華為云可信白皮書 華為 2024-8

2024-08-14華為云計(jì)算技術(shù)有限公司非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部您購(gòu)買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為云計(jì)算技術(shù)有限公司商業(yè)合同和條款的約或部分產(chǎn)品、服務(wù)或特性可能不在您的購(gòu)買或使用范圍之內(nèi)。除非合同另有約地址：貴州省貴安新區(qū)黔中大道交興功路華為云數(shù)據(jù)中心郵編文檔版本1.1(2024-08-14) 1 4 4 5 6 7 9 9 10 11 13 14 15 文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限 在云計(jì)算發(fā)展的初期，云因其快速可伸縮和初期投入成本低的特點(diǎn)，受到小微企業(yè)特別是互聯(lián)網(wǎng)企業(yè)的青睞，同時(shí)大中型企業(yè)也將云作為核心業(yè)務(wù)系統(tǒng)的補(bǔ)充，此時(shí)快速功能實(shí)現(xiàn)及彈性伸縮是客戶對(duì)云服務(wù)的第一訴求。隨著云計(jì)算功能逐漸豐富完善，許多企業(yè)逐漸將核心系統(tǒng)置于云上，云對(duì)企業(yè)數(shù)字化轉(zhuǎn)型，商業(yè)模式升級(jí)甚至推動(dòng)產(chǎn)業(yè)變革均起到了至關(guān)重要的作用。如何實(shí)現(xiàn)全生命周期的可信，為客戶提供值得信賴的產(chǎn)品和服務(wù)，已經(jīng)成為各國(guó)政府、企業(yè)與公眾選擇云服務(wù)的最基本的條件。華為公司作為世界領(lǐng)先的ICT服務(wù)提供商，30年來(lái)一直秉承技術(shù)上深耕細(xì)作、不斷創(chuàng)新，服務(wù)上全心全意、持續(xù)提升的態(tài)度，致力于為行業(yè)、企業(yè)和個(gè)人提供先進(jìn)、穩(wěn)定、可靠、安全的產(chǎn)品和服務(wù)。華為是一家全球化的公司，目前已經(jīng)在全球170多個(gè)國(guó)家和地區(qū)開展業(yè)務(wù)。作為華為公司的戰(zhàn)略業(yè)務(wù)，華為云從成立伊始就繼承了華為公司國(guó)際化的屬性：滿足全球各地區(qū)、各行業(yè)適用的法律法規(guī)及客戶需求，構(gòu)建可信的云服務(wù)。截至2019年6月底，華為云攜手伙伴已在全球總計(jì)23個(gè)地理區(qū)域開放44個(gè)可用區(qū)。華為云繼承了華為以客戶為中心、以可信為最高綱領(lǐng)的基因，始終堅(jiān)持遵從最嚴(yán)格的行業(yè)規(guī)范，恪守業(yè)務(wù)邊界，攜手生態(tài)伙伴，打造最優(yōu)質(zhì)可信的云服務(wù)。華為創(chuàng)始人及總裁任正非先生在2019年的《致全體員工的一封信--全面提升軟件工程能力與實(shí)踐，打造可信的高質(zhì)量產(chǎn)品》中指出：“我們要在每一個(gè)ICT基礎(chǔ)設(shè)施產(chǎn)品和解決方案中，都融入信任、構(gòu)建高質(zhì)量……我們要把可信作為第一優(yōu)先級(jí)，放在功能、特性和進(jìn)度之上?！比A為云認(rèn)為可信是云服務(wù)最重要也是最根本的要求，建立并完善信任機(jī)制是業(yè)務(wù)第一優(yōu)先級(jí)。在充分分析業(yè)界對(duì)可信的解讀并廣泛聽取客戶反饋后，華為云認(rèn)為云服務(wù)的可信應(yīng)該包括安全、隱私、合規(guī)、韌性、透明五個(gè)基本特征。