2024華為云安全白皮書(shū)

目 導(dǎo)讀 1云安全戰(zhàn)略 3責(zé)任共擔(dān)模型 6華為云的安全責(zé)任 7租戶(hù)的安全責(zé)任 8安全合規(guī)與隱私保護(hù) 10安全合規(guī)與標(biāo)準(zhǔn)遵從 10隱私保護(hù) 12安全組織和人員 13安全組織 13安全與隱私保護(hù)人員 13內(nèi)部審計(jì)人員 14人力資源管理 14安全意識(shí)教育 14網(wǎng)絡(luò)安全能力提升 15重點(diǎn)崗位管理 15安全違規(guī)問(wèn)責(zé) 15基礎(chǔ)設(shè)施安全 17物理與環(huán)境安全 17物理安全 17環(huán)境安全 18網(wǎng)絡(luò)安全 18安全區(qū)域劃分與隔離 19業(yè)務(wù)平面劃分與隔離 20高級(jí)邊界防護(hù) 20平臺(tái)安全 21CPU隔離 21內(nèi)存隔離 22I/O隔離 22API應(yīng)用安全 22數(shù)據(jù)安全 23訪問(wèn)隔離 23傳輸安全 24存儲(chǔ)安全 24數(shù)據(jù)刪除與銷(xiāo)毀 26租戶(hù)服務(wù)與租戶(hù)安全 287.1計(jì)算 28彈性云服務(wù)器（ECS） 28鏡像服務(wù)（IMS） 29彈性伸縮服務(wù)(AS) 30專(zhuān)屬主機(jī)服務(wù)(DeH) 30裸金屬服務(wù)（BMS） 307.2網(wǎng)絡(luò) 30虛擬私有云服務(wù)(VPC) 30彈性負(fù)載均衡服務(wù)（ELB） 33網(wǎng)關(guān)35云專(zhuān)線（DC） 35終端節(jié)點(diǎn)（VPCEP） 36虛擬專(zhuān)用網(wǎng)絡(luò)（VPN） 367.3容器 37云容器引擎服務(wù)（CCE） 37容器鏡像服務(wù)（SWR） 387.4存儲(chǔ) 38云硬盤(pán)服務(wù)（EVS） 38彈性文件服務(wù)（SFS） 39云備份服務(wù)（CBR） 40對(duì)象存儲(chǔ)服務(wù)（OBS） 40數(shù)據(jù)快遞服務(wù)（DES） 43CDN與智能邊緣 43內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN） 43數(shù)據(jù)庫(kù) 44關(guān)系型數(shù)據(jù)庫(kù)服務(wù) 44云數(shù)據(jù)庫(kù)RDS 44云數(shù)據(jù)庫(kù)GaussDB(forMySQL) 45云數(shù)據(jù)庫(kù)GaussDB 46非關(guān)系數(shù)據(jù)庫(kù)服務(wù) 47文檔數(shù)據(jù)庫(kù)服務(wù)（DDS） 47云數(shù)據(jù)庫(kù)GeminiDB 48GeminiDBMongo接口 49GeminiDBRedis接口 49GeminiDBInflux接口 49GeminiDBCassandra接口 49數(shù)據(jù)復(fù)制服務(wù) 49大數(shù)據(jù) 50MapReduce服務(wù)（MRS） 50應(yīng)用中間件 51分布式消息服務(wù)（DMS） 51分布式緩存服務(wù)（DCS） 52API網(wǎng)關(guān)服務(wù)（APIG） 53微服務(wù)引擎（CSE） 53企業(yè)應(yīng)用 54云桌面服務(wù)（Workspace） 54云解析服務(wù)（DNS） 55管理與監(jiān)管 56統(tǒng)一身份認(rèn)證服務(wù)（IAM） 56應(yīng)用身份管理服務(wù)（OneAccess） 57云監(jiān)控服務(wù)（CES） 57云審計(jì)服務(wù)（CTS） 58企業(yè)項(xiàng)目管理服務(wù)（EPS） 59標(biāo)簽管理服務(wù)（TMS） 59消息通知服務(wù)（SMN） 60組織(Organization) 60安全與合規(guī) 61數(shù)據(jù)加密服務(wù)（DEW） 61企業(yè)主機(jī)安全服務(wù)（HSS） 62應(yīng)用防火墻服務(wù)63數(shù)據(jù)庫(kù)安全服務(wù)（DBSS） 64云防火墻（CFW） 64數(shù)據(jù)安全中心（DSC） 65安全云腦（SecMaster） 66DDoS防護(hù)（AAD） 66漏洞管理服務(wù)（CodeArtsInspector） 67云堡壘機(jī)(CBH) 67云日志服務(wù)68AI基礎(chǔ)平臺(tái) 69AI開(kāi)發(fā)平臺(tái)（ModelArts） 69華為云工程安全 71DevOps和DevSecOps流程 71雙軌制（DualPath）機(jī)制 71安全設(shè)計(jì) 72安全編碼和測(cè)試 72第三方軟件安全管理 73配置與變更管理 73上線安全審批 74華為云運(yùn)維運(yùn)營(yíng)安全 75O&M賬號(hào)運(yùn)營(yíng)安全 75賬號(hào)認(rèn)證 75權(quán)限管理 75接入安全 76漏洞管理 76漏洞感知 77漏洞響應(yīng)和處理 77漏洞披露 77安全日志和事件管理 77日志管理和審計(jì) 78快速發(fā)現(xiàn)與快速定界 78快速隔離與快速恢復(fù) 78業(yè)務(wù)連續(xù)與災(zāi)難恢復(fù) 79基礎(chǔ)設(shè)施高可用 79可用區(qū)之間災(zāi)備復(fù)制 79業(yè)務(wù)連續(xù)性計(jì)劃和測(cè)試 79安全生態(tài) 81安全生態(tài)體系 81安全生態(tài)技術(shù)架構(gòu) 84安全生態(tài)特性 85版本歷史 86 1導(dǎo)讀2017年初，華為云部（CloudBusinessUnit,akaCloudBU）正式成立，重新啟程，開(kāi)啟華為云新時(shí)代。過(guò)去幾年中，華為云與所有云服務(wù)供應(yīng)商（CSP–CloudServiceProvider）和客戶(hù)一樣，面臨著層出不窮的云安全挑戰(zhàn)，不斷探索，收獲頗多。華為云迎難而上，視挑戰(zhàn)為機(jī)遇，恪守業(yè)務(wù)邊界，攜手生態(tài)伙伴，共同打造安全、可信的云服務(wù)，為客戶(hù)業(yè)務(wù)賦能增值、保駕護(hù)航。華為云通過(guò)結(jié)合業(yè)界先進(jìn)的云安全理念，華為長(zhǎng)年積累的網(wǎng)絡(luò)安全經(jīng)驗(yàn)和優(yōu)勢(shì)以及在云安全領(lǐng)域的技術(shù)積累與運(yùn)營(yíng)實(shí)踐，參考世界領(lǐng)先的CSP優(yōu)秀安全實(shí)踐、摸索出了一整套行之有效的云安全戰(zhàn)略和實(shí)踐。華為云已經(jīng)構(gòu)建起多維立體、縱深防御和合規(guī)遵從的基礎(chǔ)設(shè)施架構(gòu)，用以支撐并不斷完善涵蓋了IaaS、PaaS和SaaS等具有優(yōu)良安全功能的常用云服務(wù)。在這背后，是華為云高度自治的扁平化組織，具備高度安全意識(shí)和能力的研發(fā)運(yùn)維運(yùn)營(yíng)團(tuán)隊(duì)，先進(jìn)的云服務(wù)DevOps/DevSecOps1流程，以及日益繁榮的云安全生態(tài)圈。華為云將一如既往，本著租戶(hù)業(yè)務(wù)優(yōu)先的原則，攜手生態(tài)伙伴，不斷發(fā)布高質(zhì)量的云服務(wù)增值安全功能、高級(jí)云安全服務(wù)和安全咨詢(xún)服務(wù)，切實(shí)保護(hù)租戶(hù)利益，幫助租戶(hù)持續(xù)擴(kuò)大業(yè)務(wù)，提升華為云市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)用戶(hù)、合作伙伴、華為云三者的長(zhǎng)期共贏。（簡(jiǎn)稱(chēng)“白皮書(shū)豐富經(jīng)驗(yàn)，分享給用戶(hù)，分享給業(yè)界，以求相互了解，相互借鑒，共同推動(dòng)云行業(yè)、云安全行業(yè)的開(kāi)放與發(fā)展。本白皮書(shū)面向各行業(yè)、各地區(qū)的廣大讀者群：從租戶(hù)、生態(tài)伙伴和社區(qū)到互聯(lián)網(wǎng)用戶(hù)從大中小型企業(yè)客戶(hù)到個(gè)人用戶(hù)IT、安全和隱私保護(hù)等云服務(wù)相關(guān)的技術(shù)崗位人員，以及其(主要包括營(yíng)銷(xiāo)、采購(gòu)/合同、合規(guī)審計(jì)等云服務(wù)相關(guān)人員)。說(shuō)明1.DevOpsDevSecOps目前尚沒(méi)有很好的統(tǒng)一中文譯名。DevOps是隨著云服務(wù)發(fā)展而由高科技公司的實(shí)踐派而非理論派創(chuàng)造并逐漸成熟的從研發(fā)到運(yùn)營(yíng)的全線DevOps需要支撐云服務(wù)和其他線上功能的持續(xù)集（CI/CDContinuousIntegration/ContinuousDeployment），傳統(tǒng)的瀑布流程和敏捷流程下的安全周期管理（SDL–SecurityDevelopmentLifecycle）大部分已不適應(yīng)新的節(jié)奏。安全必須無(wú)縫嵌入并實(shí)現(xiàn)高度自動(dòng)化，DevOps也就自然而然地形成了稱(chēng)為DevSecOps的全新安全周期管理實(shí)踐。通過(guò)華為對(duì)國(guó)內(nèi)外業(yè)界主流云服務(wù)和其他線上服務(wù)公司的調(diào)研，一個(gè)不爭(zhēng)的事實(shí)是這些公司已經(jīng)越來(lái)越普遍地大范圍采用DevOps/DevSecOps工程流程和工具鏈實(shí)踐。將安全無(wú)縫嵌入的DevOps/DevSecOps非但不會(huì)削弱安全，反而通過(guò)高度自動(dòng)化對(duì)安全有高效的提升。 2云安全戰(zhàn)略安全面臨的威脅和挑戰(zhàn)將日益嚴(yán)重。網(wǎng)絡(luò)安全和云安全已經(jīng)成為多維度的全球性挑作，共同努力，減少技術(shù)被濫用所導(dǎo)致的不可預(yù)期風(fēng)險(xiǎn)。作為全球領(lǐng)先的信息和通信技術(shù)（ICT–InformationandCommunicationTechnology）解決方案供應(yīng)商，華為技術(shù)有限公司（以下簡(jiǎn)稱(chēng)“華為”）充分理解網(wǎng)絡(luò)安全和云安全的重要性，并充分理解各國(guó)政府及客戶(hù)對(duì)此的擔(dān)憂與高度關(guān)注。針對(duì)層出不窮的云安全挑戰(zhàn)和無(wú)孔不入的云安全威脅與攻擊1，華為對(duì)安全問(wèn)題的憂患意識(shí)也日益緊迫，高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力、合規(guī)及生態(tài)上的投入，并采取切實(shí)有效的措施，加速開(kāi)發(fā)云安全技術(shù)和服務(wù)，提升公司云產(chǎn)品和云服務(wù)的安全性，提升云安全合規(guī)和生態(tài)建設(shè)，幫助客戶(hù)規(guī)避和減少云安全風(fēng)險(xiǎn)，以贏得各利益相關(guān)方的信賴(lài)。華為認(rèn)為，構(gòu)建一個(gè)開(kāi)放、透明、可視的多維全棧云安全框架，將有助于整個(gè)云服務(wù)產(chǎn)業(yè)健康持續(xù)發(fā)展，并將促進(jìn)云技術(shù)創(chuàng)新。華為云秉承華為公司創(chuàng)始人任正非先生提出的“將公司對(duì)網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上2000年華為安20年來(lái)，華為持續(xù)不懈地構(gòu)建自身安全能力，這些能力積累，滲透到了云安全服務(wù)研發(fā)的每個(gè)毛細(xì)血管中，構(gòu)筑了華為云多維立體、全棧防護(hù)的安全體系：2003年，推出業(yè)界首款基于網(wǎng)絡(luò)處理器（NP–NetworkProcessor）的防火墻；2008年，與賽門(mén)鐵克（Symantec）合資成立華賽公司（Huawei-Symantec）安全產(chǎn)品線，專(zhuān)注安全領(lǐng)域；2011年，成立安全能力中心，專(zhuān)攻研發(fā)安全能力；2012年，華為網(wǎng)絡(luò)安全產(chǎn)品國(guó)內(nèi)市場(chǎng)占有率第一；2015年，云安全解決方案及服務(wù)全面上線；2016年，云安全全球化布局，密鑰管理服務(wù)（KMS）DDoS攻擊服務(wù)（Anti-DDoS）在德國(guó)、西班牙上線；2017年，推出DDoS高流量防護(hù)（高防、數(shù)據(jù)庫(kù)防火墻等系列高增值安全服務(wù)；2018年，推出專(zhuān)屬加密服務(wù)（DHSM網(wǎng)絡(luò)安全與隱私保護(hù)是數(shù)智世界發(fā)展的基石。