如果用一个场景来回顾2019,云计算的普及无疑是其中最热的一个。它一面带来高效,另一面也带来新的安全挑战。
企业是否上云的首要考虑是数据安全。数据是企业的核心资产,特别是如交易信息、用户隐私等,更为企业视为生命。如何选择一朵安全可信的云?
从“冰山”下的能力做起,厚积而薄发
当企业评估云的安全水平时,往往聚焦在云安全服务及云服务的安全特性上。如果把云安全比作“冰山”,那它们属于“冰山”上的可见部分。而“冰山”下的安全能力,往往不为人所知,但正是这“冰山”下的部分,承载着整个公有云的安全性。
云安全的“冰山”模型
这导致企业在选择云的时候进退两难:不上云,影响效率和成本;上云,又担心数据泄露。如何破解这一难题?华为云正试图从“冰山”下给出自己的答案。
✔ “冰山”下的能力一:安全合规,从未止步
为给用户提供一个从云平台到云服务都安全可信的环境,华为云将最严格的国际安全标准作为目标,不断对齐并优化自身的安全能力,努力搭建出世界一流的安全合规认证体系。
华为云在2019年获得了哪些国际安全标准的认证和复审呢?以下是其中一部分:
• ISO 22301,是全球首个公认的、衡量企业服务连续性能力是否满足社会责任和客户承诺的唯一标准。
• ISO 27001,是目前国际上被广泛接受和应用的信息安全管理体系认证标准。
• ISO 27017,是针对云计算信息安全的国际认证,提供了云服务特有的安全实践指南和控制措施,以解决云上的信息安全威胁和风险。
• CSA STAR,是针对云安全水平的权威认证,旨在应对与云安全相关的特定问题,协助云计算服务商展现其服务成熟度的解决方案。
• 业界首家信息安全服务资质(云计算安全一级),由中国信息安全测评中心推出,旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证。
• 全球唯一获得TL 9000认证的云服务商。TL 9000有机整合了ISO 9000及众多行业标准,形成的一套完整统一的质量管理体系,分质量体系要求和质量体系指标。
• 获得云服务用户数据保护能力增强级认证,体现了华为云在用户数据保护上的强大实力。
• 通过SOC2隐私性审计,成为中国第一家通过该审计的IaaS云服务商。
• ISO/IEC 27701标准,旨在帮助组织机构保护和控制所处理的个人信息。标准将隐私保护的原则、理念和方法,融入到网络安全和隐私保护体系中,给企业提供了最佳实践和指导建议。
• ISO/IEC 29151标准,旨在防止个人隐私数据被滥用、泄露、更改、破坏等,为企业保护用户个人隐私数据提供了大量的最佳实践。
• BS 10012标准,是全球首部个人隐私保护的标准。因为按欧盟通用数据保护条例(GDPR)进行了更新,所以该标准既要求企业满足国际通用的个人信息保护标准,又要求企业符合GDPR的要求。
截止目前,华为云在全球获得了50多个权威认证。
华为云截止2019年12月合规认证进展一览
✔ “冰山”下的能力二:优秀实践,化为标准
华为云为用户提供安全可信的云服务的同时,也不断把优秀安全实践变为行业标准。
华为云参与制定了多个云计算、云安全相关的国家标准;在CSA云安全联盟牵头成立了混合云安全工作组,在混合云领域积极贡献自己的安全能力。
华为云还发布了8部安全白皮书,在海内外引起了较大反响:
- 今年7月,发布了国内首部隐私保护白皮书:《华为云隐私保护白皮书》;
- 今年9月,发布了业界首部可信白皮书:《华为云可信白皮书》;
- 针对新加坡个人数据保护法(PDPA),发布《华为云新加坡PDPA合规性说明》;
- 针对马来西亚个人数据保护(PDPA),发布《华为云马来西亚PDPA合规性说明》;
- 针对巴西通用数据保护法(LGPD),发布《华为云巴西LGPD合规性说明》;
- 针对香港金融管理局监管要求(HKMA),发布《华为云香港金融行业监管要求合规性说明》;
- 针对新加坡金融监管要求(ABS&MAS),发布《华为云新加坡金融行业监管要求合规性说明》;
- 针对医疗行业标准HIPAA,发布《华为云HIPAA合规性说明》。
✔ “冰山”下的能力三:安全保障,随时响应
华为云构建了7×24小时不间断的安全保障体系,涵盖DDoS攻击、舆情监控、平台安全运维、租户安全事件响应等,确保云上业务的可用、可靠和快速恢复。
该体系协助租户处理各类入侵事件等每月数百次;发送各类安全预警千余次;成功抵御10Gbps以上大流量攻击2万多次,并对违规业务IP以及违规的账户进行实时清理。
华为云平台7×24小时安全保障体系
从上云安全到安全地使用云
以保障用户网络安全和隐私保护为核心,华为云打造出覆盖网络安全、应用安全、数据安全、主机安全和安全管理五大领域的二十多款安全产品,包括Web应用防火墙、DDoS高防、敏感数据保护服务等,帮助用户抵御网络攻击、满足合规要求。
网络安全领域 :无惧大流量攻击
网络是业务天然的边际,网络内和网络外,是两个不同的世界。如何为业务筑起一堵网络安全屏障,让正常业务流量不受恶意攻击流量的影响?
