从“浮云”到“冰山”:华为云安全的绝世“五功”
作者:星期二, 二月 18, 20201

当企业评估云的安全水平时,往往聚焦在云安全服务及云服务的安全特性上,而忽略了云安全中更重要的部分——云基础设施安全。如果把云安全比作“冰山”,那它们属于“冰山”上的可见部分。而“冰山”水下90%部分的安全能力,往往不为人所知,但正是这“冰山”下的部分,承载着整个公有云的安全性。

这也是企业选择或者评估云服务安全性时最容易困惑或忽视的问题:云服务水面以下是棉花还是秤砣?一旦岁月不够静好,云服务会如“浮云”般抽风还是如“冰山”般破浪前行?隐藏在云安全冰山水位线以下的90%,如何演化,如何评估?安全牛近日与华为云的相关负责人进行了一轮沟通,华为云的一个安全理念颇为有趣,叫“从冰山下到普惠安全”,可以给想上云或换云的厂商一些有益的借鉴。

一、从冰山下的安全做起

华为云认为,安全得从最底座做起,也就是不仅关注冰山下的“安全服务和特性”,更要关注冰山下的各种基础的安全能力的建设,才能给云用户提供扎实的安全防护。冰山下的安全能力都由哪些能力组成的呢?

冰山下的能力一:云平台安全合规

“安全合规”是指组织要满足所在国家和区域的法律法规中对安全的相关要求以及行业相关标准的要求。它有两方面的意义:一方面,满足这些要求,就满足了基本的安全规范,是保障组织的网络安全的基础;另一方面,不满足这些要求,则可能面临法律风险或者进入不了行业门槛。所以,企业能否持续获得权威的安全合规认证,是衡量企业在网络安全投入以及安全能力的重要指标之一。为给用户提供一个从云平台到云服务都安全可信的环境,华为云将最严格的国际安全标准作为目标,不断对齐并优化自身的安全能力,努力搭建出世界一流的安全合规认证体系。仅2019年,华为云就获得和重新审核通过了这些合规认证:

• ISO 22301,是全球首个公认的、衡量企业服务连续性能力是否满足社会责任和客户承诺的唯一标准。• ISO 27001,是目前国际上被广泛接受和应用的信息安全管理体系认证标准。• ISO 27017,是针对云计算信息安全的国际认证,提供了云服务特有的安全实践指南和控制措施,以解决云上的信息安全威胁和风险。

• CSA STAR,是针对云安全水平的权威认证,旨在应对与云安全相关的特定问题,协助云计算服务商展现其服务成熟度的解决方案。

• 业界首家信息安全服务资质(云计算安全一级),由中国信息安全测评中心推出,旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证。

• 全球唯一获得TL 9000认证的云服务商。TL 9000有机整合了ISO 9000及众多行业标准,形成的一套完整统一的质量管理体系,分质量体系要求和质量体系指标。

• 获得云服务用户数据保护能力增强级认证,体现了华为云在用户数据保护上的强大实力。

• 通过SOC2隐私性审计,成为中国第一家通过该审计的IaaS云服务商。

• 2019年11月,在由国际隐私专业协会(IAPP)主办,比利时布鲁塞尔举行的欧洲数据峰会上,华为云获得由BSI(英国标准协会)全球认证部进行认证并颁发,全球首批 ISO/IEC 27701:2019隐私信息管理体系认证证书。ISO/IEC 27701标准,旨在帮助组织机构保护和控制所处理的个人信息。标准将隐私保护的原则、理念和方法,融入到网络安全和隐私保护体系中,给企业提供了最佳实践和指导建议。

• ISO/IEC 29151标准,旨在防止个人隐私数据被滥用、泄露、更改、破坏等,为企业保护用户个人隐私数据提供了大量的最佳实践。

• BS 10012标准,是全球首部个人隐私保护的标准。因为按欧盟通用数据保护条例(GDPR)进行了更新,所以该标准既要求企业满足国际通用的个人信息保护标准,又要求企业符合GDPR的要求。

截止目前,华为云在全球获得了50多个权威认证,这也是华为云在安全合规能力上的一种体现。

华为云获得的部分全球性合规认证

冰山下的能力二:基础设施安全

基础设施安全是华为多维全栈的云安全防护体系的核心。包括物理与环境安全、网络安全、平台安全、API应用安全以及数据安全五部分。物理与环境安全这里暂且不做过多介绍。

  • 网络安全

华为云的思路是通过划分多个安全区域进行物理和逻辑隔离,以及内网边界防护两个角度实现。

在每个安全区域内,根据所承载业务的隔离要求划分不同网络平面,以保证不同业务的网络通信流量得到合理且安全的分流。

内网边界防护主要有三个能力,抗D、下一代防火墙&入侵防御,WAF。

产品背后高级边界防护的实现,华为自研的弹性计算服务(ECS)和虚拟私有云服务(VPC)可谓功不可没。华为云使用ECS为租户提供包括操作系统安全、虚拟机安全(如镜像加固、网络与平台隔离、IP/MAC 仿冒控制、安全组)等安全能力。而通过VPC,用户可以自主配置和管理隔离的虚拟网络环境,并通过多项和安全相关的网络功能提升云中资源的安全性。

