當(dāng)企業(yè)評估云的安全水平時，往往聚焦在云安全服務(wù)及云服務(wù)的安全特性上，而忽略了云安全中更重要的部分——云基礎(chǔ)設(shè)施安全。如果把云安全比作“冰山”，那它們屬于“冰山”上的可見部分。而“冰山”水下 90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

這也是企業(yè)選擇或者評估云服務(wù)安全性時最容易困惑或忽視的問題：云服務(wù)水面以下是棉花還是秤砣？一旦歲月不夠靜好，云服務(wù)會如“浮云”般抽風(fēng)還是如“冰山”般破浪前行？隱藏在云安全冰山水位線以下的 90%，如何演化，如何評估？安全牛近日與華為云的相關(guān)負(fù)責(zé)人進(jìn)行了一輪溝通，華為云的一個安全理念頗為有趣，叫“從冰山下到普惠安全”，可以給想上云或換云的廠商一些有益的借鑒。

一、從冰山下的安全做起

華為云認(rèn)為，安全得從最底座做起，也就是不僅關(guān)注冰山下的“安全服務(wù)和特性”，更要關(guān)注冰山下的各種基礎(chǔ)的安全能力的建設(shè)，才能給云用戶提供扎實(shí)的安全防護(hù)。冰山下的安全能力都由哪些能力組成的呢？

1

冰山下的能力一：云平臺安全合規(guī)

“安全合規(guī)”是指組織要滿足所在國家和區(qū)域的法律法規(guī)中對安全的相關(guān)要求以及行業(yè)相關(guān)標(biāo)準(zhǔn)的要求。它有兩方面的意義:一方面，滿足這些要求，就滿足了基本的安全規(guī)范，是保障組織的網(wǎng)絡(luò)安全的基礎(chǔ)；另一方面，不滿足這些要求，則可能面臨法律風(fēng)險或者進(jìn)入不了行業(yè)門檻。所以，企業(yè)能否持續(xù)獲得權(quán)威的安全合規(guī)認(rèn)證，是衡量企業(yè)在網(wǎng)絡(luò)安全投入以及安全能力的重要指標(biāo)之一。

為給用戶提供一個從云平臺到云服務(wù)都安全可信的環(huán)境，華為云將最嚴(yán)格的國際安全標(biāo)準(zhǔn)作為目標(biāo)，不斷對齊并優(yōu)化自身的安全能力，努力搭建出世界一流的安全合規(guī)認(rèn)證體系。僅 2019 年，華為云就獲得和重新審核通過了這些合規(guī)認(rèn)證：

? ISO 22301，是全球首個公認(rèn)的、衡量企業(yè)服務(wù)連續(xù)性能力是否滿足社會責(zé)任和客戶承諾的唯一標(biāo)準(zhǔn)。

? ISO 27001，是目前國際上被廣泛接受和應(yīng)用的信息安全管理體系認(rèn)證標(biāo)準(zhǔn)。

? ISO 27017，是針對云計(jì)算信息安全的國際認(rèn)證，提供了云服務(wù)特有的安全實(shí)踐指南和控制措施，以解決云上的信息安全威脅和風(fēng)險。

? CSA STAR，是針對云安全水平的權(quán)威認(rèn)證，旨在應(yīng)對與云安全相關(guān)的特定問題，協(xié)助云計(jì)算服務(wù)商展現(xiàn)其服務(wù)成熟度的解決方案。

? 業(yè)界首家信息安全服務(wù)資質(zhì)（云計(jì)算安全一級），由中國信息安全測評中心推出，旨在對云服務(wù)商的安全服務(wù)資格狀況、技術(shù)實(shí)力和云計(jì)算安全服務(wù)實(shí)施質(zhì)量等方面進(jìn)行綜合客觀評定的認(rèn)證。

? 全球唯一獲得 TL 9000 認(rèn)證的云服務(wù)商。TL 9000 有機(jī)整合了 ISO 9000 及眾多行業(yè)標(biāo)準(zhǔn)，形成的一套完整統(tǒng)一的質(zhì)量管理體系，分質(zhì)量體系要求和質(zhì)量體系指標(biāo)。

? 獲得云服務(wù)用戶數(shù)據(jù)保護(hù)能力增強(qiáng)級認(rèn)證，體現(xiàn)了華為云在用戶數(shù)據(jù)保護(hù)上的強(qiáng)大實(shí)力。

