從“浮云”到“冰山”：華為云安全的絕世“五功”

當企業(yè)評估云的安全水平時，往往聚焦在云安全服務及云服務的安全特性上，而忽略了云安全中更重要的部分——云基礎設施安全。如果把云安全比作“冰山”，那它們屬于“冰山”上的可見部分。而“冰山”水下90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

這也是企業(yè)選擇或者評估云服務安全性時最容易困惑或忽視的問題：云服務水面以下是棉花還是秤砣？一旦歲月不夠靜好，云服務會如“浮云”般抽風還是如“冰山”般破浪前行？隱藏在云安全冰山水位線以下的90%，如何演化，如何評估？安全牛近日與華為云的相關負責人進行了一輪溝通，華為云的一個安全理念頗為有趣，叫“從冰山下到普惠安全”，可以給想上云或換云的廠商一些有益的借鑒。

一、從冰山下的安全做起

華為云認為，安全得從最底座做起，也就是不僅關注冰山下的“安全服務和特性”，更要關注冰山下的各種基礎的安全能力的建設，才能給云用戶提供扎實的安全防護。冰山下的安全能力都由哪些能力組成的呢？

冰山下的能力一：云平臺安全合規(guī)

“安全合規(guī)”是指組織要滿足所在國家和區(qū)域的法律法規(guī)中對安全的相關要求以及行業(yè)相關標準的要求。它有兩方面的意義:一方面，滿足這些要求，就滿足了基本的安全規(guī)范，是保障組織的網(wǎng)絡安全的基礎；另一方面，不滿足這些要求，則可能面臨法律風險或者進入不了行業(yè)門檻。所以，企業(yè)能否持續(xù)獲得權威的安全合規(guī)認證，是衡量企業(yè)在網(wǎng)絡安全投入以及安全能力的重要指標之一。為給用戶提供一個從云平臺到云服務都安全可信的環(huán)境，華為云將最嚴格的國際安全標準作為目標，不斷對齊并優(yōu)化自身的安全能力，努力搭建出世界一流的安全合規(guī)認證體系。僅2019年，華為云就獲得和重新審核通過了這些合規(guī)認證：

?ISO 22301，是全球首個公認的、衡量企業(yè)服務連續(xù)性能力是否滿足社會責任和客戶承諾的唯一標準。?ISO 27001，是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。?ISO 27017，是針對云計算信息安全的國際認證，提供了云服務特有的安全實踐指南和控制措施，以解決云上的信息安全威脅和風險。

?CSA STAR，是針對云安全水平的權威認證，旨在應對與云安全相關的特定問題，協(xié)助云計算服務商展現(xiàn)其服務成熟度的解決方案。

?業(yè)界首家信息安全服務資質（云計算安全一級），由中國信息安全測評中心推出，旨在對云服務商的安全服務資格狀況、技術實力和云計算安全服務實施質量等方面進行綜合客觀評定的認證。

?全球唯一獲得TL 9000認證的云服務商。TL 9000有機整合了ISO 9000及眾多行業(yè)標準，形成的一套完整統(tǒng)一的質量管理體系，分質量體系要求和質量體系指標。

?獲得云服務用戶數(shù)據(jù)保護能力增強級認證，體現(xiàn)了華為云在用戶數(shù)據(jù)保護上的強大實力。

?通過SOC2隱私性審計，成為中國第一家通過該審計的IaaS云服務商。

?2019年11月，在由國際隱私專業(yè)協(xié)會（IAPP）主辦，比利時布魯塞爾舉行的歐洲數(shù)據(jù)峰會上，華為云獲得由BSI（英國標準協(xié)會）全球認證部進行認證并頒發(fā)，全球首批ISO/IEC 27701:2019隱私信息管理體系認證證書。ISO/IEC 27701標準，旨在幫助組織機構保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法，融入到網(wǎng)絡安全和隱私保護體系中，給企業(yè)提供了最佳實踐和指導建議。

?ISO/IEC 29151標準，旨在防止個人隱私數(shù)據(jù)被濫用、泄露、更改、破壞等，為企業(yè)保護用戶個人隱私數(shù)據(jù)提供了大量的最佳實踐。

?BS 10012標準，是全球首部個人隱私保護的標準。因為按歐盟通用數(shù)據(jù)保護條例（GDPR）進行了更新，所以該標準既要求企業(yè)滿足國際通用的個人信息保護標準，又要求企業(yè)符合GDPR的要求。

