华为云用户手册

安全设计目标 防入侵：业务间隔离，防横向移动，防风险扩散 防泄密：降低内部人员网络泄密风险，数据泄密可审计可追溯 安全设计原则： 区域治理：隔离不同业务属性的环境(如消费者、企业、开发者等)，支撑数据转移控制 服务隔离：最小化攻击面，限制黑客横向移动范围，在最小范围遏制攻击者 安全集成：互相隔离的服务间通过API、消息方式安全集成 隐私遵从：云服务作为数据处理者和云服务作为数据控制者遵从隐私合规要求 数据保护：降低内部人员泄密风险 高价值服务区：资产价值大（账号类、支付类、密钥类、批量用户数据存储）、或具备获取批量数据能力高权限（运营、运维）的服务，需要被重点保护。 通用服务区：对外部用户或者内部其他服务提供服务、且不涉及存储批量用户数据、资金处理、账号数据管理、密钥管理等的服务。 表1 安全设计目标 安全域 定义 2C业务安全域 面向internet用户提供服务，与2C、2D业务安全域默认网络隔离，可以从互联网访问 2B业务安全域 与合作伙伴、企业客户集成，与2C、2D业务安全域默认网络隔离，与伙伴、企业客户间通过专线、VPN等建立点对点的集成关系 2D业务安全域 为开发者提供服务，与2C、2B业务安全域网络隔离，可以从互联网访问 数据分析安全域 部署数据湖、数仓、大数据分析平台等业务，是数据的聚集地，与其它各安全域默认内网隔离，只能从企业内网访问 管理平台安全域 为各安全域提供运维、运营平台，供研发、运营、运维人员开展运营运维活动的服务，只能从企业内网访问。

典型场景 在Landing Zone参考架构中，专门设计了一个安全运营账号，用于统一管理企业范围内多个账号的安全资源和服务，这就需要跨账号访问部署在其他业务账号下的安全服务，比如SA、HSS等，通过以下联邦认证和跨账号委托的方式可以实现该目标。首先安全管理员通过SSO登录到安全运营账号的控制台，再通过切换角色到业务账号，然后访问和管理业务账号的安全云服务。 图8 安全运营账号统一管理多个业务账号的安全云服务 另一个类似的场景是运维监控账号需要统一监控和运维企业范围内多个账号的资源，这也要求运维监控账号能够跨账号其他访问账号下的资源，通过以下联邦认证和跨账号委托的方式可以实现该目标。 图9 运维监控账号统一管理各业务账号的云资源

跨账号委托授权 在Landing Zone的多账号运行环境中，通常会涉及不同账号间的资源互访诉求，特别是针对安全运营、运维监控等账号下的用户需要跨账号访问其他子账号下的资源。在华为云上使用跨账号委托的机制来满足该诉求。委托时的最佳实践如下： 委托是基于账号间的信任。被委托方建议通过权限管控，授权云用户去使用委托，而不是允许所有云用户都可以使用委托方创建的委托。 建议对委托实施最小授权原则。 委托的配置过程如下： 账号 A 在其IAM中创建一个委托将资源访问权限委托给账号B 图4 委托的配置1 账号B再将被委托的资源访问权限授予本账号的IAM用户，由后者管理账号A中的资源。 图5 委托的配置2 图6 权限授予的例子如下 用你获得的委托IP替代上面的字符串“b36b1258b5dc41a4aa8255508xxx...” ，其他的地方不要修改。 账号 B 或者被授权的用户切换角色到账号A，即可访问和管理账号A的资源。 图7 委托的配置4

联邦认证 华为云建议使用企业自己的身份管理系统（如Azure AD等）作为IdP（Identity Provider）与华为云IAM进行联邦身份认证，前者的用户通过SSO（Single Sign-on）登录到华为云控制台进行操作。联邦认证的最佳实践如下： 所有需要进行日常云上运维操作的用户均建议通过集中的联邦认证系统认证后，方允许访问云控制台。 每个用户的密码必须受到强有力的安全措施的充分保护，建议在联邦认证系统上实施包括密码长度、密码复杂度、密码重置策略和增强的身份验证方法（多因素身份验证），访问IP白名单等安全策略。 用户在云上的操作权限通过云用户组进行定义，并通过身份转换规则映射到联邦认证系统上的用户相关属性（例如组、角色或职责等）。 建议使用用户在联邦认证系统中唯一且不变的属性作为映射字段，避免变更后对云上资源使用和审计的影响。 华为云IAM服务的“身份提供商”提供对SAMLv2协议（包括IDP-initial和SP-initial两种模式）的支持，且采用一种称为“虚拟用户SSO”的实现机制： 将经过联邦认证系统认证后的用户映射到华为云的一个虚拟用户上，该虚拟用户仅在本次登录会话中按需创建，会话退出后即被销毁。 IAM提供身份转换规则机制，由客户的安全管理员编写规则，将每个联邦用户的属性映射到虚拟用户会话中的显示用户名和IAM用户组。 IAM基于虚拟用户会话的显示用户名+租户ID来生成唯一的user id，用于支持用户审计。 图2 联邦认证流程 身份转换规则的典型例子： 在IdP侧和华为云侧分别创建同名的用户组，在IdP侧将用户归集到对应的用户组，在华为云IAM为用户组设置相应的权限。 使用联邦用户的First Name和Last Name属性值作为虚拟用户的显示用户名，且格式为{LastName} {FirstName}。 使用联邦用户的Group属性值映射到IAM的已创建的同名用户组，例如果Group属性值为admin，则该联邦用户访问云控制台后，即对应华为云IAM的admin用户组的权限。 图3 身份转换规则的典型例子 关于如何使用Azure AD建立与华为云的联邦认证，请参考 https://bbs.huaweicloud.com/blogs/212731