華為云會(huì)堅(jiān)定不移地在產(chǎn)品和服務(wù)中構(gòu)建網(wǎng)絡(luò)安全與隱私保護(hù)能力，自?xún)?nèi)向外打造競(jìng)爭(zhēng)力，遵從適用的網(wǎng)絡(luò)安全與隱私保護(hù)法律法規(guī)，為客戶(hù)提供安全可信、高質(zhì)量的產(chǎn)品、解決方案和服務(wù)，助力客戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)韌性，消減網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保護(hù)用戶(hù)隱私。華為云遵從所有適用的國(guó)家和地區(qū)的安全法規(guī)政策、國(guó)際網(wǎng)絡(luò)安全和云安全標(biāo)準(zhǔn)，參考行業(yè)優(yōu)秀實(shí)踐。在此基礎(chǔ)上，華為云從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系。華為云將與有關(guān)政府、客戶(hù)及行業(yè)伙伴，以開(kāi)放透明的方式，共同應(yīng)對(duì)云安全挑戰(zhàn)，全面滿足云服務(wù)用戶(hù)的安全需求。圖2-1華為云安全防護(hù)框架在組織方面，全球網(wǎng)絡(luò)安全與隱私保護(hù)委員會(huì)（GSPCGlobalSecurity&PrivacyCommittee）作為華為公司的最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶(hù)隱私保護(hù)官（GSPOGlobalSecurity&PrivacyOfficer）GSPC的重要成員，負(fù)責(zé)領(lǐng)導(dǎo)團(tuán)隊(duì)制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、供應(yīng)鏈、市場(chǎng)與銷(xiāo)售、工程交付及技術(shù)服務(wù)等相關(guān)體系的安全組織和業(yè)務(wù)，確保網(wǎng)絡(luò)安全保障體系在各體系、各區(qū)域、全流程的實(shí)施，積極推動(dòng)與政府、客戶(hù)、合作伙伴、員工等各利益相關(guān)方的溝通。華為云建立并完善其適合云服務(wù)持續(xù)集成、持續(xù)部署的扁平化組織。在業(yè)務(wù)流程方面，安全保障活動(dòng)融入研發(fā)、供應(yīng)鏈、市場(chǎng)與銷(xiāo)售、工程交付及技術(shù)服務(wù)等各主業(yè)務(wù)流程中。安全作為質(zhì)量管理體系的基本要求，通過(guò)管理制度和技術(shù)規(guī)范來(lái)確保其有效實(shí)施。華為通過(guò)內(nèi)部審計(jì)和接受各國(guó)政府安全部門(mén)、第三方獨(dú)立機(jī)構(gòu)的安全認(rèn)證和審計(jì)等來(lái)監(jiān)督和改進(jìn)各項(xiàng)業(yè)務(wù)流程。2004年起，華為的BS7799-2/ISO27001認(rèn)證。華為云在公司級(jí)的業(yè)務(wù)流程基礎(chǔ)上，大膽地將已在華為全面采用的安全周期管理（SDLSecurityDevelopmentLifecycle）DevOps工程流程和技術(shù)能力，形成有華為DevSecOps方法論和工具鏈，既支撐云業(yè)務(wù)的敏捷上線，又確保研發(fā)部署的全線安全質(zhì)量。在人員管理方面，華為云嚴(yán)格執(zhí)行華為長(zhǎng)期以來(lái)行之有效的人事和人員管理機(jī)法律責(zé)任。在云安全技術(shù)能力方面，依托華為自身強(qiáng)大的安全研發(fā)能力，以數(shù)據(jù)保護(hù)為核離和快速恢復(fù)，讓租戶(hù)受益于華為云先進(jìn)技術(shù)帶來(lái)的便捷、安全與業(yè)務(wù)增值。在云安全合規(guī)方面，面向提供云服務(wù)的地區(qū)，華為云積極與監(jiān)管機(jī)構(gòu)對(duì)話，理他們的擔(dān)憂和要求，貢獻(xiàn)華為云的知識(shí)和經(jīng)驗(yàn)，不斷鞏固華為在云技術(shù)、云服務(wù)和云安全方面與相關(guān)法律法規(guī)的契合度。同時(shí)，華為也將法律法規(guī)的分析結(jié)果共享給租戶(hù)，避免信息缺失導(dǎo)致的違規(guī)風(fēng)險(xiǎn)，通過(guò)合同明確雙方的安全職責(zé)。華為一方面通過(guò)跨行業(yè)、跨區(qū)域的云安全認(rèn)證滿足監(jiān)管機(jī)構(gòu)要求，另一方面通過(guò)獲得重點(diǎn)行業(yè)、重點(diǎn)區(qū)域所要求的安全認(rèn)證，建立并鞏固華為云業(yè)務(wù)的客戶(hù)信賴(lài)度，最終在法律法規(guī)制定者、管理者、租戶(hù)三者間共建安全的云環(huán)境。在云安全生態(tài)方面，華為云認(rèn)識(shí)到單靠一個(gè)公司、一個(gè)組織的力量不足以應(yīng)對(duì)益復(fù)雜的云安全威脅與風(fēng)險(xiǎn)。因此，華為云誠(chéng)邀全球所有安全伙伴，攜手共建云安全商業(yè)和技術(shù)生態(tài)體系，共同向租戶(hù)提供安全保障與服務(wù)。華為云的云市場(chǎng)（Marketplace）歡迎具備技術(shù)競(jìng)爭(zhēng)力的安全技術(shù)企業(yè)、組織和個(gè)人發(fā)布云安全服志同道合的伙伴分享云安全市場(chǎng)。努力保障全球客戶(hù)的安全，為行業(yè)的健康發(fā)展作出應(yīng)有的貢獻(xiàn)。種形式的安全交流與合作，共同應(yīng)對(duì)全球云安全的威脅與挑戰(zhàn)！ 3責(zé)任共擔(dān)模型云安全的重點(diǎn)是保證所有應(yīng)用和服務(wù)的高性能、穩(wěn)定和安全，不會(huì)有宕機(jī)的風(fēng)險(xiǎn)。這IaaS、PaaSSaaS。然而，運(yùn)行云服務(wù)的數(shù)據(jù)IT的數(shù)據(jù)中心有很大不同。在整體安全設(shè)計(jì)和實(shí)踐方面，云服務(wù)數(shù)據(jù)IT數(shù)據(jù)中心更重視為租戶(hù)提供全面、多維度、定制化、組合式的安全和隱私保護(hù)功能和配置，涵蓋基礎(chǔ)設(shè)施、平臺(tái)、應(yīng)用和數(shù)據(jù)安全。同時(shí)，華為云安全服務(wù)支持根據(jù)每個(gè)租戶(hù)的安全需求，定制各種高級(jí)安全設(shè)置。這些安全服務(wù)與多層架構(gòu)的安全特性、設(shè)置和控制深度集成，多個(gè)孤島技術(shù)的無(wú)縫編排，以及日益自動(dòng)化的云安全運(yùn)維。界廣泛的實(shí)踐對(duì)模型進(jìn)行了定義，如下圖所示。圖3-1責(zé)任共擔(dān)模型綠色部分由華為云負(fù)責(zé)，藍(lán)色部分由租戶(hù)負(fù)責(zé)。華為云負(fù)責(zé)提供安全的云服務(wù)，租戶(hù)負(fù)責(zé)云服務(wù)的內(nèi)部安全和安全使用。加密、訪問(wèn)控制等。的設(shè)計(jì)、開(kāi)發(fā)、發(fā)布、配置和使用。發(fā)布、配置、使用等?；A(chǔ)業(yè)務(wù)安全：華為云提供的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的安全管理，包括云計(jì)算、存儲(chǔ)、數(shù)據(jù)庫(kù)等業(yè)務(wù)的底層管理（如虛擬化控制層）和使用管理（如虛擬機(jī)管理虛擬網(wǎng)絡(luò)、負(fù)載均衡、安全網(wǎng)關(guān)、VPN、專(zhuān)線等管理。務(wù)器和網(wǎng)絡(luò)設(shè)備的管理。IaaS、PaaSSaaS服務(wù)，以及各種服務(wù)的內(nèi)置安全功能。華為云除了提供跨層身份認(rèn)證（IAM）功能外，還負(fù)責(zé)構(gòu)建縱深防御的多層防護(hù)體系，覆蓋物理層、基礎(chǔ)設(shè)施層、平臺(tái)層、應(yīng)用層和數(shù)據(jù)層。同時(shí)，還能保證運(yùn)維的安全。租戶(hù)在華為云上訂購(gòu)的虛擬網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、數(shù)據(jù)、管理、安全等云服務(wù)，主要負(fù)責(zé)定制配置和運(yùn)營(yíng)。包括對(duì)華為云服務(wù)的定制化，以及租戶(hù)在華為云上部署的任何平臺(tái)、應(yīng)用和IAM服務(wù)的運(yùn)維。租戶(hù)還負(fù)責(zé)自定義虛擬網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層、數(shù)據(jù)層和跨層IAM功能的安全設(shè)置，以及租戶(hù)的運(yùn)維安全和有效的用戶(hù)身份管理。華為云的安全責(zé)任IaaS、PaaSSaaS各類(lèi)各項(xiàng)云服務(wù)自身的安涵蓋華為云數(shù)據(jù)中心的物理環(huán)境設(shè)施和運(yùn)行其上的基礎(chǔ)服務(wù)、平臺(tái)服務(wù)、應(yīng)用服務(wù)等。這不但包括華為云基礎(chǔ)設(shè)施和各項(xiàng)云服務(wù)技術(shù)的安全功能和性能本身，也包括運(yùn)維運(yùn)營(yíng)安全，以及更廣義的安全合規(guī)遵從（4.1章節(jié)有專(zhuān)門(mén)介紹，在此不贅述。華為云一方面確保各項(xiàng)云技術(shù)的安全開(kāi)發(fā)、配置和部署；另一方面，華為云負(fù)責(zé)所提供云服務(wù)的運(yùn)維運(yùn)營(yíng)安全，例如，對(duì)安全事件實(shí)現(xiàn)快速發(fā)現(xiàn)、快速隔離、快速響應(yīng)，確保云服務(wù)的快速恢復(fù)。同時(shí)采用適合云服務(wù)的漏洞管理機(jī)制，對(duì)云服CSP的持續(xù)部署，包括不斷優(yōu)化云產(chǎn)品默認(rèn)安全配置、補(bǔ)丁裝載前置于研發(fā)階段和靈活簡(jiǎn)化安全補(bǔ)丁部署周期等措施。另外，華為云的安全責(zé)任還表現(xiàn)在開(kāi)發(fā)有強(qiáng)大市場(chǎng)競(jìng)爭(zhēng)力、為華為云租戶(hù)業(yè)務(wù)增值的云安全服務(wù)。華為云將其基礎(chǔ)設(shè)施的安全與隱私保護(hù)視為運(yùn)維運(yùn)營(yíng)安全的重中之重?；A(chǔ)設(shè)存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、平臺(tái)、應(yīng)用、身份管理和高級(jí)安全服務(wù)等各項(xiàng)云服務(wù)的系統(tǒng)設(shè)施。同時(shí)，華為云深度集成第三方安全技術(shù)或服務(wù)，并負(fù)責(zé)對(duì)其進(jìn)行安全運(yùn)維。華為云還負(fù)責(zé)其支撐的各項(xiàng)云服務(wù)的自身安全配置和版本維護(hù)。華為云對(duì)租戶(hù)數(shù)據(jù)提供機(jī)密性、完整性、可用性、持久性、認(rèn)證、授權(quán)、以及可否認(rèn)性等方面的全面數(shù)據(jù)保護(hù)功能，并對(duì)相關(guān)功能的安全性負(fù)責(zé)。但是，華為云只是租戶(hù)數(shù)據(jù)托管者，租戶(hù)對(duì)其數(shù)據(jù)擁有所有權(quán)和控制權(quán)。華為云絕不允許運(yùn)化，負(fù)責(zé)遵從華為云服務(wù)所必需的安全法律法規(guī)，開(kāi)展所服務(wù)行業(yè)的安全標(biāo)準(zhǔn)評(píng)估，并且向租戶(hù)分享我們的合規(guī)實(shí)踐，保持應(yīng)有的透明度。華為云攜手云安全商業(yè)合作伙伴向租戶(hù)提供咨詢(xún)服務(wù)，例如協(xié)助租戶(hù)對(duì)虛擬網(wǎng)絡(luò)、虛擬機(jī)（包括虛擬主機(jī)和訪客虛擬機(jī)）安全補(bǔ)丁管理；對(duì)虛擬網(wǎng)絡(luò)防火墻、API網(wǎng)關(guān)（APIGWAPIGateway）和高DoS/DDoS全事件的應(yīng)急響應(yīng)及災(zāi)難恢復(fù)演練。租戶(hù)的安全責(zé)任華為云租戶(hù)的安全責(zé)任在于對(duì)使用的IaaS、PaaS和SaaS類(lèi)各項(xiàng)云服務(wù)內(nèi)部的安全以及對(duì)租戶(hù)定制配置進(jìn)行安全有效的管理，包括但不限于虛擬網(wǎng)絡(luò)、虛擬主機(jī)和訪客虛擬機(jī)的操作系統(tǒng)，虛擬防火墻、API網(wǎng)關(guān)和高級(jí)安全服務(wù)，各項(xiàng)云服務(wù)，租戶(hù)數(shù)據(jù)，以及身份賬號(hào)和密鑰管理等方面的安全配置。租戶(hù)的安全責(zé)任細(xì)節(jié)由最終所使用的云服務(wù)來(lái)決定，具體到租戶(hù)負(fù)責(zé)執(zhí)行什么作。