當企業(yè)評估云的安全水平時，往往聚焦在云安全服務(wù)及云服務(wù)的安全特性上，而忽略了云安全中更重要的部分——云基礎(chǔ)設(shè)施安全。如果把云安全比作“冰山”，那它們屬于“冰山”上的可見部分。而“冰山”水下 90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

這也是企業(yè)選擇或者評估云服務(wù)安全性時最容易困惑或忽視的問題：云服務(wù)水面以下是棉花還是秤砣？一旦歲月不夠靜好，云服務(wù)會如“浮云”般抽風還是如“冰山”般破浪前行？隱藏在云安全冰山水位線以下的 90%，如何演化，如何評估？安全牛近日與華為云的相關(guān)負責人進行了一輪溝通，華為云的一個安全理念頗為有趣，叫“從冰山下到普惠安全”，可以給想上云或換云的廠商一些有益的借鑒。

一、從冰山下的安全做起

華為云認為，安全得從最底座做起，也就是不僅關(guān)注冰山下的“安全服務(wù)和特性”，更要關(guān)注冰山下的各種基礎(chǔ)的安全能力的建設(shè)，才能給云用戶提供扎實的安全防護。冰山下的安全能力都由哪些能力組成的呢？

1

冰山下的能力一：云平臺安全合規(guī)

“安全合規(guī)”是指組織要滿足所在國家和區(qū)域的法律法規(guī)中對安全的相關(guān)要求以及行業(yè)相關(guān)標準的要求。它有兩方面的意義:一方面，滿足這些要求，就滿足了基本的安全規(guī)范，是保障組織的網(wǎng)絡(luò)安全的基礎(chǔ)；另一方面，不滿足這些要求，則可能面臨法律風險或者進入不了行業(yè)門檻。所以，企業(yè)能否持續(xù)獲得權(quán)威的安全合規(guī)認證，是衡量企業(yè)在網(wǎng)絡(luò)安全投入以及安全能力的重要指標之一。

為給用戶提供一個從云平臺到云服務(wù)都安全可信的環(huán)境，華為云將最嚴格的國際安全標準作為目標，不斷對齊并優(yōu)化自身的安全能力，努力搭建出世界一流的安全合規(guī)認證體系。僅 2019 年，華為云就獲得和重新審核通過了這些合規(guī)認證：

? ISO 22301，是全球首個公認的、衡量企業(yè)服務(wù)連續(xù)性能力是否滿足社會責任和客戶承諾的唯一標準。

? ISO 27001，是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。

? ISO 27017，是針對云計算信息安全的國際認證，提供了云服務(wù)特有的安全實踐指南和控制措施，以解決云上的信息安全威脅和風險。

? CSA STAR，是針對云安全水平的權(quán)威認證，旨在應對與云安全相關(guān)的特定問題，協(xié)助云計算服務(wù)商展現(xiàn)其服務(wù)成熟度的解決方案。

? 業(yè)界首家信息安全服務(wù)資質(zhì)（云計算安全一級），由中國信息安全測評中心推出，旨在對云服務(wù)商的安全服務(wù)資格狀況、技術(shù)實力和云計算安全服務(wù)實施質(zhì)量等方面進行綜合客觀評定的認證。

? 全球唯一獲得 TL 9000 認證的云服務(wù)商。TL 9000 有機整合了 ISO 9000 及眾多行業(yè)標準，形成的一套完整統(tǒng)一的質(zhì)量管理體系，分質(zhì)量體系要求和質(zhì)量體系指標。

