如果用一個(gè)場(chǎng)景來(lái)回顧2019,云計算的普及無(wú)疑是其中最熱的一個(gè)。它一面帶來(lái)高效,另一面也帶來(lái)新的安全挑戰。
企業(yè)是否上云的首要考慮是數據安全。數據是企業(yè)的核心資產(chǎn),特別是如交易信息、用戶(hù)隱私等,更為企業(yè)視為生命。
如何選擇一朵安全可信的云?
從“冰山”下的能力做起,厚積而薄發(fā)
當企業(yè)評估云的安全水平時(shí),往往聚焦在云安全服務(wù)及云服務(wù)的安全特性上。如果把云安全比作“冰山”,那它們屬于“冰山”上的可見(jiàn)部分。而“冰山”下的安全能力,往往不為人所知,但正是這“冰山”下的部分,承載著(zhù)整個(gè)公有云的安全性。
云安全的“冰山”模型
這導致企業(yè)在選擇云的時(shí)候進(jìn)退兩難:不上云,影響效率和成本;上云,又擔心數據泄露。
如何破解這一難題?
華為云正試圖從“冰山”下給出自己的答案。
“冰山”下的能力一:安全合規,從未止步
為給用戶(hù)提供一個(gè)從云平臺到云服務(wù)都安全可信的環(huán)境,華為云將最嚴格的國際安全標準作為目標,不斷對齊并優(yōu)化自身的安全能力,努力搭建出世界一流的安全合規認證體系。
華為云在2019年獲得了哪些國際安全標準的認證和復審呢?
(以下是其中一部分)
- ISO 22301,是全球首個(gè)公認的、衡量企業(yè)服務(wù)連續性能力是否滿(mǎn)足社會(huì )責任和客戶(hù)承諾的唯一標準。(延伸閱讀:華為云獲ISO 22301國際認證,服務(wù)穩定性得到權威認可)
- ISO 27001,是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。
- ISO 27017,是針對云計算信息安全的國際認證,提供了云服務(wù)特有的安全實(shí)踐指南和控制措施,以解決云上的信息安全威脅和風(fēng)險。
- CSA STAR,是針對云安全水平的權威認證,旨在應對與云安全相關(guān)的特定問(wèn)題,協(xié)助云計算服務(wù)商展現其服務(wù)成熟度的解決方案。(延伸閱讀:一連4個(gè)權威認證,華為云全球安全認證再升業(yè)界首家信息安全服務(wù)資質(zhì)(云計算安全一級),由中國信息安全測評中心推出,旨在對云服務(wù)商的安全服務(wù)資格狀況、技術(shù)實(shí)力和云計算安全服務(wù)實(shí)施質(zhì)量等方面進(jìn)行綜合客觀(guān)評定的認證。(延伸閱讀:業(yè)界首家!華為云通過(guò)信息安全服務(wù)資質(zhì)認證)
- 全球唯一獲得TL 9000認證的云服務(wù)商。TL 9000有機整合了ISO 9000及眾多行業(yè)標準,形成的一套完整統一的質(zhì)量管理體系,分質(zhì)量體系要求和質(zhì)量體系指標。(延伸閱讀:華為云成為全球唯一通過(guò)TL9000的云服務(wù)商)
- 獲得云服務(wù)用戶(hù)數據保護能力增強級認證,體現了華為云在用戶(hù)數據保護上的強大實(shí)力。
- 通過(guò)SOC2隱私性審計,成為中國第一家通過(guò)該審計的IaaS云服務(wù)商。(延伸閱讀:業(yè)界首家!華為云通過(guò)SOC2隱私性審計華為云通過(guò)信息安全服務(wù)資質(zhì)認證)
- ISO/IEC 27701標準,旨在幫助組織機構保護和控制所處理的個(gè)人信息。標準將隱私保護的原則、理念和方法,融入到網(wǎng)絡(luò )安全和隱私保護體系中,給企業(yè)提供了最佳實(shí)踐和指導建議。(延伸閱讀:值得信賴(lài)!華為云獲BSI全球首批ISO/IEC27701認證)
