2021云安全白皮書

云安全白皮書2021文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE\*romaniv目錄導(dǎo)讀 ii云安全戰(zhàn)略 1責(zé)任共擔(dān)模型 4華為云的安全責(zé)任 5租戶的安全責(zé)任 6安全合規(guī)與隱私保護(hù) 7安全合規(guī)與標(biāo)準(zhǔn)遵從 7隱私保護(hù) 8安全組織和人員 10安全組織 10安全與隱私保護(hù)人員 10內(nèi)部審計人員 11人力資源管理 11安全意識教育 11網(wǎng)絡(luò)安全能力提升 12重點崗位管理 12安全違規(guī)問責(zé) 12基礎(chǔ)設(shè)施安全 14物理與環(huán)境安全 14物理安全 14環(huán)境安全 15網(wǎng)絡(luò)安全 15安全區(qū)域劃分與隔離 16業(yè)務(wù)平面劃分與隔離 17高級邊界防護(hù) 17平臺安全 18CPU隔離 18內(nèi)存隔離 18I/O隔離 19API應(yīng)用安全 19數(shù)據(jù)安全 20訪問隔離 20傳輸安全 20存儲安全 21數(shù)據(jù)刪除與銷毀 22租戶服務(wù)與租戶安全 24計算服務(wù) 24彈性計算服務(wù)（ECS） 24鏡像服務(wù)（IMS） 25彈性伸縮服務(wù)(AS). 25專屬主機(jī)服務(wù)(DeH) 26裸金屬服務(wù)（BMS） 26網(wǎng)絡(luò)服務(wù) 26虛擬私有云服務(wù)(VPC) 26彈性負(fù)載均衡服務(wù)（ELB） 29云解析服務(wù)（DNS） 30存儲服務(wù) 30云硬盤服務(wù)（EVS） 30云備份服務(wù)（CBR） 31內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN） 31對象存儲服務(wù)（OBS） 31數(shù)據(jù)快遞服務(wù)（DES） 33數(shù)據(jù)庫服務(wù) 34關(guān)系型數(shù)據(jù)庫服務(wù)（RDS） 34文檔型數(shù)據(jù)庫服務(wù)（DDS） 35分布式緩存服務(wù)（DCS） 36數(shù)據(jù)分析服務(wù) 36MapReduce服務(wù)（MRS） 36應(yīng)用服務(wù) 37消息通知服務(wù)（SMN） 37分布式消息服務(wù)（DMS） 37云桌面服務(wù)（Workspace） 38管理服務(wù) 39云監(jiān)控服務(wù)（CES） 39云審計服務(wù)（CTS） 39企業(yè)項目管理服務(wù)（EPS） 40標(biāo)簽管理服務(wù)（TMS） 40資源模板服務(wù)（RTS） 41安全服務(wù) 41統(tǒng)一身份認(rèn)證服務(wù)（IAM） 41數(shù)據(jù)加密服務(wù)（DEW） 42防DDoS攻擊服務(wù)（Anti-DDoSService） 44企業(yè)主機(jī)安全服務(wù)（HSS） 44容器安全服務(wù)（CGS） 45云Web應(yīng)用防火墻服務(wù)（WAF） 45數(shù)據(jù)庫安全服務(wù)（DBSS） 46工程安全 49DevOps和DevSecOps流程 49雙軌制（DualPath）機(jī)制 50安全設(shè)計 50安全編碼和測試 50第三方軟件安全管理 51配置與變更管理 51上線安全審批 51運(yùn)維運(yùn)營安全 53O&M賬號運(yùn)營安全 53賬號認(rèn)證 53權(quán)限管理 53接入安全 54漏洞管理 54漏洞感知 54漏洞響應(yīng)和處理 55漏洞披露 55安全日志和事件管理 55日志管理和審計 55快速發(fā)現(xiàn)與快速定界 56快速隔離與快速恢復(fù) 56業(yè)務(wù)連續(xù)與災(zāi)難恢復(fù) 56基礎(chǔ)設(shè)施高可用 57可用區(qū)之間災(zāi)備復(fù)制 57業(yè)務(wù)連續(xù)性計劃和測試 57安全生態(tài) 581云安全戰(zhàn)略1云安全戰(zhàn)略文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE11云安全戰(zhàn)略安全面臨的威脅和挑戰(zhàn)將日益嚴(yán)重。網(wǎng)絡(luò)安全和云安全已經(jīng)成為多維度的全球性挑作，共同努力，減少技術(shù)被濫用所導(dǎo)致的不可預(yù)期風(fēng)險。作為全球領(lǐng)先的信息和通信技術(shù)（ICT–InformationandCommunicationTechnology）解決方案供應(yīng)商，華為技術(shù)有限公司（以下簡稱“華為”）充分理解網(wǎng)絡(luò)安全和云安全的重要性，并充分理解各國政府及客戶對此的擔(dān)憂與高度關(guān)注。針對層出不窮的云安全挑戰(zhàn)和無孔不入的云安全威脅與攻擊1，華為對安全問題的憂患意識也日益緊迫，高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力、合規(guī)及生態(tài)上的投入，并采取切實有效的措施，加速開發(fā)云安全技術(shù)和服務(wù)，提升公司云產(chǎn)品和云服務(wù)的安全性，提升云安全合規(guī)和生態(tài)建設(shè)，幫助客戶規(guī)避和減少云安全風(fēng)險，以贏得各利益相關(guān)方的信賴。華為認(rèn)為，構(gòu)建一個開放、透明、可視的多維全棧云安全框架，將有助于整個云服務(wù)產(chǎn)業(yè)健康持續(xù)發(fā)展，并將促進(jìn)云技術(shù)創(chuàng)新。華為云秉承華為公司創(chuàng)始人、CEO任正非先生提出的“將公司對網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上”。在安全至上的企業(yè)文化氛圍中，華為云不斷汲取公司安全養(yǎng)分，腳踏實地，不斷前行。華為云安全的歷史可追溯到2000年華為安全測試實驗室成立。從那時起，近20年來，華為持續(xù)不懈地構(gòu)建自身安全能力，這些能力積累，滲透到了云安全服務(wù)研發(fā)的每個毛細(xì)血管中，構(gòu)筑了華為云多維立體、全棧防護(hù)的安全體系：2003年，推出業(yè)界首款基于網(wǎng)絡(luò)處理器（NP–NetworkProcessor）的防火墻；2008年，與賽門鐵克（Symantec）合資成立華賽公司安全產(chǎn)品線，專注安全領(lǐng)域；2011年，成立安全能力中心，專2012年，華為網(wǎng)絡(luò)安全產(chǎn)品國內(nèi)市場占有率第一；2015年，云安全解決方案及服務(wù)全面上線；2016年，云安全全球化布局，密鑰管理服務(wù)（KMS）和防DDoS攻擊服務(wù)（Anti-DDoS）在德國、西班牙上線；2017DDoS高流量防護(hù)（高防）、數(shù)據(jù)庫防火墻等系列高增值安全服務(wù)；2018年，推出專屬加密服務(wù)（DHSM）。網(wǎng)絡(luò)安全和隱私保護(hù)是華為的最高綱領(lǐng)。華為云在此承諾：華為云以數(shù)據(jù)保護(hù)為核心，以云安全能力為基石，以法律法規(guī)業(yè)界標(biāo)準(zhǔn)遵從為城墻，以安全生態(tài)圈為護(hù)城不同行業(yè)的完善云服務(wù)安全保障體系，并將其作為華為云的重要發(fā)展戰(zhàn)略之一。行業(yè)最佳實踐的基礎(chǔ)上，從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應(yīng)對云安全挑戰(zhàn)，全面滿足云服務(wù)用戶的安全需求。圖1-1華為云安全防護(hù)框架在組織方面，全球網(wǎng)絡(luò)安全與隱私保護(hù)委員會（GSPC–GlobalSecurity&PrivacyCommittee）作為華為公司的最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)官（GSPO–GlobalSecurity&PrivacyOfficer）GSPC的重要成員，負(fù)責(zé)領(lǐng)導(dǎo)團(tuán)隊制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等相關(guān)體系的安全組織和業(yè)務(wù)，確保網(wǎng)絡(luò)安全保障體系在各體系、各區(qū)域、全流程的實施，積極推動與政府、客戶、合作伙伴、員工等各利益相關(guān)方的溝通。華為云建立并完善其適合云服務(wù)持續(xù)集成、持續(xù)部署的扁平化組織。在業(yè)務(wù)流程方面，安全保障活動融入研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等各主業(yè)務(wù)流程中。安全作為質(zhì)量管理體系的基本要求，通過管理制度和技術(shù)規(guī)范來確保其有效實施。華為通過內(nèi)部審計和接受各國政府安全部門、第三方獨(dú)立機(jī)構(gòu)的安全認(rèn)證和審計等來監(jiān)督和改進(jìn)各項業(yè)務(wù)流程。2004安全管理體系通過了BS7799-2/ISO27001認(rèn)證。華為云在公司級的業(yè)務(wù)流程基礎(chǔ)上，大膽地將已在華為全面采用的安全周期管理（SDL–SecurityDevelopmentLifecycle）集成于當(dāng)前適合云服務(wù)的DevOps工程流程和技術(shù)能力，形成有華為特色的DevSecOps方法論和工具鏈，既支撐云業(yè)務(wù)的敏捷上線，又確保研發(fā)部署的全線安全質(zhì)量。在人員管理方面，華為云嚴(yán)格執(zhí)行華為長期以來行之有效的人事和人員管理機(jī)法律責(zé)任。在云安全技術(shù)能力方面，依托華為自身強(qiáng)大的安全研發(fā)能力，以數(shù)據(jù)保護(hù)為核解決措施；通過多維、立體、完善的云安全防御、監(jiān)控、分析和響應(yīng)等技術(shù)體系支撐云服務(wù)運(yùn)維運(yùn)營安全，實現(xiàn)對云安全風(fēng)險、威脅和攻擊的快速發(fā)現(xiàn)、快速隔離和快速恢復(fù)，讓租戶受益于華為云先進(jìn)技術(shù)帶來的便捷、安全與業(yè)務(wù)增值。在云安全合規(guī)方面享給租戶，避免信息缺失導(dǎo)致的違規(guī)風(fēng)險，通過合同明確雙方的安全職責(zé)。華為一方面通過跨行業(yè)、跨區(qū)域的云安全認(rèn)證滿足監(jiān)管機(jī)構(gòu)要求，另一方面通過獲得重點行業(yè)、重點區(qū)域所要求的安全認(rèn)證，建立并鞏固華為云業(yè)務(wù)的客戶信賴度，最終在法律法規(guī)制定者、管理者、租戶三者間共建安全的云環(huán)境。在云安全生態(tài)方面安全商業(yè)和技術(shù)生態(tài)體系，共同向租戶提供安全保障與服務(wù)。華為云的云市場（Marketplace）歡迎具備技術(shù)競爭力的安全技術(shù)企業(yè)、組織和個人發(fā)布云安全服務(wù)；同時，華為云誠邀云業(yè)務(wù)商業(yè)合作伙伴，利用自身對云服務(wù)云安全行業(yè)的獨(dú)到經(jīng)驗和見解，組合安全服務(wù)，形成行業(yè)級云安全解決方案。