文檔版本1.1(2024-08-14)版權(quán)所有?華為圖1-1華為云可信的五個(gè)基本特征華為認(rèn)為，只有依靠可信的組織實(shí)現(xiàn)可信的過(guò)程，才有可能打造出真正可信的產(chǎn)品。華為云在組織可信、過(guò)程可信、產(chǎn)品可信三個(gè)維度上踐行可信要求，通過(guò)構(gòu)建自上而下的可信組織，提升所有開發(fā)、運(yùn)維和運(yùn)營(yíng)人員的可信意識(shí)與能力，將人員、制度和技術(shù)應(yīng)用到內(nèi)外部過(guò)程中，不斷推出、更新和完善值得信賴的產(chǎn)品、解決方案和服l組織可信：堅(jiān)持?jǐn)?shù)據(jù)中立的原則，通過(guò)管理體系牽引，將可信根植于企業(yè)中，從企業(yè)戰(zhàn)略、組織文化、風(fēng)險(xiǎn)管理到供應(yīng)鏈與生態(tài)，建立起全面合規(guī)、透明穩(wěn)定的l過(guò)程可信：建立、實(shí)施、保持一套從產(chǎn)品研發(fā)、運(yùn)行維護(hù)到客戶服務(wù)的全業(yè)務(wù)流程管理體系，并持續(xù)改進(jìn)，確保流程嚴(yán)謹(jǐn)完備、過(guò)程可追溯。l產(chǎn)品可信：提供一整套以可信云基礎(chǔ)設(shè)施與產(chǎn)品為基石的、滿足客戶需求并能快速應(yīng)對(duì)內(nèi)外部環(huán)境和業(yè)務(wù)變化的云服務(wù)。圖1-2華為云可信框架本白皮書分別從組織可信、過(guò)程可信和產(chǎn)品可信三個(gè)維度闡述華為云如何實(shí)現(xiàn)安全、隱私、韌性、合規(guī)、透明的五大可信特征，向客戶、合作伙伴和其他利益方展示華為文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技云打造可信的決心和能力，并連接開發(fā)者與行業(yè)伙伴，為客戶賦能，共同構(gòu)筑可信生華為云可信白皮書2組織可信—可信的組織、文化與治理文檔版本1.1(2024-08-14)版權(quán)所有?華 華為云認(rèn)為可信不僅僅是產(chǎn)品和系統(tǒng)維度的，更是組織文化與治理的體現(xiàn)，我們將可信深刻融入華為云的組織文化之中，以風(fēng)險(xiǎn)為驅(qū)動(dòng)，通過(guò)全面的可信治理，滿足全球適用的法律法規(guī)、認(rèn)證與審計(jì)要求，并將可信的能力傳遞到供應(yīng)鏈與產(chǎn)業(yè)生態(tài)，確保能夠持續(xù)生產(chǎn)出可信的產(chǎn)品并提供可信的服務(wù)。2.1根植可信的組織與文化2.2全面的可信治理2.3嚴(yán)格的合規(guī)、認(rèn)證與審計(jì)保障2.4合作共贏的可信供應(yīng)鏈和生態(tài)2.1根植可信的組織與文化把可信根植于企業(yè)，從公司層面到華為云，均設(shè)置了相應(yīng)的可信使能中心和管理組織，職能主要包括：華為云可信白皮書2組織可信—可信的組織、文化與治理文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)圖2-1華為云的可信組織在可信戰(zhàn)略和框架指引下，從公司到華為云各級(jí)部門都致力于建立可信的文化，牽引全員可信意識(shí)的轉(zhuǎn)變，把可信根植于企業(yè)的各個(gè)方面。建立軟件工程可信勝任的管理要求，開展對(duì)軟件業(yè)務(wù)主管、Committer、軟件架構(gòu)師、開發(fā)工程師、和測(cè)試工程師等角色的資質(zhì)管理及選拔、調(diào)整。