  • 平台安全

作为华为云平台的操作系统,华为统一虚拟化平台通过将服务器物理资源,如CPU、内存、I/O等,转变为一组可统一管理、灵活调度和动态分配的逻辑资源。并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。

华为云对主机操作系统进行了最小化裁剪,并对服务做安全加固,同时对接入主机操作系统的管理员执行严格的权限访问控制(包括双因子认证),以及全面的日志审计。

  • API应用安全

API的防护是通过华为自研的API网关实现。

API网关主要在身份认证及鉴权(集成华为云IAM)、传输(TLS 1.2)、边界(结合网络安全的边界防护能力,并提供API接口注册、访问控制列表规则限制、防重放、防爆破等功能)、API调用控制(秒级)四个场景进行安全防护。

  • 数据安全

遵循数据安全生命周期管理的业界标准,在身份认证、访问控制、数据隔离、传输安全、存储安全、数据删除与销毁、数据防泄漏等方面进行控制,保障租户对其数据的隐私权、所有权和控制权。

冰山下的能力三:优秀实践化为标准

华为云为用户提供安全可信的云服务的同时,也不断把优秀安全实践变为行业标准。华为云参与制定了多个云计算、云安全相关的国家标准。2018年8月,由四川大学牵头、华为云等参与制定的两项云安全国家标准获得“中国标准创新贡献奖”,华为云是国内唯一获得该奖项的云服务商。这两项标准,也是我国首批发布的云安全国家标准。华为云还发布了8部安全白皮书,在海内外引起了较大反响:

▸今年7月,发布了国内首部隐私保护白皮书:《华为云隐私保护白皮书》;(延伸阅读:华为国内首发云隐私保护白皮书,你的数据你做主)

▸今年9月,发布了业界首部可信白皮书:《华为云可信白皮书》;

▸针对新加坡个人数据保护法(PDPA),发布《华为云新加坡PDPA合规性说明》;

▸针对马来西亚个人数据保护(PDPA),发布《华为云马来西亚PDPA合规性说明》;

▸针对巴西通用数据保护法(LGPD),发布《华为云巴西LGPD合规性说明》;

▸针对香港金融管理局监管要求(HKMA),发布《华为云香港金融行业监管要求合规性说明》;

▸针对新加坡金融监管要求(ABS&MAS),发布《华为云新加坡金融行业监管要求合规性说明》;

▸针对医疗行业标准HIPAA,发布《华为云HIPAA合规性说明》。

冰山下的能力四:安全保障体系

华为云构建了7×24小时不间断的安全保障体系,涵盖DDoS攻击、舆情监控、平台安全运维、租户安全事件响应等,确保云上业务的可用、可靠和快速恢复。

该体系协助租户处理各类入侵事件等每月数百次;发送各类安全预警千余次;成功抵御10Gbps以上大流量攻击2万多次,并对违规业务IP以及违规的账户进行实时清理。

冰山下的能力五:面向租户的安全服务

华为云拥有纵跨IaaS、PaaS和SaaS类多项直接面向租户的云服务。其中,安全服务也是尤为重要的内容。

面向租户的安全服务,可以粗略分为华为自研的安全能力,以及来自华为云生态合作伙伴。后者即华为云严选商城的安全产品及服务。据了解,截止到今年7月,华为云已与50家国内外安全伙伴展开合作,在华为云上提供160余项安全产品和服务,覆盖网络安全、主机安全、应用安全、数据安全、安全管理等领域。

以保障用户网络安全和隐私保护为核心,华为云打造出覆盖网络安全、应用安全、数据安全、主机安全和安全管理五大领域的二十多款安全产品,包括Web应用防火墙、DDoS高防、敏感数据保护服务等,帮助用户抵御网络攻击、满足合规要求。

在网络安全领域,如何为业务筑起一堵网络安全屏障,让正常业务流量不受恶意攻击流量的影响?过去一年,华为云通过优化带宽资源,采用分布式边缘计算防护节点,端到端响应时延下降到20ms,易用性上增强了一键式自适应防护能力,平均每天抵御一次100Gbps以上超大流量攻击,在金融、政府、大企业、游戏、互联网等行业积累了一定的口碑。

在应用安全领域,华为云Web应用防火墙服务,每天拦截数十亿次攻击,已累计为数千个客户提供防护。在安全防护的同时,发布了IPv6双栈、全量日志、专家服务等功能;通过重构集群、跨Region、跨可用区三重架构,将WAF的SLA提升至99.99%以上;漏洞扫描服务,累计为数万个企业发现数百万个漏洞,引导用户修复了十余万个漏洞。