華為云愿意與所有志同道合的伙伴分享云安全市場。努力保障全球客戶的安全，為行業(yè)的健康發(fā)展作出應(yīng)有的貢獻(xiàn)。種形式的安全交流與合作，共同應(yīng)對全球云安全的威脅與挑戰(zhàn)！說明1. 云安全聯(lián)盟（CSA–CloudSecurityAlliance）對云安全挑戰(zhàn)、威脅與攻擊進(jìn)行了系統(tǒng)而持續(xù)的梳理，請參考\h云安全聯(lián)盟之云安全威脅排行榜。2責(zé)任共擔(dān)模型2責(zé)任共擔(dān)模型文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE42責(zé)任共擔(dān)模型從傳統(tǒng)數(shù)據(jù)中心的視角，云安全包括保護(hù)云服務(wù)本身在基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）各類云服務(wù)以及云服務(wù)數(shù)據(jù)中心內(nèi)部運(yùn)維運(yùn)營所需的技術(shù)資源，以確保各類應(yīng)用和服務(wù)能夠持續(xù)、高效、安全、穩(wěn)定地運(yùn)行。云服務(wù)與傳統(tǒng)數(shù)據(jù)中心存在明顯差異，前者對云安全整體設(shè)計和實踐更側(cè)重于為租戶提供完善的、多維度的、按需要任意定制、組合的各種安全和隱私保護(hù)功能和配置，涵蓋基礎(chǔ)設(shè)施、平臺、應(yīng)用及數(shù)據(jù)安全等各個層面。同時，不同的云安全服務(wù)又進(jìn)一步為租戶提供了各類可自主配置的高級安全選項。這些云安全服務(wù)需要通過深度嵌入各層云服務(wù)的安全特性、安全配置和安全管控來實現(xiàn)，并通過可整合多點匯總分析的、日趨自動化的云安全運(yùn)維運(yùn)營能力來支撐。我們在下面幾章將講述華為作為云服務(wù)供應(yīng)商（CSP），如何實現(xiàn)如此復(fù)雜的云安全系統(tǒng)工程以及研發(fā)和運(yùn)維運(yùn)營的優(yōu)秀安全實踐。本章首先介紹華為云按業(yè)界常規(guī)做法定義的華為云服務(wù)安全責(zé)任共擔(dān)模型，如下圖：圖2-1華為云安全責(zé)任共擔(dān)模型其中綠色部分為華為云負(fù)責(zé)，藍(lán)色部分責(zé)任由租戶承擔(dān)。華為云負(fù)責(zé)云服務(wù)自身的安全，提供安全的云；租戶負(fù)責(zé)云服務(wù)內(nèi)部的安全，安全的使用云。數(shù)據(jù)安全：指華為云中租戶的業(yè)務(wù)數(shù)據(jù)自身的安全管理，包括數(shù)據(jù)完整性認(rèn)證、加密、訪問控制等。應(yīng)用安全：指在華為云中的支撐運(yùn)維運(yùn)營，以及支撐用戶業(yè)務(wù)等應(yīng)用系統(tǒng)的安全管理，包括應(yīng)用的設(shè)計、開發(fā)、發(fā)布、配置和使用等。平臺安全：指在華為云中的微服務(wù)、管理、中間件等平臺類的安全管理，包括平臺的設(shè)計、開發(fā)、發(fā)布、配置和使用等?；A(chǔ)服務(wù)安全：指華為云提供的計算、網(wǎng)絡(luò)、存儲等方面的安全管理，包括云計算、云存儲、云數(shù)據(jù)庫等服務(wù)的底層管理（如虛擬化控制層）和使用管理（如虛擬主機(jī)），以及虛擬網(wǎng)絡(luò)、負(fù)載均衡、安全網(wǎng)關(guān)、VPN、專線鏈路等。物理基礎(chǔ)設(shè)施安全：華為云的區(qū)域、可用區(qū)和終端節(jié)點涉及機(jī)房、環(huán)境的安全管理，以及物理服務(wù)器和網(wǎng)絡(luò)設(shè)備等設(shè)施的管理。華為云的主要責(zé)任是研發(fā)并運(yùn)維運(yùn)營華為云數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施，華為云提供的各項基礎(chǔ)服務(wù)、平臺服務(wù)和應(yīng)用服務(wù)，也包括各項服務(wù)內(nèi)置的安全功能。同時，華為云還負(fù)責(zé)構(gòu)建物理層、基礎(chǔ)設(shè)施層、平臺層、應(yīng)用層、數(shù)據(jù)層和IAM層的多維立體安全防護(hù)體系，并保障其運(yùn)維運(yùn)營安全。租戶的主要責(zé)任是在租用的華為云基礎(chǔ)設(shè)施與服務(wù)之上定制配置并且運(yùn)維運(yùn)營其所需的虛擬網(wǎng)絡(luò)、平臺、應(yīng)用、數(shù)據(jù)、管理、安全等各項服務(wù)，包括對華為云服務(wù)的定制配置和對租戶自行部署的平臺、應(yīng)用、用戶身份管理等服務(wù)的運(yùn)維運(yùn)營。同時，租戶還負(fù)責(zé)其在虛擬網(wǎng)絡(luò)層、平臺層、應(yīng)用層、數(shù)據(jù)層和IAM層的各項安全防護(hù)措施的定制配置，運(yùn)維運(yùn)營安全，以及用戶身份的有效管理。華為云的安全責(zé)任華為云的安全責(zé)任在于保障其所提供的IaaS、PaaS和SaaS各類各項云服務(wù)自身的安全，涵蓋華為云數(shù)據(jù)中心的物理環(huán)境設(shè)施和運(yùn)行其上的基礎(chǔ)服務(wù)、平臺服務(wù)、應(yīng)用服務(wù)等。這不但包括華為云基礎(chǔ)設(shè)施和各項云服務(wù)技術(shù)的安全功能和性能本身，也包括運(yùn)維運(yùn)營安全，以及更廣義的安全合規(guī)遵從（第3.1章節(jié)有專門介紹，在此不贅述）。華為云一方面確保各項云技術(shù)的安全開發(fā)、配置和部署；另一方面，華為云負(fù)責(zé)所提供云服務(wù)的運(yùn)維運(yùn)營安全，例如，對安全事件實現(xiàn)快速發(fā)現(xiàn)、快速隔離、快速響應(yīng)，確保云服務(wù)的快速恢復(fù)。同時采用適合云服務(wù)的漏洞管理機(jī)制，對云服CSP的持續(xù)部署，包括不斷優(yōu)化云產(chǎn)品默認(rèn)安全配置、補(bǔ)丁裝載前置于研發(fā)階段和靈活簡化安全補(bǔ)丁部署周期等措施。另外，華為云的安全責(zé)任還表現(xiàn)在開發(fā)有強(qiáng)大市場競爭力、為華為云租戶業(yè)務(wù)增值的云安全服務(wù)。維。華為云還負(fù)責(zé)其支撐的各項云服務(wù)的自身安全配置和版本維護(hù)。估，并且向租戶分享我們的合規(guī)實踐，保持應(yīng)有的透明度。華為云攜手云安全商業(yè)合作伙伴向租戶提供咨詢服務(wù)，協(xié)助租戶對虛擬網(wǎng)絡(luò)，虛擬機(jī)（包括虛擬主機(jī)和訪客虛擬機(jī)）的安全配置，系統(tǒng)和數(shù)據(jù)庫安全補(bǔ)丁管理，虛擬網(wǎng)絡(luò)的防火墻、API網(wǎng)關(guān)（APIGW–APIGateway）配置，DoS/DDoS攻擊防范，租戶安全事件的應(yīng)急響應(yīng)以及災(zāi)難恢復(fù)。租戶的安全責(zé)任華為云租戶的安全責(zé)任在于對使用的IaaS、PaaS和SaaS類各項云服務(wù)內(nèi)部的安全以及對租戶定制配置進(jìn)行安全有效的管理，包括但不限于虛擬網(wǎng)絡(luò)、虛擬主機(jī)和訪客虛擬機(jī)的操作系統(tǒng)，虛擬防火墻、API網(wǎng)關(guān)和高級安全服務(wù)，各項云服務(wù)，租戶數(shù)據(jù)，以及身份賬號和密鑰管理等方面的安全配置。作。務(wù)（包括更新和安全補(bǔ)?。?、容器安全管理、大數(shù)據(jù)分析等平臺服務(wù)的租戶配署在華為云的任何應(yīng)用程序軟件或?qū)嵱贸绦蜻M(jìn)行安全管理。確保安全性。和鑒權(quán)進(jìn)行有效保障。在使用統(tǒng)一身份認(rèn)證服務(wù)（IAM）和數(shù)據(jù)加密服務(wù)（DEW）時，租戶負(fù)責(zé)妥善保管其自行配置的服務(wù)登錄賬戶、密碼和密鑰，并負(fù)責(zé)執(zhí)行密碼密鑰設(shè)定、更新和重設(shè)規(guī)則的業(yè)界優(yōu)秀實踐。租戶負(fù)責(zé)設(shè)置個人賬戶和多因子驗證(MFA)，規(guī)范使用安全傳輸協(xié)議與華為云資源通信，并且設(shè)置用戶活動日志記錄用于監(jiān)測和審計。租戶負(fù)責(zé)對其自行部署于華為云上、不屬于華為云提供的各項應(yīng)用和服務(wù)所必需的安全法律法規(guī)，并自行開展所服務(wù)行業(yè)的安全標(biāo)準(zhǔn)評估。3安全合規(guī)與隱私保護(hù)3安全合規(guī)與隱私保護(hù)文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE7 3安全合規(guī)與隱私保護(hù)業(yè)界通用的安全合規(guī)與標(biāo)準(zhǔn)遵從的認(rèn)證，既能提升華為云的整體安全能力和業(yè)務(wù)水的愿景。華為云鄭重對待并積極承擔(dān)相應(yīng)責(zé)任，把網(wǎng)絡(luò)安全和隱私保護(hù)作為最高綱領(lǐng)，保證網(wǎng)絡(luò)安全和隱私保護(hù)需求優(yōu)先獲得資源支持。安全合規(guī)與標(biāo)準(zhǔn)遵從華為云一如既往地確保其基礎(chǔ)設(shè)施和云服務(wù)通過業(yè)界認(rèn)可的獨(dú)立第三方安全權(quán)威組織的測評以及安全認(rèn)證機(jī)構(gòu)的審核，并且只向客戶提供運(yùn)行于安全合規(guī)的基礎(chǔ)設(shè)施之上的云服務(wù)。這些安全測評和認(rèn)證向客戶展示華為云在基礎(chǔ)設(shè)施和云服務(wù)的技術(shù)研發(fā)和運(yùn)維運(yùn)營中對流程、組織、技術(shù)等多方面制定的安全策略和安全風(fēng)險管控措施，使得客戶能夠深入了解華為云對用戶數(shù)據(jù)保護(hù)和云上業(yè)務(wù)安全保障的有效管控能力。以華為云通過的云安全聯(lián)盟CSASTAR金牌認(rèn)證為例（CSA–CloudSecurityAlliance，STAR–Security，Trust&AssuranceRegistry），該認(rèn)證在ISO/IEC27001的基礎(chǔ)上，增加了云安全控制矩陣（CCM–CloudControlMatrix）和其他安全要求，涵蓋了風(fēng)險治理、數(shù)據(jù)安全、應(yīng)用安全、基礎(chǔ)設(shè)施安全、開發(fā)和設(shè)計、身份和訪問管理、數(shù)據(jù)中心安全、變更管理、配置管理、業(yè)務(wù)連續(xù)性管理、運(yùn)營恢復(fù)能力、人力資源、供應(yīng)鏈管理等方面的16個控制領(lǐng)域。同時，基于華為云服務(wù)的安全責(zé)任共擔(dān)模型，華為云通過主動構(gòu)建并不斷提升包括物理環(huán)境、網(wǎng)絡(luò)、平臺等各層基礎(chǔ)設(shè)施的安全合規(guī)能力，保障云租戶所部署業(yè)務(wù)的安全與合規(guī)。