用户组规划 基于上述原则，针对Landing Zone的各类账号规划以下用户组，按照最小授权原则在华为云上为这些用户组配置对应的云服务访问权限。企业自己的身份管理系统的用户组逐一映射到华为云上的这些用户组，即可拥有对应的云服务访问权限。 图1 Landing Zone用户组规划 上述各个用户组的职责范围和权限配置建议如下表所示： 表1 IT职能账号的用户组划分 用户组 账号 职责和资源管理范围 推荐的权限 admin 每个账号 该用户组是默认生成的，拥有所有操作权限。该用户组不需要创建，也不能被删除。通常将账号所关联的组织单元的负责人加入到该组 该用户组默认具备了所有操作权限，无需手动设置该用户组的权限 计算管理组 运维监控账号 该组成员负责统一管理和运维所有的计算资源，包括云主机、物理机、K8S容器引擎、虚拟机镜像、函数工作流等，可以设置自动弹性伸缩策略 ECS FullAccess BMS FullAccess AutoScaling FullAccess IMS FullAccess CCE FullAccess CCI FullAccess FunctionGraph Administrator Agent Operator Ticket Administrator 存储管理组 运维监控账号 该组成员负责统一管理和运维所有的存储资源，包括云硬盘、对象存储、弹性文件系统等；同时负责管理备份容灾资源，如云备份、存储容灾服务等 EVS FullAccess OBS Administrator SFS FullAccess SDRS Administrator CBR FullAccess DSS FullAccess Agent Operator Ticket Administrator 网络管理组 网络运维账号， 运维监控账号 该组成员负责统一管理和运维所有的网络资源，包括ER、VPC、弹性负载均衡、VPN、云专线、DNS、NAT等 VPC FullAccess ELB FullAccess NAT FullAccess VPN Administrator DNS FullAccess VPCEndpoint Administrator Direct Connect Administrator CDN Administrator Agent Operator Ticket Administrator 安全管理组 安全管理账号， 运维监控账号 负责统一管理和运维所有安全云服务和资源，如应用防火墙、DDoS高仿、主机安全、数据库安全、数据加密、容器安全、云审计等 Anti-DDoS Administrator CAD Administrator VSS Administrator HSS FullAccess DBSS Security Administrator KMS Administrator WAF FullAccess SCM FullAccess CGS FullAccess SA FullAccess CBH FullAccess Agent Operator Ticket Administrator 数据库管理组 运维监控账号 该组成员负责统一管理和运维所有的数据库相关的云资源和服务，包括RDS、文档数据库、数据复制服务、数据管理服务、分布式数据库中间件等 RDS FullAccess DDS FullAccess DRS Administrator DAS Administrator DDM FullAccess Agent Operator Ticket Administrator 中间件管理组 运维监控账号 该组成员负责统一管理和运维所有的中间件相关的云资源和服务，包括微服务引擎、分布式缓存、分布式消息、API网关、ServiceStage、区块链等 ServiceStage FullAccess CSE FullAccess DCS FullAccess DMS Administrator SMN Administrator APIG FullAccess BCS Administrator Agent Operator Ticket Administrator 数据处理组 数据平台账号 该组成员负责统一管理和运维所有的大数据及AI云资源及服务，包括MapReduce、数据仓库、数据湖、实时流计算、图引擎、推荐系统、ElasticSearch、表格存储等 ModelArts FullAccess MRS FullAccess DWS FullAccess DLI Service Admin DGC Administrator GES FullAccess Elasticsearch Administrator DIS Administrator CS FullAccess CloudTable Administrator DLF FullAccess RES FullAccess Ticket Administrator 合规审计组 日志账号 该组成员负责云审计日志的管理、资源合规信息的管理以及所有云服务的安全配置信息的查阅等 CTS Administrator LTS FullAccess RMS FullAccess Agent Operator Ticket Administrator 日志分析组 日志账号 该组成员负责统一搜索、查看和分析各种日志数据 LTS FullAccess OBS Administrator Ticket Administrator 财务管理组 主账号 该组成员负责账号内的统一财务管理，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。 BSS Finance Ticket Administrator IT治理组 主账号 该组成员负责统一创建和管理组织单元和子账号，并为其创建和管理组织策略 BSS Administrator Ticket Administrator 只读用户组 每个账号 该组成员只能访问指定的单个或多个企业项目的资源，如外来访客或者外部审计人员可以加入到该组 Tenant Guest IAMReadOnlyAccess 公共服务管理组 公共服务账号 该组成员负责管理所有的公共服务和资源 部署了哪些公共服务，就授予对应云服务的FullAccess权限。 项目管理组 业务账号 该组成员全权管理项目下的所有资源，包括对企业项目本身进行管理 建议设置所参与企业项目内所有云服务的FullAccess权限 应用开发组 DevOps账号 该组成员负责管理所参与开发的应用系统在开发环境的云资源 建议设置所参与应用系统在开发环境的所有云服务的FullAccess权限 应用测试组 DevOps账号 该组成员负责管理所参与测试的应用系统在测试环境的云资源 建议设置所参与应用系统在测试环境的所有云服务的FullAccess权限

用户和权限管理原则 华为云基于大量成功交付的项目，总结提炼了以下用户和权限管理原则： 建议使用企业自己的身份管理系统（如Azure AD等）与华为云IAM进行联邦身份认证，前者的用户通过SSO（Single Sign-on）登录到华为云控制台进行操作。企业自己的身份管理系统能更好更及时地匹配员工的入职、转岗和离职流程，避免转岗和离职人员继续拥有访问华为云的访问权限。 不要把华为云IAM作为企业自己的用户管理系统，无需与华为云发生交互的企业员工，就不用在华为云IAM上创建相应的用户或用户组。 不要将用户的密码共享给其他人，而是为每个管理或使用华为云资源的人创建一个单独的用户并分配相应的权限，这样每个自然人在华为云的操作都能被追踪审计。 建议按照IT职能来划分用户组，将对应的员工加入与其职责匹配的用户组，以下为推荐的用户组划分方式： 从资源运维和管理角度，需要遵守统一管理和运维的原则以提升效率。在运维监控账号内按照运维职责创建统一管理的用户组，包括计算管理组、存储管理组、网络管理组、数据库管理组等，这些用户组负责运维和管理所有账号的云资源，支撑上层应用系统的安全稳定运行。这些用户组可以通过跨账号委托（请参考跨账号委托授权章节）的方式去运维和管理其他账号下的资源，所以在业务账号下一般不用再创建资源运维和管理的用户组。 从安全防护角度，需要遵守统一安全管控的原则。在安全运营账号下创建安全管理组，一方面管理和维护安全运营账号内的安全云服务，另一方面通过跨账号委托去管理和维护部署在其他账号内的安全云服务。 从应用开发角度，在DevOps账号中按照不同的应用系统创建独立的应用开发组或应用测试组，这些用户组可以通过跨账号委托访问业务账号下的开发环境或测试环境的云资源。 从项目管理角度，每个企业项目都应该在华为云上创建一个项目管理组，其成员是项目经理、系统管理员，可以管理该企业项目内的所有资源，包括生产环境、开发环境和测试环境的全部资源。 从财务管控角度，需要遵守统一财务管控原则，在主账号中设置一个财务管理组，负责统一管控该账号下所有组织层级和企业项目在华为云上的消费，并进行成本分析和成本优化。 从全局IT治理角度，需要在主账号中设置一个IT治理组，用于创建和管理组织单元和子账号，并为其创建和管理组织策略，限定子账号的权限上限。 从合规审计角度，需要遵从统一的企业合规要求，在日志账号下创建设置一个合规审计组，负责监控该账号下的资源、用户、权限和操作等是否满足企业的安全合规要求，并设计优化措施。 建议为外来访客或只希望查看云资源的用户设置一个只读用户组。 遵守最小授权原则，只授予用户组完成职责所需的最小权限，如果用户组的职责产生变化，应该及时调整用户组的权限。按照最小授权原则，优先在企业项目中对用户组进行授权，如果确实需要针对账号内所有区域或特定区域的所有资源进行统一授权，则可以使用IAM项目进行授权，避免在各个企业项目中逐一授权，简化授权操作。 在企业项目中授权时，建议按照用户组而不是用户进行授权，简化授权操作。 IAM账号管理员（与IAM账号同名）的权限很大，建议不要直接使用IAM账号管理员访问华为云，而是创建一个IAM用户，并按照最小授权原则授予相应的权限，以使用该IAM用户代替IAM账号管理员进行日常管理工作，保护IAM账号的安全。