过去一年,华为云DDoS高防服务苦练内功,通过优化带宽资源,采用分布式边缘计算防护节点,端到端响应时延下降到20ms,易用性上增强了一键式自适应防护能力,平均每天抵御一次100Gbps以上超大流量攻击,在金融、政府、大企业、游戏、互联网等行业积累了口碑。
WAF的极致高可靠性设计
应用安全领域:Web防护和漏洞扫描两不误
- 华为云Web应用防火墙服务,在攻防实践中实现了裂变式的发展,每天拦截数十亿次攻击,较2018年增长数十倍,已累计为数千个客户提供防护。在安全防护的同时,发布了IPv6双栈、全量日志、专家服务等功能;通过重构集群、跨Region、跨可用区三重架构,将WAF的SLA提升至99.99%以上。
- 漏洞扫描服务在2019年用户数较2018年增长了十余倍,累计为数万个企业发现数百万个漏洞,引导用户修复了十余万个漏洞,降低了系统的漏洞风险。
数据安全领域:全生命周期数据保护体系
以保护用户数据为核心,华为云构建了从数据访问、识别分类、防泄漏、审计追溯的完整的数据安全体系。
基于全生命周期的云上数据安全防护方案
- 2019年,华为云新发布了敏感数据保护服务(SDG),支持GDPR定义的敏感数据检测;支持结构化和非结构化数据脱敏;支持基于规格和自然语义处理的识别,中文识别率达95%,英文识别率达98%,业界领先,助力华为云成为首个获得ISO27701认证的云平台。
- 数据库安全服务,作为国内唯一集数据库防火墙、数据脱敏、数据库审计一体的数据库安全产品,在零售、汽车、教育等多个行业广泛使用。
- 数据加密服务作为数据保护的最后一环,嵌入20余种云服务中,实现一键加密;API一年上亿次调用,累计服务1万多用户。基于鲲鹏的国密加密方案,可以实现透明无感知加密,由于采用自研ARM芯片加速,性能损耗控制在5%左右,非常适合应用于金融、政务等关键基础设施。
华为云数据安全体系架构
主机安全领域 :保护主机和容器安全
华为云提供主机、容器及程序文件的全方位安全防护方案,保证主机安全可信。
过去一年,企业主机安全服务防护了华为云60%以上、终端云99%以上的主机,累计检测并修复上百万漏洞与不安全配置,隔离查杀数万病毒木马,守护着百万华为云用户和数亿终端用户。
业界首发云上动态网页防篡改方案,防止网站被篡改,被篡改后自动恢复,充分满足《公安部82号令》的要求,广泛应用于政府官网、企业门户、新闻网站、电子商务网站等。
华为云网页防篡改方案
华为云在2019年也迎来了业界首款容器安全服务的转商。其具备强大的安全和应用生命周期管理能力,安全能力覆盖面很广,CI/CD流水线及微服务使得云原生开发非常高效。助力华为云容器服务获得Forrester测评TOP2的优异成绩。
安全管理:安全可视可控可管
再多的安全服务也需要运营起来。可视化的统一安全管理平台,无疑会大大减少用户的安全管理负担。
- 态势感知服务作为企业的安全运营中心,已经为包括华为云、终端云在内的数百家大型企业、上万用户提供统一的威胁检测和风险处置平台,通过大数据分析与AI技术,及时发现云上的各种安全威胁,并联动相关服务进行下一步处置。
- 基于最新的安全等保2.0标准,华为云携手全国优质的等保测评伙伴,为客户提供全流程等保测评服务。目前,已帮助300多个企业的系统通过了等保测评。
- 华为云SSL证书管理服务,联合全球知名数字证书服务机构,提供从证书申请、管理、推送部署等一站式证书的全生命周期管理的服务,提升网站安全性、美誉度和搜索排名,目前服务了金融、电商、互联网、汽车等十多个行业的官方网站。
- 除此以外,华为云堡垒机服务在过去一年,持续进行安全加固,并上线自动化运维、数据库运维等增强功能,通过命令/脚本批量执行、文件自动分发、任务编排等加强角色与资源之间的权限管理能力,提高云上企业的运维工作效率。
展望2020|“普惠安全”让企业上云更简单
安全专业度高、安全人才难求是企业普遍面临的情况。如何消除企业上云安全技能匮乏的困境?
在华为云看来,降低安全能力的使用门槛,把多年积累的安全专家的能力和经验内置到云服务的每个细节中,是一个很好的方法。
2020年,在已构造出的完整安全体系基础上,华为云推出了“普惠安全”计划:每一个用户,都可以申请免费或者试用版本的安全服务套餐,以往在专业版本才有的功能进一步下沉到基础版,每个服务都力争在可视化、自动化上向前迈进,通过模板、配置库、处理建议等方面的设计,让企业IT人员“用得起”、“看得见”、“会处理”,让企业上云更简单。
- 具体都有哪些“普惠安全”行动将推出呢?
1.态势感知服务:作为“安全大脑”,基础版升级为安全服务的默认后台,在提供基础安全防护的同时提供安全服务的统一查看与配置入口。
2.Anti-DDoS流量清洗服务:在大陆地区继续提供5Gbps内免费的版本,帮助用户防止常见的流量攻击。目前该服务已为10万多用户提供防护,全年防御来自198个国家的500多万次攻击。
3.开放华为云通过ISO系列认证、GDPR等合规资质的实践经验,为用户申请类似认证和合规遵从时提供建议。
4.企业主机安全服务:提供百万台主机免费预装,让每个租户每台云主机上线前都可选择加装安全防护套件,降低被挖矿、暴力破解、勒索等风险。
5.密钥管理将免费为用户服务,帮助用户尽快培养起对核心数据加密的使用习惯。
结语
燕子声声里,相知又一年。过去的日子,华为云安全团队夙兴夜寐,只为你安心用云,你一定感受到了这份用心,你用飞速成长回馈我们的辛劳付出。感谢过去一年的选择和信赖,未来一年,我们将继续努力,把华为云打造得更安全,让你在享受云计算红利的同时,远离云上的螭魅罔两。
点击下方“了解更多”,了解华为云安全!