- ISO/IEC 29151標準,旨在防止個(gè)人隱私數據被濫用、泄露、更改、破壞等,為企業(yè)保護用戶(hù)個(gè)人隱私數據提供了大量的最佳實(shí)踐。
- BS 10012標準,是全球首部個(gè)人隱私保護的標準。因為按歐盟通用數據保護條例(GDPR)進(jìn)行了更新,所以該標準既要求企業(yè)滿(mǎn)足國際通用的個(gè)人信息保護標準,又要求企業(yè)符合GDPR的要求。
截止目前,華為云在全球獲得了50多個(gè)權威認證。
華為云截止2019年12月合規認證進(jìn)展一覽
“冰山”下的能力二:優(yōu)秀實(shí)踐,化為標準
華為云為用戶(hù)提供安全可信的云服務(wù)的同時(shí),也不斷把優(yōu)秀安全實(shí)踐變?yōu)樾袠I(yè)標準。
華為云參與制定了多個(gè)云計算、云安全相關(guān)的國家標準;在CSA云安全聯(lián)盟牽頭成立了混合云安全工作組,在混合云領(lǐng)域積極貢獻自己的安全能力。
華為云還發(fā)布了8部安全白皮書(shū),在海內外引起了較大反響:
- 今年7月,發(fā)布了國內首部隱私保護白皮書(shū):《華為云隱私保護白皮書(shū)》;(延伸閱讀:華為國內首發(fā)云隱私保護白皮書(shū),你的數據你做主)
- 今年9月,發(fā)布了業(yè)界首部可信白皮書(shū):《華為云可信白皮書(shū)》;
- 針對新加坡個(gè)人數據保護法(PDPA),發(fā)布《華為云新加坡PDPA合規性說(shuō)明》;
- 針對馬來(lái)西亞個(gè)人數據保護(PDPA),發(fā)布《華為云馬來(lái)西亞PDPA合規性說(shuō)明》;
- 針對巴西通用數據保護法(LGPD),發(fā)布《華為云巴西LGPD合規性說(shuō)明》;
- 針對香港金融管理局監管要求(HKMA),發(fā)布《華為云香港金融行業(yè)監管要求合規性說(shuō)明》;
- 針對新加坡金融監管要求(ABS&MAS),發(fā)布《華為云新加坡金融行業(yè)監管要求合規性說(shuō)明》;
- 針對醫療行業(yè)標準HIPAA,發(fā)布《華為云HIPAA合規性說(shuō)明》。
- “冰山”下的能力三:安全保障,隨時(shí)響應
華為云構建了7×24小時(shí)不間斷的安全保障體系,涵蓋DDoS攻擊、輿情監控、平臺安全運維、租戶(hù)安全事件響應等,確保云上業(yè)務(wù)的可用、可靠和快速恢復。(延伸閱讀:華為云提供Fastjson高危漏洞的檢測和防護)
該體系協(xié)助租戶(hù)處理各類(lèi)入侵事件等每月數百次;發(fā)送各類(lèi)安全預警千余次;成功抵御10Gbps以上大流量攻擊2萬(wàn)多次,并對違規業(yè)務(wù)IP以及違規的賬戶(hù)進(jìn)行實(shí)時(shí)清理。
華為云平臺7×24小時(shí)安全保障體系
從上云安全到安全地使用云
以保障用戶(hù)網(wǎng)絡(luò )安全和隱私保護為核心,華為云打造出覆蓋網(wǎng)絡(luò )安全、應用安全、數據安全、主機安全和安全管理五大領(lǐng)域的二十多款安全產(chǎn)品,包括Web應用防火墻、DDoS高防、敏感數據保護服務(wù)等,幫助用戶(hù)抵御網(wǎng)絡(luò )攻擊、滿(mǎn)足合規要求。
網(wǎng)絡(luò )安全領(lǐng)域 :無(wú)懼大流量攻擊
網(wǎng)絡(luò )是業(yè)務(wù)天然的邊際,網(wǎng)絡(luò )內和網(wǎng)絡(luò )外,是兩個(gè)不同的世界。
如何為業(yè)務(wù)筑起一堵網(wǎng)絡(luò )安全屏障,讓正常業(yè)務(wù)流量不受惡意攻擊流量的影響?