? 獲得云服務(wù)用戶數(shù)據(jù)保護能力增強級認證，體現(xiàn)了華為云在用戶數(shù)據(jù)保護上的強大實力。

? 通過 SOC2 隱私性審計，成為中國第一家通過該審計的 IaaS 云服務(wù)商。

? 2019 年 11 月，在由國際隱私專業(yè)協(xié)會（IAPP）主辦，比利時布魯塞爾舉行的歐洲數(shù)據(jù)峰會上，華為云獲得由 BSI（英國標準協(xié)會）全球認證部進行認證并頒發(fā)，全球首批 ISO/IEC 27701:2019 隱私信息管理體系認證證書。ISO/IEC 27701 標準，旨在幫助組織機構(gòu)保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法，融入到網(wǎng)絡(luò)安全和隱私保護體系中，給企業(yè)提供了最佳實踐和指導建議。

? ISO/IEC 29151 標準，旨在防止個人隱私數(shù)據(jù)被濫用、泄露、更改、破壞等，為企業(yè)保護用戶個人隱私數(shù)據(jù)提供了大量的最佳實踐。

? BS 10012 標準，是全球首部個人隱私保護的標準。因為按歐盟通用數(shù)據(jù)保護條例（GDPR）進行了更新，所以該標準既要求企業(yè)滿足國際通用的個人信息保護標準，又要求企業(yè)符合 GDPR 的要求。

截止目前，華為云在全球獲得了 50 多個權(quán)威認證，這也是華為云在安全合規(guī)能力上的一種體現(xiàn)。

華為云獲得的部分全球性合規(guī)認證

2

冰山下的能力二：基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全是華為多維全棧的云安全防護體系的核心。包括物理與環(huán)境安全、網(wǎng)絡(luò)安全、平臺安全、API 應用安全以及數(shù)據(jù)安全五部分。

物理與環(huán)境安全這里暫且不做過多介紹。

網(wǎng)絡(luò)安全

華為云的思路是通過劃分多個安全區(qū)域進行物理和邏輯隔離，以及內(nèi)網(wǎng)邊界防護兩個角度實現(xiàn)。

在每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，以保證不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流。

內(nèi)網(wǎng)邊界防護主要有三個能力，抗 D、下一代防火墻 &入侵防御，WAF。

產(chǎn)品背后高級邊界防護的實現(xiàn)，華為自研的彈性計算服務(wù)（ECS）和虛擬私有云服務(wù)（VPC）可謂功不可沒。華為云使用 ECS 為租戶提供包括操作系統(tǒng)安全、虛擬機安全（如鏡像加固、網(wǎng)絡(luò)與平臺隔離、IP/MAC 仿冒控制、安全組）等安全能力。而通過 VPC，用戶可以自主配置和管理隔離的虛擬網(wǎng)絡(luò)環(huán)境，并通過多項和安全相關(guān)的網(wǎng)絡(luò)功能提升云中資源的安全性。

平臺安全

作為華為云平臺的操作系統(tǒng)，華為統(tǒng)一虛擬化平臺通過將服務(wù)器物理資源，如 CPU、內(nèi)存、I/O 等，轉(zhuǎn)變?yōu)橐唤M可統(tǒng)一管理、靈活調(diào)度和動態(tài)分配的邏輯資源。并基于這些邏輯資源，在單個物理服務(wù)器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境。

華為云對主機操作系統(tǒng)進行了最小化裁剪，并對服務(wù)做安全加固，同時對接入主機操作系統(tǒng)的管理員執(zhí)行嚴格的權(quán)限訪問控制（包括雙因子認證），以及全面的日志審計。

API 應用安全

API 的防護是通過華為自研的 API 網(wǎng)關(guān)實現(xiàn)。

API 網(wǎng)關(guān)主要在身份認證及鑒權(quán)（集成華為云 IAM）、傳輸（TLS 1.2）、邊界（結(jié)合網(wǎng)絡(luò)安全的邊界防護能力，并提供 API 接口注冊、訪問控制列表規(guī)則限制、防重放、防爆破等功能）、API 調(diào)用控制（秒級）四個場景進行安全防護。

數(shù)據(jù)安全

遵循數(shù)據(jù)安全生命周期管理的業(yè)界標準，在身份認證、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除與銷毀、數(shù)據(jù)防泄漏等方面進行控制，保障租戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)。