运维监控原则 当应用部署在公有云上，云平台需提供已开通资源的监控能力，包括计算、存储、网络、数据库等云服务资源。资源监控指标反馈资源的运行状态、资源消耗和性能参数等，运维人员可根据不同参数配置相应的阈值告警，当资源异常时通过短信或邮件等方式通知。除了开箱即用的指标数据以外，部分云服务提供完整的日志采集、上报和存储能力，如负载均衡、VPC、WAF等服务日志，应用日志通过安装代理采集并集中管理。通过日志洞察完成日志聚合查询，可视化分析和实时告警。 业务监控指标，如业务登录成功率等。可通过ELB（弹性负载均衡）日志洞察分析，日志系统对该日志ETL后，提取业务URL请求，状态码、访问IP、时延等关键数据，通过SQL聚合可得到不同时间段内业务的运行状态，配置SQL阈值规则可实现业务的实时监控，如下图所示。 图1 业务监控指标 运维人员可根据资源和应用维度选择监控服务，满足多层次运维要求。下表列出各云服务提供的监控能力。 表1 云服务提供的监控能力 分类 云服务 数据 数据描述 资源监控 CES 指标 提供云资源，如虚机/网络/存储等100+云服务开箱即用指标监控。 指标告警 CES 告警 自定义指标阈值规则，如CPU超过90%。 告警通知 SMN 告警 统一通知服务，支持短信/邮箱/钉钉/微信/webhook等方式。 事件告警 CES 事件 支持事件类型告警，如EIP带宽超限事件告警。 资源分组 CES 指标 将云资源按照项目或应用维度划分资源组，满足企业权限控制。 日志监控 LTS 日志 提供应用/云资源/移动端等日志采集，满足运维日志集中管理能力。 日志告警 LTS 告警 支持关键词和SQL告警规则，提供日志实时监控能力。 日志报表 LTS 日志 提供日志可视化能力，包括图表、柱状图、饼图，同时支持仪表盘和模板能力。 日志备份 LTS 日志 将日志转储OBS，提供冷备份，支持跨账号转储。 日志订阅 LTS 日志 将日志转储至kafka，实时消费日志，支持跨账号转储。 业务监控 LTS 日志 LTS收集业务日志并对其结构化处理，提供可视化分析。或直接将ELB日志提取成业务指标。 容器监控 AOM 监控 当使用CCE容器引擎，AOM将提供一站式容器应用的监控、告警和日志分析； 性能监控 APM 性能 提供应用性能分析，包括应用拓扑、分布式链路追踪等能力。 父主题： 运维监控

Compass合规检查 安全治理云图 （Compliance Compass，简称 Compass）为客户提供自动化合规评估和安全治理的平台，将华为积累的全球安全合规经验服务化，帮助用户快速实现云上业务的安全遵从，提升用户获得法规及行业标准认证的效率。Compass服务提供安全遵从包，合规策略扫描，安全遵从自评，合规总览等功能。 安全遵从包：华为开放的安全治理模板，包含法规标准条款原文、合规策略、自评估检查项以及华为专家的改进建议，覆盖等保三级、等保四级、PCI DSS、ISO27701、ISO27001、隐私等法规标准。租户可以订阅/取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描：Policy as Code，将法规标准条款代码化，周期性、自动化扫描云上资产合规情况。 安全遵从自评：将无法代码化的法规标准条款转化成检查项，租户可完成自身业务的自评，进行证据链管理。 安全合规总览：可视化呈现合规评估结果与安全治理情况 图1 安全合规总览 合规治理经验服务化：Compass以华为内部“云服务网络安全与合规标准”3CS为基座，将华为积累的全球安全合规经验服务化，开放华为云安全治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得标准认证的效率：Compass开放多种安全治理模板，内含合规策略和自评估检查项；合规策略将自动化扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；支持一键导出报表，提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作：Compass通过数据看板将所有的合规情况集中展示，向租户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作

Landing Zone总体设计原则 不需要把企业内部的完整组织结构映射到华为云上，只把那些负责管理IT系统的组织单元（如部门、分公司）和使用IT资源的用户映射到华为云上。如行政部门不管理、不查看、不操作任何云上IT资源，就不需要在华为云上创建一个对应行政部门的组织；如财务小张不负责IT系统的成本核算、分析和预算管理，就无需为小张在华为云上创建一个拥有财务管理权限的用户。 如果企业内部的IT组织结构（直接管理IT系统）层级很深，建议只把最上面两层IT组织单元映射到华为云上的组织单元，其他下面层级的IT组织单元不建议映射到华为云上，避免避免IT治理的碎片化。 针对业务部门，可以按照业务支撑系统创建对应的子账号，如果业务系统的规模比较大，或者需要遵守严格的安全合规标准（如PCI-DSS、HIPPA等），将其映射为一个独立的子账号；如果几个小型业务系统不要求严格的安全隔离，那就可以将这几个小型业务系统部署到一个子账号中。 针对IT部门，可以按照IT职责划分不同的IT管理类子账号，如安全运营、运维监控、网络运营、DevOps等子账号。 主账号的密码建议由企业的CTO或CIO保管，子账号的密码建议由所属组织单元的负责人保管。主账号和子账号的权限很大，企业需要制定符合自身安全管控要求的账号管理和使用策略。 父主题： 实施步骤