過(guò)去一年,華為云DDoS高防服務(wù)苦練內功,通過(guò)優(yōu)化帶寬資源,采用分布式邊緣計算防護節點(diǎn),端到端響應時(shí)延下降到20ms,易用性上增強了一鍵式自適應防護能力,平均每天抵御一次100Gbps以上超大流量攻擊,在金融、政府、大企業(yè)、游戲、互聯(lián)網(wǎng)等行業(yè)積累了口碑。
WAF的極致高可靠性設計
應用安全領(lǐng)域:Web防護和漏洞掃描兩不誤
華為云Web應用防火墻服務(wù),在攻防實(shí)踐中實(shí)現了裂變式的發(fā)展,每天攔截數十億次攻擊,較2018年增長(cháng)數十倍,已累計為數千個(gè)客戶(hù)提供防護。在安全防護的同時(shí),發(fā)布了IPv6雙棧、全量日志、專(zhuān)家服務(wù)等功能;通過(guò)重構集群、跨Region、跨可用區三重架構,將WAF的SLA提升至99.99%以上。(延伸閱讀:華為云Web應用防火墻首次參與排名即進(jìn)入領(lǐng)先者行列)
漏洞掃描服務(wù)在2019年用戶(hù)數較2018年增長(cháng)了十余倍,累計為數萬(wàn)個(gè)企業(yè)發(fā)現數百萬(wàn)個(gè)漏洞,引導用戶(hù)修復了十余萬(wàn)個(gè)漏洞,降低了系統的漏洞風(fēng)險。
數據安全領(lǐng)域:全生命周期數據保護體系
以保護用戶(hù)數據為核心,華為云構建了從數據訪(fǎng)問(wèn)、識別分類(lèi)、防泄漏、審計追溯的完整的數據安全體系。
基于全生命周期的云上數據安全防護方案
- 2019年,華為云新發(fā)布了敏感數據保護服務(wù)(SDG),支持GDPR定義的敏感數據檢測;支持結構化和非結構化數據脫敏;支持基于規格和自然語(yǔ)義處理的識別,中文識別率達95%,英文識別率達98%,業(yè)界領(lǐng)先,助力華為云成為首個(gè)獲得ISO27701認證的云平臺。
- 數據庫安全服務(wù),作為國內唯一集數據庫防火墻、數據脫敏、數據庫審計一體的數據庫安全產(chǎn)品,在零售、汽車(chē)、教育等多個(gè)行業(yè)廣泛使用。
- 數據加密服務(wù)作為數據保護的最后一環(huán),嵌入20余種云服務(wù)中,實(shí)現一鍵加密;API一年上億次調用,累計服務(wù)1萬(wàn)多用戶(hù)。基于鯤鵬的國密加密方案,可以實(shí)現透明無(wú)感知加密,由于采用自研ARM芯片加速,性能損耗控制在5%左右,非常適合應用于金融、政務(wù)等關(guān)鍵基礎設施。
華為云數據安全體系架構
主機安全領(lǐng)域 :保護主機和容器安全
華為云提供主機、容器及程序文件的全方位安全防護方案,保證主機安全可信。
過(guò)去一年,企業(yè)主機安全服務(wù)防護了華為云60%以上、終端云99%以上的主機,累計檢測并修復上百萬(wàn)漏洞與不安全配置,隔離查殺數萬(wàn)病毒木馬,守護著(zhù)百萬(wàn)華為云用戶(hù)和數億終端用戶(hù)。
業(yè)界首發(fā)云上動(dòng)態(tài)網(wǎng)頁(yè)防篡改方案,防止網(wǎng)站被篡改,被篡改后自動(dòng)恢復,充分滿(mǎn)足《公安部82號令》的要求,廣泛應用于政府官網(wǎng)、企業(yè)門(mén)戶(hù)、新聞網(wǎng)站、電子商務(wù)網(wǎng)站等。
華為云網(wǎng)頁(yè)防篡改方案
華為云在2019年也迎來(lái)了業(yè)界首款容器安全服務(wù)的轉商。其具備強大的安全和應用生命周期管理能力,安全能力覆蓋面很廣,CI/CD流水線(xiàn)及微服務(wù)使得云原生開(kāi)發(fā)非常高效。助力華為云容器服務(wù)獲得Forrester測評TOP2的優(yōu)異成績(jì)。
安全管理:安全可視可控可管
再多的安全服務(wù)也需要運營(yíng)起來(lái)。可視化的統一安全管理平臺,無(wú)疑會(huì )大大減少用戶(hù)的安全管理負擔。
- 態(tài)勢感知服務(wù)作為企業(yè)的安全運營(yíng)中心,已經(jīng)為包括華為云、終端云在內的數百家大型企業(yè)、上萬(wàn)用戶(hù)提供統一的威脅檢測和風(fēng)險處置平臺,通過(guò)大數據分析與AI技術(shù),及時(shí)發(fā)現云上的各種安全威脅,并聯(lián)動(dòng)相關(guān)服務(wù)進(jìn)行下一步處置。(延伸閱讀:安全攻擊一目了然,華為云態(tài)勢感知服務(wù)正式發(fā)布)
- 基于最新的安全等保2.0標準,華為云攜手全國優(yōu)質(zhì)的等保測評伙伴,為客戶(hù)提供全流程等保測評服務(wù)。目前,已幫助300多個(gè)企業(yè)的系統通過(guò)了等保測評。(延伸閱讀:等級保護2.0發(fā)布!過(guò)了4級的華為云如何幫助你?)
