Identity and Access Management

Identity and Access Management (IAM) 支持控制 IBM Cloud 帐户中的资源。 资源组织到资源组中，并通过 IAM 访问策略授予帐户用户和服务标识访问权。 采用职责分离原则可确保 IBM Cloud 用户和服务标识仅具有执行其角色所需的访问权。 请参阅以下内容以初步了解 IBM Cloud IAM ，并配置 IBM Cloud 帐户以启用职责分离。

• IBM Cloud中的访问管理
• 组织资源和分配访问权的最佳实践
• 什么是 IBM Cloud Identity and Access Management

Activity Tracker

IBM Cloud Activity Tracker 记录通过 UI/CLI/API 在 IBM Cloud 中更改服务状态的活动。 您可以使用 Activity Tracker 服务来调查异常活动和关键操作，并遵守法规审计要求。 此外，可以在操作发生时向您发出有关这些操作的警报。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。 请参阅 Activity Tracker ，以获取有关在 VPC 和 Activity Tracker中跟踪的事件的信息。

流日志

IBM Cloud Flow Logs for Virtual Private Cloud (VPC) 支持收集，存储和显示有关进出 VPC 中网络接口的 Internet Protocol (IP) 流量的信息。 流日志可以帮助完成许多任务，包括对特定流量无法到达虚拟服务器实例以诊断安全组规则的原因进行故障诊断，以及支持遵守合规性法规。 请参阅 关于流日志 以获取更多信息。

流日志是一个时间窗口内两个虚拟网络接口卡 (vNIC) 之间的网络流量的摘要。 流日志描述安全组或网络 ACL 接受或拒绝的流量。 流日志包含传输控制协议 (TCP) 和用户数据报协议 (UDP) 流量的头信息和有效内容统计信息，但不包含因特网控制报文协议 (ICMP) 流量。 主要组成部分如下:

• 集合-流日志收集器配置为收集流数据，并且可以使用不同的作用域来配置这些收集器:
  • VPC-收集特定 VPC 上所有网络接口的数据。
  • Subnet-收集特定子网上所有网络接口的数据。
  • 实例-收集特定虚拟服务器上所有网络接口的数据。
  • 接口-收集特定虚拟服务器上特定网络接口的数据。
• 存储-流日志存储在 IBM Cloud Object Storage (COS) 存储区中。 此存储区是在设置流日志收集器期间配置的。
• 演示- IBM Cloud SQL Query 是 IBM对 COS 上的数据的无服务器 SQL 服务，用于在 COS 中存储的流日志上创建查询。 请参阅 查看流日志对象 和 使用 IBM Cloud SQL Query 以获取更多信息。

监视

IBM Cloud Monitoring 是一种云本机监视系统，您可以将其包含在 IBM Cloud 体系结构中，以获取有关服务器性能和运行状况的操作可视性。 供应 IBM Cloud Monitoring 服务的实例后，将在要监视的每个主机上安装监视代理程序。 通过 Web UI ，您可以监视资源，配置警报和浏览事件。

要使用 IBM Cloud Monitoring监视 Windows 系统， Prometheus WMI Exporter 用于在系统上执行度量值收集。 有两个用于发布度量值的选项:

1. 在 Linux 系统上运行监视代理程序，并远程擦除 Windows 端点。
2. 通过在 Windows 上作为客户机收集器运行 Prometheus ，使用 Prometheus 远程写功能从 Windows 系统推送度量。

要查看逐步安装和配置，请参阅 监视 Windows 环境。

日志分析

IBM Log Analysis 服务支持从 IBM Cloud中的资源管理事件日志。 IBM Log Analysis 提供了用于过滤，搜索，定义警报和设计定制视图以监视日志的功能。 请参阅 概述 以获取服务的概述。 Log Analysis 不本机支持 Windows 日志记录。 因此，将需要使用备用集中式日志记录服务。

Backup

SQL Server 上的备份和复原可以分类为本机集成或第三方集成:

