘故障或物理盘故障后,CK级的重构会相较于传统模式,恢复速度更快;
  • [交流分享] 块存储、文件存储、对象存储的概念、特点、使用场景和区别
    ↵块存储: SAN存储提供给应用的是一个LUN或者是一个卷,LUN和卷是面向磁盘空间的一种组织方式,上层应用要通过FC或者ISCSI协议访问SAN。SAN存储处理的是管理磁盘的问题,适用于实时读写场景;弹性文件服务:NAS存储提供给应用的是一个文件系统或者是一个文件夹,上层应用通过NFS和CIFS协议进行访问,利用FTP+TFTP协议进行上传下载,此外,文件系统要维护一个目录树,适用于企业组织内部共享场景,提升办公效率和存储空间利用率(减少同类型数据复存)对象存储:对象存储更加适合web类应用,基于URL访问地址提供一个海量的桶存储空间,能够存储各种类型的文件对象,对象存储是一个扁平架构,无需维护复杂的文件目录。无需考虑存储空间的限制,一个桶支持近乎无限大的存储空间。(适用于离线、冷数据、归档数据、作为后端存储为客户打造的离线存储系统,性价比高…)一、块存储1.概述块存储是将裸磁盘空间整个映射给主机使用的,比如磁阵中有3块1T硬盘,可以选择直接将裸设备给操作系统使用(此时识别出3个1T的硬盘),也可以划分经过RAID、逻辑卷等方式划分出多个逻辑的磁盘供系统使用(比如划分为6个500G的磁盘),主机层面操作系统识别出硬盘,但是操作系统无法区分这些映射上来的磁盘到底是真正的物理磁盘还是二次划分的逻辑磁盘,操作系统接着对磁盘进行分区、格式化,与我们服务器内置的硬盘没有什么差异。块存储不仅仅是直接使用物理设备,间接使用物理设备的也叫块设备,比如虚机创建虚拟磁盘。VMware、VirtualBox都可以创建虚拟磁盘,虚机创建的磁盘格式包括raw、qcow2等,这与主机使用的裸设备不一样,且有不同的应用场景。2.特点(1)优点通过RAID与LVM等手段,对数据提供了保护(RAID可实现磁盘的备份和校验,LVM可以做快照);RAID将多块廉价的硬盘组合起来,构建大容量的逻辑盘对外提供服务,性价比高;写数据时,由于是多块磁盘组合成的逻辑盘,可以并行写入,提升了读写效率;很多时候块存储采用SAN架构组网,传输速率以及封装协议的原因,使得传输速度与读写速率得到提升。(2)缺点采用SAN架构组网时,需要额外为主机购买光纤通道卡,还要买光纤交换机,造价成本高;不利于不同操作系统主机间的数据共享,因为操作系统使用不同的文件系统,格式化完成后,不同文件系统间的数据是无法共享的。3.典型设备磁盘、磁盘阵列4.应用场景一般用于主机的直接存储空间和数据库应用的存储分两种形式:DAS:一台服务器一个存储,多机无法直接共享,需要借助操作系统的功能,如共享文件夹;SAN:金融电信级别,成本较高,但是可提供高性能和高可靠服务。云存储的块存储:具备SAN的优势,成本低,可提供弹性拓容,存储介质可选普通硬盘和SSD。5.主流技术Microsoft:Azure Block StorageGoogle:Google Block StorageAmazon:Elastic Block Storag(EBS)OpenStack:Cinder其他:Ceph RBD、sheepdog二、文件存储1.概述为了克服块存储无法共享的问题,所以就有了文件存储。文件存储也有软硬一体化的设备,用一台普通服务器/笔记本,只要安装上合适的操作系统与软件,就可以对外提供FTP与NFS服务。2.特点(1)优点造价较低:只需要普通机器和普通网络即可满足需求,不需要专用的SAN网络;方便文件共享。(2)缺点读写速率低,传输速率慢:以太网,上传下载速度较慢,另外读写操作都分布到单台服务器,与磁阵的并行写相比性能差距较大。3.典型设备FTP、NFS服务器4.应用场景与偏向底层的块存储不同,文件存储上升到了应用层,一般指的是NAS。一套网络存储设备,通过TCP/IP进行访问,协议为NFSv3/v4由于通过网络,且采用上层协议,因此开销大,延时肯定比块存储高,一般用于多个云服务器共享数据,如存放共享文件等。5.主流技术Microsoft;Windows Azure文件共享存储Google:Google FileStorage(GFS)Amazon:Elastic File Storage(EFS)OpenStack:Swift其他:CephFS、HDFS、NFS、CIFS、Samba、FTP三、对象存储1.概述之所以出现对象存储,是为了克服块存储与文件存储的缺点,发扬他俩各自的优点。简单地说,块存储读写块,不利于共享,文件存储读写慢,利于共享。