如果用一個場景來回顧2019,雲計算的普及無疑是其中最熱的一個。它一面帶來高效,另一面也帶來新的安全挑戰。
企業是否上雲的首要考慮是數據安全。數據是企業的核心資産,特別是如交易信息、用戶隱私等,更爲企業視爲生命。如何選擇一朵安全可信的雲?
從“冰山”下的能力做起,厚積而薄發
當企業評估雲的安全水平時,往往聚焦在雲安全服務及雲服務的安全特性上。如果把雲安全比作“冰山”,那它們屬于“冰山”上的可見部分。而“冰山”下的安全能力,往往不爲人所知,但正是這“冰山”下的部分,承載著整個公有雲的安全性。
雲安全的“冰山”模型
這導致企業在選擇雲的時候進退兩難:不上雲,影響效率和成本;上雲,又擔心數據泄露。如何破解這一難題?華爲雲正試圖從“冰山”下給出自己的答案。
✔ “冰山”下的能力一:安全合規,從未止步
爲給用戶提供一個從雲平台到雲服務都安全可信的環境,華爲雲將最嚴格的國際安全標准作爲目標,不斷對齊並優化自身的安全能力,努力搭建出世界一流的安全合規認證體系。
華爲雲在2019年獲得了哪些國際安全標准的認證和複審呢?以下是其中一部分:
• ISO 22301,是全球首個公認的、衡量企業服務連續性能力是否滿足社會責任和客戶承諾的唯一標准。
• ISO 27001,是目前國際上被廣泛接受和應用的信息安全管理體系認證標准。
• ISO 27017,是針對雲計算信息安全的國際認證,提供了雲服務特有的安全實踐指南和控制措施,以解決雲上的信息安全威脅和風險。
• CSA STAR,是針對雲安全水平的權威認證,旨在應對與雲安全相關的特定問題,協助雲計算服務商展現其服務成熟度的解決方案。
• 業界首家信息安全服務資質(雲計算安全一級),由中國信息安全測評中心推出,旨在對雲服務商的安全服務資格狀況、技術實力和雲計算安全服務實施質量等方面進行綜合客觀評定的認證。
• 全球唯一獲得TL 9000認證的雲服務商。TL 9000有機整合了ISO 9000及衆多行業標准,形成的一套完整統一的質量管理體系,分質量體系要求和質量體系指標。
• 獲得雲服務用戶數據保護能力增強級認證,體現了華爲雲在用戶數據保護上的強大實力。
• 通過SOC2隱私性審計,成爲中國第一家通過該審計的IaaS雲服務商。
• ISO/IEC 27701標准,旨在幫助組織機構保護和控制所處理的個人信息。標准將隱私保護的原則、理念和方法,融入到網絡安全和隱私保護體系中,給企業提供了最佳實踐和指導建議。
• ISO/IEC 29151標准,旨在防止個人隱私數據被濫用、泄露、更改、破壞等,爲企業保護用戶個人隱私數據提供了大量的最佳實踐。
• BS 10012標准,是全球首部個人隱私保護的標准。因爲按歐盟通用數據保護條例(GDPR)進行了更新,所以該標准既要求企業滿足國際通用的個人信息保護標准,又要求企業符合GDPR的要求。
截止目前,華爲雲在全球獲得了50多個權威認證。
華爲雲截止2019年12月合規認證進展一覽
✔ “冰山”下的能力二:優秀實踐,化爲標准
華爲雲爲用戶提供安全可信的雲服務的同時,也不斷把優秀安全實踐變爲行業標准。
華爲雲參與制定了多個雲計算、雲安全相關的國家標准;在CSA雲安全聯盟牽頭成立了混合雲安全工作組,在混合雲領域積極貢獻自己的安全能力。
華爲雲還發布了8部安全白皮書,在海內外引起了較大反響:
- 今年7月,發布了國內首部隱私保護白皮書:《華爲雲隱私保護白皮書》;
- 今年9月,發布了業界首部可信白皮書:《華爲雲可信白皮書》;
- 針對新加坡個人數據保護法(PDPA),發布《華爲雲新加坡PDPA合規性說明》;