目前，華為云的安全測評及認(rèn)證有：GB50174《電子信息機(jī)房設(shè)計規(guī)范》A類TIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》T3標(biāo)準(zhǔn)CSA金牌認(rèn)證ISO/IEC27001ISO/IEC27017CCEAL3+（3+）1PCIDSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）2BSIMM（軟件安全構(gòu)建成熟度模型）中國公安部信息安全等級保護(hù)三級/四級3中國數(shù)據(jù)中心聯(lián)盟（DCA–DataCenterAlliance）可信云服務(wù)認(rèn)證、金牌運(yùn)維，其中云主機(jī)獲取最高級五星+認(rèn)證中國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全審查云計算服務(wù)能力評估一級（增強(qiáng)級）SOC1/SOC2SOC3ISO27018ISO20000ISO22301Level3（新加坡多層云安全認(rèn)證最高評級）ISO29151ISO27701BS10012NISTCSF另外，華為云主動識別并遵從業(yè)界優(yōu)秀安全實踐。例如，華為云參考互聯(lián)網(wǎng)安全中心（CISCenterofInternetSecurity）DevSecOps流程。CIS安全基線是一套用于網(wǎng)絡(luò)系統(tǒng)安全配置和操作的業(yè)界優(yōu)秀實踐，覆蓋技術(shù)（件、硬件）、流程（系統(tǒng)和網(wǎng)絡(luò)管理）、人員（最終用戶和管理行為），標(biāo)志著華為云在安全合規(guī)與標(biāo)準(zhǔn)遵從上一如既往地與業(yè)界看齊。說明CCEAL3+CCEAL4+認(rèn)證。PCIDSSPaymentCardIndustryDataSecurityStandard)即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，對使用主要支付卡品牌執(zhí)行信用卡和現(xiàn)金卡收付功能的組織提供信息安全標(biāo)準(zhǔn)。華為云部分節(jié)點通過四級評測隱私保護(hù)華為云秉承公司以網(wǎng)絡(luò)安全和隱私保護(hù)為最高綱領(lǐng)，以國內(nèi)外隱私保護(hù)的法律法規(guī)為基石，依托于華為公司的隱私保護(hù)體系，借鑒業(yè)界廣泛認(rèn)可的優(yōu)秀實踐，已形成適合華為云的隱私保護(hù)體系。華為云投入大量的專業(yè)人員和資源支撐新技術(shù)的研究和應(yīng)用以及保障隱私保護(hù)體系的有效運(yùn)轉(zhuǎn)，確保華為云的隱私保護(hù)處于行業(yè)領(lǐng)先的位置，實現(xiàn)華為云隱私保護(hù)的目標(biāo)：遵守嚴(yán)格的服務(wù)邊界，保護(hù)客戶個人數(shù)據(jù)安全，助力客戶實現(xiàn)隱私保護(hù)。華為云建立完善、規(guī)范和統(tǒng)一隱私保護(hù)體系確保云平臺的隱私保護(hù)得以實現(xiàn)，并幫助客戶實施隱私保護(hù)。華為云制定隱私保護(hù)七大原則（合法、正當(dāng)、透明，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，存儲期限最小化，完整性與保密性，可歸責(zé)），同時采用業(yè)界認(rèn)可和先進(jìn)的理念PbD1（PrivacybyDesign）作為指導(dǎo)，結(jié)合華為云實際情況形成華為云隱私保護(hù)理念。隱私保護(hù)理念廣泛應(yīng)用在華為云的組織和人員管理、云平臺個人數(shù)據(jù)安全管理以及為客戶提供的隱私服務(wù)等各個方面。同時，華為云使用PIA2（PrivacyImpactAssessment）識別隱私風(fēng)險并采取恰當(dāng)?shù)姆绞较蚪档惋L(fēng)險。華為云尊重用戶的隱私權(quán)利，在官網(wǎng)明顯處提供清晰的《隱私政策聲明》以及客戶反饋通道，幫助客戶了解華為云隱私保護(hù)的信息。華為云研究團(tuán)隊同時致力研發(fā)各類隱私增強(qiáng)技術(shù)（PET–PrivacyEnhancingTechnology），積累隱私保護(hù)工程技術(shù)能力，以滿足客戶不同需要實施隱私保護(hù)。華為云現(xiàn)已擁有的一系列PET，包括等價類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支付以及隱私保存計算等。更多關(guān)于華為云隱私保護(hù)的政策和表述，可以在華為云的官方網(wǎng)站找到。說明私保護(hù)的管理理念。PbD提倡全面、提前、主動將隱私保護(hù)融入業(yè)務(wù)和各項活動中，幫助組織在隱私保護(hù)中取得主動地位。隱私影響評估作為業(yè)界通用的隱私評估與設(shè)計工具被廣泛使用和認(rèn)可。PIA織識別并減少業(yè)務(wù)的隱私風(fēng)險，識別和最小化潛在隱私風(fēng)險的過程4安全組織和人員4安全組織和人員文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE10 4安全組織和人員為了讓所有員工不斷提升安全意識，更好地保障客戶利益和產(chǎn)品與服務(wù)信譽(yù)，華為在公司內(nèi)部倡導(dǎo)“人人懂安全”的理念和實踐，創(chuàng)造了一個無時不在，無處不在，充滿活力和競爭力的安全文化。這種文化的影響貫穿在華為云招聘選才、員工入職、上崗培訓(xùn)、持續(xù)培訓(xùn)、內(nèi)部調(diào)動和離職等各個環(huán)節(jié)。每位華為云的員工都積極參與建立并保持華為云安全，并按公司及華為云規(guī)定實施各項安全活動。安全組織華為把網(wǎng)絡(luò)安全作為公司重要戰(zhàn)略之一，通過自上而下的治理結(jié)構(gòu)來實現(xiàn)。在組織方面，GSPC作為最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。GSPO及其辦公室負(fù)責(zé)制定和執(zhí)行華為端到端網(wǎng)絡(luò)安全保障體系。GSPO直接向公司CEO匯報。秉承華為網(wǎng)絡(luò)安全戰(zhàn)略和規(guī)范，華為云安全團(tuán)隊對本領(lǐng)域安全工作進(jìn)行自主規(guī)劃和管理。全面實現(xiàn)云服務(wù)業(yè)務(wù)和云安全業(yè)務(wù)的研發(fā)運(yùn)維運(yùn)營組織合一，組織結(jié)構(gòu)趨于扁平化，以便適應(yīng)云服務(wù)必需的DevOps/DevSecOps流程。扁平化的組織結(jié)構(gòu)和適應(yīng)云服務(wù)的流程一方面滿足云服務(wù)快速持續(xù)集成、交付與部署的進(jìn)度要求，另一方面保證云服務(wù)達(dá)到必需的安全質(zhì)量標(biāo)準(zhǔn)，有效控制安全風(fēng)險。依托云服務(wù)安全工程能力、云安全服務(wù)與解決方案的設(shè)計和開發(fā)、云服務(wù)安全運(yùn)維運(yùn)營等職能，構(gòu)建華為云服務(wù)的安全合規(guī)遵從和安全運(yùn)維運(yùn)營能力，切實保障華為云租戶利益?；谠瓢踩珜θA為云的特殊重要性，云安全團(tuán)隊直接向華為云總裁匯報。安全與隱私保護(hù)人員華為的安全技術(shù)團(tuán)隊包括全球各地業(yè)界優(yōu)秀的信息安全、產(chǎn)品安全、應(yīng)用安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、云服務(wù)安全、運(yùn)維運(yùn)營安全、隱私保護(hù)等方面的專家專才。華為云安全團(tuán)隊的主要職責(zé)如下：DevOps/DevSecOps安全工具鏈；控、排查并解決安全威脅；IT和知識產(chǎn)權(quán)的安全管控和隱私保護(hù)；IaaS、PaaSSaaS各類各項服務(wù)的安全功能和整體云安全解決方案；服務(wù)的隱私保護(hù)最佳實踐，推動發(fā)布符合隱私保護(hù)標(biāo)準(zhǔn)的云技術(shù)、云服務(wù)；制定和發(fā)展可持續(xù)云安全技術(shù)及業(yè)務(wù)生態(tài)。內(nèi)部審計人員華為內(nèi)部審計團(tuán)隊直接向董事會和公司高層管理者匯報，嚴(yán)格的審計活動在推動網(wǎng)絡(luò)安全流程和標(biāo)準(zhǔn)落地，保障結(jié)果交付上起著關(guān)鍵的作用。華為建立了專門的安全審計團(tuán)隊，審查全球安全法律法規(guī)及公司內(nèi)部安全要求的遵從情況。審計團(tuán)隊每年投入10+人力對全球范圍運(yùn)營的華為云至少開展1次，為期2個月的審計，重點關(guān)注華為云在法律和流程遵從、業(yè)務(wù)目標(biāo)達(dá)成、決策信息的可靠性、安全運(yùn)維和安全運(yùn)營上的風(fēng)險。審計結(jié)果向董事會和公司高層管理者匯報，保證發(fā)現(xiàn)的問題得到解決并最終閉環(huán)。人力資源管理HR履行其職責(zé)必備的知識、技能和經(jīng)驗。整體模型如下：（此模型較為簡明，故不贅述）圖4-1華為云安全融入人力資源流程安全意識教育為了提升全員的網(wǎng)絡(luò)安全意識，規(guī)避網(wǎng)絡(luò)安全違規(guī)風(fēng)險，保證業(yè)務(wù)的正常運(yùn)營，華為從意識教育普及、宣傳活動開展、BCG及承諾書簽署三個方面開展安全意識教育：意識教育普及識到即使主觀上沒有惡意，也要對自己的行為負(fù)責(zé)，并承諾按要求執(zhí)行；宣傳活動開展運(yùn)營、網(wǎng)絡(luò)安全典型案例宣傳、網(wǎng)絡(luò)安全活動周、網(wǎng)絡(luò)安全動畫宣傳片等；BCG及承諾書簽署：將網(wǎng)絡(luò)安全納入《華為員工商業(yè)行為準(zhǔn)則》（BCG–BusinessConductGuide），BCG學(xué)習(xí)、考試和簽署活動來傳遞公司對全員在網(wǎng)絡(luò)安全領(lǐng)域的要求，提高員工網(wǎng)絡(luò)安全意識。簽署網(wǎng)絡(luò)安全承諾書，承諾遵守公司各項網(wǎng)絡(luò)安全政策和制度要求。網(wǎng)絡(luò)安全能力提升參考業(yè)界優(yōu)秀實踐，華為建立了完備的網(wǎng)絡(luò)安全培訓(xùn)體系。在員工入職、在崗、晉升等環(huán)節(jié)納入多種形式的安全技能培訓(xùn)，提升員工安全技能，確保員工有能力向客戶交付安全、合規(guī)的產(chǎn)品、解決方案與服務(wù)。網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)：華為根據(jù)不同角色、崗位制定相應(yīng)的安全基礎(chǔ)能力培訓(xùn)計必須的培訓(xùn)和研討。精準(zhǔn)培訓(xùn)人，并向其精準(zhǔn)推送安全典型培訓(xùn)方案（包括案例、培訓(xùn)課程、練習(xí)題等），續(xù)改進(jìn)安全質(zhì)量。實戰(zhàn)演練供場景化的實戰(zhàn)演練環(huán)境供員工練習(xí)和交流，提升員工的安全技能。