为什么对象存储兼具块存储与文件存储的好处,还要使用块存储或文件存储呢?有一类应用是需要存储直接裸盘映射的,例如数据库。因为数据库需要存储裸盘映射给自己后,再根据自己的数据库文件系统来对裸盘进行格式化,所以是不能够采用其他已经被格式化为某种文件系统的存储的。数据库更适合使用块存储。对象存储的成本比普通的文件存储高,需要购买专门的对象存储软件以及大容量硬盘。2.特点(1)优点结合了块存储与文件存储的优点(2)缺点数据库等追求高性能的应用更适合采用块存储。对象存储的成本比普通的文件存储还是较高。3.典型设备内置大容量硬盘的分布式服务器。4.应用场景对象具备块存储的高速以及文件存储的共享等特性,有自己的CPU、内存、网络和磁盘,比块存储和文件存储更上层。云服务商一般提供用户文件上传下载读取的REST API,方便应用集成此类服务。5.主流技术Microsoft:Azure StorageGoogle:Google Cloud StorageAmazon:Simple Storage Service(S3)OpenStack:Swift其他:Ceph OSD四、对比1.块存储 VS 文件存储物理块与文件系统之间的关系图:映射关系:扇区->物理块->逻辑块->文件系统块级备份:块级备份是指物理块复制,效率高,实时性强,备份时间短,且增量备份时,只备份修改过的物理块。文件级备份:文件级备份是指在指定某些文件进行备份时,首先会查找每个文件逻辑块,其次物理块,由于逻辑块是分散在物理块上,而物理块也是分散在不同扇区上。需要一层一层往下查找,最后才完成整个文件复制。文件级备份比较费时间,效率不高,实时性不强,备份时间长,且增量备份时,单文件某一小部分修改,不会只备份修改部分,而是整个文件都备份。2.文件存储 VS 对象存储对象存储:大多数对象存储的实现本质是键值对存储系统;采用扁平化的管理方式(根据键找到值);值可以是任何东西,可以是小文件(小二进制片段),可以是大文件;对象存储一般不支持追加写和更新,面向的是一次写入,多次读取的需求场景;多采用Restful API。文件存储:不考虑底层到底是怎么实现的;采用目录结构管理数据;一般要尽可能兼容Posix文件系统API。一、文件存储文件存储是最常见的存储类型之一。大多数人从日常的计算机使用中熟悉它。考虑一个简单的案例:您将最近旅行中的照片存储在个人笔记本电脑/台式机上。首先,创建一个名为“我的旅行”的文件夹。现在,您可以在此文件夹下添加名为“我的收藏夹”的另一个文件夹,并将您喜爱的照片放入其中。通过这种方式,您将文件组织为具有文件夹和子文件夹的分层结构,并可以使用文件夹/文件路径访问它们。以这种方式存储文件时,它附加的元数据有限,例如创建日期、修改日期和文件大小。随着数据量的增长,这种简单的组织架构可能会引发问题。性能可能下降是因为文件系统上的资源需求不断增加以跟踪文件和文件夹,并且这些“结构”问题无法通过简单地增加文件系统可用的存储空间来解决。尽管存在大规模潜在问题,但文件系统在工作场所和大中型企业中使用的个人计算机和服务器上的日常使用情况良好。通常在硬盘驱动器和网络连接存储(NAS)系统上看到并部署文件存储。二、对象存储对象存储是一种数据存储,其中每个数据单元(称为“对象”)作为离散单元存储。这些对象实际上可以是任何类型的数据:pdf,视频,音频,文本,网站数据或任何其他文件类型。与文件存储相反,这些对象存储在单个平面结构中,没有文件夹层次结构。在对象存储中,与文件存储使用的嵌套分层结构不同,所有对象都存储在平面地址空间中。此外,所有默认和自定义元数据都与对象本身(不作为单独的文件系统表或索引的一部分)一起存储在具有唯一标识符的平面地址空间中,并且这种方式变得更容易索引和访问。对象存储在基于云的存储方案中非常常见,可用于以极高的可伸缩性和可靠性管理,处理和分发内容。平面寻址方案意味着访问单个对象既快速又简单:对象名称可以作为查找表中的“键”。对象存储系统只需要知道您要查找的对象的键(名称),然后可以使用查找表快速轻松地将其返回给您。三、块存储对象存储和文件存储都将文件视为单个“数据单元”。正如名称所示,块存储将数据视为一系列固定大小的“块”,其中每个文件或对象可以分布在多个块上。不需要连续存储这些块。每当用户请求该数据时,底层存储系统将数据块合并在一起并提供用户请求。这可以在不需要分层结构的情况下实现,因为每个块具有不同且唯一的地址并且独立于所有其他块而存在。在某些情况下,块存储可以非常快速地检索数据,因为不一定需要读取数据的一条路径(想象一下磁盘阵列,其中可以从多个磁盘读取同一文件的数据)。