軟件工程師需要學(xué)習(xí)可信的要求并通過(guò)考試，使其具備編寫可信的高質(zhì)量代碼的能力，以確保實(shí)現(xiàn)產(chǎn)品可信的要求。2.2全面的可信治理華為云可信治理遵從公司的風(fēng)險(xiǎn)、治理、控制（RGC）框架，以風(fēng)險(xiǎn)為驅(qū)動(dòng)，通過(guò)明確風(fēng)險(xiǎn)責(zé)任體系，建立基調(diào)和誠(chéng)信環(huán)境，制定落實(shí)控制措施，并持續(xù)地監(jiān)督確保風(fēng)險(xiǎn)文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技華為云基于RGC風(fēng)險(xiǎn)管理框架，從數(shù)據(jù)安全與隱私保護(hù)、合規(guī)以及運(yùn)營(yíng)等層面展開全方位，多維度的風(fēng)險(xiǎn)管理，將華為云服務(wù)的風(fēng)險(xiǎn)控制到最小的可接受范圍。l安全與隱私保護(hù)風(fēng)險(xiǎn)方面：華為云致力于客戶數(shù)據(jù)的安全和隱私保護(hù)，以國(guó)際標(biāo)準(zhǔn)為藍(lán)本建立了信息安全管理體系（ISMS）和隱私信息管理體系（PIMS系統(tǒng)地開展信息安全風(fēng)險(xiǎn)評(píng)估和隱私影響評(píng)估（PIA充分識(shí)別和分析安全與隱私風(fēng)險(xiǎn)，制定并執(zhí)行處置措施予以應(yīng)對(duì)。l合規(guī)風(fēng)險(xiǎn)方面：法律遵從與全球合規(guī)是華為在全世界生存、服務(wù)、貢獻(xiàn)的重要基礎(chǔ)，華為云長(zhǎng)期致力于嚴(yán)格遵守業(yè)務(wù)所在國(guó)的所有適用法律法規(guī)，從外規(guī)內(nèi)化和合規(guī)紅線的制定，對(duì)合規(guī)風(fēng)險(xiǎn)進(jìn)行系統(tǒng)性的識(shí)別和管理，并建立突發(fā)事件應(yīng)急預(yù)案，開展相關(guān)培訓(xùn)和演練，提升組織合規(guī)意識(shí)和應(yīng)對(duì)突發(fā)事件的能力。l業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)方面：建立了從供應(yīng)商到華為云、從華為云到客戶的端到端業(yè)務(wù)持續(xù)改進(jìn)和優(yōu)化管理，并通過(guò)建立政策、組織、制度、流程，基線和IT平臺(tái)，開展業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估，提升組織對(duì)公司相關(guān)制度和流程要求的遵從，確保對(duì)日常業(yè)務(wù)風(fēng)險(xiǎn)的有效管理，保障華為云組織與云服務(wù)的業(yè)務(wù)連續(xù)，有效支撐客戶系統(tǒng)的穩(wěn)定運(yùn)行及業(yè)務(wù)運(yùn)作。2.3嚴(yán)格的合規(guī)、認(rèn)證與審計(jì)保障合規(guī)是安全可信的基礎(chǔ)，華為云依靠華為公司全球的產(chǎn)業(yè)布局和多年的耕耘，深諳全球各國(guó)家和地區(qū)的文化和法律，華為云根據(jù)所適用的法律法規(guī)要求、行業(yè)標(biāo)準(zhǔn)、客戶需求和業(yè)界最佳實(shí)踐來(lái)踐行合規(guī)工作，確保華為云合規(guī)并支撐客戶合規(guī)。華為云邀請(qǐng)各領(lǐng)域最權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)華為云從人員管理、資源、技術(shù)、流程等方面進(jìn)行獨(dú)立的評(píng)估和審查，認(rèn)可華為云在安全可信方面符合嚴(yán)苛的標(biāo)準(zhǔn)要求。