统一资源监控 CES服务是面向租户资源的统一监控平台，采用Region级部署方式，对不同Region，不同账号的云资源进行监控及告警。每个账号下都有独立的监控大屏，告警通知、资源分组等功能。能够全方位、立体化的监控租户资源的使用情况，出现问题会触发告警，并通知租户。 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。提供简单的添加配置，不再浪费资源和精力配置复杂的开源产品。支持站点异常告警，不用担心网站出问题而无人知晓。 图1 统一资源监控 针对Landing Zone解决方案中需要在多个账号下对所有资源进行监控的诉求，可以通过CES的exporter及开放接口，将不同账号的监控数据和告警数据接入到第三方的平台进行展示。告警配置可以通过华为云提供的默认模板，根据客户自身需求进行修改，修改后的最终模板可以应用在不同账号下的资源；通过该功能可以简化客户告警配置的复杂度，提升告警配置效率。如下图所示： 图2 统一运维账号 账号A、账号B的监控数据通过CES提供的exporter能力在客户侧Prometheus进行任务配置，将数据接入。 客户的第三方监控平台提供一个定时任务（建议1分钟粒度），调用CES的告警历史接口，将告警写入数据库中。 通过配置客户侧Grafana的数据源（Prometheus，数据库），最终将监控及告警数据集中呈现。 exporter使用手册：https://github.com/huaweicloud/cloudeye-exporter 父主题： 运维监控

整体网络架构设计 Landing Zone的整体网络架构设计如下图所示：kin'g'zukingzu 图1 网络架构设计 上述网络架构的核心是网络运营账号，作为连接其他账号的网络枢纽，其他账号之间的通信必须通过该账号的ER进行。ER可以通过设置路由规则决定哪些VPC之间的网络可以连通，华为云基于以下假设并根据各个账号的职责梳理各个账号下VPC之间的连通性矩阵，据此则可以在ER上设置对应的路由规则。 运维监控账号需要运维第三方云和本地DC中的资源； 安全运营账号需要到公网获取系统补丁包； 数据平台需要获取第三方云和本地DC的数据； DevOps账号需要从Github上下载代码，需要将软件制品部署到各个业务账号； 公共服务账号需要与本地IDC互联； 生产、开发、测试环境要求网络隔离。 图2 各账号VPCDMA网络络的连通性矩阵 日志账号是集中存放审计日志和运行日志的地方，主要使用了华为云的LTS服务和OBS服务，该两个服务没有租户面IP地址，所以不需要考虑与其他账号的VPC进行互通。沙箱账号是一个允许客户任意测试华为云上资源的地方，包括VPC的功能测试以及与其他账号之间连通性测试，所以也不需要预先在ER中配置与其他账号的连通性。

网络架构设计原则 华为云基于大量成功交付的项目，总结提炼了以下用户和权限管理原则： 业务隔离原则 不相关的业务进行流量隔离。按照生产环境、开发环境、测试环境分别划分独立的VPC；在每个VPC中按照接入层、应用层和数据层来分别划分子网。在互联网入口侧部署DMZ VPC，用于WAF等互联网安全的配置。 整体划分原则 VPC的网络容量：每个VPC可使用IP地址建议不超5000个 VPC间是隔离性大于连通性：VPC间默认隔离，可通过对等连接实现点对点互通；账户 子网间是连通性大于隔离性：子网间默认互通，但建议通过ACL访问控制按需隔离； VPC划分原则 业务账号可根据生产、开发、测试环境划分VPC，之间的网络建议不打通，确保生产、开发、测试环境的隔离。 网络运营账号创建一个集中的DMZ VPC，用于集中部署面向互联网连接的NAT网关，集中管理互联网的出入口，这样方便集中实施边界安全防护策略。 Landing Zone架构下多个账号之间需要经常互访，需要打通VPC之间的东西向网络访问通道，所以需要统一规划Landing Zone的VPCDMA网络络的IP地址，避免地址重叠导致无法实现网络互通。 子网划分原则 同VPC内子网不可重叠，需要互通的VPC间子网不能重叠。 业务账号下，可以按照业务系统的应用层和数据层划分不同的子网。之间采用ACL进行网络访问控制。默认只有应用子网对公网提供服务，数据子网只可被应用子网访问。 建议不同业务系统使用不同子网，可使用子网ACL控制按需访问。

安全配置基线 华为云安全提供态势感知服务来保护客户业务的安全合规，态势感知服务支持资源管理、威胁告警、漏洞管理、基线检查等多种功能。 在安全运营账号中，业务账号的委托的态势感知将用于提供合规风险检查： 基线检查：支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项，您可以从“安全上云合规检查”、“等保2.0通用要求”、“护网检查”、“等保2.0扩展要求”四大风险类别，了解云服务风险配置的所在范围和风险配置数目。 基线检查包括安全合规性检查、系统配置检查、账户检查和弱密码检查等规则。 表1 服务器基线检查 检查项 说明 经典弱密码检测 通过与弱密码库对比，检测账号密码是否属于常用的弱密码。支持MySQL、FTP及系统账号的弱密码检测。 密码复杂度策略检测 检测系统账号的密码复杂度策略。 配置检测 根据CIS标准并结合华为多年最佳安全实践进行检测。目前支持的配置检测类型有：Tomcat、SSH、Nginx、Redis、Apache2、MySQL5。 表2 态势感知服务基线检查支持的检查项目，具体基线分类如下： 基线检查项目 检查规范 检查类别 包含的检查项数量 安全上云合规检查 身份与访问管理 12 检测 7 基础设施防护 25 数据防护 22 事件响应 13 护网检查 安全套件覆盖 8 账号加固 2 主机加固 2 Sudo漏洞 1 访问控制 1 敏感信息排查 2 等保2.0通用要求 安全通信网络 8 安全区域边界 20 安全计算环境 34 安全管理中心 12 等保2.0扩展要求 安全通信网络 5 安全区域边界 8 安全计算环境 19 安全管理中心 4 安全建设管理 8 安全运维管理 1 在设置和应用程序启动期间，初始化配置步骤为： 将态势感知启用到专业版 勾选基线检查项目 设置基线检查计划 执行基线检查计划 查看和处理基线检查结果 修复所有漏洞。解决基线检查中所有不通过的项 再次执行检查并查看态势感知上的结果，确保所有相关事件都得到正确处理。 父主题： 安全合规