3

冰山下的能力三：優(yōu)秀實踐化為標準

華為云為用戶提供安全可信的云服務(wù)的同時，也不斷把優(yōu)秀安全實踐變?yōu)樾袠I(yè)標準。華為云參與制定了多個云計算、云安全相關(guān)的國家標準。2018 年 8 月，由四川大學牽頭、華為云等參與制定的兩項云安全國家標準獲得“中國標準創(chuàng)新貢獻獎”，華為云是國內(nèi)唯一獲得該獎項的云服務(wù)商。這兩項標準，也是我國首批發(fā)布的云安全國家標準。

4

冰山下的能力四：安全保障體系

華為云構(gòu)建了 7×24 小時不間斷的安全保障體系，涵蓋 DDoS 攻擊、輿情監(jiān)控、平臺安全運維、租戶安全事件響應等，確保云上業(yè)務(wù)的可用、可靠和快速恢復。

該體系協(xié)助租戶處理各類入侵事件等每月數(shù)百次；發(fā)送各類安全預警千余次；成功抵御 10Gbps 以上大流量攻擊 2 萬多次，并對違規(guī)業(yè)務(wù) IP 以及違規(guī)的賬戶進行實時清理。

5

冰山下的能力五：面向租戶的安全服務(wù)

華為云擁有縱跨 IaaS、PaaS 和 SaaS 類多項直接面向租戶的云服務(wù)。其中，安全服務(wù)也是尤為重要的內(nèi)容。

面向租戶的安全服務(wù)，可以粗略分為華為自研的安全能力，以及來自華為云生態(tài)合作伙伴。后者即華為云嚴選商城的安全產(chǎn)品及服務(wù)。據(jù)了解，截止到今年 7 月，華為云已與 50 家國內(nèi)外安全伙伴展開合作，在華為云上提供 160 余項安全產(chǎn)品和服務(wù)，覆蓋網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理等領(lǐng)域。

以保障用戶網(wǎng)絡(luò)安全和隱私保護為核心，華為云打造出覆蓋網(wǎng)絡(luò)安全、應用安全、數(shù)據(jù)安全、主機安全和安全管理五大領(lǐng)域的二十多款安全產(chǎn)品，包括 Web 應用防火墻、DDoS 高防、敏感數(shù)據(jù)保護服務(wù)等，幫助用戶抵御網(wǎng)絡(luò)攻擊、滿足合規(guī)要求。

在網(wǎng)絡(luò)安全領(lǐng)域，如何為業(yè)務(wù)筑起一堵網(wǎng)絡(luò)安全屏障，讓正常業(yè)務(wù)流量不受惡意攻擊流量的影響？過去一年，華為云通過優(yōu)化帶寬資源，采用分布式邊緣計算防護節(jié)點，端到端響應時延下降到 20ms，易用性上增強了一鍵式自適應防護能力，平均每天抵御一次 100Gbps 以上超大流量攻擊，在金融、政府、大企業(yè)、游戲、互聯(lián)網(wǎng)等行業(yè)積累了一定的口碑。

在應用安全領(lǐng)域，華為云 Web 應用防火墻服務(wù)，每天攔截數(shù)十億次攻擊，已累計為數(shù)千個客戶提供防護。在安全防護的同時，發(fā)布了 IPv6 雙棧、全量日志、專家服務(wù)等功能；通過重構(gòu)集群、跨 Region、跨可用區(qū)三重架構(gòu)，將 WAF 的 SLA 提升至 99.99%以上；漏洞掃描服務(wù)，累計為數(shù)萬個企業(yè)發(fā)現(xiàn)數(shù)百萬個漏洞，引導用戶修復了十余萬個漏洞。