• 本机-有关更多信息，请参阅 Quickstart: 备份和复原 SQL Server 数据库 ，其中描述了使用 SQL Server Management Studio (SSMS) 创建完整数据库备份和复原备份的过程。 备份存储在 SQL Server 安装期间配置的备份位置或用户定义的位置 (例如文件共享) 中。 可以使用 SQL Server 代理程序作业来调度备份。 有关 SQL Server 概念的完整描述，请参阅 备份概述 (SQL Server)。
• 第三方集成-有许多可用的第三方集成，在这里我们仅描述三个: IBM Spectrum Protect， Veeam 和 IBM Spectrum Protect Plus:
  • IBM Spectrum Protect -Data Protection for SQL 允许您执行 Microsoft SQL Server 数据库到 IBM Spectrum Protect Storage Manager Server 的联机备份和复原。 有关实现 IBM Spectrum Protect Storage Manager Server 的描述，请参阅 IBM Spectrum Protect Cloud Blueprint。 下载信息: V8.1.9 IBM Spectrum Protect for Databases中介绍了 Data Protection for SQL 的安装。
  • Veeam-Veeam Agent for Microsoft Windows 是可以部署在 IBM Cloud VPC 虚拟服务器实例上的数据保护和灾难恢复解决方案。 有关更多信息，请参阅 使用 Veeam 代理程序。 还可以将 Veeam Agent for Microsoft Windows 与 Veeam Backup and Replication 配合使用，其中 Veeam Backup and Replication 为所有 Veaam 代理程序提供集中备份解决方案。 有关更多信息，请参阅 使用 Veeam Backup and Replication 软件。 有关备份 SQL Server的更多信息，请参阅 备份 Microsoft SQL Server
  • IBM Spectrum Protect Plus - IBM Spectrum Protect Plus 是针对虚拟环境 vSphere 或 Hyper-V 的数据保护解决方案，并为 IBM Cloud VPC 虚拟服务器上托管的许多应用程序 (包括 SQL Server) 提供应用程序数据保护。 IBM Spectrum Protect Plus 可以作为独立解决方案实施，也可以与 IBM Spectrum Protect 环境集成，卸载副本以实现长期存储和监管。 IBM Spectrum Protect Plus 可以在 IBM Cloud 中自动安装到现有 VMware 环境中，请参阅 Spectrum Protect Plus Server 以获取更多信息。 有关 IBM Spectrum Protect Plus 和 SQL Server的特定信息，请参阅 备份和复原 SQL Server 数据。

IBM Cloud Security and Compliance Center

IBM Cloud Security and Compliance Center 支持识别安全漏洞，以便您能够减轻影响并解决漏洞问题。 需要在 VPC 中部署 Red Hat Enterprise Linux， CentOS或 Ubuntu 虚拟服务器 cx2-2x4 概要文件 (2 vCPU ， 4 GB RAM 和 4Gbps) 以充当收集器主机。 收集器是打包为 Docker 映像的软件模块。

概要文件是一组相关目标或安全检查，用于根据内部和外部法规验证资源。 请参阅 使用 VPC 监视安全性和合规性态势

作用域用于将扫描的焦点缩小到特定环境，区域或资源。 然后调度扫描以发现资源，评估其配置并根据预定义概要文件验证其合规性。 请参阅 Security and Compliance Center

数据加密

主引导卷和辅助数据卷使用 IBM管理的加密自动加密，但是，您也可以选择使用客户管理的加密来管理自己的加密。 受支持的密钥管理服务为 Key Protect 和 Hyper Protect Crypto Services (HPCS)。 有关更多信息，请参阅 关于 VPC 的数据加密。

安全组

IBM Cloud Security Groups for VPC 允许应用规则，这些规则允许根据虚拟服务器实例的 IP 地址对其每个网络接口进行过滤。

• 缺省情况下，安全组会拒绝所有流量。
• 添加规则时，它会定义允许的流量。
• 规则是有状态的，因此会自动允许响应所允许流量的逆向流量。
• 安全组的作用域限定为单个 VPC。
• 如果安全组中有多个虚拟服务器，那么仍需要允许服务器之间的流量。

有关更多信息，请参阅 关于安全组。

访问控制表

访问控制表 (ACL) 控制进出 VPC 子网的所有传入和传出流量，而不是控制进出虚拟服务器实例的流量的安全组。

• ACL 是无状态的，因此必须单独且显式地指定入站和出站规则。
• 每个 ACL 都由基于源 IP ，源端口，目标 IP ，目标端口和协议的规则组成。
• 一个子网在任何时候只能有一个 ACL 连接到它，但一个 ACL 可以连接到多个子网。
• 按顺序处理规则。
• 每个 VPC 都有一个允许所有入站和出站流量的缺省 ACL。

保护 Microsoft Windows Server

Internet Security Center (CIS) 基准是用于安全配置系统并引用一个或多个 CIS 控件的配置基线和最佳实践。 CIS 控制映射到许多已建立的标准和监管框架，包括 NIST 网络安全框架 (CSF) 和 NIST SP 800-53 ， ISO 27000 系列标准， PCI DSS ， HIPAA 等。 请参阅 保护 Microsoft Windows Server 以获取有关加强 Windows 操作系统的信息，并参阅 保护 Microsoft SQL Server 以获取有关加强 MS SQL 2019 的信息。

Windows 服务器修补

IBM Cloud VPC 网络上没有 Microsoft 更新服务器，因此需要通过因特网访问 Microsoft 存储库。 可以通过以下方法来实现此目标:

• 将浮动 IP 连接到虚拟服务器，请参阅 将浮动 IP 地址用于虚拟服务器实例的外部连接 以获取更多信息。
• 将 Public Gateway 连接到子网，请参阅 将公共网关用于子网的外部连接 以获取更多信息。
• 在防御子网上的虚拟服务器实例上部署 Windows Server Update Services (WSUS) ，并使用公共网关对 Microsoft 进行外部访问。 请参阅 部署 Windows Server Update Services ，以了解如何部署 WSUS 以及如何配置服务器以使用 WSUS 服务器。

您将需要更新安全组和/或访问控制表以允许此更新流量。

SQL Server 补丁

Microsoft 每 2 个月发布一次 SQL Server 的累积包 (CU)。 每个 CU 都包含先前的累积包。 对于 SQL Server 2019 ，可以在 Microsoft SQL Server中访问 CU。 另外，请参阅 SQL Server 2019 构建版本。

以下是 "始终开启" 可用性组中的修补过程的简短摘要:

• 准备工作:
  • 确定当前补丁级别。
  • 定义目标补丁级别，例如 N 或 N-1。
  • 阅读补丁发行说明。
  • 最佳实践是先在测试环境中测试补丁，然后再修补生产环境。
  • 验证您是否具有主副本中的系统数据库和用户数据库的最新备份。 理想情况下，您将具有完全备份; 但是，对于非常大的数据库，必须提供差分备份或事务日志备份
  • 在辅助副本上，具有可用的最新系统数据库备份。
  • 使用 SQL Server Management Studio 中的可用性仪表板来验证可用性组运行状况。 对于同步落实，可用性组数据库应该处于 "同步" 状态，而对于异步落实方式，应该处于 "同步" 状态。
• 修补:
  • 将补丁应用于主 MZR (即 AZ2中的 SQL Server) 中的辅助副本 (如果适用):
    • 使用 SSMS ，将故障转移方式从 "自动" 更改为 "手动" ，以确保安装补丁时不会发生自动故障转移。
    • 使用 SSMS ，暂挂辅助副本数据库的数据移动，以便主副本不会向特定辅助副本发送任何事务块。
    • 通过 RDP 到托管辅助副本的服务器，应用 CU。
    • 重新启动服务器。
    • 辅助副本联机后，使用 SSMS 连接到该副本并执行以下验证:
      • 验证 SQL 服务是否联机。
      • SQL Server 版本验证。
      • 查看 SQL Server 错误日志以获取任何错误和警告。
      • 还建议在应用补丁后执行数据库一致性检查程序 (DBCC CHECKDB)。
      • 使用 SSMS ，恢复到辅助副本数据库的数据移动，并等待可用性组仪表板显示运行状况。
  • 将补丁应用于恢复 MZR 中的辅助副本 (如果适用):
    • 使用 SSMS ，暂挂辅助副本数据库的数据移动，以便主副本不会向特定辅助副本发送任何事务块。
    • 通过 RDP 到托管辅助副本的服务器，应用 CU。
    • 重新启动服务器。
    • 辅助副本联机后，使用 SSMS 连接到该副本并执行以下验证:
    • 验证 SQL 服务是否联机。
    • SQL Server 版本验证。
    • 查看 SQL Server 错误日志以获取任何错误和警告。
    • 还建议在应用补丁后执行数据库一致性检查程序 (DBCC CHECKDB)。
    • 使用 SSMS ，恢复到辅助副本数据库的数据移动，并等待可用性组仪表板显示运行状况。
  • 将补丁应用于主副本:
    • 使用 SSMS ，执行从主副本到主 MZR 中的辅助副本的手动故障转移。 故障转移后，主副本将其状态更改为辅助副本。
    • 使用 SSMS ，暂挂辅助副本数据库的数据移动，以便主副本不会向特定辅助副本发送任何事务块。
    • 通过 RDP 到托管辅助副本的服务器，应用 CU。
    • 重新启动服务器。
    • 辅助副本联机后，使用 SSMS 连接到该副本并执行以下验证:
      • 验证 SQL 服务是否联机。
      • SQL Server 版本验证。
      • 查看 SQL Server 错误日志以获取任何错误和警告。
      • 还建议在应用补丁后执行数据库一致性检查程序 (DBCC CHECKDB)。
      • 使用 SSMS 执行可用性故障恢复。 故障转移后，可用性组主副本是主节点。
      • 将使用同步数据落实方式配置的主副本和辅助副本的故障转移方式更改为自动。
• 修补后:
  • 使用 SSMS 执行可用性组故障转移和故障恢复，并验证 SSMS 可用性仪表板是否正常运行。
  • 查看所有副本上的错误日志。
  • 验证应用程序访问权。