块存储也实现了高效率,因为块可以存储在最方便的地方(表示相同文件或对象的块不需要彼此相邻地存储)。但是,块存储通常很昂贵,并且处理元数据的能力有限(对象或文件级概念),这些需要在应用程序级别进行处理。块存储通常部署在存储区域网络(SAN)存储中。在大多数应用程序中,对象或文件存储实际上是底层块存储之上的一层。您可以将块存储视为构建文件存储系统的基础。下表比较了不同类型存储的不同功能。块存储是“高度结构化的”,因为每个数据块都排列在结构化的固定块中,以便于索引和搜索。文件存储以分层方式被索引和“结构化”,并且对象存储是“非结构化的”,因为没有用于数据存储的格式或结构,而是存在简单的对象列表。简单来说,“数据一致性”可以理解为存储系统所做的读取,写入和更新保证,例如最近写入的对象是否可以立即回读。“访问级别”是用户必须访问和操作数据的权限级别。能力对象存储文件存储块存储一致性最终一致性强一致性强一致性结构非结构化层级结构以块为结构存储级别对象级别文件级别块级别云硬盘、弹性文件服务、对象存储的区别云硬盘、弹性文件服务、对象存储服务的区别_什么是云硬盘_云硬盘 EVS-华为云 (huaweicloud.com)
  • [常见问题汇总帖] ubuntu 挂载数据盘后 启动docker-compose 无法访问 ,每次启动都报错 'mysql' is not the name of a known user
    # Use root/example as user/password credentials #version: '3.6' services:              mysql:     image: mysql     container_name: mysql     hostname: mysql     command: --default-authentication-plugin=mysql_native_password     restart: always     environment:       MYSQL_ROOT_PASSWORD: Yidu@0702     external_links:       - mysql     ports:       - "33306:3306"     volumes:       - /mnt/sdb/mysql/data:/var/lib/mysql       - /mnt/sdb/mysql/conf:/etc networks:      mysql:       external: true
  • [问题求助] 在notebook上传安装包,然后pip本地安装。conda list里面没有安装好的包,而且notebook每次重启后要重新安装。
    如图:我依次安装对应的包,然后执行congda list以后没有显示torch,torchvision等,重新安装则显示已安装。重启notebook,再次重新安装,就像第一次安装一样。我想在notobook里面安装torch的支持,需要怎么实现呢
  • [热门活动] 华为云存储即将亮相快成长直播间,产品方案全升级!
     “828选华为云,实惠更实用”。在大数据、云计算、物联网、人工智能等技术快速发展的加持下,数字经济迎来了快速发展,数字化已成为经济发展的新动能,企业数字化转型已经成为顺应时代发展、适应行业竞争、适应市场需求的必由之路。正值“828 B2B企业节”华为云开设快成长企业科技直播,为中小企业解决数字化转型难题。更有全新存储理念、升级存储产品等你来一键解锁!9月2日19:00—20:00,华为云存储高级专家Simon、高级产品经理Jackson将一起亮相华为云快成长直播间,全景式讲解华为云存储服务,更有OBS、CBR、SFS等服务案例详解,多种优惠方案及产品组合满减叠加,精彩不容错过!​对象存储服务(OBS):高效、稳定、易用、安全!企业云化转型,意味着海量数据需要上云存储,怎么选择好用的存储服务,帮助企业降本增效,是众多企业面临的挑战。华为云对象存储服务提供千亿对象,千万级并发、超高带宽、稳定低时延的数据访问体验,具备高效、稳定、易用、安全四大优势,满足海量数据智能存储的需求,可应用于视频互娱、企业云盘、备份归档、大数据等场景,存储空间弹性扩展,帮助用户轻松管理海量数据和支持业务变现。华为云备份服务(CBR):分钟级虚机创建!在云内备份、混合云备份、业务迁移和批量部署等场景下,华为云备份能提供简单易用的备份服务,针对病毒入侵、人为误删、软硬件故障等,可以将数据恢复到任意备份点。