原则2：主动安全、默认安全 安全是设计出来的。因此在业务安全设计时，华为云建议客户参考IPDRR模型（识别 Identity，防护Protect，检测 Detect，响应React，恢复Restore）来进行安全方案的设计。华为云各个云服务已实现超过387条安全特性，这些特性组合系统可以帮助客户在云上构建一整套安全架构。其中大多数安全特性是作为云服务的基础能力向客户提供的。 图2 华为云服务安全特性清单 通过分析云上安全事件，华为云发现大量的安全事件是由于不完善的资源配置导致的入侵和可靠性问题。因此在开通云服务、云资源时，应结合上图确认安全特性是否打开，如虚拟机镜像应完成安全加固并配置主机安全类服务产品，存储资源的ACL访问策略默认最小集合，数据资源使用KMS管理密钥、运维通道使用云堡垒机等。并定期使用安全服务对资源、账号进行扫描，利用安全基线进行比对以发现分析和不安全的配置。 华为云态势感知服务SA、漏洞扫描服务VSS、管理检测与响应服务MDR均可提供自动化或人工的基线检查能力。

原则3：最小化授权 将企业内部组织、资源进行分组管理，并利用细粒度授权功能，对企业账号、资源、操作进行精细授权，尽量避免提供多个对象共享同一资源的场景，对资源访问的共享数量和使用尽可能最小化。 企业云上基于企业项目的授权管理原则包括： 企业客户在云上按自身组织或项目管理模式对云服务进行资源的分组和管理；针对公共资源管理，可以创建公共项目或者使用默认Default企业项目； 针对每个企业项目，按照职责分别创建不同的用户组，并授予相应的权限； 不建议直接使用IAM账号访问云，而是创建IAM用户，并授予用户管理权限，使用该IAM用户代替IAM账号进行日常管理工作，保护IAM账号的安全； 遵守最小授权原则，只授予用户组完成职责所需的最小权限，如果用户组的职责产生变化，应该及时调整用户组的权限；

原则5：持续合规、安全可视 相对比传统IT系统的举证合规方案，云技术让持续合规、安全可视变为了可能。 云上高性价比的存储方案，全方位的审计服务和AI的行为分析能大量的节约合规成本，合规报告自动生成，再也不用空出数月来完成大量的文档写作了。而标准化的日志结构、报表呈现，将AI技术应用到日志分析，能迅速发现并纠正违规行为，可显著提升企业的合规遵从度 华为云安全治理云图Compass服务是一个自动化合规评估和安全治理平台，将华为积累的全球安全合规经验服务化，帮助客户快速实现云上业务的安全遵从，提升用户获得法规及行业标准的认证效率，实现持续合规

原则4：云原生安全 使用云服务场景多且复杂，与传统的企业IT和安全所要求的技能有很大的差别，如果不能掌握足够的技能，即使云服务供应商提供了全面的安全能力和服务，如果不能正确的配置使用或防护不全面，依然会让企业云上环境面临巨大的安全风险。 云服务提供商通常都会提供面向IaaS资源和PaaS资源的安全类服务，比如Anti DDoS、WAF、主机防护、密钥管理等。这些服务展现出智能化、规程化、自动化、无码化的特征。在性能、弹性、兼容性上有较好的表现。同时，云服务提供商的安全运营经验也在持续的推动云原生安全服务的能力有针对性的增强，因此，对于基础安全方案，如保护业务系统的计算安全、存储安全、网络安全、数据安全、安全合规等应优先选择云原生安全服务

原则1：基于业务价值制定安全目标 安全是一项系统工程，从建设成本和方案上看有较大的弹性空间。那么如何衡量安全、合规的投资预算呢？ 识别合规要求：华为云建议客户优先分析业务的合规要求，比如可以根据等级保护的规则匹配业务系统的安全等级，或和业务团队共同识别业务的行业要求（如支付行业需要满足PCI DSS的要求）。当明确了合规目标并根据合规目标实施的安全方案，可以初步的安全也业务价值相匹配。 评估安全风险：在完成合规评估后，应从攻击者视角出发评估业务系统的安全性。在安全评估中，通过威胁分析来识别风险，并评估风险等级并制定消减措施。需要注意的是，在做风险接受是，应考虑当前的防御方案是否会让攻击者发起攻击的成本超过其获得的利益。如果上述假设不成立，则应该配置足够的安全服务产品，以提升攻击成功难度，降低系统被攻击的可能。 华为云提供MDR（管理检测与响应）服务，MDR服务的安全评估服务可以帮助客户进行云上系统的安全风险评估，而MDR服务中的等保助手、密评助手等专项能力也可以帮助客户对业务系统进行安全方案的设计和改造。 华为云建议客户在进行IT系统建设时，预留预算用于安全、合规方案的建设。一般性系统预留5%、面向互联网提供服务、易受攻击的系统，预算建议上升至15%。 图1 安全等级

资源治理原则 华为云基于大量成功交付的项目，总结提炼了以下资源治理原则： 使用企业项目而不是IAM项目进行资源的分组和管理，企业项目可以跨区域管理资源，支持资源的迁入迁出、资源的成本核算及分析，比IAM项目更灵活，更能满足企业的项目管理需求。 针对每个企业项目，按照职责分别创建不同的用户组，如应用开发组、应用测试组和应用管理组、项目管理组等，并授予相应的权限；为每个项目成员在华为云上创建一个用户，并加入到对应的用户组。 每个账号下创建一个公共项目，或者使用默认企业项目default，用于包含以下公共资源，供其他企业项目共享使用： 成本很难分摊到其他企业项目的公共云资源，如共享带宽、云连接等 账号范围内应该统一管理的云资源，如云备份、VPC等 大量购买时更加优惠的资源套餐包，建议在账号范围内统一订购，而不是为每个企业项目单独订购 部门（对应到华为云上的组织单元和子账号）作为独立核算的单元，不建议部门之间共享使用任何云资源，即使这两个部门是父子关系；但一个部门内的多个IT项目可以共享使用云资源，如共享带宽、云连接等。 针对每个账号提供多种运行环境：生产环境、开发环境、测试环境，各个环境之间需要有一定的安全隔离措施，可以通过VPC建立隔离的运行环境。多个小应用系统可共享一个VPC，大型应用系统可以独占一个VPC。 表1 运行环境 运行环境名称 运行环境描述 生产环境 部署核心生产系统，如ERP、PLM、SCM等，以及数据仓库及大数据系统，大的应用系统（如大型ERP系统）可以独占一个生产环境。核心生产环境的重要性高，可用性和数据安全要求高，需要建立严格的容灾备份机制和数据安全保护体系。 开发环境 部署开发系统，如Devops流水线、源代码管理系统等，开发环境的可靠性要求不高，对网络安全和数据安全要求也不高，酌情提供一定的数据备份和数据安全保护措施。在中小企业，开发环境可与测试环境合并。 测试环境 部署测试系统和准生产系统，测试人员在该环境完成系统上线之前的功能测试、性能测试、安全测试和集成测试等测试工作。测试环境的可靠性要求不高，对网络安全和数据安全要求也不高，酌情提供一定的数据备份和数据安全保护措施。在中小企业，开发环境可与测试环境合并。 规划VPCDMA网络段的时候，需要考虑VPC之间的通信交互，如果两个VPC之间需要进行通信，这两个VPC的网段就不要互相冲突；有频繁交互关系的VPC尽量创建在同一个区域内，否则跨区域的VPC通信需要额外购买带宽包。 定期（月度、季度、年度）统计分析各个组织单元、企业项目的资源利用率，及时发现资源空转、资源利用率低的情况，并及时删除空转资源、进行资源整合。 为防止资源滥用，要限定账号（主账号和各个子账号）在华为云上各服务资源的配额，对该账号下用户所能申请的资源数量和容量做限制。