- 華為云SSL證書(shū)管理服務(wù),聯(lián)合全球知名數字證書(shū)服務(wù)機構,提供從證書(shū)申請、管理、推送部署等一站式證書(shū)的全生命周期管理的服務(wù),提升網(wǎng)站安全性、美譽(yù)度和搜索排名,目前服務(wù)了金融、電商、互聯(lián)網(wǎng)、汽車(chē)等十多個(gè)行業(yè)的官方網(wǎng)站。
- 除此以外,華為云堡壘機服務(wù)在過(guò)去一年,持續進(jìn)行安全加固,并上線(xiàn)自動(dòng)化運維、數據庫運維等增強功能,通過(guò)命令/腳本批量執行、文件自動(dòng)分發(fā)、任務(wù)編排等加強角色與資源之間的權限管理能力,提高云上企業(yè)的運維工作效率。
展望2020|“普惠安全”讓企業(yè)上云更簡(jiǎn)單
安全專(zhuān)業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。
如何消除企業(yè)上云安全技能匱乏的困境?
在華為云看來(lái),降低安全能力的使用門(mén)檻,把多年積累的安全專(zhuān)家的能力和經(jīng)驗內置到云服務(wù)的每個(gè)細節中,是一個(gè)很好的方法。
2020年,在已構造出的完整安全體系基礎上,華為云推出了“普惠安全”計劃:每一個(gè)用戶(hù),都可以申請免費或者試用版本的安全服務(wù)套餐,以往在專(zhuān)業(yè)版本才有的功能進(jìn)一步下沉到基礎版,每個(gè)服務(wù)都力爭在可視化、自動(dòng)化上向前邁進(jìn),通過(guò)模板、配置庫、處理建議等方面的設計,讓企業(yè)IT人員“用得起”、“看得見(jiàn)”、“會(huì )處理”,讓企業(yè)上云更簡(jiǎn)單。
具體都有哪些“普惠安全”行動(dòng)將推出呢?
- 態(tài)勢感知服務(wù):作為“安全大腦”,基礎版升級為安全服務(wù)的默認后臺,在提供基礎安全防護的同時(shí)提供安全服務(wù)的統一查看與配置入口。
- Anti-DDoS流量清洗服務(wù):在大陸地區繼續提供5Gbps內免費的版本,幫助用戶(hù)防止常見(jiàn)的流量攻擊。目前該服務(wù)已為10萬(wàn)多用戶(hù)提供防護,全年防御來(lái)自198個(gè)國家的500多萬(wàn)次攻擊。
- 開(kāi)放華為云通過(guò)ISO系列認證、GDPR等合規資質(zhì)的實(shí)踐經(jīng)驗,為用戶(hù)申請類(lèi)似認證和合規遵從時(shí)提供建議。
- 企業(yè)主機安全服務(wù):提供百萬(wàn)臺主機免費預裝,讓每個(gè)租戶(hù)每臺云主機上線(xiàn)前都可選擇加裝安防護套件,降低被挖礦、暴力破解、勒索等風(fēng)險。
- 密鑰管理將免費為用戶(hù)服務(wù),幫助用戶(hù)盡快培養起對核心數據加密的使用習慣。
結語(yǔ)
燕子聲聲里,相知又一年。過(guò)去的日子,華為云安全團隊夙興夜寐,只為你安心用云,你一定感受到了這份用心,你用飛速成長(cháng)回饋我們的辛勞付出。感謝過(guò)去一年的選擇和信賴(lài),未來(lái)一年,我們將繼續努力,把華為云打造得更安全,讓你在享受云計算紅利的同時(shí),遠離云上的螭魅罔兩。
