这也是企业选择或者评估云服务安全性时最容易困惑或忽视的问题:云服务水面以下是棉花还是秤砣?一旦岁月不够静好,云服务会如“浮云”般抽风还是如“冰山”般破浪前行?隐藏在云安全冰山水位线以下的90%,如何演化,如何评估?安全牛近日与华为云的相关负责人进行了一轮沟通,华为云的一个安全理念颇为有趣,叫“从冰山下到普惠安全”,可以给想上云或换云的厂商一些有益的借鉴。
• ISO 27017,是针对云计算信息安全的国际认证,提供了云服务特有的安全实践指南和控制措施,以解决云上的信息安全威胁和风险。
• CSA STAR,是针对云安全水平的权威认证,旨在应对与云安全相关的特定问题,协助云计算服务商展现其服务成熟度的解决方案。
• 业界首家信息安全服务资质(云计算安全一级),由中国信息安全测评中心推出,旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证。
• 全球唯一获得TL 9000认证的云服务商。TL 9000有机整合了ISO 9000及众多行业标准,形成的一套完整统一的质量管理体系,分质量体系要求和质量体系指标。
• 获得云服务用户数据保护能力增强级认证,体现了华为云在用户数据保护上的强大实力。
• 通过SOC2隐私性审计,成为中国第一家通过该审计的IaaS云服务商。
• 2019年11月,在由国际隐私专业协会(IAPP)主办,比利时布鲁塞尔举行的欧洲数据峰会上,华为云获得由BSI(英国标准协会)全球认证部进行认证并颁发,全球首批 ISO/IEC 27701:2019隐私信息管理体系认证证书。ISO/IEC 27701标准,旨在帮助组织机构保护和控制所处理的个人信息。标准将隐私保护的原则、理念和方法,融入到网络安全和隐私保护体系中,给企业提供了最佳实践和指导建议。
• ISO/IEC 29151标准,旨在防止个人隐私数据被滥用、泄露、更改、破坏等,为企业保护用户个人隐私数据提供了大量的最佳实践。
• BS 10012标准,是全球首部个人隐私保护的标准。因为按欧盟通用数据保护条例(GDPR)进行了更新,所以该标准既要求企业满足国际通用的个人信息保护标准,又要求企业符合GDPR的要求。
华为云获得的部分全球性合规认证
华为云的思路是通过划分多个安全区域进行物理和逻辑隔离,以及内网边界防护两个角度实现。
在每个安全区域内,根据所承载业务的隔离要求划分不同网络平面,以保证不同业务的网络通信流量得到合理且安全的分流。
内网边界防护主要有三个能力,抗D、下一代防火墙&入侵防御,WAF。
产品背后高级边界防护的实现,华为自研的弹性计算服务(ECS)和虚拟私有云服务(VPC)可谓功不可没。华为云使用ECS为租户提供包括操作系统安全、虚拟机安全(如镜像加固、网络与平台隔离、IP/MAC 仿冒控制、安全组)等安全能力。而通过VPC,用户可以自主配置和管理隔离的虚拟网络环境,并通过多项和安全相关的网络功能提升云中资源的安全性。
作为华为云平台的操作系统,华为统一虚拟化平台通过将服务器物理资源,如CPU、内存、I/O等,转变为一组可统一管理、灵活调度和动态分配的逻辑资源。并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。
华为云对主机操作系统进行了最小化裁剪,并对服务做安全加固,同时对接入主机操作系统的管理员执行严格的权限访问控制(包括双因子认证),以及全面的日志审计。
API的防护是通过华为自研的API网关实现。
API网关主要在身份认证及鉴权(集成华为云IAM)、传输(TLS 1.2)、边界(结合网络安全的边界防护能力,并提供API接口注册、访问控制列表规则限制、防重放、防爆破等功能)、API调用控制(秒级)四个场景进行安全防护。
遵循数据安全生命周期管理的业界标准,在身份认证、访问控制、数据隔离、传输安全、存储安全、数据删除与销毁、数据防泄漏等方面进行控制,保障租户对其数据的隐私权、所有权和控制权。
▸针对新加坡个人数据保护法(PDPA),发布《华为云新加坡PDPA合规性说明》;
▸针对马来西亚个人数据保护(PDPA),发布《华为云马来西亚PDPA合规性说明》;
▸针对巴西通用数据保护法(LGPD),发布《华为云巴西LGPD合规性说明》;
▸针对香港金融管理局监管要求(HKMA),发布《华为云香港金融行业监管要求合规性说明》;
▸针对新加坡金融监管要求(ABS&MAS),发布《华为云新加坡金融行业监管要求合规性说明》;
▸针对医疗行业标准HIPAA,发布《华为云HIPAA合规性说明》。
华为云构建了7×24小时不间断的安全保障体系,涵盖DDoS攻击、舆情监控、平台安全运维、租户安全事件响应等,确保云上业务的可用、可靠和快速恢复。