以华为商城为例,在电商业务突发流量极大且易被黑客攻击的情况下,华为云备份采取多AZ部署、同城双活和异地容灾保障,实时监控平台状态等措施,实现业务高峰期通过业务负载均衡和资源弹性伸缩,5分钟批量创建数千台虚机,完美解决高峰期客户体验问题。弹性文件服务(SFS):完美支撑高清编辑、媒资库、企业办公等场景!华为云SFS弹性文件服务具备的文件共享、弹性扩展、高性能、可靠以及无缝集成的优势,使其为HPC行业场景存储效率提供保障,在媒体处理时具备稳定的高宽带、低时延绝佳表现,同时文件服务还可用于各种内容管理系统。828 B2B企业节期间,华为云快成长直播间邀行业大咖专业讲解云存储服务,为中小企业的数据存储问题提供经验借鉴,OBS、CBR、SFS等服务不仅一件优惠,更有组合产品叠加满减的机会,还有华为云HDC雨伞、小音箱、保温杯等奖品等你来领取。9月2日19:00—20:00,如果你正在为数据存储服务的选择犹豫不决,锁定华为云官网、华为云存储服务,让您不踩坑!9月2日19:00—20:00,华为云快成长直播间,精彩不容错过:cid:link_0828 B2B企业节官网:cid:link_1 
  • [云实验室] 10分钟快速入门EVS_步骤-windows EVS初始化挂载成功,仍然显示未完成
    windows EVS初始化挂载成功,仍然显示未完成
  • [综合] 哪些云服务在子网里面,哪些在az里面,哪些是整个region级的
    region:ELB、NAT、AS、云监控、云容器……az:云硬盘、云硬盘备份、SFS……子网:ECS、物理机服务DRS 跨REGIONSDRS 跨AZOBS 跨REGION复制
  • [下午茶时光] 云硬盘EVS形成过程原理
    1、云硬盘的核心技术原理,采用RAID2.0技术,不断将底层disk的空间进行拆分重组,以此达到空间负载均衡的效果。2、空间完全负载均衡的设计可一方面减少高压情况下的高压盘(负载分担),另一方面尽可能减少存储池内空闲盘的存储,提升整体工作利用率;3、此外,在云硬盘故障或物理盘故障后,CK级的重构会相较于传统模式,恢复速度更快。 云硬盘(Elastic Volume Service)是一种为ECS、BMS等计算服务提供持久性块存储的服务,通过数据冗余和缓存加速等多项技术,提供高可用性和持久性,以及稳定的低时延性能。您可以对云硬盘做格式化、创建文件系统等操作,并对数据做持久化存储云硬盘性能的主要指标包括:IOPS:云硬盘每秒进行读写的操作次数。吞吐量:云硬盘每秒成功传送的数据量,即读取和写入的数据量。IO读写时延:云硬盘连续两次进行读写操作所需要的最小时间间隔。
  • [存储] EVS的技术原理你懂吗?
    Evs的核心技术原理采用Raid0技术不断将底层disk的空间进行拆分重组,以此达到空间负载均衡的效果空间完全负载均衡的设计可一方面减少高压情况下的高压盘(负载分担),另一方面尽可能减少存储池内空闲盘的存储,提升整体工作利用率;此外,在云硬盘故障或物理盘故障后,CK级的重构会相较于传统模式,恢复速度更快; 以上就是EVS基于RAID 2.0技术的优势所在,你看懂了吗?如仍有疑问,请参看示意图:
  • [HDZ活动专区] DevStar的好处
    对于我们学生来说,DevStar服务不收取任何费用方便了我们能够快速获取更多资源,并且DevStar具有强大的框架代码初始化能力,能够将按模板生成框架代码推送至用户桌面,让使用者快速上手,提高工作效率,同时DevStar还拥有海量代码模板,在现阶段能满足我们各种开发需要,大大提高了我们的使用效率。是一款非常值得提倡的平台。
  • [问题求助] DevStar 智能OCR图像文字识别 创建者应用部署显示无授权
    【功能模块】DevStar 智能OCR图像文字识别【操作步骤&问题现象】1、在进行智能图像识别时,创建项目后,按照步骤在进行应用部署时,一直显示无授权,重复多次仍旧如此2、【截图信息】【日志信息】(可选,上传日志内容或者附件)
  • [热门活动] 华为云存储618特惠来袭,OBS限时秒杀低至1.9折起