安全能力任職牽引安全課程，通過相應(yīng)的網(wǎng)絡(luò)安全技能考試，提升自身網(wǎng)絡(luò)安全能力。重點崗位管理為了內(nèi)部有序管理，消減人員管理風(fēng)險對業(yè)務(wù)連續(xù)性和安全性帶來的潛在影響，華為云對運(yùn)維工程師等重點崗位實施專項管理。具體如下：上崗安全審查資歷符合云安全業(yè)務(wù)要求。在崗安全培訓(xùn)賦能綱。上崗資格管理書，證書到期前提醒員工重新參加考試。離崗安全審查安全審查，包括離崗權(quán)限賬號的清理或修改等。安全違規(guī)問責(zé)華為建立了嚴(yán)密的安全責(zé)任體系，貫徹違規(guī)問責(zé)機(jī)制。一方面，華為云恪守責(zé)任共擔(dān)模型，履行華為云的各項責(zé)任，對華為云一方造成的安全違規(guī)，華為云對租戶直接負(fù)責(zé)，最大限度控制對租戶業(yè)務(wù)的影響。另一方面，華為云要求每個員工都對自己工作中的行為和結(jié)果負(fù)責(zé)，不僅要對技術(shù)和服務(wù)負(fù)責(zé)，也要承擔(dān)法律的責(zé)任。華為云員工深知，安全問題一旦發(fā)生，可能會對租戶、公司帶來極大影響。因此不管故意還是無意，華為云都會以行為和結(jié)果為主要依據(jù)對員工進(jìn)行問責(zé)。根據(jù)華為云員工安全違規(guī)的性質(zhì)，以及造成的后果確定問責(zé)處理等級，分級處理。對觸犯法律法規(guī)的，移送司法機(jī)關(guān)處理。直接管理者和間接管理者存在管理不力或知情不作為的，須承擔(dān)管理責(zé)任。違規(guī)事件處理根據(jù)違規(guī)個人態(tài)度與調(diào)查配合情況予以加重或減輕處理。5基礎(chǔ)設(shè)施安全5基礎(chǔ)設(shè)施安全文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE145基礎(chǔ)設(shè)施安全華為云將基礎(chǔ)設(shè)施安全視為構(gòu)筑多維全棧的云安全防護(hù)體系的核心組成部分，沒有安全合規(guī)與標(biāo)準(zhǔn)遵從的基礎(chǔ)設(shè)施安全，云服務(wù)安全猶如在流沙上建樓，為租戶業(yè)務(wù)賦能增值、為租戶安全保駕護(hù)航即刻化作空談。對于云服務(wù)租戶而言，CSP基礎(chǔ)設(shè)施的透明度和開放度較低，直接影響CSP的云安全可信度。第三方評測機(jī)構(gòu)的安全合規(guī)和標(biāo)準(zhǔn)遵從認(rèn)證，能夠反映CSP在基礎(chǔ)設(shè)施安全和云服務(wù)安全方面做出的不懈努力。通過華為云構(gòu)筑安全的基礎(chǔ)設(shè)施底座，租戶可以更放心地上云并利用安全的華為云服務(wù)更聚焦在業(yè)務(wù)發(fā)展上。本章介紹華為云安全防護(hù)體系中的物理環(huán)境、網(wǎng)絡(luò)、平臺、應(yīng)用程序接口（API–ApplicationProgrammingInterface）和數(shù)據(jù)等主要方面的安全設(shè)計和實踐。物理與環(huán)境安全GB50174《電子信息機(jī)房設(shè)計規(guī)范》ATIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+區(qū)域，合理布置了信息系統(tǒng)的組件，以防范物理和環(huán)境潛在危險（等）保措施、例行監(jiān)控審計、應(yīng)急響應(yīng)等措施，以確保華為云數(shù)據(jù)中心的物理和環(huán)境安全。物理安全機(jī)房選址：華為云數(shù)據(jù)中心機(jī)房選址一定程度上決定面臨的自然災(zāi)害以及可能的環(huán)境威脅。華為云數(shù)據(jù)中心選址一律避開自然災(zāi)害不利或危險的地區(qū)，減少周邊環(huán)境對數(shù)據(jù)中心產(chǎn)生的干擾，如400址上保證了數(shù)據(jù)中心正常運(yùn)營需要的配套資源，如市電、水、通信線路等。訪問控制：華為云數(shù)據(jù)中心嚴(yán)格管理人員及設(shè)備進(jìn)出，在數(shù)據(jù)中心園區(qū)及建筑的門口設(shè)置了全天候（2477*24小時）盤查，限制并監(jiān)控來訪人員授權(quán)活動范圍。門禁控制系統(tǒng)在不同的區(qū)域采取不同安全策略的門禁控制系統(tǒng)，嚴(yán)格審核人員出入權(quán)限。數(shù)據(jù)中心的重要配件，由倉儲系統(tǒng)中的專門電子加密保險箱存放，且由專人進(jìn)行保險箱的開關(guān)；數(shù)據(jù)中心的任何配件，都必須提供授權(quán)工單方能領(lǐng)取，且領(lǐng)取時須在倉儲管理系統(tǒng)中登記。由專人定期對所有物理訪問設(shè)備和倉儲系統(tǒng)物資進(jìn)行綜合盤點追蹤。機(jī)房管理員不但開展例行安檢，而且不定期審計數(shù)據(jù)中心訪問記錄，確保非授權(quán)人員不可訪問數(shù)據(jù)中心。安保措施：華為云數(shù)據(jù)中心采用當(dāng)前通用的機(jī)房安保技術(shù)監(jiān)測，并消除物理隱患。對機(jī)房外圍、出入口、走廊、電梯、機(jī)房等進(jìn)行7*24小時閉路電視監(jiān)控，并與紅外感應(yīng)、門禁等聯(lián)動。保安人員對數(shù)據(jù)中心定時巡查，并設(shè)置在線巡更系統(tǒng)。對非法闖入和其他安保事件及時進(jìn)行聲光報警。環(huán)境安全電力保障7*24電力供應(yīng)采用來自不同變電站的雙路市電供電。配備柴油發(fā)電機(jī)，在市電斷電時可啟動柴油機(jī)供電，以備不時之需。并配備了不間斷電源（UPS–UninterruptedPowerSupply），提供短期備用電力供應(yīng)。在機(jī)房供電線路上配置了穩(wěn)壓器和過壓防護(hù)設(shè)備。在供電設(shè)備及線路上還設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電。溫濕度控制道密閉，以防止局部熱點。消防能力A料，滿足國家消防規(guī)范。采用了阻燃、耐火電纜，在管內(nèi)或線槽鋪設(shè)，并設(shè)置了漏電檢測裝置。部署了自動報警和自動滅火系統(tǒng)，能夠迅速準(zhǔn)確發(fā)現(xiàn)并通報火情。自動報警系統(tǒng)與供電、監(jiān)控、通風(fēng)設(shè)備聯(lián)動，即使意外情況造成無人值守，也能開啟自動滅火系統(tǒng)，得以控制火情。例行監(jiān)控制度得到例行監(jiān)控，安全隱患能被及時發(fā)現(xiàn)并修復(fù)，確保設(shè)備穩(wěn)定運(yùn)行。供水排水倒灌風(fēng)險。建筑滿足防水一級標(biāo)準(zhǔn)，保證了雨水不能通過屋頂、墻壁向機(jī)房滲透。數(shù)據(jù)中心也配備了及時排水的設(shè)施，供水災(zāi)時使用。防靜電器，導(dǎo)走電流。網(wǎng)絡(luò)安全I(xiàn)TUE.408安全區(qū)域的劃分原則并結(jié)運(yùn)行維護(hù)諸方面綜合考慮，對承載網(wǎng)絡(luò)采用各種針對物理和虛擬網(wǎng)絡(luò)的多層安全隔離，接入控制和邊界防護(hù)技術(shù)，同時嚴(yán)格執(zhí)行相應(yīng)的管控措施，確保華為云安全。安全區(qū)域劃分與隔離圖5-1華為云平臺安全域劃分及網(wǎng)絡(luò)邊界保護(hù)華為云根據(jù)業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險將數(shù)據(jù)中心劃分為多個安全區(qū)域，實現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對入侵和內(nèi)鬼的分區(qū)自我保護(hù)和容錯恢復(fù)能力1。在這里介紹以下五個重要安全區(qū)域：DMZ區(qū)DMZ區(qū)主要部署了面向外網(wǎng)和租戶的前置部件，如負(fù)載均衡器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺、APIDMZDMZ單獨(dú)隔離，防止外部請求接觸云服務(wù)后端部件。此區(qū)域部件面臨極高安全風(fēng)險，除部署了防火墻、防DDoS措施外，還部署了應(yīng)用防火墻（WAF）及入侵檢測與攔截設(shè)備（IDS/IPS）以保護(hù)基礎(chǔ)網(wǎng)路、平臺及應(yīng)用。公共服務(wù)區(qū)（PublicService）IaaS/PaaS/SaaS服務(wù)化組件如OpenStack、IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件DNS、NTP、補(bǔ)丁服務(wù)等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務(wù)需要受限開放給租戶，且DMZ區(qū)。華為云管理員可以從內(nèi)網(wǎng)區(qū)訪問該區(qū)域進(jìn)行操作和管理。資源交付區(qū)（POD–PointofDelivery）：此區(qū)域提供租戶所需的基礎(chǔ)設(shè)施資平面、數(shù)據(jù)存儲平面隔離，且與租戶數(shù)據(jù)平面隔離。該區(qū)域還可以支撐對進(jìn)出互聯(lián)網(wǎng)的租戶流量做DDoS防護(hù)及入侵檢測與防御，保障租戶業(yè)務(wù)。數(shù)據(jù)存儲區(qū)（OBS–Object-BasedStorage）：此區(qū)域部署對象存儲系統(tǒng)，提供對象存儲服務(wù)，存儲租戶隱私數(shù)據(jù)，所以進(jìn)行了分區(qū)隔離。在該區(qū)域邊界由租戶在華為云提供的安全組件上配置執(zhí)行租戶所需的訪問控制規(guī)則，在任意租戶空間訪問該區(qū)域時就不需要繞道DMZ過DMZ的服務(wù)控制臺或網(wǎng)關(guān)才能訪問該區(qū)。運(yùn)維管理區(qū)（OM–OperationsManagement）：該區(qū)域主要部署操作運(yùn)維部件，華為云運(yùn)維人員必須先通過虛擬專用網(wǎng)絡(luò)（VPNVirtualPrivateNetwork）接入該區(qū)域，再通過堡壘機(jī)訪問被管理節(jié)點。管理員可從此區(qū)域訪問所有區(qū)域的運(yùn)維接口。此區(qū)域不向其他區(qū)域開放接口。除了上述網(wǎng)絡(luò)分區(qū)，同時也對不同區(qū)域的安全級別進(jìn)行了劃分，根據(jù)不同的業(yè)務(wù)功風(fēng)險最高，而與互聯(lián)網(wǎng)幾乎沒有交互并且不向其他區(qū)域開放接口的OM區(qū)，攻擊面最小，安全風(fēng)險相對容易控制。說明1. IT數(shù)據(jù)中心，因此在實現(xiàn)區(qū)域隔離上與傳統(tǒng)手段不盡相同，不再是簡單地使用防火墻實現(xiàn)，也會運(yùn)用革新技術(shù)，如軟件定義邊界（SDPSoftwareDefinedPerimeter）。