资源管理 在安全审计账号中，可以对整个组织的合规遵从进行统一管理，包括将多账号的资源配置快照归档到统一的桶中，管理员统一配置组织下各子账号的合规规则。 统一合规策略配置 RMS服务提供资源合规特性，帮助您快速创建一组合规规则，用于评估您的资源是否满足合规要求。 在组织多账号场景下，当需要配置多个组织账号下的合规规则时，可以将多个子账号的合规规则设置API的访问权限委托给根账号。 通过调用API的方式，使用根账号获取IAM token后，逐个调用子账号的API配置合规规则。 多账号的资源配置快照统一存储 RMS服务支持每个账号在开启资源记录器并成功配置对象存储桶（OBS）后，RMS会定期（24小时）对您的资源进行快照并存储。 在组织多账号场景下，当需要获取多个组织账号下的资源配置快照数据时，可先针对每个账号开启资源记录器，配置自己的对象存储桶（OBS）。再对每个桶配置根账号只读权限。 通过调用API的方式，使用根账号获取IAM token后，逐个访问子账号的OBS桶获取资源快照文件

资源命名规范 本章节提供了关于云上资源统一命名的参考。命名约定的使用，对客户在高效管理云上资源上非常重要。制定标准和一致的命名规范，能使客户在云上资源的成本分析、自动化、安全控制等方面的管理更加清晰和便捷。 命名原则： 命名规则是可扩展的 确保在一定范围内的命名是唯一的 通过资源命名便于分类，譬如为监控、安全控制等提供可见性 表4 计算资源命名规范 华为云资源 资源名规范 Example Comment ECS ecs-{appname}-{apptype}-{env} ecs-adv-app-dev ecs-adv-cache-prod 名称的长度为1～64位字符；支持中文字符、英文字母、数字及“_”、“-”、“.”。 Image Img-{appname}-{apptype}-{env} ims-adv-app-dev 名称的长度为1～128位字符；支持中文字符，英文字母，数字，特殊字符包含“_”、“-”、“.”、空格。名称的首尾字母不能为空格。 EVS disk-{appname}-{env} ims-adv-dev 名称的长度为1～255位字符；支持中文字符，英文字母，数字，特殊字符包含“_”、“-”、“.”、空格。 Snapshot ss-{appname}- {env}-{datagenerated} ss-adv-dev-20220101 名称的长度为1～255位字符；支持中文字符，英文字母，数字，特殊字符包含“_”、“-”、“.”、空格。 AutoScaling as-{appname}-{env} as-adv-dev 名称的长度为1～64位字符，只能包含中文、字母、数字、“_”、“-”。 表5 网络资源命名规范 华为云资源 资源名规范 Example Comment VPC vpc-{appname}-{env} vpc-adv-dev 名称的长度为1～64位字符，只能包含中文、字母、数字、“_”、“-”、“.”。 Subnet sn-{appname}-{env}-{SubnetType} sn-adv-dev–db 1、子网类型：、app、elb、db、cache、web 2、名称的长度为1～64位字符，只能包含中文、字母、数字、“_”、“-”、“.”。 ELB elb-{appname}-{env} elb-adv-dev 名称的长度为1～255位字符，只能包含中文、字母、数字、“_”、“-”、“.”。 EIP eip-{appname}-{env} eip-adv-dev 名称的长度为1～64位字符，只能包含中文、字母、数字、“_”、“-”、“.”。 NAT nat-{appname}-{env} nat-adv-dev 名称的长度为1～64位字符，只能包含中文、字母、数字、“_”、“-”、“.”。 表6 存储资源命名规范 华为云资源 资源名规范 Example Comment OBS obs-{ appname}-{env} obs-logs-dev 1、名称的长度为1～64位字符，只能包含中文、小写字母、数字、“-”、“.” 2、禁止两个英文句号（.）相邻，禁止英文句号（.）和中划线（-）相邻，禁止以英文句号（.）和中划线（-）开头或结尾 3、禁止使用IP地址 4、如果名称中包含英文句号（.），使用虚拟主机方式HTTPS访问OBS，会导致证书校验失败