- 針對馬來西亞個人數據保護(PDPA),發布《華爲雲馬來西亞PDPA合規性說明》;
- 針對巴西通用數據保護法(LGPD),發布《華爲雲巴西LGPD合規性說明》;
- 針對香港金融管理局監管要求(HKMA),發布《華爲雲香港金融行業監管要求合規性說明》;
- 針對新加坡金融監管要求(ABS&MAS),發布《華爲雲新加坡金融行業監管要求合規性說明》;
- 針對醫療行業標准HIPAA,發布《華爲雲HIPAA合規性說明》。
✔ “冰山”下的能力三:安全保障,隨時響應
華爲雲構建了7×24小時不間斷的安全保障體系,涵蓋DDoS攻擊、輿情監控、平台安全運維、租戶安全事件響應等,確保雲上業務的可用、可靠和快速恢複。
該體系協助租戶處理各類入侵事件等每月數百次;發送各類安全預警千余次;成功抵禦10Gbps以上大流量攻擊2萬多次,並對違規業務IP以及違規的賬戶進行實時清理。
華爲雲平台7×24小時安全保障體系
從上雲安全到安全地使用雲
以保障用戶網絡安全和隱私保護爲核心,華爲雲打造出覆蓋網絡安全、應用安全、數據安全、主機安全和安全管理五大領域的二十多款安全産品,包括Web應用防火牆、DDoS高防、敏感數據保護服務等,幫助用戶抵禦網絡攻擊、滿足合規要求。
網絡安全領域 :無懼大流量攻擊
網絡是業務天然的邊際,網絡內和網絡外,是兩個不同的世界。如何爲業務築起一堵網絡安全屏障,讓正常業務流量不受惡意攻擊流量的影響?
過去一年,華爲雲DDoS高防服務苦練內功,通過優化帶寬資源,采用分布式邊緣計算防護節點,端到端響應時延下降到20ms,易用性上增強了一鍵式自適應防護能力,平均每天抵禦一次100Gbps以上超大流量攻擊,在金融、政府、大企業、遊戲、互聯網等行業積累了口碑。
WAF的極致高可靠性設計
應用安全領域:Web防護和漏洞掃描兩不誤
- 華爲雲Web應用防火牆服務,在攻防實踐中實現了裂變式的發展,每天攔截數十億次攻擊,較2018年增長數十倍,已累計爲數千個客戶提供防護。在安全防護的同時,發布了IPv6雙棧、全量日志、專家服務等功能;通過重構集群、跨Region、跨可用區三重架構,將WAF的SLA提升至99.99%以上。
- 漏洞掃描服務在2019年用戶數較2018年增長了十余倍,累計爲數萬個企業發現數百萬個漏洞,引導用戶修複了十余萬個漏洞,降低了系統的漏洞風險。
數據安全領域:全生命周期數據保護體系
以保護用戶數據爲核心,華爲雲構建了從數據訪問、識別分類、防泄漏、審計追溯的完整的數據安全體系。
基于全生命周期的雲上數據安全防護方案
- 2019年,華爲雲新發布了敏感數據保護服務(SDG),支持GDPR定義的敏感數據檢測;支持結構化和非結構化數據脫敏;支持基于規格和自然語義處理的識別,中文識別率達95%,英文識別率達98%,業界領先,助力華爲雲成爲首個獲得ISO27701認證的雲平台。
- 數據庫安全服務,作爲國內唯一集數據庫防火牆、數據脫敏、數據庫審計一體的數據庫安全産品,在零售、汽車、教育等多個行業廣泛使用。
- 數據加密服務作爲數據保護的最後一環,嵌入20余種雲服務中,實現一鍵加密;API一年上億次調用,累計服務1萬多用戶。基于鲲鵬的國密加密方案,可以實現透明無感知加密,由于采用自研ARM芯片加速,性能損耗控制在5%左右,非常適合應用于金融、政務等關鍵基礎設施。
華爲雲數據安全體系架構
主機安全領域 :保護主機和容器安全
華爲雲提供主機、容器及程序文件的全方位安全防護方案,保證主機安全可信。