并且，不止定義網(wǎng)絡(luò)層區(qū)域邊界，采用多層邊界劃分與隔離協(xié)防，從網(wǎng)絡(luò)層、平臺層、應(yīng)用層一直到用戶身份層，都有信任邊界和相應(yīng)的訪問控制。這里介紹的網(wǎng)絡(luò)層安全區(qū)域只是多維全棧防護(hù)體系的一部分。業(yè)務(wù)平面劃分與隔離為保證租戶業(yè)務(wù)不影響管理操作，確保設(shè)備、資源和流量不會脫離有效監(jiān)管，華為云將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務(wù)職能、不同安全風(fēng)險等級和不同權(quán)限需要劃分為租戶數(shù)據(jù)平面、業(yè)務(wù)控制平面、平臺運(yùn)維平面、BMC（BaseboardManagementController）管理平面、數(shù)據(jù)存儲平面等，以保證關(guān)乎不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流，便于實現(xiàn)職責(zé)分離。租戶數(shù)據(jù)平面供業(yè)務(wù)應(yīng)用。業(yè)務(wù)控制平面API的安全交互。平臺運(yùn)維平面：實現(xiàn)基礎(chǔ)設(shè)施和平臺（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲）理。BMC管理平面護(hù)。數(shù)據(jù)存儲平面POD區(qū)內(nèi)計算節(jié)點與存儲節(jié)點間的數(shù)據(jù)安全傳輸與存儲。在每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，如POD區(qū)有租戶數(shù)據(jù)平面、平臺運(yùn)維平面、業(yè)務(wù)控制平面、BMC管理平面，而運(yùn)維區(qū)只有平臺運(yùn)維平面和BMC管理平面。安全區(qū)域與業(yè)務(wù)平面并用形成更多層面的、既有物理又有邏輯控制的多維度隔離，而這還只是華為云全棧防護(hù)的一部分。高級邊界防護(hù)華為云高效的多維全棧防護(hù)體系也包括多種邊界防護(hù)措施，這不僅僅有上述主要通過傳統(tǒng)網(wǎng)絡(luò)技術(shù)和防火墻實現(xiàn)的安全區(qū)域和業(yè)務(wù)平面的劃分與隔離，還包括了得益于華為自研的各項高級邊界防護(hù)功能。華為云已將各項高級防護(hù)功能按需適配到華為云外網(wǎng)邊界和內(nèi)網(wǎng)的區(qū)域間的信任邊界。對華為自研的幾項主要高級邊界防護(hù)功能1，簡介如下：DDoS異常和超大流量清洗：在每個云數(shù)據(jù)中心邊界部署華為專業(yè)的Anti-DDoS設(shè)備來完成對異常和超大流量攻擊的檢測及清洗。Anti-DDoS設(shè)備還可以為租戶DDoS數(shù)，并查看攻擊和防御狀態(tài)。網(wǎng)絡(luò)入侵檢測與攔截（IDS/IPS–IntrusionDetectionSystem/IntrusionPreventionSystem）：為了感知來自互聯(lián)網(wǎng)以及租戶虛擬網(wǎng)絡(luò)之間東西向的攻IPS網(wǎng)邊界、安全區(qū)域邊界和租戶空間邊界等。IPS具備網(wǎng)絡(luò)實時流量分析和阻斷能力，能防護(hù)異常協(xié)議攻擊、暴力攻擊、端口/漏洞掃描、病毒/木馬、針對漏洞的攻擊等各種入侵行為?；诰W(wǎng)絡(luò)流量，IPS可以提供信息幫助定位和調(diào)查網(wǎng)絡(luò)異常，分配定向流量的限制策略，并采用相應(yīng)的自定義檢測規(guī)則，保障生產(chǎn)環(huán)境內(nèi)的應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全。Web安全防護(hù)WebWebWeb應(yīng)用層DDoS攻擊、SQL注入、跨站腳本攻擊（XSS-Cross-SiteScripting）、跨站請求偽造（CSRF–Cross-SiteRequestForgery）、組件漏洞攻擊、身份偽造等，以DMZWeb應(yīng)用服務(wù)和系統(tǒng)。說明1. 作為高級邊界防護(hù)的主要技術(shù)之一，防火墻技術(shù)已經(jīng)成熟，得到廣泛使用，并且在白皮書第66.1.1彈性計算服務(wù)（ECS）6.2.1虛擬私有云服務(wù)（VPC）中有具體介紹，在此不做贅述。平臺安全作為華為云平臺操作系統(tǒng)，華為統(tǒng)一虛擬化平臺（UVP-UnifiedVirtualizationPlatform）通過對服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個物理服務(wù)器上構(gòu)建多個同時運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境。在中國可信云認(rèn)證中，華為云平臺的云主機(jī)獲得最高級的五星+認(rèn)證。為保證平臺安全，華為云對主機(jī)操作系統(tǒng)進(jìn)行最小化裁剪并對服務(wù)做安全加固。同時，對接入主機(jī)操作系統(tǒng)的華為云管理員執(zhí)行嚴(yán)格的權(quán)限訪問控制(PAM–PrivilegeAccessManagement)，對其所執(zhí)行的各項運(yùn)維運(yùn)營操作實行全面的日志審計。華為云管理員必須經(jīng)過雙因子認(rèn)證后，才能通過堡壘機(jī)接入管理平面，所有操作都會記錄日志并及時傳送到集中日志審計系統(tǒng)。UVP直接運(yùn)行于物理服務(wù)器之上，提供虛擬化能力，為虛擬機(jī)提供運(yùn)行環(huán)境。UVP需要保證虛擬機(jī)運(yùn)行在合法的空間內(nèi)，避免某個虛擬機(jī)對UVP或其他虛擬機(jī)發(fā)起攻擊。UVP通過CPU隔離、內(nèi)存隔離和I/O隔離等技術(shù)手段實現(xiàn)虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)之間的隔離，并通過Hypervisor讓虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)使用不同的權(quán)限運(yùn)行，來保證平臺系統(tǒng)資源的安全。以下分別從CPU、內(nèi)存和I/O隔離三個方面介紹UVP的資源安全隔離實現(xiàn)機(jī)制。CPU隔離CPU隔離主要是指虛擬化平臺與虛擬機(jī)之間的隔離，虛擬機(jī)內(nèi)部的權(quán)限分配和虛擬機(jī)與虛擬機(jī)之間的隔離。CPURootNon-Root兩種運(yùn)行模式的切換、各VCPU（VirtualCPU）CPU隔離機(jī)制，UVP以及虛擬化運(yùn)行環(huán)境的訪問權(quán)限，從而實現(xiàn)虛擬化平臺與虛擬機(jī)之間以及不同虛擬機(jī)之間在信息和資源上的隔離，也就是說，一個虛擬機(jī)無法獲取到其他虛擬機(jī)或虛擬化平臺的信息和資源。內(nèi)存隔離虛擬化平臺還負(fù)責(zé)為虛擬機(jī)提供內(nèi)存資源，保證每個虛擬機(jī)只能訪問到其自身的內(nèi)其他虛擬機(jī)或虛擬化平臺自身使用的內(nèi)存。I/O隔離虛擬化平臺還給虛擬機(jī)提供了虛擬I/O設(shè)備，包括磁盤、網(wǎng)卡、鼠標(biāo)、鍵盤等。虛擬化平臺為每個虛擬機(jī)提供獨(dú)立的設(shè)備，避免多個虛擬機(jī)共享設(shè)備造成的信息泄露。每個虛擬磁盤對應(yīng)虛擬化平臺上的一個鏡像文件或邏輯卷，虛擬化平臺控制只有一個虛擬機(jī)的一個虛擬磁盤設(shè)備跟一個鏡像文件關(guān)聯(lián)。實現(xiàn)了虛擬機(jī)使用的虛擬設(shè)備與虛擬化平臺I/O管理對象之間一一對應(yīng)的關(guān)系，保證虛擬機(jī)之間無法相互訪問I/O設(shè)備，實現(xiàn)I/O路徑的隔離。API應(yīng)用安全華為云各服務(wù)可通過公開的API進(jìn)行配置管理，對接企業(yè)已有的IT管理和審計系統(tǒng)。考慮到API對云服務(wù)承載的重要功能和其在HTTP應(yīng)用層面臨的安全威脅，業(yè)界普遍把API視為云服務(wù)至關(guān)重要的安全邊界，采用多重機(jī)制和措施進(jìn)行重點保護(hù)。調(diào)用華為云開放的API是通過華為自研的API網(wǎng)關(guān)實現(xiàn)的。API網(wǎng)關(guān)支持以下機(jī)制和場景使API得到有效保護(hù)：身份認(rèn)證及鑒權(quán)APIIAM的集成進(jìn)行身份驗TLS加密。租戶通過API命令接口來管理虛擬機(jī)，API命令的權(quán)限管理直接關(guān)系到虛擬機(jī)的安全性。華為云API網(wǎng)關(guān)對用戶命令支持二級權(quán)限管理。用戶發(fā)出命令時，不僅需要通過IAM的身份登錄和鑒權(quán)，而且命令也需要經(jīng)過API網(wǎng)關(guān)的檢查鑒權(quán)。用戶有權(quán)限執(zhí)行該命令時，命令才可以通過API網(wǎng)關(guān)并下發(fā)到平臺層或應(yīng)用層執(zhí)行。平臺層或應(yīng)用層接到命令后，會再次對用戶的權(quán)限進(jìn)行檢查判斷，只有用戶確實擁有當(dāng)前API命令的執(zhí)行權(quán)限，命令才允許執(zhí)行。所有的訪問請求可以通過兩種方式認(rèn)證：令牌(token)認(rèn)證tokentoken由租戶通IAMIAM接口獲取。訪問密鑰ID/訪問密鑰（AK/SK–AccessKeyID/SecretAccessKey）認(rèn)證AK/SK的鑒權(quán)信息，APIAK/SKAK/SKAPISDK進(jìn)行簽名，將包含簽名信息的請求發(fā)送到API網(wǎng)關(guān)，API網(wǎng)關(guān)將對簽名信息進(jìn)行認(rèn)證校驗。傳輸保護(hù)：APITLSAPIAPITLS1.2PFS（PerfectForwardSecrecy）安全特性。邊界防護(hù)：APIAnti-DDoS、入侵防御系統(tǒng)（IPS）Web應(yīng)用防火墻（WAF）等多層高級邊界防護(hù)機(jī)制針對不同的威脅和攻擊進(jìn)行有效防范。通過負(fù)載均衡器對TLS加密傳輸進(jìn)行解密，多層高級邊界防護(hù)機(jī)制可對API網(wǎng)關(guān)流量明文進(jìn)行監(jiān)控，對攻擊執(zhí)行阻斷。在高級邊界防護(hù)的基礎(chǔ)上，API網(wǎng)關(guān)作為云服務(wù)特有的安全邊界還提供以下多種防護(hù)措施：API注冊APIAPI接口，才能被租戶訪問。ACL規(guī)則限制：該功能允許租戶自行配置特定的租戶信息和網(wǎng)段信息。租戶可根據(jù)訪問控制列表（ACL–AccessControlList）配置信息，API網(wǎng)關(guān)能有APIAPI規(guī)則默認(rèn)限定管理域賬號（op_service）防止從外部網(wǎng)絡(luò)調(diào)用管理域接口。防重放攻擊API擊。防暴力破解AK/SK請求時，APIAPI網(wǎng)關(guān)所設(shè)定允許次數(shù)，會拒絕該請求并執(zhí)行限時鎖定。