镜像管理 虚拟机镜像管理 企业可以通过镜像导入或者公共镜像创建自己的私有镜像，然后将私有镜像共享给其他应用账号使用。 公共镜像 企业可以通过公共镜像作为应用的基础镜像。通过公共镜像在创建出虚拟机后，用户可以根据安全和业务要求，在镜像里进行基础的业务配置或者安全配置。配置完成后，可以通过虚拟机创建私有镜像。 华为云公共镜像中提供了多种类型开源版公共镜像： 表2 多种类型开源版公共镜像 CentOS 64bit：CentOS 6：6.10/6.9/6.8/6.5/ 64bit：CentOS 7：7.9/7.8/7.7/7.6/7.4/7.3/7.2 64bit：CentOS 8：8.2/8.1/8.0 Ubuntu 64bit：Ubuntu 20.04/18.04/16.04 Debian 64bit：Debian 8：8.8.0 64bit：Debian 9：9.0.0 64bit：Debian 10：10.0.0 64bit：openSUSE Leap 15： 15.0 CoreOS 64bit：CoreOS 2079.4.0 FreeBSD 64bit：FreeBSD 11.0 openEuler 64bit：openEuler 20.03 在市场镜像中，可以选择商用版linux和windows镜像： 表3 商用版linux和windows镜像 windows Windows Server 2012 Standard/Datacenter Windows Server 2012 R2 Standard/Datacenter Windows Server 2016 Standard/Datacenter Windows Server 2019 Standard/Datacenter suse 64bit：SLES 12：12 SP5 64bit：SLES 15：15 SP1 镜像导入 如果客户使用的镜像超出华为公共镜像范围，可以使用IMS服务，进行镜像导入，目前IMS支持系统盘、数据盘和ISO镜像导入能力；支持vhd、zvhd、vmdk、qcow2、raw、zvhd2、vhdx、qcow、vdi或qed格式镜像文件创建私有镜像 图4 镜像导入 镜像创建 可以通过IMS服务创建系统盘、数据盘、整机镜像，创建完成后，镜像可用于复制、共享可以直接登录IMS Console操作。 为便于用户定制化操作，可以Packer创建私有镜像： 图5 Packer创建私有镜像 使用Packer创建镜像，需要一个json格式的模板文件。在模板文件中，您需要指定构建器、配置器，还可以指定后处理器。在配置器中，您可以指定对源镜像的任何操作，可以指定安装软件也可以对相关配置做修改。 { "builders": [{ "type": "openstack", "identity_endpoint": "https://iam.xxx.com/v3", "tenant_name": "xxx", "domain_name": "domain_name", "username": "username", "password": "password", "ssh_username": "root", "region": "xxx", "image_name": "Ubuntu-image-updating-powered-by-Packer", "instance_name": "Ubuntu-image-updating-powered-by-Packer", "source_image": "f1dd2272-7041-479e-9663-646632b6ac00", "availability_zone": "xxx"， "flavor": "s3.medium.2", "use_blockstorage_volume": true, "networks": ["11d661c4-e41f-487f-a6f6-9b88d623dd5d"], "floating_ip": "8f686f9a-3408-4fdd-be75-ea768065800c" }], "provisioners": [{ "inline": [ "apt-get update -y" ], "inline_shebang": "/bin/sh -x", "type": "shell", "skip_clean": true }], "post-processors": [{ "strip_path": true, "output": "packer-template-ubuntu-updating-result.log", "type": "manifest" }] } 其中：tenant_name、region、availability_zone、flavor、networks、floating_ip均为创建私有镜像时使用的云服务器的属性信息 镜像共享 用户A获取用户B的项目ID之后，可以将指定的私有镜像共享给用户B。共享镜像可以分为批量镜像共享和单个镜像共享两种方式，用户可以按照需要进行选择。注意：共享镜像前，请确认私有镜像已清除敏感数据和文件。 图6 共享镜像

成本优化 云支出的主要影响因素，是费率和用量。因此企业在华为云上的成本优化也主要从这两方面着手考虑。 降低费率 对于长期使用的按需产品，建议客户优先采用包年包月或资源包。 客户可使用华为云成本中心的按需转包年包月优化评估发现节省成本的机会。该评估基于客户ECS、EVS、RDS历史按需资源的使用情况进行分析，为客户提供按需转包年包月的可优化资源清单和优化前后的成本对比。 如果客户已购买资源包，客户还可以使用华为云成本中心的资源包使用率/覆盖率分析，分析已购买资源包的使用情况。对于使用率过低的资源包，判断是否购买过量；对于覆盖率过低的资源包，判断是否购买不足。客户根据分析结果优化下一周期的资源包购买。 减少用量 客户可通过监控云服务的利用率，来识别空闲资源或利用率较低的资源。释放空闲资源或降配利用率低的资源，可以减少不必要的付费用量。需要注意的是，无论是释放资源还是降配资源，都需要和业务部门确认，以确保不影响业务使用。 客户可以基于业务技术方案的优化，比如存算分离、分时复用将资源充分利用起来，或使用性价比高的实例，来减少付费用量。

成本分析 了解组织内的成本趋势和成本驱动因素，是企业进一步有效管理成本、控制和优化成本的关键。 图1 分析成本及用量的趋势及分布 华为云成本中心的成本分析支持使用汇总和过滤机制可视化您最多18个月的原始成本或摊销成本，从而通过各种角度、粒度、范围深度分析成本和用量的趋势及驱动因素。企业主账号可以同时分析名下各子账号的成本和用量情况。 客户可以使用成本中心提供的预置分析报告对常见场景快速分析，预置报告包括： 报告名称 说明 按产品类型汇总的月度成本 了解过去6个月原始成本较高的产品类型。 按关联账号汇总的月度成本 了解过去6个月原始成本较高的关联账号。 每日成本 了解过去3个月的每日原始成本趋势，以及未来1个月的成本预测。 月度摊销成本 了解过去6个月摊销成本的月度趋势。 ECS的月度按需成本和使用量 了解过去6个月云主机每月按需原始成本和按需使用量情况。 如果预置报告不能满足客户诉求，客户还可以自定义分析，通过调整时间粒度、周期、汇总条件、过滤条件以及成本类型，来洞察成本和用量的情况。对于客户经常关注的自定义分析，建议保存为自定义报告，便于再次查看相同条件下的分析数据。 无论是预置报告还是自定义分析报告，报告分析结果均支持导出CSV文件。同时，华为云成本中心还支持导出携带标签和关联账号的月度摊销成本明细，便于客户深入分析

成本计划 估算和预测成本 云支出的可变性，导致云支出是很难预测的。 对于新产品发布或区域扩张，客户可使用华为云价格计算器在线自助估算各种产品，不同区域、不同规格、不同购买选项的成本。 对于已使用产品，客户也可以使用华为云成本中心的成本分析来预测每日（最多未来90天）或每月（最多未来12个月）的云成本。该预测，主要基于客户历史成本和历史用量情况，应用机器算法进行估算。 创建预算以跟踪成本 跟踪成本计划的有效工具是预算。 一旦完成成本的估算与预测，客户可以在华为云成本中心的预算管理创建精细粒度的预算来管理成本，并可以创建预算提醒，在实际或预测超过预算阈值时，自动通知利益相关人支出异常。 客户还可以创建预算报告，每天/每周/每月，定期将指定预算进展通知给利益相关人。