    锁定华为云存储分官网,限量福利限时抢购!更多大额优惠券等你来领!点击进入:https://activity.huaweicloud.com/obs.html活动时间:2020年6月1日-2022年6月30日本次华为云存储618活动是年中最优惠的以低价购入云产品的活动,也是企业、个人、开发者的最佳上云时机。华为云存储分会场共有7大版块,分别是:优惠券专区、限时秒杀免费体验专区、存储热销产品专区、组合购专区、新购满额送好礼专区、产品应用场景专区、活动抽奖专区。各版块活动多多,新老用户同享。需要上云的朋友可根据自身情况选择,不要错过呦!优惠券专区活动期间,用户可在存储分会场领取618专属优惠券购买存储促销商品,本次优惠券分为满1000减50元、满2000减100元两种,可领取150元,存储新老用户专享。限时秒杀免费体验专区云存储618活动设置限时秒杀专区,OBS单AZ存储包部分产品1.9折起, 100G免费试用一个月。存储新用户专享500G特惠,以最低的价格享受最优的服务,数量有限,先到先得。存储热销产品专区精选存储热销产品中对象存储服务OBS、云服务器备份CBR、弹性文件服务SFS,全年购低至6折起,新老用户同享,满足您的上云需求。组合购专区针对不同场景业务需求不同,精选存储热销产品组合销售,产品搭着买,优惠共同享,组合商品折上折,满足各阶段需求。新购满额送好礼活动期间,累计新购实付达到指定金额,即可参与活动兑换相应的实物礼品。注意:现金券、折扣、优惠券等除外,续费订单不参与此活动,具体活动规则以官网活动说明为准。存储产品应用场景专区精选各储存产品热门场景应用,分析产品特性及使用优势,爆款产品组合推荐,产品搭着买,优惠共同享,满足各阶段的发展需求。并享技术专家一对一免费询问,技术支持,快速响应。抽奖专区活动期间,注册并完成企业实名认证或新购付费>1元时,即可获得一次抽奖机会,中奖概率100%,活动期间最高可获得两次!快来参与吧!有需要了解更多特惠产品的用户也可前往华为云主会场选购。惠上云、更简单,最高可领8888元上云大礼包!点击前往:https://activity.huaweicloud.com/618_promotion/index.html618存储狂欢专场,有问题咨询怎么办?面对如此折扣力度的大促活动,有问题和建议的可第一时间向我们反馈售前咨询:4000-955-988/950808 转1华为云存储618年终钜惠,超多福利享不停。海量产品,多种组合任你选,助力企业轻松上云,专属定制上云方案,让上云更简单!
  • [高校开发者专区] 如何使用 DevStar 10分钟开发增值税发票文字识别应用
  • [知识分享] DevSecOps“内置安全保护”,让软件研发“天生健康”
    本文分享自华为云社区《DevSecOps软件研发安全实践——设计篇》,作者: 敏捷小智 。 # 前言 随着DevOps的发展,DevOps大幅提升了企业应用迭代的速度。但同时,安全如果不能跟上步伐,不仅会抵消DevOps变革带来的提升,拖慢企业数字化转型进程,还会导致漏洞与风险不约而至。所以安全能力在全球范围内受到的重视越来越高, 软件开发内生的安全性成为评价企业DevOps成熟度水平的重要指标 。 一直以来,业界长期重视软件上线后的安全防护,而对研发阶段的安全投入不多。2012年,Gartner提出了DevSecOps的理念。DevSecOps 的理念是将安全防护流程有机地融入传统的 DevOps 流程中,为研发安全提供强有力保证,安全工具支撑研发阶段段安全要求落地。 # 安全设计的重要性 在《DevSecOps领导者指南》一书中,作者Glenn Wilson提出了DevSecOps的三层方法论,安全教育(Security Education)、通过设计保证安全(Secure By Design)、安全自动化(Security Automation)。设计安全是实现DevSecOps非常重要的一环,大量历史经验也表明,越早在架构设计阶段考虑到安全设计的系统,比那些在越晚的开发设计阶段才考虑安全设计的系统,要安全得多。根据美国国家标准与技术研究所(NIST)统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的 30 倍。具体数据如图所示。 ![image.png](https://bbs-img.huaweicloud.com/data/forums/attachment/forum/20224/29/1651196994417988310.png) DevSecOps 的目标是在软件生命周期的全部阶段,可以更早、更快地发现并处理安全问题。从开始的安全左移到现在的无处不移,都是为了实现这个目标。因此设计安全作为全生命研发周期的排头兵必不可少。 # 业界的相关安全设计实践 如何做好设计安全,我们先来参考下业界相关机构和企业的做法。 • **安全开发生命周期SDL**(Security Development Lifecycle)是微软最早提出,专注在软件开发流程的各个阶段的安全和隐私问题,在系统设计阶段提到了三个方面:安全设计、威胁建模和安全和隐私风险评估。 • **OWASP推出了SAMM**(Software Assurance Maturity Model),帮助开发者在软件工程的过程中实施安全,在软件构造阶段提出了威胁评估和安全架构。 • **信息通信研究院的研发运营安全体系**中,明确给出设计阶段需要进行确定质量安全门禁、受攻击面分析、威胁建模、安全需求设计知识库、安全设计原则。 • **腾讯在设计阶段提出了公司安全规范的建立、安全评估和威胁建模**,腾讯构建了自己的隐私保护方法论——用户、控制、数据三位一体的方式。 • **小米提出了设计阶段要制定小米安全手册、构建安全培训体系、进行威胁建模分析**。 • **华泰证券在DevSecOps敏捷安全大会2021中发表了《安全内建-通过设计保证安全》**,提到了安全架构设计、轻量级威胁建模和安全测试金字塔三个方面。 其他更多内容不在一一列举,关于设计阶段的安全保障大家都有自己独有的特色,下面我们主要是围绕安全架构设计保证安全落地有法可依,进行威胁建模让安全落地有迹可循、做好隐私和敏感数据保护让安全落地在每一个细节和实处这几个方面进行阐述。 # 安全架构设计 在DevSecOps中,安全设计从应用程序扩展到容器和基础设施,应用程序代码和基础设施代码是抵御恶意行为者的多重威胁的重要防线。将良好的设计原则集成到产品的架构和开发中是编写安全代码的基本要求。当架构与安全控制直接相关时,确保工程师遵守良好的设计原则是非常重要的。安全控制存在于端到端交付的整个价值流中,从开发阶段内置于应用程序中的控制到运行时保存应用程序的控制。这些措施包括保护源代码或者保护应用程序运行时,还扩展到客户与应用程序的交互,如身份验证和授权过程。 在安全架构设计中,可以以安全三元组和安全设计原则为基准。机密性(Confidentiality)、完整性(Integrity)、可用性(Availability),简称为CIA三元组,是安全的基本原则。机密性指只有授权用户可以获取信息,不可被任何未授权的用户获取。完整性指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可用性指保证合法用户对信息和资源的使用不会被不正当地拒绝。 业界通用的安全设计原则,主要体现在限制性、简单性和设计性三个方面: **限制性原则** - 失败-默认安全原则(Fail-Safe Defaults),要有当功能失效后的应急安全机制,还有默认的产品配置就应该是安全状态,不存在安全漏洞。 - 完全仲裁原则(Complete Mediation),安全检查要覆盖任何一个访问操作。安全机制有能力标识每一个访问操作请求的所有源头。 - 特权分离原则(Separation of Privilege),将特权进行细分,分配给多个主体,避免一个主体拥有的特权非常多。比如设置系统管理员,配置管理员,安全管理员等不同角色,对应不同特权。 - 最小权限原则(Least Privilege),每个对象只拥有完成工作所需特权的最小集合,限制由意外或错误所引起的破坏。 **简单性原则** - 经济适用原则(Economy of Mechanism),安全设计尽可能短小精悍,在使用的时候更容易处理。 - 最少公共机制原则(Least Common Mechanism),公共资源的共享对象应该设置为最少的数量,避免多个对象共享同一个资源的场景。 **设计性原则** - 开放设计原则(Open Design),不要自行设计安全机制,不要自研算法,开发设计更重要。可以通过密钥、口令等来增强系统的安全性,这样有利于安全机制接受广泛的审查。 - 心理可承受原则(Psychological Acceptability),在心理可承受的前提下,为安全机制设置良好交互性,安全机制可能会为用户增加额外的负担,但是这种负担必须是合理的,用户可承受的。比如多次登录失败后才需要输入验证码。 业界经过多年的发展和总结,又发展引申出其他一些安全原则,例如纵深防御、不要轻信、保护最薄弱环节、提升隐私原则等。 # 威胁建模 威胁建模是分析应用程序安全性的一种结构化方法,用来识别,量化和解决与应用程序相关的安全风险,通过识别目标和漏洞来优化系统安全,然后定义防范或减轻系统威胁的对策的过程。在设计新产品或者现有产品中功能的时候,工程师需要熟悉攻击者搜索的安全漏洞类型,以便他们能够减轻被利用的风险;需要了解设计中固有的风险,以便在交付生命周期的早期消除或者减轻这些风险。