（）其虛擬網(wǎng)絡(luò)的防火墻，網(wǎng)關(guān)和高級(jí)安全服務(wù)等的策略配（2）租戶(hù)的虛擬網(wǎng)絡(luò)、虛擬主機(jī)和訪客虛擬機(jī)和容器等云服務(wù)所必需的安全配置和管理任務(wù)（包括更新和安全補(bǔ)丁、容器安全管理（容器的安全配置、訪問(wèn)控制安全配置等、大數(shù)據(jù)分析等平臺(tái)服務(wù)的租戶(hù)配置；（3）其他各項(xiàng)租戶(hù)租用的云服務(wù)內(nèi)部的安全配置等；（4）其自行部署在華為云的任何應(yīng)用程序軟件或?qū)嵱贸绦蜻M(jìn)行安全管理。在配置云服務(wù)時(shí)，租戶(hù)負(fù)責(zé)各項(xiàng)安全配置，在部署到生產(chǎn)環(huán)境前應(yīng)做好充分測(cè)需配置賬戶(hù)對(duì)資源的訪問(wèn)控制并妥當(dāng)保管賬戶(hù)憑證。少數(shù)云服務(wù)需要執(zhí)行其他任務(wù)，才能達(dá)到應(yīng)有的安全性。各項(xiàng)監(jiān)控管理服務(wù)和高級(jí)安全服務(wù)具有較多安全配置選項(xiàng)，租戶(hù)可尋求華為云和其合作伙伴的技術(shù)支持，以確保安全性。使用apeduce服務(wù)（R）（1）管理其購(gòu)買(mǎi)的S大數(shù)據(jù)集群的彈性I（2）配置訪問(wèn)控制策略，如彈性IP綁（3）負(fù)責(zé)大數(shù)據(jù)集群的用戶(hù)管理、大數(shù)據(jù)組件的安全配置，并且妥當(dāng)保管相關(guān)的賬戶(hù)（）以及對(duì)其部署在大數(shù)據(jù)集群上的應(yīng)用進(jìn)行安全管理。使用數(shù)據(jù)庫(kù)服務(wù)時(shí)租戶(hù)應(yīng)負(fù)責(zé)：數(shù)據(jù)庫(kù)引擎的生命周期管理及數(shù)據(jù)庫(kù)安全管理，包括（1）（2）災(zāi)備及恢復(fù)策略、VPC及安全組配置、互聯(lián)網(wǎng)訪問(wèn)配置、訪問(wèn)通道加密配置、數(shù)據(jù)庫(kù)認(rèn)證和鑒權(quán)配置、數(shù)據(jù)庫(kù)審計(jì)配置以及其他安全配置。無(wú)論使用哪一項(xiàng)華為云服務(wù)，租戶(hù)始終是其數(shù)據(jù)的所有者和控制者。租戶(hù)負(fù)責(zé)和鑒權(quán)進(jìn)行有效保障。在使用統(tǒng)一身份認(rèn)證服務(wù)（IAM）和數(shù)據(jù)加密服務(wù)（DEW）時(shí)，租戶(hù)負(fù)責(zé)妥善保管其自行配置的服務(wù)登錄賬戶(hù)、密碼和密鑰，并負(fù)責(zé)執(zhí)行密碼密鑰設(shè)定、更新和重設(shè)規(guī)則的業(yè)界優(yōu)秀實(shí)踐。租戶(hù)負(fù)責(zé)設(shè)置個(gè)人賬戶(hù)(MFA)活動(dòng)日志記錄用于監(jiān)測(cè)和審計(jì)。租戶(hù)負(fù)責(zé)對(duì)其自行部署于華為云上、不屬于華為云提供的各項(xiàng)應(yīng)用和服務(wù)所必需的安全法律法規(guī)，并自行開(kāi)展所服務(wù)行業(yè)的安全標(biāo)準(zhǔn)評(píng)估。華為云提供安全基線配置指南（/cloudbu-site/china/zh-cnruener/heaper1714458024886507633.pdf，供租戶(hù)配置參考。 4安全合規(guī)與隱私保護(hù)安全合規(guī)與標(biāo)準(zhǔn)遵從16個(gè)主流全球安全標(biāo)準(zhǔn)為參考基礎(chǔ)，同時(shí)融合了三十年安全運(yùn)營(yíng)管理經(jīng)驗(yàn)和技術(shù)積累，打造了云原生安全治理框架——服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準(zhǔn)（CloudServiceCybersecurity&Complianceandard,簡(jiǎn)稱(chēng)“3C3C”體系的基礎(chǔ)理念是基于云服務(wù)各業(yè)務(wù)模塊的流程，劃分相對(duì)應(yīng)的安全控制領(lǐng)域，使安全控制要求得以嵌入到云服務(wù)管理流程中，同步確保安全管理責(zé)任清晰明確、可度量、可追溯?！?CS”體系幫助華為云充分利用了華為云全球合規(guī)治理經(jīng)驗(yàn)，大大提升了獲得法規(guī)及行業(yè)標(biāo)準(zhǔn)認(rèn)證的效率，從而實(shí)現(xiàn)全面高效的安全治理，持續(xù)提升云服務(wù)可信能力。圖4-13CS-云服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準(zhǔn)框架華為云充分發(fā)揮其基于“3CS”的強(qiáng)大合規(guī)治理能力，一如既往地確保其基礎(chǔ)設(shè)施和云服務(wù)通過(guò)業(yè)界權(quán)威的獨(dú)立第三方安全組織的測(cè)評(píng)及認(rèn)證，僅向客戶(hù)提供安全合規(guī)的基礎(chǔ)設(shè)施與云服務(wù)。截止目前，華為云共獲得了100+個(gè)國(guó)內(nèi)外權(quán)威安全合規(guī)認(rèn)證。這些安全測(cè)評(píng)和認(rèn)證向客戶(hù)展示了華為云在策略、流程、組織、技術(shù)等多方面的安全風(fēng)險(xiǎn)管控措施，使得客戶(hù)能夠深入了解華為云對(duì)保障云上業(yè)務(wù)與用戶(hù)數(shù)據(jù)安全方面的投入以及有效管控能力。以華為云通過(guò)的云安全聯(lián)盟CSA為例（CSA–CloudSecurityAlliance，A–ecury，rust&Auranceegry，該認(rèn)證在IOIEC27001的基礎(chǔ)上，增加了云安全控制矩陣（CCMCloudControlMatrix）和其他安全要求，涵蓋了風(fēng)16個(gè)控制領(lǐng)域。取得CSA標(biāo)志著華為云的運(yùn)營(yíng)安全管理和技術(shù)能力獲得了國(guó)際權(quán)威的認(rèn)可，其安全合規(guī)性已處于世界領(lǐng)先水平。華為云將基于安全責(zé)任共擔(dān)模型，持續(xù)主動(dòng)的構(gòu)建并提升包括物理環(huán)境、網(wǎng)絡(luò)、平臺(tái)等各層基礎(chǔ)設(shè)施與云服務(wù)的安全合規(guī)能力，全面保障用戶(hù)業(yè)務(wù)與數(shù)據(jù)的安全與合規(guī)。目前，華為云部分標(biāo)準(zhǔn)類(lèi)認(rèn)證/鑒證示例：? ISO27001:2022? ISO27017:2015? ISO27018:2019? TL9000&ISO9001? ISO20000-1:2018? ISO22301:2019CSA認(rèn)證? ISO27701:2019? BS10012:2017? ISO29151:2017DSS13DS? ISO27799:2016? ISO27034SOC審計(jì)報(bào)告關(guān)于更多華為云的安全合規(guī)信息以及獲取相關(guān)合規(guī)證書(shū)，可參見(jiàn)華為云官網(wǎng)“信任中心-合規(guī)中心”另外，華為云主動(dòng)識(shí)別并遵從業(yè)界優(yōu)秀安全實(shí)踐。例如，華為云參考互聯(lián)網(wǎng)安全中心（CIS–CenterofInternetSecurity）安全基線并將其融入華為云服務(wù)DevSecOps流程。CIS安全基線是一套用于網(wǎng)絡(luò)系統(tǒng)安全配置和操作的業(yè)界優(yōu)秀實(shí)踐，覆蓋技術(shù)（軟件、硬件、流程（系統(tǒng)和網(wǎng)絡(luò)管理、人員（最終用戶(hù)和管理行為云在安全合規(guī)與標(biāo)準(zhǔn)遵從上一如既往地與業(yè)界看齊。說(shuō)明PCIDSSPaymentCardIndustryDataSecurityStandard)即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。隱私保護(hù)實(shí)現(xiàn)隱私保護(hù)。華為云建立完善、規(guī)范和統(tǒng)一隱私保護(hù)體系確保云平臺(tái)的隱私保護(hù)得以實(shí)現(xiàn)，并幫助客戶(hù)實(shí)施隱私保護(hù)。華為云制定隱私保護(hù)七大原則（合法、正當(dāng)、透明，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，存儲(chǔ)期限最小化，完整性與保密性，可歸責(zé)，同時(shí)采用業(yè)界認(rèn)PbD1（PrivacybyDesign）作為指導(dǎo)，結(jié)合華為云實(shí)際情況形成華為云隱私保護(hù)理念。隱私保護(hù)理念廣泛應(yīng)用在華為云的組織和人員管理、云平臺(tái)個(gè)人數(shù)PIA2（PrivacyImpactAssessment）識(shí)別隱私風(fēng)險(xiǎn)并采取恰當(dāng)?shù)姆绞较蚪档惋L(fēng)險(xiǎn)。華為云尊重用戶(hù)的隱私權(quán)利，在官網(wǎng)明顯處提供清晰的《隱私政策聲明》以及客戶(hù)反饋通道，幫助客戶(hù)了解華為云隱私保護(hù)的信息。華為云研究團(tuán)隊(duì)同時(shí)致力研發(fā)各類(lèi)隱私增強(qiáng)技術(shù)（PET–PrivacyEnhancingechnoogy，積累隱私保護(hù)工程技術(shù)能力，以滿足客戶(hù)不同需要實(shí)施隱私保護(hù)。華為PET，包括等價(jià)類(lèi)匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支付以及隱私保存計(jì)算等。更多關(guān)于華為云隱私保護(hù)的政策和表述，可以查閱《華為云隱私保護(hù)白皮書(shū)》和華為云的官方網(wǎng)站。說(shuō)明最早作為針對(duì)產(chǎn)品研發(fā)周期隱私保護(hù)的方法。經(jīng)過(guò)近幾年的發(fā)展，逐漸演變成隱私保護(hù)的管理理念。PbD中，幫助組織在隱私保護(hù)中取得主動(dòng)地位。隱私影響評(píng)估作為業(yè)界通用的隱私評(píng)估與設(shè)計(jì)工具被廣泛使用和認(rèn)可。PIA組織識(shí)別并減少業(yè)務(wù)的隱私風(fēng)險(xiǎn)，識(shí)別和最小化潛在隱私風(fēng)險(xiǎn)的過(guò)程 5安全組織和人員安全組織華為把網(wǎng)絡(luò)安全作為公司重要戰(zhàn)略之一，通過(guò)自上而下的治理結(jié)構(gòu)來(lái)實(shí)現(xiàn)。在組織方面，GSPC作為最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。GSPO及其辦公室負(fù)責(zé)制定和執(zhí)行華為端到端網(wǎng)絡(luò)安全保障體系。GSPO直接向公司CEO匯報(bào)。秉承華為網(wǎng)絡(luò)安全戰(zhàn)略和規(guī)范，華為云安全團(tuán)隊(duì)對(duì)本領(lǐng)域安全工作進(jìn)行自主規(guī)劃和管理。全面實(shí)現(xiàn)云服務(wù)業(yè)務(wù)和云安全業(yè)務(wù)的研發(fā)運(yùn)維運(yùn)營(yíng)組織合一，組織結(jié)構(gòu)趨于扁平化，以便適應(yīng)云服務(wù)必需的DevOps/DevSecOps流程。扁平化的組織結(jié)構(gòu)和適應(yīng)云服務(wù)的流程一方面滿足云服務(wù)快速持續(xù)集成、交付與部署的進(jìn)度要求，另一方面保證云服務(wù)達(dá)到必需的安全質(zhì)量標(biāo)準(zhǔn)，有效控制安全風(fēng)險(xiǎn)。依托云服務(wù)安全工程能力、云安全服務(wù)與解決方案的設(shè)計(jì)和開(kāi)發(fā)、云服務(wù)安全運(yùn)維運(yùn)營(yíng)等職能，構(gòu)建華為云服務(wù)的安全合規(guī)遵從和安全運(yùn)維運(yùn)營(yíng)能力，切實(shí)保障華為云租戶(hù)利益?；谠瓢踩珜?duì)華為云的特殊重要性，云安全團(tuán)隊(duì)直接向華為云總裁匯報(bào)。安全與隱私保護(hù)人員安全團(tuán)隊(duì)的主要職責(zé)如下：DevOps/DevSecOps流程和云安全審計(jì)流程，開(kāi)發(fā)推廣全流程安全工具鏈；控、排查并解決安全威脅；IT據(jù)和知識(shí)產(chǎn)權(quán)的安全管控和隱私保護(hù)；IaaS、PaaSSaaS各類(lèi)各項(xiàng)服務(wù)的安全功能和整體云安全解決方案；服務(wù)的隱私保護(hù)優(yōu)秀實(shí)踐，推動(dòng)發(fā)布符合隱私保護(hù)標(biāo)準(zhǔn)的云技術(shù)、云服務(wù)；制定和發(fā)展可持續(xù)云安全技術(shù)及業(yè)務(wù)生態(tài)。