過去一年,企業主機安全服務防護了華爲雲60%以上、終端雲99%以上的主機,累計檢測並修複上百萬漏洞與不安全配置,隔離查殺數萬病毒木馬,守護著百萬華爲雲用戶和數億終端用戶。
業界首發雲上動態網頁防篡改方案,防止網站被篡改,被篡改後自動恢複,充分滿足《公安部82號令》的要求,廣泛應用于政府官網、企業門戶、新聞網站、電子商務網站等。
華爲雲網頁防篡改方案
華爲雲在2019年也迎來了業界首款容器安全服務的轉商。其具備強大的安全和應用生命周期管理能力,安全能力覆蓋面很廣,CI/CD流水線及微服務使得雲原生開發非常高效。助力華爲雲容器服務獲得Forrester測評TOP2的優異成績。
安全管理:安全可視可控可管
再多的安全服務也需要運營起來。可視化的統一安全管理平台,無疑會大大減少用戶的安全管理負擔。
- 態勢感知服務作爲企業的安全運營中心,已經爲包括華爲雲、終端雲在內的數百家大型企業、上萬用戶提供統一的威脅檢測和風險處置平台,通過大數據分析與AI技術,及時發現雲上的各種安全威脅,並聯動相關服務進行下一步處置。
- 基于最新的安全等保2.0標准,華爲雲攜手全國優質的等保測評夥伴,爲客戶提供全流程等保測評服務。目前,已幫助300多個企業的系統通過了等保測評。
- 華爲雲SSL證書管理服務,聯合全球知名數字證書服務機構,提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務,提升網站安全性、美譽度和搜索排名,目前服務了金融、電商、互聯網、汽車等十多個行業的官方網站。
- 除此以外,華爲雲堡壘機服務在過去一年,持續進行安全加固,並上線自動化運維、數據庫運維等增強功能,通過命令/腳本批量執行、文件自動分發、任務編排等加強角色與資源之間的權限管理能力,提高雲上企業的運維工作效率。
展望2020|“普惠安全”讓企業上雲更簡單
安全專業度高、安全人才難求是企業普遍面臨的情況。如何消除企業上雲安全技能匮乏的困境?
在華爲雲看來,降低安全能力的使用門檻,把多年積累的安全專家的能力和經驗內置到雲服務的每個細節中,是一個很好的方法。
2020年,在已構造出的完整安全體系基礎上,華爲雲推出了“普惠安全”計劃:每一個用戶,都可以申請免費或者試用版本的安全服務套餐,以往在專業版本才有的功能進一步下沉到基礎版,每個服務都力爭在可視化、自動化上向前邁進,通過模板、配置庫、處理建議等方面的設計,讓企業IT人員“用得起”、“看得見”、“會處理”,讓企業上雲更簡單。
- 具體都有哪些“普惠安全”行動將推出呢?
1.態勢感知服務:作爲“安全大腦”,基礎版升級爲安全服務的默認後台,在提供基礎安全防護的同時提供安全服務的統一查看與配置入口。
2.Anti-DDoS流量清洗服務:在大陸地區繼續提供5Gbps內免費的版本,幫助用戶防止常見的流量攻擊。目前該服務已爲10萬多用戶提供防護,全年防禦來自198個國家的500多萬次攻擊。
3.開放華爲雲通過ISO系列認證、GDPR等合規資質的實踐經驗,爲用戶申請類似認證和合規遵從時提供建議。
4.企業主機安全服務:提供百萬台主機免費預裝,讓每個租戶每台雲主機上線前都可選擇加裝安全防護套件,降低被挖礦、暴力破解、勒索等風險。
5.密鑰管理將免費爲用戶服務,幫助用戶盡快培養起對核心數據加密的使用習慣。
結語
燕子聲聲裏,相知又一年。過去的日子,華爲雲安全團隊夙興夜寐,只爲你安心用雲,你一定感受到了這份用心,你用飛速成長回饋我們的辛勞付出。感謝過去一年的選擇和信賴,未來一年,我們將繼續努力,把華爲雲打造得更安全,讓你在享受雲計算紅利的同時,遠離雲上的螭魅罔兩。
點擊下方“了解更多”,了解華爲雲安全!