如果用一個場景來回顧2019,云計算的普及無疑是其中最熱的一個。它一面帶來高效,另一面也帶來新的安全挑戰(zhàn)。
企業(yè)是否上云的首要考慮是數(shù)據安全。數(shù)據是企業(yè)的核心資產,特別是如交易信息、用戶隱私等,更為企業(yè)視為生命。
如何選擇一朵安全可信的云?
從“冰山”下的能力做起,厚積而薄發(fā)
當企業(yè)評估云的安全水平時,往往聚焦在云安全服務及云服務的安全特性上。如果把云安全比作“冰山”,那它們屬于“冰山”上的可見部分。而“冰山”下的安全能力,往往不為人所知,但正是這“冰山”下的部分,承載著整個公有云的安全性。
云安全的“冰山”模型
這導致企業(yè)在選擇云的時候進退兩難:不上云,影響效率和成本;上云,又擔心數(shù)據泄露。
如何破解這一難題?
華為云正試圖從“冰山”下給出自己的答案。
“冰山”下的能力一:安全合規(guī),從未止步
為給用戶提供一個從云平臺到云服務都安全可信的環(huán)境,華為云將最嚴格的國際安全標準作為目標,不斷對齊并優(yōu)化自身的安全能力,努力搭建出世界一流的安全合規(guī)認證體系。
華為云在2019年獲得了哪些國際安全標準的認證和復審呢?
(以下是其中一部分)
- ISO 22301,是全球首個公認的、衡量企業(yè)服務連續(xù)性能力是否滿足社會責任和客戶承諾的唯一標準。(延伸閱讀:華為云獲ISO 22301國際認證,服務穩(wěn)定性得到權威認可)
- ISO 27001,是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。
- ISO 27017,是針對云計算信息安全的國際認證,提供了云服務特有的安全實踐指南和控制措施,以解決云上的信息安全威脅和風險。
- CSA STAR,是針對云安全水平的權威認證,旨在應對與云安全相關的特定問題,協(xié)助云計算服務商展現(xiàn)其服務成熟度的解決方案。(延伸閱讀:一連4個權威認證,華為云全球安全認證再升業(yè)界首家信息安全服務資質(云計算安全一級),由中國信息安全測評中心推出,旨在對云服務商的安全服務資格狀況、技術實力和云計算安全服務實施質量等方面進行綜合客觀評定的認證。(延伸閱讀:業(yè)界首家!華為云通過信息安全服務資質認證)
- 全球唯一獲得TL 9000認證的云服務商。TL 9000有機整合了ISO 9000及眾多行業(yè)標準,形成的一套完整統(tǒng)一的質量管理體系,分質量體系要求和質量體系指標。(延伸閱讀:華為云成為全球唯一通過TL9000的云服務商)
- 獲得云服務用戶數(shù)據保護能力增強級認證,體現(xiàn)了華為云在用戶數(shù)據保護上的強大實力。
- 通過SOC2隱私性審計,成為中國第一家通過該審計的IaaS云服務商。(延伸閱讀:業(yè)界首家!華為云通過SOC2隱私性審計華為云通過信息安全服務資質認證)
- ISO/IEC 27701標準,旨在幫助組織機構保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法,融入到網絡安全和隱私保護體系中,給企業(yè)提供了最佳實踐和指導建議。(延伸閱讀:值得信賴!華為云獲BSI全球首批ISO/IEC27701認證)
- ISO/IEC 29151標準,旨在防止個人隱私數(shù)據被濫用、泄露、更改、破壞等,為企業(yè)保護用戶個人隱私數(shù)據提供了大量的最佳實踐。
- BS 10012標準,是全球首部個人隱私保護的標準。因為按歐盟通用數(shù)據保護條例(GDPR)進行了更新,所以該標準既要求企業(yè)滿足國際通用的個人信息保護標準,又要求企業(yè)符合GDPR的要求。
截止目前,華為云在全球獲得了50多個權威認證。
華為云截止2019年12月合規(guī)認證進展一覽
“冰山”下的能力二:優(yōu)秀實踐,化為標準
華為云為用戶提供安全可信的云服務的同時,也不斷把優(yōu)秀安全實踐變?yōu)樾袠I(yè)標準。
華為云參與制定了多個云計算、云安全相關的國家標準;在CSA云安全聯(lián)盟牽頭成立了混合云安全工作組,在混合云領域積極貢獻自己的安全能力。
華為云還發(fā)布了8部安全白皮書,在海內外引起了較大反響:
- 今年7月,發(fā)布了國內首部隱私保護白皮書:《華為云隱私保護白皮書》;(延伸閱讀:華為國內首發(fā)云隱私保護白皮書,你的數(shù)據你做主)