內(nèi)部審計(jì)人員華為內(nèi)部審計(jì)團(tuán)隊(duì)直接向董事會(huì)和公司高層管理者匯報(bào)，嚴(yán)格的審計(jì)活動(dòng)在推動(dòng)網(wǎng)絡(luò)安全流程和標(biāo)準(zhǔn)落地，保障結(jié)果交付上起著關(guān)鍵的作用。10+12個(gè)安全運(yùn)維和安全運(yùn)營(yíng)上的風(fēng)險(xiǎn)。審計(jì)結(jié)果向董事會(huì)和公司高層管理者匯報(bào)，保證發(fā)現(xiàn)的問(wèn)題得到解決并最終閉環(huán)。人力資源管理華為云安全的人力資源管理框架和公司的整體人力資源管理框架一致，都是建立在法律基礎(chǔ)之上。云安全對(duì)HR的訴求主要是保證我們的員工背景和資歷適合華為云業(yè)務(wù)的需要。員工行為符合所有法律、政策、流程以及華為商業(yè)行為準(zhǔn)則的要求。員工有履行其職責(zé)必備的知識(shí)、技能和經(jīng)驗(yàn)。整體模型如下：（此模型較為簡(jiǎn)明，故不贅述）圖5-1華為云安全融入人力資源流程安全意識(shí)教育從意識(shí)教育普及、宣傳活動(dòng)開(kāi)展、BCG及承諾書(shū)簽署三個(gè)方面開(kāi)展安全意識(shí)教育：意識(shí)教育普及：定期開(kāi)展網(wǎng)絡(luò)安全意識(shí)教育學(xué)習(xí)，要求員工持續(xù)學(xué)習(xí)網(wǎng)絡(luò)安全識(shí)到即使主觀上沒(méi)有惡意，也要對(duì)自己的行為負(fù)責(zé)，并承諾按要求執(zhí)行；宣傳活動(dòng)開(kāi)展：面向全員開(kāi)展形式多樣的網(wǎng)絡(luò)安全宣傳活動(dòng)，包括網(wǎng)絡(luò)安全社運(yùn)營(yíng)、網(wǎng)絡(luò)安全典型案例宣傳、網(wǎng)絡(luò)安全活動(dòng)周、網(wǎng)絡(luò)安全動(dòng)畫(huà)宣傳片等；BCG及承諾書(shū)簽署（BCG–unesConductGude，通過(guò)公司統(tǒng)一開(kāi)展的年度例行G學(xué)習(xí)、考試和簽署活動(dòng)來(lái)傳遞公司對(duì)全員在網(wǎng)絡(luò)安全領(lǐng)域的要求，提高員工網(wǎng)絡(luò)安全意識(shí)。簽署網(wǎng)絡(luò)安全承諾書(shū)，承諾遵守公司各項(xiàng)網(wǎng)絡(luò)安全政策和制度要求。網(wǎng)絡(luò)安全能力提升等環(huán)節(jié)納入多種形式的安全技能培訓(xùn)，提升員工安全技能，確保員工有能力向客戶(hù)交付安全、合規(guī)的產(chǎn)品、解決方案與服務(wù)。網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)：華為根據(jù)不同角色、崗位制定相應(yīng)的安全基礎(chǔ)能力培訓(xùn)計(jì)必須的培訓(xùn)和研討。精準(zhǔn)培訓(xùn)：通過(guò)大數(shù)據(jù)分析識(shí)別產(chǎn)品研發(fā)過(guò)程中的典型安全問(wèn)題和問(wèn)題關(guān)聯(lián)責(zé)任人，并向其精準(zhǔn)推送安全典型培訓(xùn)方案（包括案例、培訓(xùn)課程、練習(xí)題等改進(jìn)安全質(zhì)量。實(shí)戰(zhàn)演練：引進(jìn)業(yè)界優(yōu)秀實(shí)踐，開(kāi)發(fā)網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練平臺(tái)，開(kāi)展紅藍(lán)對(duì)抗，力。安全能力任職牽引：為了讓員工更加自覺(jué)、有效地進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)，華為將絡(luò)安全要求融入到任職資格標(biāo)準(zhǔn)中。員工在任職晉升過(guò)程中需要學(xué)習(xí)相應(yīng)的網(wǎng)絡(luò)安全課程，通過(guò)相應(yīng)的網(wǎng)絡(luò)安全技能考試，提升自身網(wǎng)絡(luò)安全能力。重點(diǎn)崗位管理為了內(nèi)部有序管理，消減人員管理風(fēng)險(xiǎn)對(duì)業(yè)務(wù)連續(xù)性和安全性帶來(lái)的潛在影響，華為云對(duì)運(yùn)維工程師等重點(diǎn)崗位實(shí)施專(zhuān)項(xiàng)管理。具體如下：上崗安全審查：針對(duì)新上崗人員，開(kāi)展上崗人員安全審查，確保上崗人員背景資歷符合云安全業(yè)務(wù)要求。在崗安全培訓(xùn)賦能：圍繞網(wǎng)絡(luò)安全意識(shí)、客戶(hù)網(wǎng)絡(luò)服務(wù)的業(yè)務(wù)規(guī)范、用戶(hù)數(shù)據(jù)隱私保護(hù)要求進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)和考試，并根據(jù)業(yè)務(wù)變化定期刷新學(xué)習(xí)和考試大綱。上崗資格管理：重點(diǎn)崗位員工必須通過(guò)網(wǎng)絡(luò)安全上崗證的考試，并取得證書(shū)。書(shū)，證書(shū)到期前提醒員工重新參加考試。離崗安全審查：按照調(diào)動(dòng)、離職安全審查清單，對(duì)內(nèi)部調(diào)離、離職人員進(jìn)行離安全審查，包括離崗權(quán)限賬號(hào)的清理或修改等。安全違規(guī)問(wèn)責(zé)任。違規(guī)事件處理根據(jù)違規(guī)個(gè)人態(tài)度與調(diào)查配合情況予以加重或減輕處理。 6基礎(chǔ)設(shè)施安全物理與環(huán)境安全華為云已制定并實(shí)施完善的物理和環(huán)境安全防護(hù)策略、規(guī)程和措施，滿足GB50174《電子信息機(jī)房設(shè)計(jì)規(guī)范》A類(lèi)和TIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+標(biāo)準(zhǔn)。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計(jì)施工和運(yùn)營(yíng)時(shí)，合理劃分了機(jī)房物理區(qū)域，合理布置了信息系統(tǒng)的組件，以防范物理和環(huán)境潛在危險(xiǎn)（如火災(zāi)、電磁泄露等）和非授權(quán)訪問(wèn)，而且提供了足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量，以滿足基礎(chǔ)設(shè)施快速擴(kuò)容的需求。同時(shí)，華為云運(yùn)維運(yùn)營(yíng)團(tuán)隊(duì)嚴(yán)格執(zhí)行訪問(wèn)控制、安保措施、例行監(jiān)控審計(jì)、應(yīng)急響應(yīng)等措施，以確保華為云數(shù)據(jù)中心的物理和環(huán)境安全。物理安全機(jī)房選址：華為云數(shù)據(jù)中心機(jī)房選址一定程度上決定面臨的自然災(zāi)害以及可能環(huán)境威脅。華為云數(shù)據(jù)中心選址一律避開(kāi)自然災(zāi)害不利或危險(xiǎn)的地區(qū)，減少周邊400選址上保證了數(shù)據(jù)中心正常運(yùn)營(yíng)需要的配套資源，如市電、水、通信線路等。訪問(wèn)控制：華為云數(shù)據(jù)中心嚴(yán)格管理人員及設(shè)備進(jìn)出，在數(shù)據(jù)中心園區(qū)及建筑的門(mén)口設(shè)置了全天候（2477*24小時(shí)）記盤(pán)查，限制并監(jiān)控來(lái)訪人員授權(quán)活動(dòng)范圍。門(mén)禁控制系統(tǒng)在不同的區(qū)域采取不同安全策略的門(mén)禁控制系統(tǒng)，嚴(yán)格審核人員出入權(quán)限。數(shù)據(jù)中心的重要配件，由倉(cāng)儲(chǔ)系統(tǒng)中的專(zhuān)門(mén)電子加密保險(xiǎn)箱存放，且由專(zhuān)人進(jìn)行保險(xiǎn)箱的開(kāi)關(guān)；數(shù)據(jù)中心的任何配件，都必須提供授權(quán)工單方能領(lǐng)取，且領(lǐng)取時(shí)須在倉(cāng)儲(chǔ)管理系統(tǒng)中登可訪問(wèn)數(shù)據(jù)中心。安保措施：華為云數(shù)據(jù)中心采用當(dāng)前通用的機(jī)房安保技術(shù)監(jiān)測(cè)，并消除物理隱7*24并與紅外感應(yīng)、門(mén)禁等聯(lián)動(dòng)。保安人員對(duì)數(shù)據(jù)中心定時(shí)巡查，并設(shè)置在線巡更系統(tǒng)。對(duì)非法闖入和其他安保事件及時(shí)進(jìn)行聲光報(bào)警。環(huán)境安全電力保障7*24常電力供應(yīng)采用來(lái)自不同變電站的雙路市電供電。配備柴油發(fā)電機(jī)，在市電斷電時(shí)可啟動(dòng)柴油機(jī)供電，以備不時(shí)之需。并配備了不間斷電源（UPS–Unnerrupedoweruppy，提供短期備用電力供應(yīng)。在機(jī)房供電線路上配置了穩(wěn)壓器和過(guò)壓防護(hù)設(shè)備。在供電設(shè)備及線路上還設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。溫濕度控制：通過(guò)精密空調(diào)、集中加濕器自動(dòng)調(diào)節(jié)，華為云數(shù)據(jù)中心機(jī)房溫濕道密閉，以防止局部熱點(diǎn)。消防能力A料，滿足國(guó)家消防規(guī)范。采用了阻燃、耐火電纜，在管內(nèi)或線槽鋪設(shè)，并設(shè)置了漏電檢測(cè)裝置。部署了自動(dòng)報(bào)警和自動(dòng)滅火系統(tǒng)，能夠迅速準(zhǔn)確發(fā)現(xiàn)并通報(bào)火也能開(kāi)啟自動(dòng)滅火系統(tǒng)，得以控制火情。例行監(jiān)控制度得到例行監(jiān)控，安全隱患能被及時(shí)發(fā)現(xiàn)并修復(fù)，確保設(shè)備穩(wěn)定運(yùn)行。供水排水倒灌風(fēng)險(xiǎn)。建筑滿足防水一級(jí)標(biāo)準(zhǔn)，保證了雨水不能通過(guò)屋頂、墻壁向機(jī)房滲透。數(shù)據(jù)中心也配備了及時(shí)排水的設(shè)施，供水災(zāi)時(shí)使用。防靜電：華為云數(shù)據(jù)中心機(jī)房鋪設(shè)了防靜電地板，導(dǎo)線連接地板支架與接地網(wǎng)器，導(dǎo)走電流。網(wǎng)絡(luò)安全華為云數(shù)據(jù)中心節(jié)點(diǎn)眾多、功能區(qū)域復(fù)雜。為了簡(jiǎn)化網(wǎng)絡(luò)安全設(shè)計(jì)，阻止網(wǎng)絡(luò)攻擊在華為云中的擴(kuò)散，最小化攻擊影響，華為云參考ITUE.408安全區(qū)域的劃分原則并結(jié)合業(yè)界網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐，對(duì)華為云網(wǎng)絡(luò)進(jìn)行安全區(qū)域、業(yè)務(wù)層面的劃分和隔離。安全區(qū)域內(nèi)部的節(jié)點(diǎn)具有相同的安全等級(jí)。華為云從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、設(shè)備選型配置到運(yùn)行維護(hù)諸方面綜合考慮，對(duì)承載網(wǎng)絡(luò)采用各種針對(duì)物理和虛擬網(wǎng)絡(luò)的多層安全隔離，接入控制和邊界防護(hù)技術(shù)，同時(shí)嚴(yán)格執(zhí)行相應(yīng)的管控措施，確保華為云安全。安全區(qū)域劃分與隔離圖6-1華為云平臺(tái)安全域劃分及網(wǎng)絡(luò)邊界保護(hù)華為云根據(jù)業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將數(shù)據(jù)中心劃分為多個(gè)安全區(qū)域，實(shí)現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對(duì)入侵和內(nèi)鬼的分區(qū)自我保護(hù)和容錯(cuò)恢復(fù)能力1。在這里介紹以下五個(gè)重要安全區(qū)域：DMZ區(qū)DMZ器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺(tái)、APIDMZDMZ單獨(dú)隔離，防止外部請(qǐng)求接觸云服務(wù)后DDoS部署了應(yīng)用防火墻及入侵檢測(cè)與攔截設(shè)備（IDS/IPS）以保護(hù)基礎(chǔ)網(wǎng)路、平臺(tái)及應(yīng)用。公共服務(wù)區(qū)（Pcervce：該區(qū)域主要部署IaaaaaaSOpenStack、IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件如DNS、NTP、補(bǔ)丁服務(wù)等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務(wù)需要受限開(kāi)放給租戶(hù)，且租DMZ區(qū)域進(jìn)行操作和管理。