截止目前，華為云在全球獲得了50多個權威認證，這也是華為云在安全合規(guī)能力上的一種體現(xiàn)。

華為云獲得的部分全球性合規(guī)認證

冰山下的能力二：基礎設施安全

基礎設施安全是華為多維全棧的云安全防護體系的核心。包括物理與環(huán)境安全、網(wǎng)絡安全、平臺安全、API應用安全以及數(shù)據(jù)安全五部分。物理與環(huán)境安全這里暫且不做過多介紹。

網(wǎng)絡安全

華為云的思路是通過劃分多個安全區(qū)域進行物理和邏輯隔離，以及內網(wǎng)邊界防護兩個角度實現(xiàn)。

在每個安全區(qū)域內，根據(jù)所承載業(yè)務的隔離要求劃分不同網(wǎng)絡平面，以保證不同業(yè)務的網(wǎng)絡通信流量得到合理且安全的分流。

內網(wǎng)邊界防護主要有三個能力，抗D、下一代防火墻&入侵防御，WAF。

產品背后高級邊界防護的實現(xiàn)，華為自研的彈性計算服務（ECS）和虛擬私有云服務（VPC）可謂功不可沒。華為云使用ECS為租戶提供包括操作系統(tǒng)安全、虛擬機安全（如鏡像加固、網(wǎng)絡與平臺隔離、IP/MAC仿冒控制、安全組）等安全能力。而通過VPC，用戶可以自主配置和管理隔離的虛擬網(wǎng)絡環(huán)境，并通過多項和安全相關的網(wǎng)絡功能提升云中資源的安全性。

平臺安全

作為華為云平臺的操作系統(tǒng)，華為統(tǒng)一虛擬化平臺通過將服務器物理資源，如CPU、內存、I/O等，轉變?yōu)橐唤M可統(tǒng)一管理、靈活調度和動態(tài)分配的邏輯資源。并基于這些邏輯資源，在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境。

華為云對主機操作系統(tǒng)進行了最小化裁剪，并對服務做安全加固，同時對接入主機操作系統(tǒng)的管理員執(zhí)行嚴格的權限訪問控制（包括雙因子認證），以及全面的日志審計。

API應用安全

API的防護是通過華為自研的API網(wǎng)關實現(xiàn)。

API網(wǎng)關主要在身份認證及鑒權（集成華為云IAM）、傳輸（TLS 1.2）、邊界（結合網(wǎng)絡安全的邊界防護能力，并提供API接口注冊、訪問控制列表規(guī)則限制、防重放、防爆破等功能）、API調用控制（秒級）四個場景進行安全防護。

數(shù)據(jù)安全

遵循數(shù)據(jù)安全生命周期管理的業(yè)界標準，在身份認證、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除與銷毀、數(shù)據(jù)防泄漏等方面進行控制，保障租戶對其數(shù)據(jù)的隱私權、所有權和控制權。

冰山下的能力三：優(yōu)秀實踐化為標準

華為云為用戶提供安全可信的云服務的同時，也不斷把優(yōu)秀安全實踐變?yōu)樾袠I(yè)標準。華為云參與制定了多個云計算、云安全相關的國家標準。2018年8月，由四川大學牽頭、華為云等參與制定的兩項云安全國家標準獲得“中國標準創(chuàng)新貢獻獎”，華為云是國內唯一獲得該獎項的云服務商。這兩項標準，也是我國首批發(fā)布的云安全國家標準。華為云還發(fā)布了8部安全白皮書，在海內外引起了較大反響：

?今年7月，發(fā)布了國內首部隱私保護白皮書：《華為云隱私保護白皮書》；（延伸閱讀：華為國內首發(fā)云隱私保護白皮書，你的數(shù)據(jù)你做主）

?今年9月，發(fā)布了業(yè)界首部可信白皮書：《華為云可信白皮書》；

?針對新加坡個人數(shù)據(jù)保護法（PDPA），發(fā)布《華為云新加坡PDPA合規(guī)性說明》；

?針對馬來西亞個人數(shù)據(jù)保護（PDPA），發(fā)布《華為云馬來西亞PDPA合規(guī)性說明》；

?針對巴西通用數(shù)據(jù)保護法（LGPD），發(fā)布《華為云巴西LGPD合規(guī)性說明》；

?針對香港金融管理局監(jiān)管要求（HKMA），發(fā)布《華為云香港金融行業(yè)監(jiān)管要求合規(guī)性說明》；

?針對新加坡金融監(jiān)管要求（ABS&MAS），發(fā)布《華為云新加坡金融行業(yè)監(jiān)管要求合規(guī)性說明》；

?針對醫(yī)療行業(yè)標準HIPAA，發(fā)布《華為云HIPAA合規(guī)性說明》。

冰山下的能力四：安全保障體系

華為云構建了7×24小時不間斷的安全保障體系，涵蓋DDoS攻擊、輿情監(jiān)控、平臺安全運維、租戶安全事件響應等，確保云上業(yè)務的可用、可靠和快速恢復。