API流量控制：APIAPI的頻率的適當(dāng)流量控制，確?；贏PI的訪問的高可用性和連續(xù)性。APIAPI級別和租戶級別的秒級APIAPI網(wǎng)關(guān)需要配置對應(yīng)的流控信息，在單位時間內(nèi)APIAPI該API次數(shù)的配額分別進(jìn)行流控。數(shù)據(jù)安全數(shù)據(jù)安全指對用戶數(shù)據(jù)信息資產(chǎn)的機(jī)密性、完整性、可用性、持久性、、以及可追溯性等方面的全面保護(hù)。華為云高度重視用戶的數(shù)據(jù)信息資產(chǎn)，把數(shù)據(jù)保護(hù)作為華為云安全策略的核心。華為云將繼續(xù)遵循數(shù)據(jù)安全生命周期管理的業(yè)界先進(jìn)標(biāo)準(zhǔn)，在身份認(rèn)證、權(quán)限管理、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除、物理銷毀等方面，采用優(yōu)秀技術(shù)、實踐和流程，為用戶提供最切實有效的數(shù)據(jù)保護(hù)能力，保證租戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯。訪問隔離身份認(rèn)證和訪問控制：華為云的訪問控制能力是通過統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccessManagement）提供的。IAM是面向企業(yè)租戶的安全管理服IAM，租戶可以集中管理用戶、安全憑證（例如訪問密鑰），以及控制用戶管理權(quán)限和用戶可訪問的云資源權(quán)限。使用IAM，租戶管理員可以管理用戶賬號，并且可以控制這些用戶賬號對租戶名下資源具有的操作權(quán)限。當(dāng)租戶企業(yè)存在多用戶協(xié)同操作資源時，使用IAM可以避免與其他用戶共享賬號密鑰，按需為用戶分配最小權(quán)限，也可以通過設(shè)置登錄驗證策略、密碼策略、訪問控制列表來確保用戶賬戶的安全，從而降低租戶的企業(yè)信息安全風(fēng)險。數(shù)據(jù)隔離：華為云對云端數(shù)據(jù)的隔離是通過虛擬私有云（VPCVirtualPrivateCloud）實施的，VPC采用網(wǎng)絡(luò)隔離技術(shù)，實現(xiàn)不同租戶間在三層網(wǎng)絡(luò)的完全隔離，租戶可以完全掌控自己的虛擬網(wǎng)絡(luò)構(gòu)建與配置：一方面，結(jié)合VPN或云專線VPC云上的平滑遷移；另一方面，利用VPC的ACL、安全組功能，按需配置安全與訪問規(guī)則，滿足租戶更細(xì)粒度的網(wǎng)絡(luò)隔離需要。傳輸安全對于華為云平臺客戶端到服務(wù)端、服務(wù)端之間的數(shù)據(jù)通過公共信息通道進(jìn)行傳輸?shù)膱鼍埃瑐鬏斨袛?shù)據(jù)的保護(hù)通過如下方式提供：虛擬專用網(wǎng)絡(luò)（VPN）：VPNVPC的安全加密通信隧道，將已有數(shù)據(jù)中心無縫擴(kuò)展到華為云上，為租戶提供端到端VPNVPC之間建立通信隧道，租戶可方便地使用華為云的云服務(wù)器、塊存儲等資源，通過將應(yīng)用程序轉(zhuǎn)移到云中、啟動額外的Web服務(wù)器來增加網(wǎng)絡(luò)的計算容量，實現(xiàn)了企業(yè)的混合云架構(gòu)的同時，也降低了企業(yè)核心數(shù)據(jù)非法擴(kuò)散的風(fēng)險。目前，華為云采用硬件實現(xiàn)的IKE（密鑰交換協(xié)議）和IPSecVPN結(jié)合的方法對數(shù)據(jù)傳輸通道進(jìn)行加密，確保傳輸安全。TLS與證書管理RESTHighway方式進(jìn)行數(shù)據(jù)傳輸：RESTRESTful的形式向外發(fā)布，調(diào)用端直接使用

HTTP客戶端，通過標(biāo)準(zhǔn)RESTful形式對API進(jìn)行調(diào)用，實現(xiàn)數(shù)據(jù)傳輸；Highway通道是高性能私有協(xié)議通道，在有特殊性能需求場景時可選用。上述兩種數(shù)據(jù)傳輸方式均支持使用傳輸層安全協(xié)議（TLS–TransportLayerSecurity）X.509證書的目標(biāo)網(wǎng)站身份認(rèn)證。證書管理服務(wù)（SSLCertificateService）則是華為云聯(lián)合全球知名數(shù)字證書服務(wù)X.509可信身份認(rèn)證與安全數(shù)據(jù)傳輸。密鑰保護(hù)與管理密鑰管理服務(wù)（KMS–KeyManagementService）是一種安全、可靠、簡單易用的密鑰托管服務(wù)，幫助用戶集中管理密鑰，保護(hù)密鑰安全。它通過使用硬件安全模塊（HSM–HardwareSecurityModule），為租戶創(chuàng)建和管理密鑰，防止密鑰明文暴漏在HSM之外，從而防止密鑰泄露。HSM是一種安全產(chǎn)生、存儲、管理及使用密鑰并提供加密處理服務(wù)的硬件設(shè)備。為保護(hù)租戶密鑰安全，減少密鑰外泄風(fēng)險，華為云提供不同廠商、不同規(guī)格（標(biāo)準(zhǔn)加密算法、國密算法等）、不同強(qiáng)度的云HSM供租戶選擇，滿足不同租戶的實際需求，例如通過FIPS140-2國際權(quán)威認(rèn)證的第三方HSM。KMS對密鑰的所有操作都會進(jìn)行訪問控制及日志跟蹤，滿足審計和合規(guī)性要求。目前已對接KMS服務(wù)的華為云服務(wù)包括：云硬盤（ElasticVolumeService，簡稱EVS）、對象存儲（ObjectStorageService，簡稱OBS）、云硬盤備份（VolumeBackupService，簡稱VBS）及鏡像服務(wù)（ImageManagementService，簡稱IMS）等。專屬加密專屬加密滿足租戶更高合規(guī)性要求的加密場景，采用通過國家密碼局認(rèn)證或FIPS140-2第3級驗證的硬件加密機(jī)，對租戶業(yè)務(wù)進(jìn)行專屬加密，默認(rèn)雙機(jī)架構(gòu)以提高可靠性。數(shù)據(jù)機(jī)密性及可靠性保證存儲類型服務(wù)描述機(jī)密性保證可靠性保證EVS存儲類型服務(wù)描述機(jī)密性保證可靠性保證EVS于分布式架構(gòu)務(wù)。KMS鑰（CMK-CustomerMasterKey）KMS生成、管理和銷毀，用于加密和解密數(shù)據(jù)加密密鑰。華為云提供整卷加密功能。三副本冗余，數(shù)據(jù)持久性高達(dá)99.9999999%。通過VBS實現(xiàn)云硬盤的備份與恢復(fù)，且支持通過云硬盤備份創(chuàng)建新的云硬盤。VBS云硬盤備份為EVS創(chuàng)建備份，利用備份數(shù)據(jù)回滾EVS數(shù)據(jù)。加密盤的備份數(shù)據(jù)自動加密，保證數(shù)據(jù)安全。備份數(shù)據(jù)跨數(shù)據(jù)中心保存，數(shù)據(jù)持久性高達(dá)99.999999999%。存儲類型服務(wù)描述機(jī)密性保證可靠性保證OBS為用戶提供海對于服務(wù)器端加密，OBS提供兩種密鑰管理方式：（SSE1-C方式）：OBS使用用戶提供的密鑰和密鑰的MD5值進(jìn)行服務(wù)端加密。KMS托管密鑰（SSE-KMS方式）：KMS中的桶上傳對象時，OBS將自動創(chuàng)建用于加密和解密數(shù)據(jù)的CMK。數(shù)據(jù)持久性高達(dá)。數(shù)據(jù)檢查：存儲前和存儲后通過Hash校驗數(shù)據(jù)一致性，確保存入數(shù)據(jù)是上傳數(shù)據(jù)。性并及時修復(fù)受損數(shù)據(jù)。RDS務(wù)（RelationalDatabaseService，簡稱RDS）是一種基可靠、彈性伸庫服務(wù)。加密密鑰由KMS進(jìn)行管理。關(guān)系型數(shù)據(jù)庫服務(wù)采用熱備架構(gòu)，故障系統(tǒng)1分鐘自動切換。每天自動備份數(shù)據(jù)，上傳到OBS桶，備份文件保留732天，支持一鍵式恢復(fù)。IMS制彈性云服務(wù)器。由KMS提供密鑰。CMKKMS生成、管理和銷和通過外部鏡像文件創(chuàng)建。使用多份冗余存儲私用鏡像，數(shù)據(jù)持久性高達(dá)99.999999999%。說明1. SSEServer-SideEncryption.CSSE-C中是指客戶（customer）。數(shù)據(jù)刪除與銷毀在用戶確認(rèn)刪除數(shù)據(jù)后，華為云會徹底刪除用戶數(shù)據(jù)，確保數(shù)據(jù)不泄露：內(nèi)存刪除行清零操作，即寫“零”處理，防止通過物理內(nèi)存恢復(fù)刪除數(shù)據(jù)造成的數(shù)據(jù)泄露。加密數(shù)據(jù)防泄露文后造成泄露。存儲數(shù)據(jù)刪除：當(dāng)租戶刪除數(shù)據(jù)時，數(shù)據(jù)和對應(yīng)的元數(shù)據(jù)在系統(tǒng)中一并刪除，底層存儲區(qū)域被回收以供系統(tǒng)重新覆蓋寫入，數(shù)據(jù)無法再被讀取。但是針對客戶誤刪除的操作場景，通過EVS服務(wù)的回收站功能、OBS可以最終決定數(shù)據(jù)的恢復(fù)或徹底刪除。磁盤數(shù)據(jù)刪除止被惡意租戶使用數(shù)據(jù)恢復(fù)軟件讀出磁盤數(shù)據(jù)，杜絕信息泄漏風(fēng)險。物理磁盤報廢隱私和數(shù)據(jù)不受未授權(quán)訪問。6租戶服務(wù)與租戶安全6租戶服務(wù)與租戶安全文檔版本3.2(2020-08-14)文檔版本3.2(2020-08-14)PAGE24 6租戶服務(wù)與租戶安全華為云擁有縱跨IaaS、PaaS和SaaS類多項直接面向租戶的云服務(wù)。本章精選了對于方便租戶上云，為租戶業(yè)務(wù)賦能增值，為租戶安全保駕護(hù)航均尤為重要的服務(wù)，涉及計算、網(wǎng)絡(luò)、存儲、數(shù)據(jù)庫、數(shù)據(jù)分析、應(yīng)用、管理和安全等方面。每項云服務(wù)的介紹包括其基本技術(shù)特性、安全功能以及給租戶安全帶來的益處。同時，考慮到絕大多數(shù)租戶對一些大眾化的安全服務(wù)已有多年理論和實踐積累，例如虛擬專用網(wǎng)絡(luò)服務(wù)（VPN），因此未收入此章，具體內(nèi)容可登錄華為云網(wǎng)站（\hhttp://\h/）查詢，敬請理解。計算服務(wù)彈性計算服務(wù)（ECS）彈性計算服務(wù)（ECS–ElasticComputeService）是華為云為租戶提供的一種可隨時自助獲取，按需租用虛擬計算資源的云服務(wù)。租戶購買的云服務(wù)器實例是一個虛擬的計算環(huán)境，包含了CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件。一個實例就是一臺虛擬機(jī)。對自己創(chuàng)建的實例，租戶擁有管理員權(quán)限，可以進(jìn)行多項基本操作，如掛載磁盤、添加網(wǎng)卡、創(chuàng)建鏡像、部署環(huán)境等。安全組等。通過從虛擬機(jī)到主機(jī)再到整個組網(wǎng)的整體安全設(shè)計，為用戶打造安全可靠、靈活高效的應(yīng)用環(huán)境。