在數(shù)據(jù)安全領(lǐng)域，以保護用戶數(shù)據(jù)為核心，華為云構(gòu)建了從數(shù)據(jù)訪問、識別分類、防泄漏、審計追溯的完整的數(shù)據(jù)安全體系。2019 年，華為云新發(fā)布了敏感數(shù)據(jù)保護服務(wù)（SDG），支持 GDPR 定義的敏感數(shù)據(jù)檢測；支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)脫敏；支持基于規(guī)格和自然語義處理的識別，中文識別率達 95%，英文識別率達 98%；數(shù)據(jù)庫安全服務(wù)，作為國內(nèi)唯一集數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計一體的數(shù)據(jù)庫安全產(chǎn)品，在零售、汽車、教育等多個行業(yè)廣泛使用；數(shù)據(jù)加密服務(wù)作為數(shù)據(jù)保護的最后一環(huán)，嵌入 20 余種云服務(wù)中，實現(xiàn)一鍵加密；API 一年上億次調(diào)用。基于鯤鵬的國密加密方案，可以實現(xiàn)透明無感知加密，由于采用自研 ARM 芯片加速，性能損耗控制在 5%左右。

在主機安全領(lǐng)域，華為云提供主機、容器及程序文件的全方位安全防護方案，保證主機安全可信。過去一年，企業(yè)主機安全服務(wù)防護了華為云 60%以上、終端云 99%以上的主機，累計檢測并修復上百萬漏洞與不安全配置，隔離查殺數(shù)萬病毒木馬；云上動態(tài)網(wǎng)頁防篡改方案，防止網(wǎng)站被篡改，被篡改后自動恢復，充分滿足《公安部 82 號令》的要求；容器安全服務(wù)，具備安全和應用生命周期管理能力，安全能力覆蓋面很廣，CI/CD 流水線及微服務(wù)使得云原生開發(fā)非常高效。助力華為云容器服務(wù)獲得 Forrester 測評 TOP2 的優(yōu)異成績。

在安全管理領(lǐng)域，態(tài)勢感知服務(wù)作為企業(yè)的安全運營中心，已經(jīng)為包括華為云、終端云在內(nèi)的數(shù)百家大型企業(yè)、上萬用戶提供統(tǒng)一的威脅檢測和風險處置平臺，通過大數(shù)據(jù)分析與 AI 技術(shù)，及時發(fā)現(xiàn)云上的各種安全威脅，并聯(lián)動相關(guān)服務(wù)進行下一步處置；基于最新的安全等保 2.0 標準，華為云攜手全國優(yōu)質(zhì)的等保測評伙伴，為客戶提供全流程等保測評服務(wù)，已幫助 300 多個企業(yè)的系統(tǒng)通過了等保測評；華為云 SSL 證書管理服務(wù)，聯(lián)合全球知名數(shù)字證書服務(wù)機構(gòu)，提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務(wù)；除此以外，華為云堡壘機服務(wù)持續(xù)進行安全加固，并上線自動化運維、數(shù)據(jù)庫運維等增強功能，通過命令/腳本批量執(zhí)行、文件自動分發(fā)、任務(wù)編排等加強角色與資源之間的權(quán)限管理能力，提高云上企業(yè)的運維工作效率。

二、普惠安全

安全專業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。如何消除企業(yè)上云安全技能匱乏的困境？在華為云看來，降低安全能力的使用門檻，把多年積累的安全專家的能力和經(jīng)驗內(nèi)置到云服務(wù)的每個細節(jié)中，是一個很好的方法。

2020 年，在已構(gòu)造出的完整安全體系基礎(chǔ)上，華為云推出了“普惠安全”計劃：每一個用戶，都可以申請免費或者試用版本的安全服務(wù)套餐，以往在專業(yè)版本才有的功能進一步下沉到基礎(chǔ)版，每個服務(wù)都力爭在可視化、自動化上向前邁進，通過模板、配置庫、處理建議等方面的設(shè)計，讓企業(yè) IT 人員“用得起”、“看得見”、“會處理”，讓企業(yè)上云更簡單。

審核編輯 黃宇