資源交付區(qū)（PD–PotofDever：此區(qū)域提供租戶(hù)所需的基礎(chǔ)設(shè)施資聯(lián)網(wǎng)的租戶(hù)流量做DDoS防護(hù)及入侵檢測(cè)與防御，保障租戶(hù)業(yè)務(wù)。數(shù)據(jù)存儲(chǔ)區(qū)（S–ject-aedtorage：此區(qū)域部署對(duì)象存儲(chǔ)系統(tǒng)，提供對(duì)象存儲(chǔ)服務(wù)，存儲(chǔ)租戶(hù)隱私數(shù)據(jù)，所以進(jìn)行了分區(qū)隔離。在該區(qū)域邊界由租戶(hù)在華為云提供的安全組件上配置執(zhí)行租戶(hù)所需的訪問(wèn)控制規(guī)則，在任意租戶(hù)空間DMZ過(guò)DMZ的服務(wù)控制臺(tái)或網(wǎng)關(guān)才能訪問(wèn)該區(qū)。運(yùn)維管理區(qū)（M–eratosMaagemet：該區(qū)域主要部署操作運(yùn)維部件，華為云運(yùn)維人員必須先通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)（VPNVirtualPrivateNetwork）運(yùn)維接口。此區(qū)域不向其他區(qū)域開(kāi)放接口。除了上述網(wǎng)絡(luò)分區(qū)，同時(shí)也對(duì)不同區(qū)域的安全級(jí)別進(jìn)行了劃分，根據(jù)不同的業(yè)務(wù)功能，確定不同的攻擊面以及不同的安全風(fēng)險(xiǎn)，比如說(shuō)直接暴露在互聯(lián)網(wǎng)的區(qū)域，安全風(fēng)險(xiǎn)最高，而與互聯(lián)網(wǎng)幾乎沒(méi)有交互并且不向其他區(qū)域開(kāi)放接口的OM區(qū)，攻擊面最小，安全風(fēng)險(xiǎn)相對(duì)容易控制。說(shuō)明1.華為云數(shù)據(jù)中心不同傳統(tǒng)IT數(shù)據(jù)中心，因此在實(shí)現(xiàn)區(qū)域隔離上與傳統(tǒng)手段不盡相同，不再是簡(jiǎn)單地使用防火墻實(shí)現(xiàn)，也會(huì)運(yùn)用革新技術(shù)，如軟件定義邊界（SDPSoftwareDefinedPerimeter）。并且，不止定義網(wǎng)絡(luò)層區(qū)域邊界，采用多層邊界劃分與隔離協(xié)防，從網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層一直到用戶(hù)身份層，都有信任邊界和相應(yīng)的訪問(wèn)控制。這里介紹的網(wǎng)絡(luò)層安全區(qū)域只是多維全棧防護(hù)體系的一部分。業(yè)務(wù)平面劃分與隔離為保證租戶(hù)業(yè)務(wù)不影響管理操作，確保設(shè)備、資源和流量不會(huì)脫離有效監(jiān)管，華為云將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務(wù)職能、不同安全風(fēng)險(xiǎn)等級(jí)和不同權(quán)限需要?jiǎng)澐譃樽鈶?hù)數(shù)據(jù)平面、業(yè)務(wù)控制平面、平臺(tái)運(yùn)維平面、BMC（BaseboardManagementController）管理平面、數(shù)據(jù)存儲(chǔ)平面等，以保證關(guān)乎不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流，便于實(shí)現(xiàn)職責(zé)分離。租戶(hù)數(shù)據(jù)平面供業(yè)務(wù)應(yīng)用。業(yè)務(wù)控制平面API的安全交互。平臺(tái)運(yùn)維平面：實(shí)現(xiàn)基礎(chǔ)設(shè)施和平臺(tái)（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)）理。BMC管理平面護(hù)。數(shù)據(jù)存儲(chǔ)平面POD區(qū)內(nèi)計(jì)算節(jié)點(diǎn)與存儲(chǔ)節(jié)點(diǎn)間的數(shù)據(jù)安全傳輸與存儲(chǔ)。在每個(gè)安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，如POD區(qū)有租戶(hù)數(shù)據(jù)平面、平臺(tái)運(yùn)維平面、業(yè)務(wù)控制平面、BMC管理平面，而運(yùn)維區(qū)只有平臺(tái)運(yùn)維平面和BMC管理平面。安全區(qū)域與業(yè)務(wù)平面并用形成更多層面的、既有物理又有邏輯控制的多維度隔離，而這還只是華為云全棧防護(hù)的一部分。高級(jí)邊界防護(hù)華為云高效的多維全棧防護(hù)體系也包括多種邊界防護(hù)措施，這不僅僅有上述主要通過(guò)傳統(tǒng)網(wǎng)絡(luò)技術(shù)和防火墻實(shí)現(xiàn)的安全區(qū)域和業(yè)務(wù)平面的劃分與隔離，還包括了得益于華為自研的各項(xiàng)高級(jí)邊界防護(hù)功能。華為云已將各項(xiàng)高級(jí)防護(hù)功能按需適配到華為云外網(wǎng)邊界和內(nèi)網(wǎng)的區(qū)域間的信任邊界。對(duì)華為自研的幾項(xiàng)主要高級(jí)邊界防護(hù)功能1，簡(jiǎn)介如下：DDoS異常和超大流量清洗Anti-DDoS設(shè)備來(lái)完成對(duì)異常和超大流量攻擊的檢測(cè)及清洗。Anti-DDoS設(shè)備還可以為租戶(hù)提供精細(xì)化的DDoS防護(hù)服務(wù)，租戶(hù)可以根據(jù)業(yè)務(wù)的應(yīng)用類(lèi)型，配置流量閾值參數(shù)，并查看攻擊和防御狀態(tài)。網(wǎng)絡(luò)入侵檢測(cè)與攔截（IDS/IPS–IntrusionDetectionSystem/Intrusionrevenonysem：為了感知來(lái)自互聯(lián)網(wǎng)以及租戶(hù)虛擬網(wǎng)絡(luò)之間東西向的攻擊，IPS設(shè)備，包括但不限于外網(wǎng)邊界、安全區(qū)域邊界和租戶(hù)空間邊界等。IPS具備網(wǎng)絡(luò)實(shí)時(shí)流量分析和阻斷能力，能防護(hù)異常協(xié)議攻擊、暴力攻擊、端口/漏洞掃描、病毒/各種入侵行為?；诰W(wǎng)絡(luò)流量，IPS可以提供信息幫助定位和調(diào)查網(wǎng)絡(luò)異常，分配定向流量的限制策略，并采用相應(yīng)的自定義檢測(cè)規(guī)則，保障生產(chǎn)環(huán)境內(nèi)的應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全。Web安全防護(hù)層的DDoS攻擊、QL注入、跨站腳本攻擊（XSS-ro-ecrpng、跨站請(qǐng)求偽造（SF–ro-ieequetogery、組件漏洞攻擊、身份偽造等，以保護(hù)部署在DMZ區(qū)、面向外網(wǎng)的應(yīng)用服務(wù)和系統(tǒng)。說(shuō)明1.77.1.1彈性云服務(wù)器（ECS）6.2.1虛擬私有云服務(wù)（VPC）中有具體介紹，在此不做贅述。平臺(tái)安全作為華為云平臺(tái)操作系統(tǒng)，華為統(tǒng)一虛擬化平臺(tái)（UVP-UnifiedVirtualizationPlatform）通過(guò)對(duì)服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動(dòng)態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個(gè)物理服務(wù)器上構(gòu)建多個(gè)同時(shí)運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境。在中國(guó)可信云認(rèn)證中，華為云平臺(tái)的云主機(jī)獲得最高級(jí)的五星+認(rèn)證。為保證平臺(tái)安全，華為云對(duì)主機(jī)操作系統(tǒng)進(jìn)行最小化裁剪并對(duì)服務(wù)做安全加固。同時(shí)，對(duì)接入主機(jī)操作系統(tǒng)的華為云管理員執(zhí)行嚴(yán)格的權(quán)限訪問(wèn)控制(PAM–PrivilegeAccessManagement)，對(duì)其所執(zhí)行的各項(xiàng)運(yùn)維運(yùn)營(yíng)操作實(shí)行全面的日志審計(jì)。華為云管理員必須經(jīng)過(guò)雙因子認(rèn)證后，才能通過(guò)堡壘機(jī)接入管理平面，所有操作都會(huì)記錄日志并及時(shí)傳送到集中日志審計(jì)系統(tǒng)。UVP直接運(yùn)行于物理服務(wù)器之上，提供虛擬化能力，為虛擬機(jī)提供運(yùn)行環(huán)境。UVP通過(guò)CPU隔離、內(nèi)存隔離和I/O隔離等技術(shù)手段實(shí)現(xiàn)虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)之間的隔離，并通過(guò)Hypervisor讓虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)使用不同的權(quán)限運(yùn)行，來(lái)保證平臺(tái)系統(tǒng)資源的安全。以下分別從CPU、內(nèi)存和I/O隔離三個(gè)方面介紹UVP的資源安全隔離實(shí)現(xiàn)機(jī)制。CPU隔離CPU隔離主要是指虛擬化平臺(tái)與虛擬機(jī)之間的隔離，虛擬機(jī)內(nèi)部的權(quán)限分配和虛擬機(jī)與虛擬機(jī)之間的隔離。CPU隔離是通過(guò)Root和Non-Root兩種運(yùn)行模式的切換、各運(yùn)行模式下的運(yùn)行權(quán)限分配以及以VCPU（VirtualCPU）的形式呈現(xiàn)的虛擬計(jì)算資源的分配與切換等方式來(lái)實(shí)現(xiàn)的。通過(guò)CPU隔離機(jī)制，UVP可以控制虛擬機(jī)對(duì)物理擬化平臺(tái)的信息和資源。內(nèi)存隔離虛擬化平臺(tái)還負(fù)責(zé)為虛擬機(jī)提供內(nèi)存資源，保證每個(gè)虛擬機(jī)只能訪問(wèn)到其自身的內(nèi)存。為實(shí)現(xiàn)這個(gè)目標(biāo)，虛擬化平臺(tái)管理虛擬機(jī)內(nèi)存與真實(shí)物理內(nèi)存之間的映射關(guān)系。保證虛擬機(jī)內(nèi)存與物理內(nèi)存之間形成一一映射關(guān)系。虛擬機(jī)對(duì)內(nèi)存的訪問(wèn)都會(huì)經(jīng)過(guò)虛其他虛擬機(jī)或虛擬化平臺(tái)自身使用的內(nèi)存。I/O隔離虛擬化平臺(tái)還給虛擬機(jī)提供了虛擬I/O設(shè)備，包括磁盤(pán)、網(wǎng)卡、鼠標(biāo)、鍵盤(pán)等。虛擬化平臺(tái)為每個(gè)虛擬機(jī)提供獨(dú)立的設(shè)備，避免多個(gè)虛擬機(jī)共享設(shè)備造成的信息泄露。I/OI/O設(shè)備，實(shí)現(xiàn)I/O路徑的隔離。API應(yīng)用安全API進(jìn)行配置管理，對(duì)接企業(yè)已有的IT管理和審計(jì)系A(chǔ)PIHTTP應(yīng)用層面臨的安全威脅，業(yè)APIAPIAPI網(wǎng)關(guān)實(shí)現(xiàn)的。API網(wǎng)關(guān)支持以下機(jī)制API得到有效保護(hù)：身份認(rèn)證及鑒權(quán)APIIAM證，確保只有經(jīng)過(guò)身份驗(yàn)證的用戶(hù)才能訪問(wèn)和管理云監(jiān)控信息，且傳輸通道通過(guò)TLS加密。租戶(hù)通過(guò)API命令接口來(lái)管理虛擬機(jī)，API命令的權(quán)限管理直接關(guān)系到虛擬機(jī)的安全性。華為云API網(wǎng)關(guān)對(duì)用戶(hù)命令支持二級(jí)權(quán)限管理。用戶(hù)發(fā)出命令時(shí)，不僅需要通過(guò)IAM的身份登錄和鑒權(quán)，而且命令也需要經(jīng)過(guò)API網(wǎng)關(guān)的檢查鑒權(quán)。用戶(hù)有權(quán)限執(zhí)行該命令時(shí)，命令才可以通過(guò)API網(wǎng)關(guān)并下發(fā)到平臺(tái)層或應(yīng)用層執(zhí)行。平臺(tái)層或應(yīng)用層接到命令后，會(huì)再次對(duì)用戶(hù)的權(quán)限進(jìn)行檢查判斷，只有用戶(hù)確實(shí)擁有當(dāng)前API命令的執(zhí)行權(quán)限，命令才允許執(zhí)行。所有的訪問(wèn)請(qǐng)求可以通過(guò)兩種方式認(rèn)證：令牌(token)認(rèn)證tokentoken由租戶(hù)通過(guò)使用IAM注冊(cè)的用戶(hù)名及密碼調(diào)用IAM接口獲取。