服务韧性

安全防护套件覆盖和使用堡垒机，增强入侵检测和防御能力

ModelArts服务部署主机层、应用层、网络层和数据层的安全防护套件。及时检测主机层、应用层、网络层和数据层的安全入侵行为。

• ModelArts服务涉及对互联网开放的Web应用，采用了统一推荐的Web安全组件防范Web安全风险，并且通过WAF进行安全防护。
• 所有承载ModelArts服务的主机部署了主机安全防护产品。包括不限于华为自研HSS或计算安全平台CSP。
• ModelArts服务部署了漏洞扫描服务并自行进行例行扫描，能快速发现漏洞并能及时修复。
• ModelArts服务通过统一的安全管控平台对云上资源进行安全运维。
• ModelArts服务部署了态势感知服务，以感知攻击现状，还原攻击历史，同时及时发现合规风险，对威胁告警及时响应。
• ModelArts承载关键业务的对外开放EIP部署了高防服务，以防大流量攻击。
• ModelArts对存放关键数据的数据库部署了数据库安全服务。

云服务防抖动和遭受攻击后的应急响应/恢复策略

ModelArts服务具备租户资源隔离能力，避免单租户资源被攻击导致爆炸半径大，影响其他租户。

• ModelArts服务具备资源池和隔离能力，避免单租户资源被攻击导致爆炸半径过大风险。
• ModelArts服务定义并维护了性能规格用于自身的抗攻击性。例如：设置API访问限制，防止恶意接口调用等场景。
• ModelArts服务在攻击场景下，具备告警能力及自我保护能力。
• ModelArts服务提供了业务异常行为感知能力。例如运营平台异常数据感知，安全日志集成等。
• ModelArts服务具备遭受攻击时的风险控制和应急响应能力。例如快速识别恶意租户，恶意IP。
• ModelArts服务具备攻击流量停止后，快速恢复业务的能力。

云服务域名使用安全及租户内容安全策略

ModelArts服务使用的租户可见域名、租户不可见域名均满足如下安全相关要求，避免了域名使用过程中的合规和钓鱼风险。其中：

租户可见域名：指租户可访问的域名，需要格外重视安全性和合规性。

租户不可见域名：指华为云服务在内网相互调用使用的域名，外部用户无法访问到对应的权威DNS服务器；或者Internet受限访问域名，只允许华为办公网络黄&绿区华为员工及合作方或外包人员访问的域名。

• 华为云基础域名安全使用，避免直接为租户分配基础域名。
• 华为云服务在内网互相调用使用的域名，避免使用外部已备案域名。
• 所有中国大陆境内下沉POD区服务使用的域名已完成备案。
• 所有中国大陆境内下沉POD区的服务均遵守国家《互联网信息服务管理办法》要求。