综上所述,威胁建模就是工程师评估产品或功能的设计以识别威胁并确定如何构建针对他们的保护的过程。 威胁建模的过程可以参考微软提供的方法:预设场景->图表化场景/过程->识别威胁->提供给每个威胁的环节措施->验证所有威胁和缓解措施。 ![image.png](https://bbs-img.huaweicloud.com/data/forums/attachment/forum/20224/29/1651197136889582920.png) 一些IT互联网公司,在大量的实践经验基础上,构建了自己的安全威胁库和安全需求库,实现了轻量级威胁建模过程,通过安全评估调查问卷,从系统结构和使用场景去识别将要构建的应用类型,然后匹配对应的威胁库和需求库,确定安全需求基线,最终得出安全设计方案。 业界有许多的威胁建模的方法已经开发出来,如微软的STRIDE、攻击模拟和威胁分析流程PASTA、LINDDUN、通用漏洞评分系统CVSS、攻击树、Persona non Grata、安全卡、VAST建模等方法,可以将它们组合起来以创建更强大、更全面的潜在威胁视图。并不是所有的方法都是全面的,有些是抽象的,有些以人为中心,还有些方法是专门针对风险或者隐私问题,组织应该根据项目的特定需求选择哪种方法。 # 安全隐私和数据保护 安全隐私需求分析与设计是服务应用研发运营整个生命周期的源头,在设计阶段应仔细考虑安全和隐私问题,在项目初期确定好安全需求,尽可能避免安全引起的需求变更。 DevSecOps研发运营安全解决方案关注痛点安全问题,如安全要求、合规要求以及目前热点的个人数据和隐私保护等问题,使用安全解决方案可以更好的避免此类安全问题的发生,提升软件应用服务的安全性。 安全隐私需求主要来自于客户安全需求,业界最佳实践如OWASP TOP10、OWASP ASVS,公司安全策略《xxx信息技术管理规范》《xxx数据管理规范》,行业监管要求,以及法律法规《网络安全法》、《个人信息保护规范》、《数据安全法》等。建立明确的安全需求管理流程,能够对安全需求的分析、评审、决策等环节进行有效管理,让需求分解分配可追溯。 # 华为云安全设计实践 华为有20年研发安全积累,华为的研发安全能力是伴随业务中不断出现的问题逐步形成的。华为将已经开放的运维安全能力,和即将开放的研发安全能力与华为云DevCloud深度融合,为企业带来DevSecOps平台,让企业便捷的落地DevSecOps理念,在软件开发过程中就内置了安全保护,让软件“天生安全,健康成长”,成为企业的竞争力。 ## 安全架构设计 华为在安全设计原则方面,基于业界的规范,构建了自己的基础安全技术与工程能力,形成了安全标准与规范,其中包括安全/隐私需求基线,基础安全设计规范落地,安全编码规范,采购安全要求,开源及第三方软件安全管理策略。 华为云在参考信息技术安全评价通用专责CC的安全功能项、NIST控制集,总结成产品安全架构设计8维度24子项。8维度安全架构设计包括以下几个方面: ![image.png](https://bbs-img.huaweicloud.com/data/forums/attachment/forum/20224/29/1651197173420789636.png) 以此指导架构设计人员系统、全面地进行安全架构设计,避免架构级安全设计遗漏。 ## 威胁建模 华为有自己的威胁建模工具 SecDesign,在产品设计期就进行威胁建模,识别并消减风险 从痛点问题入手去思考:在系统需求分析和设计阶段,怎样才能使产品更安全?在什么样的子系统、模块、数据流之间考虑安全风险?识别了风险后,怎么消减几个方面进行思考?华为云开放的安全设计域,对STRIDE方法论进行升级,用于系统威胁分析,提供分析维度、参考案例,辅助进行安全设计;根据识别到的安全风险,智能推荐消减措施及测试用例,输出分析报告;长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识,为安全设计提供丰富的华为与业界经验,极大降低企业安全设计门槛。 ## 安全隐私和数据保护 华为云构建了全生命周期的数据安全和隐私保护设计,实现数据隔离、数据加密和数据冗余。 • **数据隔离**:隔离机制可避免客户间有意或无意的非授权访问、篡改等行为,降低数据泄露风险。华为云的云硬盘EVS、对象存储服务OBS、弹性文件服务SFS等服务均将客户数据隔离作为重要特性。用户在设计云上业务架构时可利用这些云服务实现数据安全隔离的目标。 • **数据加密**:加密可保护静态和传输中的数据。华为云的云硬盘EVS等多个服务均支持与数据加密服务DEW集成,实现密钥管理和数据加密。