訪問(wèn)密鑰ID/訪問(wèn)密鑰（AK/SKAccessKeyID/SecretAccessKey）認(rèn)證AK/SK的鑒權(quán)信息，APIAK/SK鑒權(quán)機(jī)制要AK/SKAPI網(wǎng)關(guān)發(fā)布的官方SDK進(jìn)行簽API網(wǎng)關(guān)，API證校驗(yàn)。傳輸保護(hù)：APITLSAPI網(wǎng)關(guān)所有APITLS1.2版本加密協(xié)議，并且支持PFS（PerfectForwardSecrecy）安全特性。邊界防護(hù)：APIAnti-DDoS、入侵防御系統(tǒng)（IPS）應(yīng)用防火墻（WAF）等多層高級(jí)邊界防護(hù)機(jī)制針對(duì)不同的威脅和攻擊進(jìn)行有效防范。通過(guò)負(fù)載均衡器對(duì)TLS加密傳輸進(jìn)行解密，多層高級(jí)邊界防護(hù)機(jī)制可對(duì)API網(wǎng)關(guān)流量明文進(jìn)行監(jiān)控，對(duì)攻擊執(zhí)行阻斷。在高級(jí)邊界防護(hù)的基礎(chǔ)上，API網(wǎng)關(guān)作為云服務(wù)特有的安全邊界還提供以下多種防護(hù)措施：API注冊(cè)APIAPI接口，才能被租戶(hù)訪問(wèn)。ACL規(guī)則限制可根據(jù)訪問(wèn)控制列表（ACLAccessControlList）配置信息，API網(wǎng)關(guān)能APIAPI從特定網(wǎng)段訪問(wèn)。防重放攻擊API擊。防暴力破解AK/SK請(qǐng)求時(shí)，API網(wǎng)關(guān)的防暴力破解機(jī)制一旦API限時(shí)鎖定。API流量控制：APIAPI的頻率的適當(dāng)流量控制，確保基API的訪問(wèn)的高可用性和連續(xù)性。APIAPIAPIAPI網(wǎng)關(guān)需要配置對(duì)應(yīng)的流控信息，在單位APIAPI次數(shù)的配額、每個(gè)華為云租API次數(shù)的配額分別進(jìn)行流控。數(shù)據(jù)安全等方面的全面保護(hù)。華為云高度重視用戶(hù)的數(shù)據(jù)信息資產(chǎn)，把數(shù)據(jù)保護(hù)作為華為云安全策略的核心。華為云將繼續(xù)遵循數(shù)據(jù)安全生命周期管理的業(yè)界先進(jìn)標(biāo)準(zhǔn)，在身份認(rèn)證、權(quán)限管理、訪問(wèn)控制、數(shù)據(jù)隔離、傳輸安全、存儲(chǔ)安全、數(shù)據(jù)刪除、物理銷(xiāo)毀等方面，采用優(yōu)秀技術(shù)、實(shí)踐和流程，為用戶(hù)提供最切實(shí)有效的數(shù)據(jù)保護(hù)能力，保證租戶(hù)對(duì)其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯。訪問(wèn)隔離身份認(rèn)證和訪問(wèn)控制：華為云的訪問(wèn)控制能力是通過(guò)統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccessManagement）提供的。IAM是面向企業(yè)租戶(hù)的安全管理服務(wù)，通過(guò)IAM，租戶(hù)可以集中管理用戶(hù)、安全憑證（例如訪問(wèn)密鑰，以及控制用戶(hù)管理權(quán)限和用戶(hù)可訪問(wèn)的云資源權(quán)限。IAMIAM可以避免與其他用戶(hù)共享賬號(hào)密鑰，按需為用戶(hù)分配最小權(quán)限，也可以通過(guò)設(shè)置登錄驗(yàn)證策略、密碼策略、訪問(wèn)控制列表來(lái)確保用戶(hù)賬戶(hù)的安全，從而降低租戶(hù)的企業(yè)信息安全風(fēng)險(xiǎn)。數(shù)據(jù)隔離：華為云對(duì)云端數(shù)據(jù)的隔離是通過(guò)虛擬私有云（VPCVirtualPrivateCloud）實(shí)施的，VPC

離，租戶(hù)可以完全掌控自己的虛擬網(wǎng)絡(luò)構(gòu)建與配置：一方面，結(jié)合VPN或云專(zhuān)線，將VPC與租戶(hù)內(nèi)網(wǎng)的傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實(shí)現(xiàn)租戶(hù)應(yīng)用和數(shù)據(jù)從租戶(hù)內(nèi)網(wǎng)向云上的平滑遷移；另一方面，利用VPC的ACL、安全組功能，按需配置安全與訪問(wèn)規(guī)則，滿足租戶(hù)更細(xì)粒度的網(wǎng)絡(luò)隔離需要。對(duì)于華為云平臺(tái)客戶(hù)端到服務(wù)端、服務(wù)端之間的數(shù)據(jù)通過(guò)公共信息通道進(jìn)行傳輸?shù)膱?chǎng)景，傳輸中數(shù)據(jù)的保護(hù)通過(guò)如下方式提供：虛擬專(zhuān)用網(wǎng)絡(luò)（VPN：VN用于在遠(yuǎn)端網(wǎng)絡(luò)和VCVPNVPC之間建立通信隧服務(wù)器來(lái)增加網(wǎng)絡(luò)的計(jì)算容量，實(shí)現(xiàn)了企業(yè)的混合云架構(gòu)的同時(shí)，也降低了企業(yè)核心數(shù)據(jù)非法擴(kuò)散的風(fēng)險(xiǎn)。目前，華為云采用硬件實(shí)現(xiàn)的IKE（密鑰交換協(xié)議）和IPSecVPN結(jié)合的方法對(duì)數(shù)據(jù)傳輸通道進(jìn)行加密，確保傳輸安全。應(yīng)用層TLS與證書(shū)管理RESTHighway方式進(jìn)行數(shù)據(jù)傳輸：RESTRESTful的形式向外發(fā)布，調(diào)用端直接使用HTTP客戶(hù)端，通過(guò)標(biāo)準(zhǔn)RESTfulAPI進(jìn)行調(diào)用，實(shí)現(xiàn)數(shù)據(jù)傳輸；Highway通道是高性能私有協(xié)議通道，在有特殊性能需求場(chǎng)景時(shí)可選用。上述兩種數(shù)據(jù)傳輸方式均支持使用傳輸層安全協(xié)議（TLSTransportLayerSecurity）1.2版本進(jìn)行加密傳輸，同時(shí)也支持基于X.509證書(shū)的目標(biāo)網(wǎng)站身份認(rèn)證。證書(shū)管理服務(wù)（SSLCertificateService）則是華為云聯(lián)合全球知名數(shù)字證書(shū)服務(wù)機(jī)構(gòu)，為租戶(hù)提供的一站式X.509證書(shū)的全生命周期管理服務(wù)，實(shí)現(xiàn)目標(biāo)網(wǎng)站的可信身份認(rèn)證與安全數(shù)據(jù)傳輸。存儲(chǔ)安全密鑰保護(hù)與管理密鑰管理服務(wù)（KMSKeyManagementService）是一種安全、可靠、簡(jiǎn)單易用的密鑰托管服務(wù)，幫助用戶(hù)集中管理密鑰，保護(hù)密鑰安全。它通過(guò)使用硬件安全模塊（HSM–Hrdwareecuryodue，為租戶(hù)創(chuàng)建和管理密鑰，防止密鑰明HSM之外，從而防止密鑰泄露。HSM是一種安全產(chǎn)生、存儲(chǔ)、管理及使用密鑰并提供加密處理服務(wù)的硬件設(shè)備。為保護(hù)租戶(hù)密鑰安全，減少密鑰外泄風(fēng)險(xiǎn)，華為云提供不同廠商、不同規(guī)格（標(biāo)準(zhǔn)加密算法、國(guó)密算法等、不同強(qiáng)HSMFIPS140-2國(guó)際權(quán)威認(rèn)證的第三方HSM。KMS對(duì)密鑰的所有操作都會(huì)進(jìn)行訪問(wèn)控制及日志跟KMS服務(wù)的華為云服務(wù)包括：云硬盤(pán)（Eacoueervce，簡(jiǎn)稱(chēng)EV、對(duì)象存儲(chǔ)（Obectorageervce，簡(jiǎn)稱(chēng)O、云備份（oudackupandecovery，簡(jiǎn)稱(chēng)）及鏡像服務(wù)（IageManagementService，簡(jiǎn)稱(chēng)IMS）等。專(zhuān)屬加密專(zhuān)屬加密滿足租戶(hù)更高合規(guī)性要求的加密場(chǎng)景，采用通過(guò)國(guó)家密碼局認(rèn)證或FIPS140-2第3級(jí)驗(yàn)證的硬件加密機(jī)，對(duì)租戶(hù)業(yè)務(wù)進(jìn)行專(zhuān)屬加密，默認(rèn)雙機(jī)架構(gòu)以提高可靠性。數(shù)據(jù)機(jī)密性及可靠性保證華為云針對(duì)各存儲(chǔ)服務(wù)提供數(shù)據(jù)保護(hù)功能和建議，具體見(jiàn)下表：表6-1華為云存儲(chǔ)服務(wù)機(jī)密性與可靠性概覽存儲(chǔ)類(lèi)型服務(wù)描述機(jī)密性保證可靠性保證EVS于分布式架構(gòu)務(wù)。KMS提供密鑰。用戶(hù)主密鑰（CMK-CustomerMasterKey）由KMS生成、管理和銷(xiāo)毀，用于加密和解密數(shù)據(jù)加密密鑰。華為云提供整卷加密功能。三副本冗余，數(shù)據(jù)持久性高達(dá)99.9999999%。通過(guò)CBR實(shí)現(xiàn)云硬盤(pán)的備份與恢復(fù)，且支持通過(guò)云硬盤(pán)備份創(chuàng)建新的云硬盤(pán)。CBR云備份（CloudBackupandRecovery，CBR）云硬盤(pán)和云下VMware虛擬化易用的備份服侵、人為誤刪份點(diǎn)。加密盤(pán)的備份數(shù)據(jù)自動(dòng)加密，保證數(shù)據(jù)安全。備份數(shù)據(jù)跨數(shù)據(jù)中心保存，數(shù)據(jù)持久性高達(dá)99.999999999%。OBS為用戶(hù)提供海對(duì)于服務(wù)器端加密，OBS提供兩種密鑰管理方式：用戶(hù)提供密鑰（SSE1-C方式）：OBSMD5值進(jìn)行服務(wù)端加密。KMS托管密鑰（SSE-KMS方式）：由KMS的桶上傳對(duì)象時(shí)，OBS密數(shù)據(jù)的CMK。數(shù)據(jù)持久性高達(dá)99.9999999999%，服務(wù)可用性達(dá)99.995%。數(shù)據(jù)檢查：存儲(chǔ)前和存儲(chǔ)后通過(guò)Hash校驗(yàn)數(shù)據(jù)一致性，確保存入數(shù)據(jù)是上傳數(shù)據(jù)。分片冗余：數(shù)據(jù)分片后多份冗余存儲(chǔ)在不同磁盤(pán)，后臺(tái)自行檢測(cè)一致性并及時(shí)修復(fù)受損數(shù)據(jù)。SFS彈性文件服務(wù)是一種基于文件的存儲(chǔ)服務(wù)。KMS提供密鑰。用戶(hù)主密鑰（CMK-CustomerMasterKey）由KMS生成、管理和銷(xiāo)毀，用于加密和解密數(shù)據(jù)加密密鑰。數(shù)據(jù)持久性可達(dá)99.9999999%。服務(wù)可用性達(dá)99.95%。通過(guò)CBR實(shí)現(xiàn)文件存儲(chǔ)的備份與恢復(fù)。存儲(chǔ)類(lèi)型服務(wù)描述機(jī)密性保證可靠性保證RDS務(wù)（RelationalDatabaseService，簡(jiǎn)稱(chēng)RDS）是一種基可靠、彈性伸庫(kù)服務(wù)。通過(guò)靜態(tài)加密、表空間加密、同態(tài)加密對(duì)數(shù)據(jù)進(jìn)行加密。華為云關(guān)系型數(shù)據(jù)庫(kù)服務(wù)支持對(duì)存儲(chǔ)到數(shù)據(jù)庫(kù)中的數(shù)據(jù)加密后存儲(chǔ)，加密密鑰由KMS進(jìn)行管理。關(guān)系型數(shù)據(jù)庫(kù)服務(wù)采用熱備架構(gòu)，故障系統(tǒng)1分鐘自動(dòng)切換。每天自動(dòng)備份數(shù)據(jù)，上傳到OBS桶，備份文件保留732天，支持一鍵式恢復(fù)。IMS鏡像服務(wù)提供靈活的自助服務(wù)和完善的鏡像管理能力，用戶(hù)可以從豐富的公共鏡像庫(kù)中選擇或創(chuàng)建私有鏡像，快速創(chuàng)建或批量復(fù)制彈性云服務(wù)器。由KMS提供密鑰。CMK由KMS生成、管理和銷(xiāo)毀，用于加密和解密數(shù)據(jù)加密密鑰。華為云提供兩種方式創(chuàng)建加密鏡像：通過(guò)加密彈性云服務(wù)器創(chuàng)建和通過(guò)外部鏡像文件創(chuàng)建。使用多份冗余存儲(chǔ)私用鏡像，數(shù)據(jù)持久性高達(dá)99.999999999%。說(shuō)明1. –Server-SideEncryption.CSSE-C中是指客戶(hù)（customer）。數(shù)據(jù)刪除與銷(xiāo)毀在用戶(hù)確認(rèn)刪除數(shù)據(jù)后，華為云會(huì)徹底刪除用戶(hù)數(shù)據(jù)，確保數(shù)據(jù)不泄露：內(nèi)存刪除行清零操作，即寫(xiě)“零”處理，防止通過(guò)物理內(nèi)存恢復(fù)刪除數(shù)據(jù)造成的數(shù)據(jù)泄露。加密數(shù)據(jù)防泄露：華為云建議租戶(hù)對(duì)要上云的重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)，數(shù)據(jù)需文后造成泄露。