多账号财务管理 同一个企业下存在多个华为云账号时，可以建立企业主子账号关联关系，企业主账号您可以根据自己的企业结构创建多层组织、新建子账号或关联子账号，并使其从属于主账号创建的组织部门，从而对这些子账号的财务进行管理。 主子账号关联 主账号可以通过创建一个华为云账号并与之关联，或者邀请一个华为云账号与之关联。同时主账号可以根据公司业务在企业中心创建组织部门信息，子账号可以从属与某个组织部门。 主子账号资金管理 主账号充值后，可以划拨现金、代金券给子账号用于资源的开通。子账号也可以通过自主充值后，进行资源的开通。 主子账号商务继承 主账号可以将其商务继承给子账号，继承后子账号的消费可以使用主账号的商务。避免同一家企业针对其不同账号需要签署多个商务的麻烦，增加了便利性。 主子账单查询 主子账号消费后，可分别登录华为云查看自己的消费数据。主账号可以申请查看子账号消费数据，申请成功后即可查看子账号的消费数据。 主子发票 主子账号消费后，各自独立向华为云申请开发票。主账号也可以代子账号开票。

成本分配 准确有效的成本分配，有利于企业内部的成本透明与问责。而透明的成本责任制是企业财务管理的基础。 确定成本组织方式 企业进行财务管理之前，需要先确认云支出的组织方式，确保将企业在华为云上的支出能分摊到企业内部的组织层级结构上。 对于使用多账号的企业组织来说，可以使用关联账号来天然分摊企业在华为云的支出。同时，企业还可以使用标签将组织信息标记在资源上，资源标签会随资源使用添加到客户的成本数据上。客户可以使用标签识别不同环境（比如生产、测试）的成本、或使用标签识别不同的组织、产品、负责人。 华为云成本中心为客户提供成本标签功能，企业各子账号（含主账号）在成本中心将资源标签激活为成本标签后，各账号就可以在成本中心基于成本标签进行成本分析、预算跟踪。成本标签只能影响激活后新产生的成本数据，因此建议客户尽早进行成本标签的规划和激活。 对于不能通过标签归集的成本（比如企业内部共用资源产生的成本，未及时标记标签产生的成本，或暂不支持标签管理的产品成本），建议客户在企业内部约定分配规则，将这类共同成本分配到企业内部。分配规则可以是平均分配、自定义比例，或者按照可归集成本的比例进行二次分配。 采用应计视角的摊销成本 华为云成本中心为客户提供了不同的成本类型： 原始成本：反映了客户的原始使用和购买情况。该成本是基于云服务官网价，应用了商务折扣、促销折扣等优惠之后的金额。 摊销成本：反映了包年/包月产品的预付金额在订单有效期间内按日分摊后的有效成本。比如客户购买了有效期为一年的云服务共365元，则每天的摊销成本为1元。 从财务视角来看，摊销成本为应计成本，是按照权责发生制计算的成本，因此更建议客户使用摊销成本在企业内部分摊成本。 详细的成本摊销规则可参见：https://support.huaweicloud.com/usermanual-cost/costcenter_000002_01.html

财务管理原则 华为云基于大量成功交付的项目，总结提炼了以下财务管理原则： 为实现统一财务管控，主账号为组织单元添加子账号时开启以下权限： 请求查看子账号财务信息 请求查看子账号消费消息 禁止子账号自行开票 允许代子账号开票 允许子账号继承主账号商务折扣 在主账号下要设置一个财务管理员，拥有主账号财务管理的所有权限，定期核算整个企业在华为云的消费情况，进行成本控制，定期（每月、每季、每年）统计华为云消费并计入企业财务报表。每个子账号（对应一个组织单元）也建议设置财务管理员，在本账号下核算华为云消费情况、进行成本控制、成本分析。 主账号的财务管理员统一在华为云上充值、申请信用额度和激活代金券，再划拨给各个子账号，定期审视子账号的资金、信用额度和代金券的使用情况，及时进行回收。为确保资金安全，建议开启资金安全二次验证功能。 主账号和各子账号的财务管理员要协同项目经理，根据资金使用成本和项目需求确定各类云资源的计费模式，是按需计费，还是包月、包季、包年等；定期按照企业项目、产品类型等维度进行成本统计和分析，结合资源利用率分析结果设计成本优化方案，如按需计费改为包周期、资源整合、订购套餐包等，并制定下一周期的成本预算；持续监控资源到期情况，及时对快到期的资源进行续费。 为防止子账号过度消费资源，主账号可以统一分配可用资金给各个子账号，同时开启余额预警；为防止项目成员过度订购云服务，还可以限定单个企业项目在华为云上订购云服务的资金配额限制，同时开启余额预警。

云上云下互联 单条专线场景 图1 单条专线场景 通过将专线接入ER，实现线下IDC和云上多个VPC互通。避免了需要为每个和IDC互通的VPC建立专线。多个VPC可以共享专线访问线下IDC，免去多条专线配置，降低成本。 通过将VPC关联至ER中不同的路由表，灵活实现VPC之间的互通和隔离，网络拓扑简洁，配置简单易管理。 多条专线场景 图2 多条专线场景 云上业务访问线下IDC要求高带宽、高可靠时，通常部署两条或更多的专线链路，专线链路之间相互独立。 专线接入ER后，可以实现专线的动态选路和切换。多个链路之间进行负载分担实现高带宽，同时保证可靠性；多个链路之间互为主备，单链路故障秒级切换，避免了单点故障带来的业务中断。

VPC之间的互联 企业路由器（ER）是云上大规格，高带宽，高性能的集中路由器，支持路由学习、动态选路以及链路切换，减少路由条目配置及维护工作量。将同Region的多个VPC接入ER中，就可以实现同区域多个VPC互通。 不同应用账号的VPC可以通过ER路由规则隔离。VPC之间支持灵活互通和隔离。 VPC间访问策略 DMZ VPC所有子网默认对内只能访问维护子网和公共服务子网的服务端口. DMZ VPC建议不同业务用不同子网，默认隔离，按需放通 DMZ VPC业务系统建议分应用子网和数据子网，默认只有应用子网对公网提供服务，数据子网只可被应用子网访问 公共运维VPC对线下网络放通公共服务子网访问权限，按需放通维护子网访问权限； 生产VPC按照业务划分不同子网，业务内可划分应用子网和数据子网，默认数据子网只可被应用子网访问，应用子网按需对其他子网放通。生产VPC各子网放通维护子网的访问。 开发测试VPC按照业务划分不同子网，业务内可划分应用子网和数据子网，默认数据子网只可被应用子网访问，应用子网按需对其他子网放通。开发测试VPC各子网放通维护子网的访问。 生产VPC和开发测试VPC默认不互通，不建立对等连接，数据传输建议通过OBS存储传输。