主機(jī)安全：主機(jī)操作系統(tǒng)使用華為統(tǒng)一虛擬化平臺（UVP），對CPU，內(nèi)存和I/O資源隔離管理。UVP安全性能已在第55.3再贅述。虛擬機(jī)安全鏡像加固像，并通過鏡像服務(wù)（IMS）持續(xù)提供給租戶。同時提供相關(guān)加固和補(bǔ)丁信相關(guān)應(yīng)用運(yùn)行及安全運(yùn)維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛擬機(jī)或自行創(chuàng)建已安裝安全補(bǔ)丁的私有鏡像。網(wǎng)絡(luò)與平臺隔離Hypervisor提供的虛擬交換機(jī)（vSwitch）通過設(shè)置VLAN、VXLAN、ACL等屬性確保虛擬機(jī)在網(wǎng)絡(luò)層的邏輯隔離。多臺主機(jī)之間的網(wǎng)絡(luò)依然使用傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）隔離。同時，UVP支撐的CPU、內(nèi)存、I/O隔離進(jìn)一步實現(xiàn)虛擬機(jī)在平臺層的邏輯隔離。IP/MAC仿冒控制IPMAC引起的網(wǎng)DHCPsnoopingIPMAC之間的綁定關(guān)系，然IP(IPSourceGuard)ARP檢測（DAI–DynamicARPInspection）IPMAC地址的仿冒。安全組：UVP擬機(jī)之間如果要相互訪問，可以建立安全組。同一個安全組內(nèi)的多臺虛擬機(jī)默認(rèn)可相互訪問，處于不同安全組的任何兩臺虛擬機(jī)默認(rèn)禁止相互通信。但可定制配置為允許通信。第6章6.2.1虛擬私有云服務(wù)（VPC）一節(jié)對安全組做詳盡的介紹，請參考。遠(yuǎn)程訪問認(rèn)證：SSH遠(yuǎn)程訪問虛擬機(jī)操作系統(tǒng)來進(jìn)行系統(tǒng)維護(hù)。但是SSH接口也是虛擬機(jī)的一個較高安全風(fēng)險。為保證遠(yuǎn)程訪問控制安全，租戶可選擇使用賬號口令或公/認(rèn)使用更為安全的公/私鑰對認(rèn)證方式。資源管理認(rèn)證：APIAPI接入請IAMAPI理。VNC安全：租戶通過VNC（VirtualNetworkComputing）方式遠(yuǎn)程訪問虛擬機(jī)，使用賬號口令進(jìn)行身份認(rèn)證，采用TLS1.2版本進(jìn)行加密傳輸，確保數(shù)據(jù)傳輸安全。鏡像服務(wù)（IMS）鏡像是一個包含了軟件及必要配置的云服務(wù)器或裸金屬服務(wù)器模版，至少包含操作系統(tǒng)，還可以包含各種預(yù)裝的應(yīng)用軟件（例如，數(shù)據(jù)庫軟件）。鏡像分為公共鏡像、私有鏡像、共享鏡像和市場鏡像。公共鏡像是華為云為操作系統(tǒng)提供的標(biāo)準(zhǔn)鏡像；私有鏡像是用戶自行創(chuàng)建的鏡像；共享鏡像是用戶自己定義并分享給其他用戶的鏡像，由用戶社區(qū)在自愿基礎(chǔ)上維護(hù)；市場鏡像是提供預(yù)裝操作系統(tǒng)、應(yīng)用環(huán)境和各類軟件的優(yōu)質(zhì)第三方鏡像。華為云鏡像服務(wù)（IMS–ImageManagementService）提供簡單方便的鏡像自助管理功能。客戶可通過服務(wù)控制臺或API對自己的鏡像進(jìn)行管理。華為云負(fù)責(zé)公共鏡像的定期更新與維護(hù)，向用戶提供安裝安全補(bǔ)丁的公共鏡像和相關(guān)安全加固和補(bǔ)丁信息，以便用戶在部署測試、故障排除等運(yùn)維活動時參考。用戶可以直接使用公共鏡像，或者通過已有的云服務(wù)器或使用外部鏡像文件自行創(chuàng)建私有鏡像，也可以參與創(chuàng)建和維護(hù)共享鏡像。用戶能靈活選擇上述任何鏡像申請彈性云服務(wù)器。IMS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來進(jìn)行認(rèn)證，支持鏡像的傳輸和存儲加密以及完整性檢測。IMS的所有數(shù)據(jù)都存儲于信任子網(wǎng)內(nèi)的鏡像倉庫，并且采用對象存儲分桶機(jī)制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS加密算法和功能，讓用戶選擇對鏡像進(jìn)行加密存儲。在基于鏡像創(chuàng)建虛擬機(jī)時，系統(tǒng)會自動檢查鏡像完整性，以確保創(chuàng)建的虛擬機(jī)包含完整的鏡像內(nèi)容。IMS對租戶的所有操作進(jìn)行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對所有關(guān)鍵操作進(jìn)行審計記錄。審計日志實現(xiàn)持久化，租戶可以對其進(jìn)行長期而且精確的回溯。彈性伸縮服務(wù)(AS)彈性伸縮服務(wù)（AS–Auto-Scaling）是根據(jù)租戶的業(yè)務(wù)需求，通過用戶預(yù)先定義的策略自動按需調(diào)整資源的服務(wù)。AS在運(yùn)行中無需人工干預(yù)，就可使資源使用量符合業(yè)務(wù)當(dāng)前的需求。在業(yè)務(wù)增長時實現(xiàn)應(yīng)用系統(tǒng)自動擴(kuò)容，業(yè)務(wù)下降時實現(xiàn)應(yīng)用系統(tǒng)自動減容。從而既能幫助租戶節(jié)約資源和人力成本，又能保證其業(yè)務(wù)平穩(wěn)健康運(yùn)行。AS對執(zhí)行資源調(diào)配和管控策略的自動化特性有助于避免資源爭奪類攻擊或租戶管理人員在調(diào)配資源時人為操作失誤所造成的安全風(fēng)險。AS支持自動地將加入的實例添加到負(fù)載均衡監(jiān)聽器，訪問流量將通過負(fù)載均衡監(jiān)聽器自動分發(fā)到伸縮組內(nèi)的所有實例，相比直接訪問單個后端服務(wù)器和服務(wù)具有更高的防DDoS攻擊的能力。AS可以實時檢測實例的運(yùn)行狀況，并啟動新實例以替換運(yùn)行狀況不佳的實例。同時支持配置使用多個可用區(qū)（AZ–AvailabilityZone），在多個可用分區(qū)中平均分配實例，保證伸縮組中部署應(yīng)用的容災(zāi)能力，提升系統(tǒng)可用性。專屬主機(jī)服務(wù)(DeH)專屬主機(jī)服務(wù)（DeH–DedicatedHostService）是在華為云ECS的基礎(chǔ)上，提供的一種靈活的以主機(jī)為單位出租的彈性計算服務(wù)，它繼承了ECS服務(wù)的所有功能以及安全特性。DeH由于以主機(jī)為單位出租，在安全上有物理層主機(jī)隔離的優(yōu)勢：單個租戶擁有整個Hypervisor可能出現(xiàn)的漏洞對系統(tǒng)實施攻擊。裸金屬服務(wù)（BMS）裸金屬服務(wù)（BMS–BareMetalService）是華為云為租戶提供的一種可隨時自助獲取，按需租用物理層計算資源的云服務(wù)。租戶購買的裸金屬服務(wù)器，即BMS實例，是一個物理的計算環(huán)境，包含了CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是BMS提供給每個租戶的操作實體。一個實例就是一臺物理機(jī)。對自己創(chuàng)建的實例，租戶擁有管理員權(quán)限，可以執(zhí)行多項基本操作，如開關(guān)機(jī)器，掛載磁盤、部署環(huán)境等。BMS提供了與華為云ECS類似的多層安全防護(hù)，包括主機(jī)系統(tǒng)和網(wǎng)絡(luò)安全、遠(yuǎn)程訪問認(rèn)證、管理控制安全等技術(shù)手段，具體內(nèi)容可參考第6章6.1.1彈性計算服務(wù)（ECS）一節(jié)。更重要的是，BMS獨(dú)享物理機(jī)隔離的安全優(yōu)勢。通過從主機(jī)到整個組網(wǎng)的安全設(shè)計為租戶提供可靠的安全保障，進(jìn)而幫助用戶打造一個在獨(dú)立物理計算環(huán)境中運(yùn)行的，安全可靠、靈活高效的應(yīng)用環(huán)境。網(wǎng)絡(luò)服務(wù)虛擬私有云服務(wù)(VPC)虛擬私有云服務(wù)（VPC–VirtualPrivateCloud）為彈性云服務(wù)器構(gòu)建隔離的、用戶自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境，提升用戶云中資源的安全性，簡化用戶的網(wǎng)絡(luò)部署。VPC的優(yōu)勢如下：可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括創(chuàng)建自己的網(wǎng)絡(luò)。VPCIP地址1，將彈性云服務(wù)器連接到公網(wǎng)。VPNVPC與傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實現(xiàn)應(yīng)用向云上的平滑遷移。VPC可以通過對等連接功能互聯(lián)。VPCDHCP變更。VPC多項網(wǎng)絡(luò)安全防護(hù)功能提高網(wǎng)絡(luò)安全性。VPC基本架構(gòu)如下圖：（請見下頁）圖6-1華為云VPC架構(gòu)簡圖VPC提供了以下與租戶網(wǎng)絡(luò)安全強(qiáng)相關(guān)的網(wǎng)絡(luò)功能：子網(wǎng)IPDNSVPC的所有子網(wǎng)內(nèi)的彈性云服務(wù)器默認(rèn)均可以相互通信，處VPC中的任意兩臺彈性云服務(wù)器默認(rèn)禁止通信。VPN：VPNVPC之間建立一條安全加密的通信管道，使遠(yuǎn)端用VPNVPCVPC中的彈性云服務(wù)VPNVPN相關(guān)參數(shù)。云專線網(wǎng)絡(luò)體驗。VPCOpenSystemInterconnection（OSI）層的網(wǎng)絡(luò)安全防護(hù)功能，租戶可以根據(jù)其在華為云上的網(wǎng)絡(luò)安全需求定制配置。其中，對整個華為云和每VPC的網(wǎng)絡(luò)安全都至關(guān)重要的非網(wǎng)絡(luò)ACL著重介紹：網(wǎng)絡(luò)ACL：網(wǎng)絡(luò)ACL是對一個或多個子網(wǎng)的訪問制定、維護(hù)并執(zhí)行訪問控制策略的系統(tǒng)，根據(jù)與子網(wǎng)關(guān)聯(lián)的入站/出站規(guī)則，判斷數(shù)據(jù)包是否被允許流入/網(wǎng)。安全組VPCVPC內(nèi)具有相同安全保護(hù)需求并且相互信任的彈性云服務(wù)器提供訪問策略。用戶VPC云服務(wù)器劃分成不同的安全域，以提升彈性云服務(wù)器訪問的安全性。每個安全組可以設(shè)定一組訪問規(guī)則。安全組規(guī)則包括：協(xié)議、出/入方向、源IP地址段/子網(wǎng)或安全組、允許訪問的端口范圍。支持配置TCP、UDP、ICMP三種協(xié)議。當(dāng)虛擬機(jī)加入安全組后，即受到該訪問規(guī)則組的保護(hù)。用戶創(chuàng)建虛擬機(jī)時，通過選定要加入的安全組，來對虛擬機(jī)進(jìn)行安全隔離和訪問控制。同一個安全組內(nèi)的多臺虛擬機(jī)可以分布在物理位置分散的多臺物理機(jī)上。同一個安全組內(nèi)的多臺虛擬機(jī)默認(rèn)可相互訪問，處于不同安全組的任何兩臺虛擬機(jī)默認(rèn)禁止相互通信，但可定制配置為允許通信。