文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算圖2-3華為云通過(guò)的認(rèn)證與評(píng)估華為云積極邀請(qǐng)客戶、第三方審計(jì)機(jī)構(gòu)參與到華為云的各類安全可信審計(jì)過(guò)程中，一起見證華為云在安全可信上的卓越成長(zhǎng)。同時(shí)也主動(dòng)的加入各類國(guó)際標(biāo)準(zhǔn)組織、產(chǎn)業(yè)聯(lián)盟以及開源社區(qū)等，將華為云在可信方面積累的能力向第三方組織和機(jī)構(gòu)免費(fèi)輸出，為整個(gè)ICT行業(yè)的健康發(fā)展貢獻(xiàn)力量。2.4合作共贏的可信供應(yīng)鏈和生態(tài)云計(jì)算是一個(gè)復(fù)雜的IT軟硬件及服務(wù)的組合，涉及到不同供應(yīng)商提供的基礎(chǔ)組件，而供應(yīng)鏈的安全可信是整個(gè)云服務(wù)產(chǎn)品可信的重要組成部分。對(duì)于提供基礎(chǔ)組件的供應(yīng)鏈企業(yè)，華為云通過(guò)嚴(yán)格的供應(yīng)商選擇流程和績(jī)效評(píng)估措施，確保產(chǎn)品和服務(wù)滿足安全可信的需求。華為云以開放共贏的心態(tài)與供應(yīng)商、開發(fā)者、合作伙伴一起構(gòu)筑以用戶為中心的云服務(wù)生態(tài)。除了華為自主開發(fā)的云產(chǎn)品，客戶可在云市場(chǎng)中選擇華為云精心挑選的第三方云產(chǎn)品；開發(fā)者也可以使用華為云的開發(fā)者中心，高效便捷的開發(fā)符合自身需求的、可信的云產(chǎn)品。圖2-4華為云合作供應(yīng)的生態(tài)環(huán)境為保證華為云市場(chǎng)中云產(chǎn)品的高質(zhì)量和可信賴，華為云秉承“優(yōu)中選優(yōu)，精中選精”的理念，制定統(tǒng)一規(guī)則，針對(duì)入駐云市場(chǎng)的廠商、合作伙伴以及產(chǎn)品均設(shè)置了嚴(yán)格的準(zhǔn)入門檻，從源頭嚴(yán)格把控軟件和應(yīng)用服務(wù)提供商的規(guī)模和資質(zhì)、安全可信能力、技術(shù)研發(fā)實(shí)力，為用戶提供上云精品。同時(shí)華為云通過(guò)服務(wù)協(xié)議約定了針對(duì)入駐廠商以華為云可信白皮書2組織可信—可信的組織、文化與治理文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限及合作伙伴的監(jiān)督和處罰機(jī)制，當(dāng)入駐廠商、合伙伙伴或者其云產(chǎn)品未能履行對(duì)客戶應(yīng)有的義務(wù)時(shí)，華為云將要求其承擔(dān)全部責(zé)任。華為云開發(fā)者中心通過(guò)提供開發(fā)環(huán)境、OpenAPI和SDKs以及基于生命周期的一站式應(yīng)用開發(fā)服務(wù)，使軟件開發(fā)更加簡(jiǎn)單高效。同時(shí)提供代碼檢查、測(cè)試管理、源代碼控制、問(wèn)題和缺陷跟蹤等工具，幫助開發(fā)者實(shí)現(xiàn)產(chǎn)品的安全可信。華為云的唯一目標(biāo)是服務(wù)好客戶，為客戶提供穩(wěn)定可靠、安全可信、可持續(xù)創(chuàng)新、中立的云基礎(chǔ)設(shè)施，同時(shí)在云基礎(chǔ)設(shè)施上匯聚生態(tài)，解決用戶在數(shù)字化轉(zhuǎn)型過(guò)程中遇到的各種問(wèn)題。