存儲(chǔ)數(shù)據(jù)刪除：當(dāng)租戶(hù)刪除存儲(chǔ)數(shù)據(jù)時(shí)，數(shù)據(jù)和對(duì)應(yīng)的元數(shù)據(jù)在系統(tǒng)中一并刪源中的存儲(chǔ)數(shù)據(jù)，同時(shí)，會(huì)啟動(dòng)后臺(tái)任務(wù)，徹底刪除元數(shù)據(jù)以及對(duì)應(yīng)的存儲(chǔ)數(shù)刪除的操作場(chǎng)景，通過(guò)EVS服務(wù)的回收站功能、OBS服務(wù)的多版本控制功能，用戶(hù)可以最終決定數(shù)據(jù)的恢復(fù)或徹底刪除。磁盤(pán)數(shù)據(jù)刪除：華為云對(duì)刪除虛擬卷采用清零措施，確保數(shù)據(jù)不可恢復(fù)，有效止被惡意租戶(hù)使用數(shù)據(jù)恢復(fù)軟件讀出磁盤(pán)數(shù)據(jù)，杜絕信息泄漏風(fēng)險(xiǎn)。物理磁盤(pán)報(bào)廢：當(dāng)物理磁盤(pán)報(bào)廢時(shí)，華為云通過(guò)對(duì)存儲(chǔ)介質(zhì)進(jìn)行消磁、完全破私和數(shù)據(jù)不受未授權(quán)訪問(wèn)。 7租戶(hù)服務(wù)與租戶(hù)安全計(jì)算彈性云服務(wù)器（ECS）彈性云服務(wù)器（ECSElasticCloudServer）是華為云為租戶(hù)提供的一種可隨時(shí)自助獲取，按需租用虛擬計(jì)算資源的云服務(wù)。租戶(hù)購(gòu)買(mǎi)的云服務(wù)器實(shí)例是一個(gè)虛擬的計(jì)算CPU、內(nèi)存、操作系統(tǒng)、磁盤(pán)、帶寬等最基礎(chǔ)的服務(wù)器組件。一個(gè)實(shí)例就是一臺(tái)虛擬機(jī)。對(duì)自己創(chuàng)建的實(shí)例，租戶(hù)擁有管理員權(quán)限，可以進(jìn)行多項(xiàng)基本操作，如掛載磁盤(pán)、添加網(wǎng)卡、創(chuàng)建鏡像、部署環(huán)境等。華為云ECS提供了多層次的安全防護(hù)和保障，包括主機(jī)操作系統(tǒng)安全、虛擬機(jī)隔離、安全組等。通過(guò)從虛擬機(jī)到主機(jī)再到整個(gè)組網(wǎng)的整體安全設(shè)計(jì)，為用戶(hù)打造安全可靠、靈活高效的應(yīng)用環(huán)境。主機(jī)安全：主機(jī)操作系統(tǒng)使用華為統(tǒng)一虛擬化平臺(tái)（UV，對(duì)CU，內(nèi)存和I/O資源隔離管理。UVP66.3不再贅述。虛擬機(jī)安全鏡像加固像進(jìn)行安全分析，并及時(shí)修復(fù)系統(tǒng)安全漏洞，最終生成安全更新了的公共鏡像，并通過(guò)鏡像服務(wù)（IMS）持續(xù)提供給租戶(hù)。同時(shí)華為云保持對(duì)公共鏡像漏洞的實(shí)時(shí)監(jiān)測(cè)，并定期更新公共鏡像以確保高危漏洞得到修復(fù)。由客戶(hù)根據(jù)相關(guān)應(yīng)用運(yùn)行及安全運(yùn)維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛擬機(jī)或自行創(chuàng)建已安裝安全補(bǔ)丁的私有鏡像。網(wǎng)絡(luò)與平臺(tái)隔離Hypervisor提供的虛擬交換機(jī)（vSwitch）通過(guò)VLAN、VXLAN、ACL等屬性確保虛擬機(jī)在網(wǎng)絡(luò)層的邏輯隔離。多臺(tái)主機(jī)之間的網(wǎng)絡(luò)依然使用傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）進(jìn)行物理隔離。同時(shí)，UVPCPU、內(nèi)存、I/O隔離進(jìn)一步實(shí)現(xiàn)虛擬機(jī)在平臺(tái)層的邏輯隔離。IP/MAC仿冒控制IPMAC引起的DHCPsnoopingIPMAC然后通過(guò)IP源側(cè)防護(hù)(IPSourceGuard)ARP檢測(cè)（DAI–DynamicARPInspection）對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過(guò)濾，可以防止用戶(hù)虛擬機(jī)IPMAC地址的仿冒。安全組：UVP擬機(jī)之間如果要相互訪問(wèn)，可以建立安全組。同一個(gè)安全組內(nèi)的多臺(tái)虛擬機(jī)默認(rèn)可相互訪問(wèn)，處于不同安全組的任何兩臺(tái)虛擬機(jī)默認(rèn)禁止相互通信。但可定制配置為允許通信。此外，用戶(hù)可以對(duì)多臺(tái)彈性云服務(wù)器進(jìn)行批量更改/加入/移出安全組的操作。77.2.1虛擬私有云服務(wù)（VPC）一節(jié)對(duì)安全組做詳盡的介紹，請(qǐng)參考。遠(yuǎn)程訪問(wèn)認(rèn)證：遠(yuǎn)程訪問(wèn)虛擬機(jī)操作系統(tǒng)來(lái)進(jìn)行系統(tǒng)維護(hù)。但SSH接口也是虛擬機(jī)的一個(gè)較高安全風(fēng)險(xiǎn)。為保證遠(yuǎn)程訪問(wèn)控制安全，租戶(hù)可選擇使用賬號(hào)口令或公/認(rèn)使用更為安全的公/私鑰對(duì)認(rèn)證方式。資源管理認(rèn)證：APIECSAPI接IAMAPI進(jìn)行管理。VNC安全：VNC（VirtualNetworkComputing）方式遠(yuǎn)程訪問(wèn)虛擬機(jī)TLS1.2版本進(jìn)行加密傳輸，確保數(shù)據(jù)傳輸安全。事件管理功能：軟硬件故障進(jìn)行預(yù)測(cè)和主動(dòng)規(guī)避。當(dāng)宿主機(jī)上的故障風(fēng)險(xiǎn)無(wú)法規(guī)避時(shí)，為避免因ECS響的實(shí)例生成事件并進(jìn)行上報(bào)。您可以對(duì)系統(tǒng)上報(bào)的事件進(jìn)行響應(yīng)操作。鏡像服務(wù)（IMS）鏡像是一個(gè)包含了軟件及必要配置的云服務(wù)器或裸金屬服務(wù)器模版，至少包含操作系統(tǒng)，還可以包含各種預(yù)裝的應(yīng)用軟件（例如，數(shù)據(jù)庫(kù)軟件鏡像、共享鏡像和市場(chǎng)鏡像。公共鏡像是華為云為操作系統(tǒng)提供的標(biāo)準(zhǔn)鏡像；私有鏡像是用戶(hù)自行創(chuàng)建的鏡像；共享鏡像是用戶(hù)自己定義并分享給其他用戶(hù)的鏡像，由用戶(hù)社區(qū)在自愿基礎(chǔ)上維護(hù)；市場(chǎng)鏡像是提供預(yù)裝操作系統(tǒng)、應(yīng)用環(huán)境和各類(lèi)軟件的優(yōu)質(zhì)第三方鏡像。華為云鏡像服務(wù)（IMS–ImageManagementService）提供簡(jiǎn)單方便的鏡像自助管理功能?？蛻?hù)可通過(guò)服務(wù)控制臺(tái)或API對(duì)自己的鏡像進(jìn)行管理。華為云負(fù)責(zé)公共鏡像的定期更新與維護(hù)，向用戶(hù)提供安裝安全補(bǔ)丁的公共鏡像和相關(guān)安全加固和補(bǔ)丁信息，以便用戶(hù)在部署測(cè)試、故障排除等運(yùn)維活動(dòng)時(shí)參考。用戶(hù)可以直接使用公共鏡像，或者通過(guò)已有的云服務(wù)器或使用外部鏡像文件自行創(chuàng)建私有鏡像，也可以參與創(chuàng)建和維護(hù)共享鏡像。用戶(hù)能靈活選擇上述任何鏡像申請(qǐng)彈性云服務(wù)器。IMS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來(lái)進(jìn)行認(rèn)證，支持鏡像的傳輸和存儲(chǔ)加密以及完整性檢測(cè)。IMS的所有數(shù)據(jù)都存儲(chǔ)于信任子網(wǎng)內(nèi)的鏡像倉(cāng)庫(kù)，并且采用對(duì)象存儲(chǔ)分桶機(jī)制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS提供了安全的加密算法和功能，讓用戶(hù)選擇對(duì)鏡像進(jìn)行加密存儲(chǔ)。在基于鏡像創(chuàng)建虛擬機(jī)時(shí)，系統(tǒng)會(huì)自動(dòng)檢查鏡像完整性，以確保創(chuàng)建的虛擬機(jī)包含完整的鏡像內(nèi)容。IMS對(duì)租戶(hù)的所有操作進(jìn)行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對(duì)所有關(guān)鍵操作進(jìn)行審計(jì)記錄。審計(jì)日志實(shí)現(xiàn)持久化，租戶(hù)可以對(duì)其進(jìn)行長(zhǎng)期而且精確的回溯。彈性伸縮服務(wù)(AS)彈性伸縮服務(wù)（AS–Auto-Scaling）是根據(jù)租戶(hù)的業(yè)務(wù)需求，通過(guò)用戶(hù)預(yù)先定義的策略自動(dòng)按需調(diào)整資源的服務(wù)。AS在運(yùn)行中無(wú)需人工干預(yù)，就可使資源使用量符合業(yè)務(wù)當(dāng)前的需求。在業(yè)務(wù)增長(zhǎng)時(shí)實(shí)現(xiàn)應(yīng)用系統(tǒng)自動(dòng)擴(kuò)容，業(yè)務(wù)下降時(shí)實(shí)現(xiàn)應(yīng)用系統(tǒng)自動(dòng)減容。從而既能幫助租戶(hù)節(jié)約資源和人力成本，又能保證其業(yè)務(wù)平穩(wěn)健康運(yùn)行。AS對(duì)執(zhí)行資源調(diào)配和管控策略的自動(dòng)化特性有助于避免資源爭(zhēng)奪類(lèi)攻擊或租戶(hù)管理人員在調(diào)配資源時(shí)人為操作失誤所造成的安全風(fēng)險(xiǎn)。AS支持自動(dòng)地將加入的實(shí)例添加到負(fù)載均衡監(jiān)聽(tīng)器，訪問(wèn)流量將通過(guò)負(fù)載均衡監(jiān)聽(tīng)器自動(dòng)分發(fā)到伸縮組內(nèi)的所有實(shí)例，相比直接訪問(wèn)單個(gè)后端服務(wù)器和服務(wù)具有更高的防DDoS攻擊的能力。AS不佳的實(shí)例。同時(shí)支持配置使用多個(gè)可用區(qū)（AZ–vaablyZone，在多個(gè)可用分區(qū)中平均分配實(shí)例，保證伸縮組中部署應(yīng)用的容災(zāi)能力，提升系統(tǒng)可用性。專(zhuān)屬主機(jī)服務(wù)(DeH)專(zhuān)屬主機(jī)服務(wù)（DeHDedicatedHostService）ECS的基礎(chǔ)上，提供的ECS服務(wù)的所有功能以及安全特性。DeH由于以主機(jī)為單位出租，在安全上有物理層主機(jī)隔離的優(yōu)勢(shì)：?jiǎn)蝹€(gè)租戶(hù)擁有整個(gè)主機(jī)，可以避免其他租戶(hù)對(duì)系統(tǒng)資源的搶占，防止惡意租戶(hù)通過(guò)Hypervisor可能出現(xiàn)的漏洞對(duì)系統(tǒng)實(shí)施攻擊。裸金屬服務(wù)（BMS）裸金屬服務(wù)（BMS–BareMetalService）是華為云為租戶(hù)提供的一種可隨時(shí)自助獲取，按需租用物理層計(jì)算資源的云服務(wù)。租戶(hù)購(gòu)買(mǎi)的裸金屬服務(wù)器，即BMS實(shí)例，是一個(gè)物理的計(jì)算環(huán)境，包含了CPU、內(nèi)存、操作系統(tǒng)、磁盤(pán)、帶寬等最基礎(chǔ)的服務(wù)器組件，是BMS提供給每個(gè)租戶(hù)的操作實(shí)體。一個(gè)實(shí)例就是一臺(tái)物理機(jī)。對(duì)自己創(chuàng)建的實(shí)例，租戶(hù)擁有管理員權(quán)限，可以執(zhí)行多項(xiàng)基本操作，如開(kāi)關(guān)機(jī)器，掛載磁盤(pán)、部署環(huán)境等。BMS提供了與華為云ECS類(lèi)似的多層安全防護(hù)，包括主機(jī)系統(tǒng)和網(wǎng)絡(luò)安全、遠(yuǎn)程訪問(wèn)認(rèn)證、管理控制安全等技術(shù)手段，具體內(nèi)容可參考第7章7.1.1彈性云服務(wù)器（ECS）一節(jié)。更重要的是，BMS獨(dú)享物理機(jī)隔離的安全優(yōu)勢(shì)。通過(guò)從主機(jī)到整個(gè)組境中運(yùn)行的，安全可靠、靈活高效的應(yīng)用環(huán)境。網(wǎng)絡(luò)虛擬私有云服務(wù)(VPC)虛擬私有云服務(wù)（VPC–VirtualPrivateCloud）為彈性云服務(wù)器構(gòu)建隔離的、用戶(hù)自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境，提升用戶(hù)云中資源的安全性，簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò)部署。VPC的優(yōu)勢(shì)如下：可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括創(chuàng)建自己的網(wǎng)絡(luò)。