- 今年9月,發(fā)布了業(yè)界首部可信白皮書:《華為云可信白皮書》;
- 針對新加坡個人數(shù)據保護法(PDPA),發(fā)布《華為云新加坡PDPA合規(guī)性說明》;
- 針對馬來西亞個人數(shù)據保護(PDPA),發(fā)布《華為云馬來西亞PDPA合規(guī)性說明》;
- 針對巴西通用數(shù)據保護法(LGPD),發(fā)布《華為云巴西LGPD合規(guī)性說明》;
- 針對香港金融管理局監(jiān)管要求(HKMA),發(fā)布《華為云香港金融行業(yè)監(jiān)管要求合規(guī)性說明》;
- 針對新加坡金融監(jiān)管要求(ABS&MAS),發(fā)布《華為云新加坡金融行業(yè)監(jiān)管要求合規(guī)性說明》;
- 針對醫(yī)療行業(yè)標準HIPAA,發(fā)布《華為云HIPAA合規(guī)性說明》。
- “冰山”下的能力三:安全保障,隨時響應
華為云構建了7×24小時不間斷的安全保障體系,涵蓋DDoS攻擊、輿情監(jiān)控、平臺安全運維、租戶安全事件響應等,確保云上業(yè)務的可用、可靠和快速恢復。(延伸閱讀:華為云提供Fastjson高危漏洞的檢測和防護)
該體系協(xié)助租戶處理各類入侵事件等每月數(shù)百次;發(fā)送各類安全預警千余次;成功抵御10Gbps以上大流量攻擊2萬多次,并對違規(guī)業(yè)務IP以及違規(guī)的賬戶進行實時清理。
華為云平臺7×24小時安全保障體系
從上云安全到安全地使用云
以保障用戶網絡安全和隱私保護為核心,華為云打造出覆蓋網絡安全、應用安全、數(shù)據安全、主機安全和安全管理五大領域的二十多款安全產品,包括Web應用防火墻、DDoS高防、敏感數(shù)據保護服務等,幫助用戶抵御網絡攻擊、滿足合規(guī)要求。
網絡安全領域 :無懼大流量攻擊
網絡是業(yè)務天然的邊際,網絡內和網絡外,是兩個不同的世界。
如何為業(yè)務筑起一堵網絡安全屏障,讓正常業(yè)務流量不受惡意攻擊流量的影響?
過去一年,華為云DDoS高防服務苦練內功,通過優(yōu)化帶寬資源,采用分布式邊緣計算防護節(jié)點,端到端響應時延下降到20ms,易用性上增強了一鍵式自適應防護能力,平均每天抵御一次100Gbps以上超大流量攻擊,在金融、政府、大企業(yè)、游戲、互聯(lián)網等行業(yè)積累了口碑。
WAF的極致高可靠性設計
應用安全領域:Web防護和漏洞掃描兩不誤
華為云Web應用防火墻服務,在攻防實踐中實現(xiàn)了裂變式的發(fā)展,每天攔截數(shù)十億次攻擊,較2018年增長數(shù)十倍,已累計為數(shù)千個客戶提供防護。在安全防護的同時,發(fā)布了IPv6雙棧、全量日志、專家服務等功能;通過重構集群、跨Region、跨可用區(qū)三重架構,將WAF的SLA提升至99.99%以上。(延伸閱讀:華為云Web應用防火墻首次參與排名即進入領先者行列)
漏洞掃描服務在2019年用戶數(shù)較2018年增長了十余倍,累計為數(shù)萬個企業(yè)發(fā)現(xiàn)數(shù)百萬個漏洞,引導用戶修復了十余萬個漏洞,降低了系統(tǒng)的漏洞風險。
數(shù)據安全領域:全生命周期數(shù)據保護體系
以保護用戶數(shù)據為核心,華為云構建了從數(shù)據訪問、識別分類、防泄漏、審計追溯的完整的數(shù)據安全體系。
基于全生命周期的云上數(shù)據安全防護方案
- 2019年,華為云新發(fā)布了敏感數(shù)據保護服務(SDG),支持GDPR定義的敏感數(shù)據檢測;支持結構化和非結構化數(shù)據脫敏;支持基于規(guī)格和自然語義處理的識別,中文識別率達95%,英文識別率達98%,業(yè)界領先,助力華為云成為首個獲得ISO27701認證的云平臺。
- 數(shù)據庫安全服務,作為國內唯一集數(shù)據庫防火墻、數(shù)據脫敏、數(shù)據庫審計一體的數(shù)據庫安全產品,在零售、汽車、教育等多個行業(yè)廣泛使用。
- 數(shù)據加密服務作為數(shù)據保護的最后一環(huán),嵌入20余種云服務中,實現(xiàn)一鍵加密;API一年上億次調用,累計服務1萬多用戶。基于鯤鵬的國密加密方案,可以實現(xiàn)透明無感知加密,由于采用自研ARM芯片加速,性能損耗控制在5%左右,非常適合應用于金融、政務等關鍵基礎設施。