華為云可信白皮書3過(guò)程可信—貫穿全生命周期的可信過(guò)程管理文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技 交付安全可信的軟件產(chǎn)品一直是華為公司倡導(dǎo)的企業(yè)文化，華為云認(rèn)為，云服務(wù)的可信不僅應(yīng)該體現(xiàn)在技術(shù)和產(chǎn)品上，更應(yīng)該根植于從需求規(guī)劃、架構(gòu)設(shè)計(jì)、系統(tǒng)開發(fā)、運(yùn)維運(yùn)營(yíng)到客戶服務(wù)的全生命周期中。無(wú)論內(nèi)部業(yè)務(wù)流程還是對(duì)外客戶服務(wù)，華為云完全遵從法律法規(guī)和國(guó)際標(biāo)準(zhǔn)提出的安全、合規(guī)和隱私保護(hù)基本原則，制定了超過(guò)1000項(xiàng)的可信要求，將功能與質(zhì)量、安全與隱私保護(hù)融入云服務(wù)全生命周期，同時(shí)特別關(guān)注個(gè)人信息在采集、使用，保留，傳輸、披露和處置等處理過(guò)程中的隱私保護(hù)，確保流程透明、結(jié)構(gòu)完善、控制嚴(yán)謹(jǐn)、過(guò)程可追溯。3.1內(nèi)嵌可信的開發(fā)運(yùn)維流程3.2安全穩(wěn)定的可信運(yùn)營(yíng)3.3高質(zhì)量的客戶服務(wù)在過(guò)去20年里，IPD研發(fā)流程幫助華為將ICT產(chǎn)品的質(zhì)量提升到了新的高度；今天，為了適應(yīng)云環(huán)境下快速交付服務(wù)的需求，華為云在吸收業(yè)界先進(jìn)理念的基礎(chǔ)上，持續(xù)改進(jìn)開發(fā)和運(yùn)維流程，形成了開發(fā)、運(yùn)維、安全一體化的DevSecOps可信軟件工程實(shí)華為云的DevSecOps可信軟件工程實(shí)踐通過(guò)工具和技術(shù)規(guī)范實(shí)現(xiàn)了流程的固化，使過(guò)程和結(jié)果透明可見、從故障現(xiàn)象到模塊代碼可追溯，從而實(shí)現(xiàn)云服務(wù)全生命周期的過(guò)華為云可信白皮書3過(guò)程可信—貫穿全生命周期的可信過(guò)程管理文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限圖3-1華為云DevSecOps生命周期模型華為云的DevSecOps流程聚焦質(zhì)量與效率兩個(gè)關(guān)鍵指標(biāo)，實(shí)現(xiàn)華為云的過(guò)程可信：l可信是團(tuán)隊(duì)所有人的責(zé)任，實(shí)現(xiàn)可信是每個(gè)華為人的思維方式和工作狀態(tài)；l可信始于研發(fā)規(guī)劃與需求梳理，建立可信是設(shè)計(jì)的出發(fā)點(diǎn)，將安全和隱私融入設(shè)計(jì)并默認(rèn)執(zhí)行（Security&Privacybydesignandbydefaultl安全和質(zhì)量保證手段無(wú)縫嵌入到DevSecOps的全生命周期并能自動(dòng)化實(shí)現(xiàn)；l加強(qiáng)反饋和持續(xù)改進(jìn)機(jī)制，模塊間建立小循環(huán)，運(yùn)維運(yùn)營(yíng)驅(qū)動(dòng)服務(wù)產(chǎn)品創(chuàng)新，不斷推出引領(lǐng)行業(yè)發(fā)展的云服務(wù)；l技術(shù)架構(gòu)解耦是DevSecOps流水線的基礎(chǔ)，云軟件產(chǎn)品均能實(shí)現(xiàn)獨(dú)立開發(fā)、獨(dú)立測(cè)試、獨(dú)立發(fā)布、獨(dú)立部署和獨(dú)立運(yùn)維。