該體系協(xié)助租戶處理各類入侵事件等每月數(shù)百次；發(fā)送各類安全預警千余次；成功抵御10Gbps以上大流量攻擊2萬多次，并對違規(guī)業(yè)務IP以及違規(guī)的賬戶進行實時清理。

冰山下的能力五：面向租戶的安全服務

華為云擁有縱跨IaaS、PaaS和SaaS類多項直接面向租戶的云服務。其中，安全服務也是尤為重要的內容。

面向租戶的安全服務，可以粗略分為華為自研的安全能力，以及來自華為云生態(tài)合作伙伴。后者即華為云嚴選商城的安全產品及服務。據(jù)了解，截止到今年7月，華為云已與50家國內外安全伙伴展開合作，在華為云上提供160余項安全產品和服務，覆蓋網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理等領域。

以保障用戶網(wǎng)絡安全和隱私保護為核心，華為云打造出覆蓋網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、主機安全和安全管理五大領域的二十多款安全產品，包括Web應用防火墻、DDoS高防、敏感數(shù)據(jù)保護服務等，幫助用戶抵御網(wǎng)絡攻擊、滿足合規(guī)要求。

在網(wǎng)絡安全領域，如何為業(yè)務筑起一堵網(wǎng)絡安全屏障，讓正常業(yè)務流量不受惡意攻擊流量的影響？過去一年，華為云通過優(yōu)化帶寬資源，采用分布式邊緣計算防護節(jié)點，端到端響應時延下降到20ms，易用性上增強了一鍵式自適應防護能力，平均每天抵御一次100Gbps以上超大流量攻擊，在金融、政府、大企業(yè)、游戲、互聯(lián)網(wǎng)等行業(yè)積累了一定的口碑。

在應用安全領域，華為云Web應用防火墻服務，每天攔截數(shù)十億次攻擊，已累計為數(shù)千個客戶提供防護。在安全防護的同時，發(fā)布了IPv6雙棧、全量日志、專家服務等功能；通過重構集群、跨Region、跨可用區(qū)三重架構，將WAF的SLA提升至99.99%以上；漏洞掃描服務，累計為數(shù)萬個企業(yè)發(fā)現(xiàn)數(shù)百萬個漏洞，引導用戶修復了十余萬個漏洞。

在數(shù)據(jù)安全領域，以保護用戶數(shù)據(jù)為核心，華為云構建了從數(shù)據(jù)訪問、識別分類、防泄漏、審計追溯的完整的數(shù)據(jù)安全體系。2019年，華為云新發(fā)布了敏感數(shù)據(jù)保護服務（SDG），支持GDPR定義的敏感數(shù)據(jù)檢測；支持結構化和非結構化數(shù)據(jù)脫敏；支持基于規(guī)格和自然語義處理的識別，中文識別率達95%，英文識別率達98%；數(shù)據(jù)庫安全服務，作為國內唯一集數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計一體的數(shù)據(jù)庫安全產品，在零售、汽車、教育等多個行業(yè)廣泛使用；數(shù)據(jù)加密服務作為數(shù)據(jù)保護的最后一環(huán)，嵌入20余種云服務中，實現(xiàn)一鍵加密；API一年上億次調用。基于鯤鵬的國密加密方案，可以實現(xiàn)透明無感知加密，由于采用自研ARM芯片加速，性能損耗控制在5%左右。

在主機安全領域，華為云提供主機、容器及程序文件的全方位安全防護方案，保證主機安全可信。過去一年，企業(yè)主機安全服務防護了華為云60%以上、終端云99%以上的主機，累計檢測并修復上百萬漏洞與不安全配置，隔離查殺數(shù)萬病毒木馬；云上動態(tài)網(wǎng)頁防篡改方案，防止網(wǎng)站被篡改，被篡改后自動恢復，充分滿足《公安部82號令》的要求；容器安全服務，具備安全和應用生命周期管理能力，安全能力覆蓋面很廣，CI/CD流水線及微服務使得云原生開發(fā)非常高效。助力華為云容器服務獲得Forrester測評TOP2的優(yōu)異成績。