? 通過 SOC2 隱私性審計(jì)，成為中國第一家通過該審計(jì)的 IaaS 云服務(wù)商。

? 2019 年 11 月，在由國際隱私專業(yè)協(xié)會（IAPP）主辦，比利時布魯塞爾舉行的歐洲數(shù)據(jù)峰會上，華為云獲得由 BSI（英國標(biāo)準(zhǔn)協(xié)會）全球認(rèn)證部進(jìn)行認(rèn)證并頒發(fā)，全球首批 ISO/IEC 27701:2019 隱私信息管理體系認(rèn)證證書。ISO/IEC 27701 標(biāo)準(zhǔn)，旨在幫助組織機(jī)構(gòu)保護(hù)和控制所處理的個人信息。標(biāo)準(zhǔn)將隱私保護(hù)的原則、理念和方法，融入到網(wǎng)絡(luò)安全和隱私保護(hù)體系中，給企業(yè)提供了最佳實(shí)踐和指導(dǎo)建議。

? ISO/IEC 29151 標(biāo)準(zhǔn)，旨在防止個人隱私數(shù)據(jù)被濫用、泄露、更改、破壞等，為企業(yè)保護(hù)用戶個人隱私數(shù)據(jù)提供了大量的最佳實(shí)踐。

? BS 10012 標(biāo)準(zhǔn)，是全球首部個人隱私保護(hù)的標(biāo)準(zhǔn)。因?yàn)榘礆W盟通用數(shù)據(jù)保護(hù)條例（GDPR）進(jìn)行了更新，所以該標(biāo)準(zhǔn)既要求企業(yè)滿足國際通用的個人信息保護(hù)標(biāo)準(zhǔn)，又要求企業(yè)符合 GDPR 的要求。

截止目前，華為云在全球獲得了 50 多個權(quán)威認(rèn)證，這也是華為云在安全合規(guī)能力上的一種體現(xiàn)。

華為云獲得的部分全球性合規(guī)認(rèn)證

2

冰山下的能力二：基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全是華為多維全棧的云安全防護(hù)體系的核心。包括物理與環(huán)境安全、網(wǎng)絡(luò)安全、平臺安全、API 應(yīng)用安全以及數(shù)據(jù)安全五部分。

物理與環(huán)境安全這里暫且不做過多介紹。

網(wǎng)絡(luò)安全

華為云的思路是通過劃分多個安全區(qū)域進(jìn)行物理和邏輯隔離，以及內(nèi)網(wǎng)邊界防護(hù)兩個角度實(shí)現(xiàn)。

在每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，以保證不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流。

內(nèi)網(wǎng)邊界防護(hù)主要有三個能力，抗 D、下一代防火墻 &入侵防御，WAF。

產(chǎn)品背后高級邊界防護(hù)的實(shí)現(xiàn)，華為自研的彈性計(jì)算服務(wù)（ECS）和虛擬私有云服務(wù)（VPC）可謂功不可沒。華為云使用 ECS 為租戶提供包括操作系統(tǒng)安全、虛擬機(jī)安全（如鏡像加固、網(wǎng)絡(luò)與平臺隔離、IP/MAC 仿冒控制、安全組）等安全能力。而通過 VPC，用戶可以自主配置和管理隔離的虛擬網(wǎng)絡(luò)環(huán)境，并通過多項(xiàng)和安全相關(guān)的網(wǎng)絡(luò)功能提升云中資源的安全性。

平臺安全

作為華為云平臺的操作系統(tǒng)，華為統(tǒng)一虛擬化平臺通過將服務(wù)器物理資源，如 CPU、內(nèi)存、I/O 等，轉(zhuǎn)變?yōu)橐唤M可統(tǒng)一管理、靈活調(diào)度和動態(tài)分配的邏輯資源。并基于這些邏輯資源，在單個物理服務(wù)器上構(gòu)建多個同時運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境。

華為云對主機(jī)操作系統(tǒng)進(jìn)行了最小化裁剪，并對服務(wù)做安全加固，同時對接入主機(jī)操作系統(tǒng)的管理員執(zhí)行嚴(yán)格的權(quán)限訪問控制（包括雙因子認(rèn)證），以及全面的日志審計(jì)。

API 應(yīng)用安全

API 的防護(hù)是通過華為自研的 API 網(wǎng)關(guān)實(shí)現(xiàn)。

API 網(wǎng)關(guān)主要在身份認(rèn)證及鑒權(quán)（集成華為云 IAM）、傳輸（TLS 1.2）、邊界（結(jié)合網(wǎng)絡(luò)安全的邊界防護(hù)能力，并提供 API 接口注冊、訪問控制列表規(guī)則限制、防重放、防爆破等功能）、API 調(diào)用控制（秒級）四個場景進(jìn)行安全防護(hù)。