當(dāng)安全組被成功創(chuàng)建，沒有自定義規(guī)則的安全組即具備默認(rèn)的訪問規(guī)則。默認(rèn)規(guī)則是在出方向上的數(shù)據(jù)報文全部放行，安全組內(nèi)的云服務(wù)器無需添加規(guī)則即可互相訪問。當(dāng)默認(rèn)訪問規(guī)則可以滿足需求時，則無需再為該安全組添加規(guī)則。顯而易見，網(wǎng)絡(luò)ACL和安全組功能都是為了提升華為云VPC的網(wǎng)絡(luò)安全性。因此，了解二者區(qū)別會對租戶建立有效的VPC網(wǎng)絡(luò)安全策略大有助益。網(wǎng)絡(luò)ACL和安全組的區(qū)別總結(jié)如下，僅供參考。表6-1安全組和網(wǎng)絡(luò)ACL區(qū)別列表安全組網(wǎng)絡(luò)ACL彈性云服務(wù)器實例級別操作（第一層防護(hù)）子網(wǎng)級別操作（第二層防護(hù)）支持允許策略支持允許和拒絕策略多個規(guī)則沖突，取其并集生效多個規(guī)則沖突，靠前的規(guī)則優(yōu)先生效創(chuàng)建彈性云服務(wù)器實例默認(rèn)必須選擇安全組，默認(rèn)安全組自動應(yīng)用到彈性云服務(wù)器實例創(chuàng)建子網(wǎng)沒有網(wǎng)絡(luò)ACL選項，必須創(chuàng)建網(wǎng)絡(luò)ACL、添加關(guān)聯(lián)子網(wǎng)、添加出入規(guī)則，并啟用，例支持報文三元組（即協(xié)議、端口和對端地址）過濾支持報文五元組（即協(xié)議、源端口、目的端口、源地址和目的地址）過濾另外，為增強(qiáng)VPC網(wǎng)絡(luò)隔離防護(hù)，平臺內(nèi)也提供了其他網(wǎng)絡(luò)安全功能，總結(jié)如下：虛擬局域網(wǎng)（VLAN）隔離：VLANOSIVLANtagging功能實現(xiàn)虛擬交換并確保虛擬機(jī)之間的安全隔離。IP和MAC綁定IP、MACIP、MACDHCPsnoopingIP-MACIP(IPSourceGuard)ARP檢測對非綁定關(guān)系的報文進(jìn)行過濾。DHCPServer隔離DHCPServer服務(wù)，防止用戶無意識DHCPServerIP地址分配過程。防DoS/DDoS攻擊或平臺內(nèi)部其他虛擬機(jī)的大流量攻擊2。說明彈性IPIPIPVPCIP地址與互聯(lián)網(wǎng)互通。導(dǎo)致不能接受新的連接請求，最終造成業(yè)務(wù)及管理流量中斷。彈性負(fù)載均衡服務(wù)（ELB）彈性負(fù)載均衡（ELB–ElasticLoadBalance）將訪問流量自動分發(fā)到多臺彈性云服務(wù)器，擴(kuò)展應(yīng)用系統(tǒng)對外的服務(wù)能力，實現(xiàn)更高水平的應(yīng)用程序容錯性能。相比傳統(tǒng)硬件負(fù)載均衡器，彈性負(fù)載均衡具有如下優(yōu)勢：可用性。變化的流量需求。支持最高1OSI四層協(xié)議、UDP協(xié)議）或七層（HTTP協(xié)議、HTTPS協(xié)議）的負(fù)載分發(fā)。ELB組網(wǎng)基本設(shè)計如下圖：圖6-2華為云ELB組網(wǎng)圖彈性負(fù)載均衡服務(wù)提供如下安全防護(hù)：隱藏內(nèi)部真正的服務(wù)器地址和端口號：ELB口，不暴露真實的后端地址和服務(wù)端口，防止網(wǎng)絡(luò)信息泄露，減少攻擊面。根據(jù)流量狀態(tài)，自動擴(kuò)展處理能力：ELBDDoS攻擊能力。內(nèi)網(wǎng)ELB支持安全組配置：ELBELB的流量。支持源地址透傳：ELBHTTPHTTPS服務(wù)時支持源地址透傳功能，租戶可基于源地址進(jìn)行溯源、連接統(tǒng)計、流量統(tǒng)計或者源地址白名單等進(jìn)一步的安全訴求，通過客戶應(yīng)用實現(xiàn)，更快速發(fā)現(xiàn)攻擊并有效響應(yīng)。支持SSL/TLS卸載及證書管理：ELBSSL/TLS卸載。SSL/TLS卸載將報文加ELB，可以有效降低租戶后端服務(wù)器的性ELBELBELBELB對報文進(jìn)行加密后發(fā)送。使用SSL/TLS卸載功能時，需要租戶上傳所需證書及私密鑰，由ELB進(jìn)行管理。支持加密協(xié)議和加密套件可配置HTTPSELB的安全通信協(xié)議時TLS1.2版本。ELB同時支持加密套件可選；對于有更多加密算法項選擇的租戶，ELB的加密套件；對有高安全需求的租戶，提供嚴(yán)格的加密算法。云解析服務(wù)（DNS）云解析服務(wù)（DNS–DomainNameService）DNS服務(wù)DNSIP從而將最終用戶路由到相應(yīng)的應(yīng)用資源上。通過DNS可以把域名解析到ECS、OBS、RDS等其他服務(wù)地址，便于通過域名直接訪問不同服務(wù)資源。用戶可以從DNS中獲得其獨(dú)有的內(nèi)網(wǎng)域名解析服務(wù)，可以基于VPC任意定制域名和解析，解決了內(nèi)部業(yè)務(wù)的域名注冊和管理問題，降低了業(yè)務(wù)部署和維護(hù)的復(fù)雜度，同時也為業(yè)務(wù)高可用設(shè)計提供了可能。華為云DNS基于華為云高可用性和可靠性的基礎(chǔ)架構(gòu)構(gòu)建，其服務(wù)器的分布式特性有助于提高可用性，確保將最終用戶路由到應(yīng)用程序。在單個業(yè)務(wù)節(jié)點發(fā)生故障時，可通過修改DNS解析記錄進(jìn)行故障轉(zhuǎn)移，保障租戶業(yè)務(wù)的可用性。華為云DNS具有以下主要安全防護(hù)功能：IP到域名映射的反向解析記錄，通過反向解析可以降低垃圾郵件數(shù)量。通過例行更新，縮短生存期（TTL–TimetoLive）DNS緩存等措施DNS緩存中毒攻擊。Anti-DDoSIP訪問，保障服務(wù)安全穩(wěn)定運(yùn)行。DNS提供的七層防護(hù)算法，逐層對攻擊流量進(jìn)行清洗過濾，實現(xiàn)了對流量層攻擊和應(yīng)用層攻擊的全面防護(hù)。例如，Anti-DDoSDNS放大攻擊。提供HttpDNS能力，允許客戶端使用基于HTTP/HTTPS協(xié)議的API繞過傳統(tǒng)LocalDNSServer進(jìn)行域名解析；可有效避免域名解析結(jié)果被劫持。租戶可以通過使用華為云IAM為租戶成員分配云解析服務(wù)及操作權(quán)限，使用訪問密鑰，以API的方式訪問華為云資源。存儲服務(wù)云硬盤服務(wù)（EVS）云硬盤服務(wù)（EVS–ElasticVolumeService）是華為云提供的分布式存儲服務(wù)，主要為ECS、BMS等計算服務(wù)提供硬盤。EVS基于IAM服務(wù)進(jìn)行訪問控制，采用HTTPS+口令認(rèn)證、會話管理、基于接口的權(quán)限控制、審計日志等措施來保證web操作的安全性；通過訪問控制、網(wǎng)絡(luò)平面隔離、自動告警等措施保證后臺存儲系統(tǒng)安全性和穩(wěn)定性；通過對操作系統(tǒng)、數(shù)據(jù)庫、web應(yīng)用組件等進(jìn)行安全配置加固、開源組件及時補(bǔ)丁或升級，保障系統(tǒng)運(yùn)行安全。EVS使用多副本的數(shù)據(jù)冗余保護(hù)機(jī)制，采用副本同步寫、讀修復(fù)等措施保證數(shù)據(jù)一致性，當(dāng)檢測到硬件故障能夠自動后臺修復(fù)，數(shù)據(jù)快速自動重建，數(shù)據(jù)持久性可達(dá)99.9999999%。EVS提供加密盤選項，用戶自主管理秘鑰，滿足用戶不同安全場景的需求。云備份服務(wù)（CBR）云備份（CBR–CloudBackupandRecovery）提供對云硬盤（ElasticVolumeService）、彈性云服務(wù)器（ElasticCloudServer）和裸金屬服務(wù)器（BareMetalServer）的備份保護(hù)服務(wù)（下文將云硬盤稱為磁盤，彈性云服務(wù)器和裸金屬服務(wù)器統(tǒng)稱為服務(wù)器），支持基于快照技術(shù)的備份服務(wù)，并支持利用備份數(shù)據(jù)恢復(fù)服務(wù)器和磁盤的數(shù)據(jù)。同時云備份支持同步線下備份軟件BCManager中的備份數(shù)據(jù)，可以在云上對備份數(shù)據(jù)進(jìn)行管理，并支持將備份數(shù)據(jù)恢復(fù)至云上其他服務(wù)器中。架構(gòu)設(shè)計上，CBR以微服務(wù)架構(gòu)為基礎(chǔ)，對業(yè)務(wù)進(jìn)行抽象建模。做到業(yè)務(wù)數(shù)據(jù)與業(yè)務(wù)邏輯解耦，平臺共有能力與產(chǎn)品能力解耦，各個微服務(wù)之間業(yè)務(wù)解耦。微服務(wù)設(shè)計遵循前后端分離，無狀態(tài)服務(wù)，接口通信等設(shè)計原則。與外部交互，服務(wù)間交互充分考慮返回錯誤、重啟、無響應(yīng)、阻塞等異常情況，對故障進(jìn)行隔離保證服務(wù)的可用性，當(dāng)故障恢復(fù)后能夠自動恢復(fù)服務(wù)。CBR基于IAM服務(wù)進(jìn)行訪問控制；通過HTTPS協(xié)議，對外接口基于HTTPS的RESTful架構(gòu)，對CBR的訪問通道進(jìn)行安全保護(hù)；采用網(wǎng)絡(luò)時間同步協(xié)議NTP（NetWorkTime確保系統(tǒng)內(nèi)各網(wǎng)元時間的一致性，對操作系統(tǒng)、數(shù)據(jù)庫、web應(yīng)用組件等進(jìn)行安全配置加固，保障系統(tǒng)運(yùn)行安全。CBR支持對備份數(shù)據(jù)的完整性校驗。在備份和恢復(fù)過程中，采用CRC32C校驗備份數(shù)據(jù)的正確性，確保數(shù)據(jù)無損壞或被篡改。支持對加密卷的備份和恢復(fù)。通過華為云KMS服務(wù)獲取密鑰，將生產(chǎn)存儲中的加密卷加密備份到備份存儲中，同時可以將加密備份數(shù)據(jù)恢復(fù)至原卷或新卷中。不同租戶的備份數(shù)據(jù)存儲在不同的桶中，相互隔離，最大限度保障用戶數(shù)據(jù)的安全。內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN–ContentDeliveryNetwork）是構(gòu)建在現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò)，通過在網(wǎng)絡(luò)各處部署節(jié)點服務(wù)器，實現(xiàn)將源站內(nèi)容分發(fā)至所有CDN節(jié)點，提供媒體內(nèi)容的預(yù)注入、回源、存儲和緩存、分片、播放等功能，以及網(wǎng)頁、文件的緩存和下載功能，使用戶可以就近獲得所需的內(nèi)容。CDN采用口令認(rèn)證、訪問控制、最小授權(quán)、會話管理、輸入校驗、加密等安全手段確保整體系統(tǒng)安全性：通過對網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固、網(wǎng)絡(luò)平面隔離、安全區(qū)域劃分及網(wǎng)絡(luò)訪問控制實現(xiàn)網(wǎng)絡(luò)