在安全管理領域，態(tài)勢感知服務作為企業(yè)的安全運營中心，已經為包括華為云、終端云在內的數(shù)百家大型企業(yè)、上萬用戶提供統(tǒng)一的威脅檢測和風險處置平臺，通過大數(shù)據(jù)分析與AI技術，及時發(fā)現(xiàn)云上的各種安全威脅，并聯(lián)動相關服務進行下一步處置；基于最新的安全等保2.0標準，華為云攜手全國優(yōu)質的等保測評伙伴，為客戶提供全流程等保測評服務，已幫助300多個企業(yè)的系統(tǒng)通過了等保測評；華為云SSL證書管理服務，聯(lián)合全球知名數(shù)字證書服務機構，提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務；除此以外，華為云堡壘機服務持續(xù)進行安全加固，并上線自動化運維、數(shù)據(jù)庫運維等增強功能，通過命令/腳本批量執(zhí)行、文件自動分發(fā)、任務編排等加強角色與資源之間的權限管理能力，提高云上企業(yè)的運維工作效率。

二、普惠安全

安全專業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。如何消除企業(yè)上云安全技能匱乏的困境？在華為云看來，降低安全能力的使用門檻，把多年積累的安全專家的能力和經驗內置到云服務的每個細節(jié)中，是一個很好的方法。2020年，在已構造出的完整安全體系基礎上，華為云推出了“普惠安全”計劃：每一個用戶，都可以申請免費或者試用版本的安全服務套餐，以往在專業(yè)版本才有的功能進一步下沉到基礎版，每個服務都力爭在可視化、自動化上向前邁進，通過模板、配置庫、處理建議等方面的設計，讓企業(yè)IT人員“用得起”、“看得見”、“會處理”，讓企業(yè)上云更簡單。

具體都有哪些“普惠安全”行動將推出呢？

1、態(tài)勢感知服務：作為“安全大腦”，基礎版升級為安全服務的默認后臺，在提供基礎安全防護的同時提供安全服務的統(tǒng)一查看與配置入口。

2、Anti-DDoS流量清洗服務：在大陸地區(qū)繼續(xù)提供5Gbps內免費的版本，幫助用戶防止常見的流量攻擊。目前該服務已為10萬多用戶提供防護，全年防御來自198個國家的500多萬次攻擊。

3、開放華為云通過ISO系列認證、GDPR等合規(guī)資質的實踐經驗，為用戶申請類似認證和合規(guī)遵從時提供建議。

4、企業(yè)主機安全服務：提供百萬臺主機免費預裝，讓每個租戶每臺云主機上線前都可選擇加裝安全防護套件，降低被挖礦、暴力破解、勒索等風險。

5、密鑰管理將免費為用戶服務，幫助用戶盡快培養(yǎng)起對核心數(shù)據(jù)加密的使用習慣。

安全牛評

業(yè)務上云是企業(yè)數(shù)字化轉型的一個重要支點，但隨之而來的就是面臨新的供應鏈安全和數(shù)據(jù)安全問題。因此企業(yè)對云服務安全能力的全面準確評估至關重要，而云安全也正在融入并成為云服務的核心競爭力。但是，對于冰山水位線以下90%的云基礎設施安全能力，企業(yè)目前還缺乏系統(tǒng)的、標準化的、高效的評估方法和安全服務水平協(xié)議，這就需要云計算的領導型廠商，不僅僅是要做市場份額的人氣UP主，更是要肩負起引領和推動市場健康發(fā)展的思想領袖的責任。華為作為國內ICT領域的大廠，無論是對傳統(tǒng)的網(wǎng)絡安全，還是云上的安全，都有強大的自研能力支持以及廣泛的合作生態(tài)。以華為的體量，在云安全“引擎蓋以下”的戰(zhàn)略投入是非?？捎^的。這也是華為（以及華為云）在安全領域的重要優(yōu)勢。華為提出的云安全“冰山下”五大能力和“普惠安全”計劃，一方面降低了企業(yè)“上云”的門檻和安全顧慮，同時也為云服務市場和生態(tài)競爭樹立了一個新的安全標桿。