數(shù)據(jù)安全

遵循數(shù)據(jù)安全生命周期管理的業(yè)界標(biāo)準(zhǔn)，在身份認(rèn)證、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除與銷毀、數(shù)據(jù)防泄漏等方面進(jìn)行控制，保障租戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)。

3

冰山下的能力三：優(yōu)秀實(shí)踐化為標(biāo)準(zhǔn)

華為云為用戶提供安全可信的云服務(wù)的同時，也不斷把優(yōu)秀安全實(shí)踐變?yōu)樾袠I(yè)標(biāo)準(zhǔn)。華為云參與制定了多個云計(jì)算、云安全相關(guān)的國家標(biāo)準(zhǔn)。2018 年 8 月，由四川大學(xué)牽頭、華為云等參與制定的兩項(xiàng)云安全國家標(biāo)準(zhǔn)獲得“中國標(biāo)準(zhǔn)創(chuàng)新貢獻(xiàn)獎”，華為云是國內(nèi)唯一獲得該獎項(xiàng)的云服務(wù)商。這兩項(xiàng)標(biāo)準(zhǔn)，也是我國首批發(fā)布的云安全國家標(biāo)準(zhǔn)。

4

冰山下的能力四：安全保障體系

華為云構(gòu)建了 7×24 小時不間斷的安全保障體系，涵蓋 DDoS 攻擊、輿情監(jiān)控、平臺安全運(yùn)維、租戶安全事件響應(yīng)等，確保云上業(yè)務(wù)的可用、可靠和快速恢復(fù)。

該體系協(xié)助租戶處理各類入侵事件等每月數(shù)百次；發(fā)送各類安全預(yù)警千余次；成功抵御 10Gbps 以上大流量攻擊 2 萬多次，并對違規(guī)業(yè)務(wù) IP 以及違規(guī)的賬戶進(jìn)行實(shí)時清理。

5

冰山下的能力五：面向租戶的安全服務(wù)

華為云擁有縱跨 IaaS、PaaS 和 SaaS 類多項(xiàng)直接面向租戶的云服務(wù)。其中，安全服務(wù)也是尤為重要的內(nèi)容。

面向租戶的安全服務(wù)，可以粗略分為華為自研的安全能力，以及來自華為云生態(tài)合作伙伴。后者即華為云嚴(yán)選商城的安全產(chǎn)品及服務(wù)。據(jù)了解，截止到今年 7 月，華為云已與 50 家國內(nèi)外安全伙伴展開合作，在華為云上提供 160 余項(xiàng)安全產(chǎn)品和服務(wù)，覆蓋網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等領(lǐng)域。

以保障用戶網(wǎng)絡(luò)安全和隱私保護(hù)為核心，華為云打造出覆蓋網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全和安全管理五大領(lǐng)域的二十多款安全產(chǎn)品，包括 Web 應(yīng)用防火墻、DDoS 高防、敏感數(shù)據(jù)保護(hù)服務(wù)等，幫助用戶抵御網(wǎng)絡(luò)攻擊、滿足合規(guī)要求。

在網(wǎng)絡(luò)安全領(lǐng)域，如何為業(yè)務(wù)筑起一堵網(wǎng)絡(luò)安全屏障，讓正常業(yè)務(wù)流量不受惡意攻擊流量的影響？過去一年，華為云通過優(yōu)化帶寬資源，采用分布式邊緣計(jì)算防護(hù)節(jié)點(diǎn)，端到端響應(yīng)時延下降到 20ms，易用性上增強(qiáng)了一鍵式自適應(yīng)防護(hù)能力，平均每天抵御一次 100Gbps 以上超大流量攻擊，在金融、政府、大企業(yè)、游戲、互聯(lián)網(wǎng)等行業(yè)積累了一定的口碑。

在應(yīng)用安全領(lǐng)域，華為云 Web 應(yīng)用防火墻服務(wù)，每天攔截?cái)?shù)十億次攻擊，已累計(jì)為數(shù)千個客戶提供防護(hù)。在安全防護(hù)的同時，發(fā)布了 IPv6 雙棧、全量日志、專家服務(wù)等功能；通過重構(gòu)集群、跨 Region、跨可用區(qū)三重架構(gòu)，將 WAF 的 SLA 提升至 99.99%以上；漏洞掃描服務(wù)，累計(jì)為數(shù)萬個企業(yè)發(fā)現(xiàn)數(shù)百萬個漏洞，引導(dǎo)用戶修復(fù)了十余萬個漏洞。