華為云數(shù)據安全體系架構
主機安全領域 :保護主機和容器安全
華為云提供主機、容器及程序文件的全方位安全防護方案,保證主機安全可信。
過去一年,企業(yè)主機安全服務防護了華為云60%以上、終端云99%以上的主機,累計檢測并修復上百萬漏洞與不安全配置,隔離查殺數(shù)萬病毒木馬,守護著百萬華為云用戶和數(shù)億終端用戶。
業(yè)界首發(fā)云上動態(tài)網頁防篡改方案,防止網站被篡改,被篡改后自動恢復,充分滿足《公安部82號令》的要求,廣泛應用于政府官網、企業(yè)門戶、新聞網站、電子商務網站等。
華為云網頁防篡改方案
華為云在2019年也迎來了業(yè)界首款容器安全服務的轉商。其具備強大的安全和應用生命周期管理能力,安全能力覆蓋面很廣,CI/CD流水線及微服務使得云原生開發(fā)非常高效。助力華為云容器服務獲得Forrester測評TOP2的優(yōu)異成績。
安全管理:安全可視可控可管
再多的安全服務也需要運營起來。可視化的統(tǒng)一安全管理平臺,無疑會大大減少用戶的安全管理負擔。
- 態(tài)勢感知服務作為企業(yè)的安全運營中心,已經為包括華為云、終端云在內的數(shù)百家大型企業(yè)、上萬用戶提供統(tǒng)一的威脅檢測和風險處置平臺,通過大數(shù)據分析與AI技術,及時發(fā)現(xiàn)云上的各種安全威脅,并聯(lián)動相關服務進行下一步處置。(延伸閱讀:安全攻擊一目了然,華為云態(tài)勢感知服務正式發(fā)布)
- 基于最新的安全等保2.0標準,華為云攜手全國優(yōu)質的等保測評伙伴,為客戶提供全流程等保測評服務。目前,已幫助300多個企業(yè)的系統(tǒng)通過了等保測評。(延伸閱讀:等級保護2.0發(fā)布!過了4級的華為云如何幫助你?)
- 華為云SSL證書管理服務,聯(lián)合全球知名數(shù)字證書服務機構,提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務,提升網站安全性、美譽度和搜索排名,目前服務了金融、電商、互聯(lián)網、汽車等十多個行業(yè)的官方網站。
- 除此以外,華為云堡壘機服務在過去一年,持續(xù)進行安全加固,并上線自動化運維、數(shù)據庫運維等增強功能,通過命令/腳本批量執(zhí)行、文件自動分發(fā)、任務編排等加強角色與資源之間的權限管理能力,提高云上企業(yè)的運維工作效率。
展望2020|“普惠安全”讓企業(yè)上云更簡單
安全專業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。
如何消除企業(yè)上云安全技能匱乏的困境?
在華為云看來,降低安全能力的使用門檻,把多年積累的安全專家的能力和經驗內置到云服務的每個細節(jié)中,是一個很好的方法。
2020年,在已構造出的完整安全體系基礎上,華為云推出了“普惠安全”計劃:每一個用戶,都可以申請免費或者試用版本的安全服務套餐,以往在專業(yè)版本才有的功能進一步下沉到基礎版,每個服務都力爭在可視化、自動化上向前邁進,通過模板、配置庫、處理建議等方面的設計,讓企業(yè)IT人員“用得起”、“看得見”、“會處理”,讓企業(yè)上云更簡單。
具體都有哪些“普惠安全”行動將推出呢?
- 態(tài)勢感知服務:作為“安全大腦”,基礎版升級為安全服務的默認后臺,在提供基礎安全防護的同時提供安全服務的統(tǒng)一查看與配置入口。
- Anti-DDoS流量清洗服務:在大陸地區(qū)繼續(xù)提供5Gbps內免費的版本,幫助用戶防止常見的流量攻擊。目前該服務已為10萬多用戶提供防護,全年防御來自198個國家的500多萬次攻擊。
- 開放華為云通過ISO系列認證、GDPR等合規(guī)資質的實踐經驗,為用戶申請類似認證和合規(guī)遵從時提供建議。
- 企業(yè)主機安全服務:提供百萬臺主機免費預裝,讓每個租戶每臺云主機上線前都可選擇加裝安防護套件,降低被挖礦、暴力破解、勒索等風險。
- 密鑰管理將免費為用戶服務,幫助用戶盡快培養(yǎng)起對核心數(shù)據加密的使用習慣。
結語
燕子聲聲里,相知又一年。過去的日子,華為云安全團隊夙興夜寐,只為你安心用云,你一定感受到了這份用心,你用飛速成長回饋我們的辛勞付出。感謝過去一年的選擇和信賴,未來一年,我們將繼續(xù)努力,把華為云打造得更安全,讓你在享受云計算紅利的同時,遠離云上的螭魅罔兩。