在数据安全领域,以保护用户数据为核心,华为云构建了从数据访问、识别分类、防泄漏、审计追溯的完整的数据安全体系。2019年,华为云新发布了敏感数据保护服务(SDG),支持GDPR定义的敏感数据检测;支持结构化和非结构化数据脱敏;支持基于规格和自然语义处理的识别,中文识别率达95%,英文识别率达98%;数据库安全服务,作为国内唯一集数据库防火墙、数据脱敏、数据库审计一体的数据库安全产品,在零售、汽车、教育等多个行业广泛使用;数据加密服务作为数据保护的最后一环,嵌入20余种云服务中,实现一键加密;API一年上亿次调用。基于鲲鹏的国密加密方案,可以实现透明无感知加密,由于采用自研ARM芯片加速,性能损耗控制在5%左右。

在主机安全领域,华为云提供主机、容器及程序文件的全方位安全防护方案,保证主机安全可信。过去一年,企业主机安全服务防护了华为云60%以上、终端云99%以上的主机,累计检测并修复上百万漏洞与不安全配置,隔离查杀数万病毒木马;云上动态网页防篡改方案,防止网站被篡改,被篡改后自动恢复,充分满足《公安部82号令》的要求;容器安全服务,具备安全和应用生命周期管理能力,安全能力覆盖面很广,CI/CD流水线及微服务使得云原生开发非常高效。助力华为云容器服务获得Forrester测评TOP2的优异成绩。

在安全管理领域,态势感知服务作为企业的安全运营中心,已经为包括华为云、终端云在内的数百家大型企业、上万用户提供统一的威胁检测和风险处置平台,通过大数据分析与AI技术,及时发现云上的各种安全威胁,并联动相关服务进行下一步处置;基于最新的安全等保2.0标准,华为云携手全国优质的等保测评伙伴,为客户提供全流程等保测评服务,已帮助300多个企业的系统通过了等保测评;华为云SSL证书管理服务,联合全球知名数字证书服务机构,提供从证书申请、管理、推送部署等一站式证书的全生命周期管理的服务;除此以外,华为云堡垒机服务持续进行安全加固,并上线自动化运维、数据库运维等增强功能,通过命令/脚本批量执行、文件自动分发、任务编排等加强角色与资源之间的权限管理能力,提高云上企业的运维工作效率。

二、普惠安全

安全专业度高、安全人才难求是企业普遍面临的情况。如何消除企业上云安全技能匮乏的困境?在华为云看来,降低安全能力的使用门槛,把多年积累的安全专家的能力和经验内置到云服务的每个细节中,是一个很好的方法。2020年,在已构造出的完整安全体系基础上,华为云推出了“普惠安全”计划:每一个用户,都可以申请免费或者试用版本的安全服务套餐,以往在专业版本才有的功能进一步下沉到基础版,每个服务都力争在可视化、自动化上向前迈进,通过模板、配置库、处理建议等方面的设计,让企业IT人员“用得起”、“看得见”、“会处理”,让企业上云更简单。

具体都有哪些“普惠安全”行动将推出呢?

1、态势感知服务:作为“安全大脑”,基础版升级为安全服务的默认后台,在提供基础安全防护的同时提供安全服务的统一查看与配置入口。

2、Anti-DDoS流量清洗服务:在大陆地区继续提供5Gbps内免费的版本,帮助用户防止常见的流量攻击。目前该服务已为10万多用户提供防护,全年防御来自198个国家的500多万次攻击。

3、开放华为云通过ISO系列认证、GDPR等合规资质的实践经验,为用户申请类似认证和合规遵从时提供建议。

4、企业主机安全服务:提供百万台主机免费预装,让每个租户每台云主机上线前都可选择加装安全防护套件,降低被挖矿、暴力破解、勒索等风险。

5、密钥管理将免费为用户服务,帮助用户尽快培养起对核心数据加密的使用习惯。

安全牛评

业务上云是企业数字化转型的一个重要支点,但随之而来的就是面临新的供应链安全和数据安全问题。因此企业对云服务安全能力的全面准确评估至关重要,而云安全也正在融入并成为云服务的核心竞争力。但是,对于冰山水位线以下90%的云基础设施安全能力,企业目前还缺乏系统的、标准化的、高效的评估方法和安全服务水平协议,这就需要云计算的领导型厂商,不仅仅是要做市场份额的人气UP主,更是要肩负起引领和推动市场健康发展的思想领袖的责任。华为作为国内ICT领域的大厂,无论是对传统的网络安全,还是云上的安全,都有强大的自研能力支持以及广泛的合作生态。以华为的体量,在云安全“引擎盖以下”的战略投入是非常可观的。这也是华为(以及华为云)在安全领域的重要优势。华为提出的云安全“冰山下”五大能力和“普惠安全”计划,一方面降低了企业“上云”的门槛和安全顾虑,同时也为云服务市场和生态竞争树立了一个新的安全标杆。

相关阅读

华为做的是怎样的一个网络安全

华为HiSec品牌诞生 SDSec为重要支撑

 

 


相关文章

没有相关文章!

写一条评论

 

 

1条评论

kernelchen 2020-03-05 11:08

50多项安全认证,每一项都不是轻松的。不知道安全证书护航之下,技术加固能力是否持续跟进~