VPC中申請(qǐng)彈性IP1，將彈性云服務(wù)器連接到公網(wǎng)。VPNVPC與傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實(shí)現(xiàn)應(yīng)用向云上的平滑遷移。VPC可以通過(guò)對(duì)等連接功能互聯(lián)。VPCDHCP，執(zhí)行安全快捷的網(wǎng)絡(luò)變更。VPC多項(xiàng)網(wǎng)絡(luò)安全防護(hù)功能提高網(wǎng)絡(luò)安全性。VC（請(qǐng)見(jiàn)下頁(yè)）圖7-1華為云VPC架構(gòu)簡(jiǎn)圖VPC提供了以下與租戶(hù)網(wǎng)絡(luò)安全強(qiáng)相關(guān)的網(wǎng)絡(luò)功能：子網(wǎng)IP地址管理、DNSVPCVPC中的任意兩臺(tái)彈性云服務(wù)器默認(rèn)禁止通信。VPN：VPNVPC之間建立一條安全加密的通信管道，使遠(yuǎn)端用VPNVPCVPC中的彈性云服務(wù)器無(wú)法與租戶(hù)自己的數(shù)據(jù)中心或私有網(wǎng)絡(luò)進(jìn)行通信，如需通信，租戶(hù)可啟用VPNVPN相關(guān)參數(shù)。VPC還提供了多項(xiàng)不同OpenSystemInterconnection（OSI）層的網(wǎng)絡(luò)安全防護(hù)功能，租戶(hù)可以根據(jù)其在華為云上的網(wǎng)絡(luò)安全需求定制配置。其中，對(duì)整個(gè)華為云和每個(gè)租戶(hù)的VPC的網(wǎng)絡(luò)安全都至關(guān)重要的非網(wǎng)絡(luò)ACL和安全組這兩款安全功能莫屬，先著重介紹：ACLACL是對(duì)一個(gè)或多個(gè)子網(wǎng)的訪問(wèn)制定、維護(hù)并執(zhí)行訪問(wèn)控制策略的系統(tǒng)，根據(jù)與子網(wǎng)關(guān)聯(lián)的入站/出站規(guī)則，判斷數(shù)據(jù)包是否被允許流入/聯(lián)子網(wǎng)。安全組VPC中，安全組是一組對(duì)彈性云服務(wù)器的訪問(wèn)規(guī)則的集合，為同一VPC內(nèi)具有相同安全保護(hù)需求并且相互信任的彈性云服務(wù)器提供訪問(wèn)策略。用戶(hù)可以自行創(chuàng)建并定義安全組內(nèi)與組間彈性云服務(wù)器的訪問(wèn)規(guī)則，將VPC中的彈性云服務(wù)器劃分成不同的安全域，以提升彈性云服務(wù)器訪問(wèn)的安全性。每個(gè)安全組可以設(shè)定一組訪問(wèn)規(guī)則。安全組規(guī)則包括：協(xié)議、出/入方向、源IP地址段/子網(wǎng)或安全組、允許訪問(wèn)的端口范圍。支持配置TCP、UDP、ICMP三種協(xié)議。用戶(hù)自行添加安全規(guī)則時(shí)，安全規(guī)則添加界面支持添加多個(gè)IP。此外，安全組支持一鍵放通安全組常見(jiàn)端口功能。通信。當(dāng)默認(rèn)訪問(wèn)規(guī)則可以滿足需求時(shí)，則無(wú)需再為該安全組添加規(guī)則。顯而易見(jiàn)，網(wǎng)絡(luò)ACL和安全組功能都是為了提升華為云VPC的網(wǎng)絡(luò)安全性。因此，了解二者區(qū)別會(huì)對(duì)租戶(hù)建立有效的VPC網(wǎng)絡(luò)安全策略大有助益。網(wǎng)絡(luò)ACL和安全組的區(qū)別總結(jié)如下，僅供參考。表7-1安全組和網(wǎng)絡(luò)ACL區(qū)別列表安全組網(wǎng)絡(luò)ACL彈性云服務(wù)器實(shí)例級(jí)別操作（第一層防護(hù)）子網(wǎng)級(jí)別操作（第二層防護(hù)）支持允許策略支持允許和拒絕策略多個(gè)規(guī)則沖突，取其并集生效多個(gè)規(guī)則沖突，靠前的規(guī)則優(yōu)先生效創(chuàng)建彈性云服務(wù)器實(shí)例默認(rèn)必須選擇安全組，默認(rèn)安全組自動(dòng)應(yīng)用到彈性云服務(wù)器實(shí)例ACL選項(xiàng)，必須創(chuàng)建網(wǎng)絡(luò)ACL例支持報(bào)文三元組（即協(xié)議、端口和對(duì)端地址）過(guò)濾支持報(bào)文五元組（即協(xié)議、源端口、目的端口、源地址和目的地址）過(guò)濾另外，為增強(qiáng)VPC網(wǎng)絡(luò)隔離防護(hù)，平臺(tái)內(nèi)也提供了其他網(wǎng)絡(luò)安全功能，總結(jié)如下：虛擬局域網(wǎng)（VLAN）隔離：VLANOSIVLANtagging功能實(shí)現(xiàn)虛擬交換并確保虛擬機(jī)之間的安全隔離。IP和MAC綁定：防止虛擬機(jī)用戶(hù)通過(guò)修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，避免網(wǎng)絡(luò)混亂，增強(qiáng)虛擬機(jī)網(wǎng)絡(luò)的安全性。具體技術(shù)能力包括通過(guò)DHCPsnooping生成IP-MAC的綁定關(guān)系，然后通過(guò)IP源側(cè)防護(hù)(IPSourceGuard)ARP檢測(cè)對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過(guò)濾。DHCPServer隔離DHCPServer服務(wù)，防止用戶(hù)無(wú)意識(shí)或惡意啟動(dòng)DHCPServer服務(wù)，影響正常的虛擬機(jī)IP地址分配過(guò)程。DoS/DDoS攻擊：系統(tǒng)通過(guò)限制虛擬端口的連接跟蹤數(shù)來(lái)抵御來(lái)自云平臺(tái)外部2。說(shuō)明地址和子網(wǎng)中關(guān)聯(lián)的彈性云VPC地址與互聯(lián)網(wǎng)互通。導(dǎo)致不能接受新的連接請(qǐng)求，最終造成業(yè)務(wù)及管理流量中斷。彈性負(fù)載均衡服務(wù)彈性負(fù)載均衡（ELBElasticLoadBalance）將訪問(wèn)流量自動(dòng)分發(fā)到多臺(tái)彈性云服務(wù)器，擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力，實(shí)現(xiàn)更高水平的應(yīng)用程序容錯(cuò)性能。相比傳統(tǒng)硬件負(fù)載均衡器，彈性負(fù)載均衡具有如下優(yōu)勢(shì)：可用性。變化的流量需求。1OSI四層（TCP協(xié)議、UDP協(xié)議）或七層（HTTP協(xié)議、HTTPS協(xié)議）的負(fù)載分發(fā)。支持全端口監(jiān)聽(tīng)，獨(dú)享型負(fù)載均衡器下，四層協(xié)議（TCP/UDP）監(jiān)聽(tīng)器支持全端口監(jiān)聽(tīng)。和轉(zhuǎn)發(fā)策略。支持快速部署華為云云證書(shū)管理服務(wù)，統(tǒng)一管理的服務(wù)器證書(shū)。ELB組網(wǎng)基本設(shè)計(jì)如下圖：圖7-2華為云ELB組網(wǎng)圖彈性負(fù)載均衡服務(wù)提供如下安全防護(hù)：隱藏內(nèi)部真正的服務(wù)器地址和端口號(hào)：ELB僅對(duì)外暴露單個(gè)地址和相應(yīng)服務(wù)端口，不暴露真實(shí)的后端地址和服務(wù)端口，防止網(wǎng)絡(luò)信息泄露，減少攻擊面。根據(jù)流量狀態(tài)，自動(dòng)擴(kuò)展處理能力：ELB可以配合彈性伸縮服務(wù)提供更加靈活的DDoS攻擊能力。ELB支持安全組配置：ELB安全組可以確保租戶(hù)實(shí)例只接收來(lái)自負(fù)載均衡器的流量。租戶(hù)也可以定義允許的端口和協(xié)議，確保兩個(gè)方向通過(guò)ELB的流量。支持源地址透?jìng)鳎篍LBHTTPHTTPS服務(wù)時(shí)支持源地址透?jìng)鞴δ馨踩V求，通過(guò)客戶(hù)應(yīng)用實(shí)現(xiàn)，更快速發(fā)現(xiàn)攻擊并有效響應(yīng)。SSL/TLS卸載及證書(shū)管理：ELBSSL/TLS卸載。SSL/TLS卸載將報(bào)ELB，可以有效降低租戶(hù)后端服務(wù)器ELBELB負(fù)責(zé)將報(bào)文解密，然后分發(fā)到租戶(hù)的后端服務(wù)器；對(duì)于流出ELBELB對(duì)報(bào)文進(jìn)行加密后發(fā)送。使用SSL/TLS卸載功能時(shí)，需要租戶(hù)上傳所需證書(shū)及私密鑰，由ELB進(jìn)行管理。支持加密協(xié)議和加密套件可配置HTTPSELB的安全通信協(xié)議TLS1.2版本。ELB同時(shí)支持加密套件可選；對(duì)于有更多加密算法項(xiàng)選擇的租戶(hù)，ELB提供擴(kuò)展的加密套件；對(duì)有高安全需求的租戶(hù)，提供嚴(yán)格的加密算法。NAT網(wǎng)關(guān)（NAT）網(wǎng)關(guān)Gateway）VPCIPIP網(wǎng)關(guān)（ubcNTGaeway）和私網(wǎng)NT網(wǎng)關(guān)（rvaeNTGaewayIPIP，轉(zhuǎn)換后，云上資源即可安全地訪問(wèn)公網(wǎng)或者對(duì)外提供服務(wù)，并且保護(hù)私有網(wǎng)絡(luò)信息不直接對(duì)公網(wǎng)暴露。網(wǎng)關(guān)能夠?yàn)樘摂M私有云內(nèi)的云主機(jī)（彈性云服務(wù)器、裸金屬服務(wù)器）、規(guī)則，可將源、目IPIPVPCVPC、云下IDC互訪。NAT網(wǎng)關(guān)優(yōu)勢(shì)如下：靈活部署：支持跨子網(wǎng)部署和跨可用區(qū)域部署。網(wǎng)關(guān)支持跨可用區(qū)部署，可網(wǎng)關(guān)的業(yè)務(wù)連續(xù)性。網(wǎng)關(guān)的IP，均可以隨時(shí)調(diào)整。多樣易用：網(wǎng)關(guān)進(jìn)行簡(jiǎn)單配置后，即可使用，運(yùn)維簡(jiǎn)單，快速發(fā)放，即開(kāi)即用，運(yùn)行穩(wěn)定可靠。降低成本：IPIPInternetIP和帶IP，有效降低成本。NAT網(wǎng)關(guān)具有以下主要安全防護(hù)功能：隱藏內(nèi)部真正的服務(wù)器地址和端口號(hào)IP，不暴露真IP，防止網(wǎng)絡(luò)信息泄露，減少攻擊面。DoS/DDoS攻擊Qos限速能力來(lái)抵御來(lái)自云平臺(tái)外部或平臺(tái)內(nèi)部其他虛擬機(jī)的大流量攻擊。云專(zhuān)線（DC）云專(zhuān)線（DirectConnect）用于搭建用戶(hù)本地?cái)?shù)據(jù)中心與華為云VPC之間高速、低時(shí)延、穩(wěn)定安全的專(zhuān)屬連接通道，充分利用華為云服務(wù)優(yōu)勢(shì)的同時(shí)，繼續(xù)使用現(xiàn)有的IT設(shè)施，實(shí)現(xiàn)靈活一體，可伸縮的混合云計(jì)算環(huán)境。戶(hù)可以利用云專(zhuān)線建立華為云與租戶(hù)的數(shù)據(jù)中心、辦公室或主機(jī)托管區(qū)域的專(zhuān)線連接，降低網(wǎng)絡(luò)時(shí)延，獲得比互聯(lián)網(wǎng)線路更快速、更安全的網(wǎng)絡(luò)體驗(yàn)。云專(zhuān)線優(yōu)勢(shì)如下：用戶(hù)使用云專(zhuān)線接入華為云上VPC，使用專(zhuān)享私密通道進(jìn)行通信，網(wǎng)絡(luò)隔離，安全性極高。專(zhuān)用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，網(wǎng)絡(luò)性能高，延遲低，用戶(hù)使用體驗(yàn)更佳。100Gbps帶寬連接，滿足各類(lèi)用戶(hù)帶寬需求。署。華為云DC具有以下主要安全防護(hù)功能：網(wǎng)絡(luò)隔離：DCVPC對(duì)接，通過(guò)租戶(hù)獨(dú)占物理專(zhuān)線實(shí)現(xiàn)彼此間網(wǎng)絡(luò)隔離，互不干擾。傳輸加密：DCTLS加密傳輸，建立安全傳輸通道，減少數(shù)據(jù)傳輸泄密風(fēng)險(xiǎn)。終端節(jié)點(diǎn)（VPCEP）VC終端節(jié)點(diǎn)（VPCEndpont，能夠?qū)C私密地連接到終端節(jié)點(diǎn)服務(wù)（云服務(wù)、用戶(hù)私有服務(wù)，使VC中的云資源無(wú)需彈性公網(wǎng)IP就能夠訪問(wèn)終端節(jié)點(diǎn)服務(wù)，提高了訪問(wèn)效率，為用戶(hù)提供更加靈活、安全的組網(wǎng)方式。優(yōu)勢(shì)如下：性能優(yōu)異：每個(gè)網(wǎng)關(guān)節(jié)點(diǎn)可提供百萬(wàn)級(jí)對(duì)話，滿足多種應(yīng)用場(chǎng)景需求。即創(chuàng)即用：秒級(jí)創(chuàng)建，快速生效，迅速響應(yīng)，方