在數(shù)據(jù)安全領(lǐng)域，以保護(hù)用戶數(shù)據(jù)為核心，華為云構(gòu)建了從數(shù)據(jù)訪問、識別分類、防泄漏、審計(jì)追溯的完整的數(shù)據(jù)安全體系。2019 年，華為云新發(fā)布了敏感數(shù)據(jù)保護(hù)服務(wù)（SDG），支持 GDPR 定義的敏感數(shù)據(jù)檢測；支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)脫敏；支持基于規(guī)格和自然語義處理的識別，中文識別率達(dá) 95%，英文識別率達(dá) 98%；數(shù)據(jù)庫安全服務(wù)，作為國內(nèi)唯一集數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計(jì)一體的數(shù)據(jù)庫安全產(chǎn)品，在零售、汽車、教育等多個行業(yè)廣泛使用；數(shù)據(jù)加密服務(wù)作為數(shù)據(jù)保護(hù)的最后一環(huán)，嵌入 20 余種云服務(wù)中，實(shí)現(xiàn)一鍵加密；API 一年上億次調(diào)用?；邛H鵬的國密加密方案，可以實(shí)現(xiàn)透明無感知加密，由于采用自研 ARM 芯片加速，性能損耗控制在 5%左右。

在主機(jī)安全領(lǐng)域，華為云提供主機(jī)、容器及程序文件的全方位安全防護(hù)方案，保證主機(jī)安全可信。過去一年，企業(yè)主機(jī)安全服務(wù)防護(hù)了華為云 60%以上、終端云 99%以上的主機(jī)，累計(jì)檢測并修復(fù)上百萬漏洞與不安全配置，隔離查殺數(shù)萬病毒木馬；云上動態(tài)網(wǎng)頁防篡改方案，防止網(wǎng)站被篡改，被篡改后自動恢復(fù)，充分滿足《公安部 82 號令》的要求；容器安全服務(wù)，具備安全和應(yīng)用生命周期管理能力，安全能力覆蓋面很廣，CI/CD 流水線及微服務(wù)使得云原生開發(fā)非常高效。助力華為云容器服務(wù)獲得 Forrester 測評 TOP2 的優(yōu)異成績。

在安全管理領(lǐng)域，態(tài)勢感知服務(wù)作為企業(yè)的安全運(yùn)營中心，已經(jīng)為包括華為云、終端云在內(nèi)的數(shù)百家大型企業(yè)、上萬用戶提供統(tǒng)一的威脅檢測和風(fēng)險處置平臺，通過大數(shù)據(jù)分析與 AI 技術(shù)，及時發(fā)現(xiàn)云上的各種安全威脅，并聯(lián)動相關(guān)服務(wù)進(jìn)行下一步處置；基于最新的安全等保 2.0 標(biāo)準(zhǔn)，華為云攜手全國優(yōu)質(zhì)的等保測評伙伴，為客戶提供全流程等保測評服務(wù)，已幫助 300 多個企業(yè)的系統(tǒng)通過了等保測評；華為云 SSL 證書管理服務(wù)，聯(lián)合全球知名數(shù)字證書服務(wù)機(jī)構(gòu)，提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務(wù)；除此以外，華為云堡壘機(jī)服務(wù)持續(xù)進(jìn)行安全加固，并上線自動化運(yùn)維、數(shù)據(jù)庫運(yùn)維等增強(qiáng)功能，通過命令/腳本批量執(zhí)行、文件自動分發(fā)、任務(wù)編排等加強(qiáng)角色與資源之間的權(quán)限管理能力，提高云上企業(yè)的運(yùn)維工作效率。

二、普惠安全

安全專業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。如何消除企業(yè)上云安全技能匱乏的困境？在華為云看來，降低安全能力的使用門檻，把多年積累的安全專家的能力和經(jīng)驗(yàn)內(nèi)置到云服務(wù)的每個細(xì)節(jié)中，是一個很好的方法。

2020 年，在已構(gòu)造出的完整安全體系基礎(chǔ)上，華為云推出了“普惠安全”計(jì)劃：每一個用戶，都可以申請免費(fèi)或者試用版本的安全服務(wù)套餐，以往在專業(yè)版本才有的功能進(jìn)一步下沉到基礎(chǔ)版，每個服務(wù)都力爭在可視化、自動化上向前邁進(jìn)，通過模板、配置庫、處理建議等方面的設(shè)計(jì)，讓企業(yè) IT 人員“用得起”、“看得見”、“會處理”，讓企業(yè)上云更簡單。

審核編輯 黃宇