华为云还采用加密传输通道,保障数据在传输过程的机密性和完整性。用户在设计数据加密功能时,可以充分借鉴华为云已有的实践和能力。 • **数据冗余**:冗余设计可以有效防止数据丢失。华为云采用多副本备份和纠删码设计,通过冗余和校验机制来判断数据的损坏并快速进行修复,以确保服务的可靠性。用户在设计云上业务时,可充分利用华为云服务提供的可靠性服务。 • **隐私保护设计**:在产品设计过程中考虑隐私,可大幅提高产品的隐私保护能力。华为云在构建云服务时,将隐私保护作为需求落入产品开发设计流程。华为云在个人数据全生命周期贯彻PbD(Privacy by design)的理念,构建具备隐私保护特性的安全云服务。华为云基于PbD原则在设计中考虑隐私,即通过设计来保护个人数据和隐私,将保护个人数据和隐私的理念以技术手段运用到产品和服务的各个环节中。华为云贯彻和落实的七条隐私保护基本原则是合法、正当、透明,目的限制,数据最小化,准确性,存储期限最小化,完整性与保密性,可归责。华为云解读GDPR等法律法规,帮助企业满足合规要求。华为云开放的隐私合规域,根据对GDPR等的解读与业务分析,提供工具,生成隐私合规报告、隐私声明,帮助企业合规设计;根据隐私合规设计方案,自动生成和执行测试用例,最后给出隐私合规验证报告。 # 后记 DevOps 的基本诉求之一是要“快”,而安全保障却具有“快不起来”的特点。因为安全本身需要更为专业的知识背景,分析更复杂的攻击方式和潜在安全问题。并且,即使使用工具,其技术栈也深于普通的检查工具,这意味着耗时更长。比如,对源代码的静态检查,如果只是检查代码风格,他们可以做到快速扫描;如果需要进行安全编码的自动化检查,那么就需要进行流分析,甚至需要一个专门的编译过程来收集必要信息。未来的路任重道远,实现DevSecOps还有很长的路要走。
  • [交流分享] 弹性云服务器的优势
    弹性云服务器可以根据业务需求和伸缩策略,自动调整计算资源。您可以根据自身需要自定义服务器配置,灵活地选择所需的内存、CPU、带宽等配置,帮助您打造可靠、安全、灵活、高效的应用环境。稳定可靠丰富的磁盘种类提供普通IO、高IO、通用型SSD、超高IO、极速型SSD类型的云硬盘,可以支持云服务器不同业务场景需求。普通IO云硬盘:安全、可靠、可弹性扩展,适用于大容量、读写速率要求不高、事务性处理较少的应用场景。高IO云硬盘:高性能、高扩展、高可靠,适用于性能相对较高,读写速率要求高,有实时数据存储需求应用场景。通用型SSD:高性价比,适用于高吞吐、低时延的企业办公。超高IO云硬盘:低时延、高性能,适用于高性能,高读写速率要求,读写密集型应用场景。极速型SSD:采用了结合全新低时延拥塞控制算法的RDMA技术,适用于需要超大带宽和超低时延的应用场景。高数据可靠性基于分布式架构的,可弹性扩展的虚拟块存储服务;具有高数据可靠性,高I/O吞吐能力,能够保证任何一个副本故障时快速进行数据迁移恢复,避免单一硬件故障造成数据丢失。支持云服务器和云硬盘的备份及恢复可预先设置好自动备份策略,实现在线自动备份。也可以根据需要随时通过控制台或API,备份云服务器和云硬盘指定时间点的数据。安全保障多种安全服务,多维度防护Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。安全评估提供对用户云环境的安全评估,帮助用户快速发现安全弱点和威胁,同时提供安全配置检查,并给出安全实践建议,有效减少或避免由于网络中病毒和恶意攻击带来的损失。智能化进程管理提供智能的进程管理服务,基于可定制的白名单机制,自动禁止非法程序的执行,保障弹性云服务器的安全性。漏洞扫描支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。软硬结合搭载专业的硬件设备弹性云服务器搭载在专业的硬件设备上,能够深度进行虚拟化优化技术,用户无需自建机房。随时获取虚拟化资源可随时从虚拟资源池中获取并独享资源,并根据业务变化弹性扩展或收缩,像使用本地PC一样在云上使用弹性云服务器,确保应用环境可靠、安全、灵活、高效。弹性伸缩自动调整计算资源动态伸缩:基于伸缩组监控数据,随着应用运行状态,动态增加或减少弹性云服务器实例。定时伸缩:根据业务预期及运营计划等,制定定时及周期性策略,按时自动增加或减少弹性云服务器实例。灵活调整云服务器配置规格、带宽可根据业务需求灵活调整,高效匹配业务要求。灵活的计费模式支持包年/包月、按需计费、竞价计费模式购买云服务器,满足不同应用场景,根据业务波动随时购买和释放资源。