该体系协助租户处理各类入侵事件等每月数百次;发送各类安全预警千余次;成功抵御10Gbps以上大流量攻击2万多次,并对违规业务IP以及违规的账户进行实时清理。
华为云拥有纵跨IaaS、PaaS和SaaS类多项直接面向租户的云服务。其中,安全服务也是尤为重要的内容。
面向租户的安全服务,可以粗略分为华为自研的安全能力,以及来自华为云生态合作伙伴。后者即华为云严选商城的安全产品及服务。据了解,截止到今年7月,华为云已与50家国内外安全伙伴展开合作,在华为云上提供160余项安全产品和服务,覆盖网络安全、主机安全、应用安全、数据安全、安全管理等领域。
以保障用户网络安全和隐私保护为核心,华为云打造出覆盖网络安全、应用安全、数据安全、主机安全和安全管理五大领域的二十多款安全产品,包括Web应用防火墙、DDoS高防、敏感数据保护服务等,帮助用户抵御网络攻击、满足合规要求。
在网络安全领域,如何为业务筑起一堵网络安全屏障,让正常业务流量不受恶意攻击流量的影响?过去一年,华为云通过优化带宽资源,采用分布式边缘计算防护节点,端到端响应时延下降到20ms,易用性上增强了一键式自适应防护能力,平均每天抵御一次100Gbps以上超大流量攻击,在金融、政府、大企业、游戏、互联网等行业积累了一定的口碑。
在应用安全领域,华为云Web应用防火墙服务,每天拦截数十亿次攻击,已累计为数千个客户提供防护。在安全防护的同时,发布了IPv6双栈、全量日志、专家服务等功能;通过重构集群、跨Region、跨可用区三重架构,将WAF的SLA提升至99.99%以上;漏洞扫描服务,累计为数万个企业发现数百万个漏洞,引导用户修复了十余万个漏洞。
在数据安全领域,以保护用户数据为核心,华为云构建了从数据访问、识别分类、防泄漏、审计追溯的完整的数据安全体系。2019年,华为云新发布了敏感数据保护服务(SDG),支持GDPR定义的敏感数据检测;支持结构化和非结构化数据脱敏;支持基于规格和自然语义处理的识别,中文识别率达95%,英文识别率达98%;数据库安全服务,作为国内唯一集数据库防火墙、数据脱敏、数据库审计一体的数据库安全产品,在零售、汽车、教育等多个行业广泛使用;数据加密服务作为数据保护的最后一环,嵌入20余种云服务中,实现一键加密;API一年上亿次调用。基于鲲鹏的国密加密方案,可以实现透明无感知加密,由于采用自研ARM芯片加速,性能损耗控制在5%左右。
在主机安全领域,华为云提供主机、容器及程序文件的全方位安全防护方案,保证主机安全可信。过去一年,企业主机安全服务防护了华为云60%以上、终端云99%以上的主机,累计检测并修复上百万漏洞与不安全配置,隔离查杀数万病毒木马;云上动态网页防篡改方案,防止网站被篡改,被篡改后自动恢复,充分满足《公安部82号令》的要求;容器安全服务,具备安全和应用生命周期管理能力,安全能力覆盖面很广,CI/CD流水线及微服务使得云原生开发非常高效。助力华为云容器服务获得Forrester测评TOP2的优异成绩。
在安全管理领域,态势感知服务作为企业的安全运营中心,已经为包括华为云、终端云在内的数百家大型企业、上万用户提供统一的威胁检测和风险处置平台,通过大数据分析与AI技术,及时发现云上的各种安全威胁,并联动相关服务进行下一步处置;基于最新的安全等保2.0标准,华为云携手全国优质的等保测评伙伴,为客户提供全流程等保测评服务,已帮助300多个企业的系统通过了等保测评;华为云SSL证书管理服务,联合全球知名数字证书服务机构,提供从证书申请、管理、推送部署等一站式证书的全生命周期管理的服务;除此以外,华为云堡垒机服务持续进行安全加固,并上线自动化运维、数据库运维等增强功能,通过命令/脚本批量执行、文件自动分发、任务编排等加强角色与资源之间的权限管理能力,提高云上企业的运维工作效率。
具体都有哪些“普惠安全”行动将推出呢?
3、开放华为云通过ISO系列认证、GDPR等合规资质的实践经验,为用户申请类似认证和合规遵从时提供建议。
4、企业主机安全服务:提供百万台主机免费预装,让每个租户每台云主机上线前都可选择加装安全防护套件,降低被挖矿、暴力破解、勒索等风险。
5、密钥管理将免费为用户服务,帮助用户尽快培养起对核心数据加密的使用习惯。
华为作为国内ICT领域的大厂,无论是对传统的网络安全,还是云上的安全,都有强大的自研能力支持以及广泛的合作生态。以华为的体量,在云安全“引擎盖以下”的战略投入是非常可观的。这也是华为(以及华为云)在安全领域的重要优势。华为提出的云安全“冰山下”五大能力和“普惠安全”计划,一方面降低了企业“上云”的门槛和安全顾虑,同时也为云服务市场和生态竞争树立了一个新的安全标杆。