華為云在內(nèi)部DevSecOps實(shí)踐的基礎(chǔ)上，推出了商業(yè)化的DevCloud軟件開發(fā)產(chǎn)品，除了對(duì)外提供服務(wù)，DevCloud也是華為云研發(fā)運(yùn)維團(tuán)隊(duì)使用的持續(xù)集成、持續(xù)交付平臺(tái)，它將規(guī)范、基線、軟件/API、用例，工具固化到DevSecOps流水線，形成自動(dòng)化、可視化的服務(wù)全生命周期管理模式。為保證云服務(wù)的安全穩(wěn)定運(yùn)行，華為云建立了可信運(yùn)營(yíng)中心，運(yùn)維運(yùn)營(yíng)內(nèi)容包括運(yùn)維權(quán)限管理、系統(tǒng)日志與審計(jì)、漏洞與補(bǔ)丁管理、事件管理、業(yè)務(wù)連續(xù)性管理等。覆蓋了安全運(yùn)營(yíng)的事前防范，事中響應(yīng)、事后審計(jì)的全生命周期。華為云在保證常規(guī)安全運(yùn)營(yíng)的基礎(chǔ)上，還特別提取了合規(guī)、透明和隱私保護(hù)等可信要求融入云服務(wù)運(yùn)營(yíng)活動(dòng)中。如監(jiān)控與日志管理方面，日志保存超過(guò)180天滿足監(jiān)管合規(guī)要求，日志不保存用戶個(gè)人敏感信息以符合隱私要求；漏洞和事件信息及時(shí)通知客戶符合透明要求，用戶可自主選擇通知推送的方式滿足隱私的要求。文檔版本1.1(2024-08-14)圖3-2華為云可信運(yùn)營(yíng)客戶服務(wù)是云服務(wù)供應(yīng)商與客戶溝通的窗口和渠道，優(yōu)質(zhì)的服務(wù)也是可信的一種體現(xiàn)。華為云認(rèn)為，除了完整可信的內(nèi)部控制流程，透明完善的客戶服務(wù)機(jī)制，也是建立信任的重要體現(xiàn)。華為云建立了完善透明的客戶服務(wù)體系，真誠(chéng)與客戶建立聯(lián)系，獲取客戶心聲，收集客戶需求，解決客戶問(wèn)題，提升產(chǎn)品和服務(wù)的可信能力。服務(wù)協(xié)議與隱私協(xié)議華為云官網(wǎng)發(fā)布了清晰透明的《華為云用戶協(xié)議》、《云服務(wù)等級(jí)協(xié)議（SLA）》和《隱私政策聲明》，幫助客戶了解華為云的責(zé)任、產(chǎn)品服務(wù)的指標(biāo)以及隱私保護(hù)的信息；同時(shí)提供多種交互渠道，以便客戶獲取并行使數(shù)據(jù)主體的權(quán)利?？蛻舴?wù)與支持計(jì)劃華為云秉承客戶至上，服務(wù)第一的原則，根據(jù)基礎(chǔ)級(jí)、開發(fā)者級(jí)、商業(yè)級(jí)、企業(yè)級(jí)不同級(jí)別的需求，建立可供選擇的服務(wù)包，用戶可通過(guò)在線工單、智能客服、自助服務(wù)、熱線電話等多種方式獲取專業(yè)的服務(wù)和幫助。華為云可信白皮書3過(guò)程可信—貫穿全生命周期的可信過(guò)程管理文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限圖3-3華為云服務(wù)與支持服務(wù)請(qǐng)求與客戶授權(quán)在處理服務(wù)請(qǐng)求時(shí)，所有涉及操作客戶網(wǎng)絡(luò)的活動(dòng)必須事先獲取客戶的授權(quán)，并嚴(yán)格按照授權(quán)的范圍、期限和用途進(jìn)行操作，確保授權(quán)和操作記錄可追溯。同時(shí)，通過(guò)訪問(wèn)控制、加密、脫敏顯示等技術(shù)手段，有效保護(hù)客戶隱私數(shù)據(jù)。意見反饋與建議渠道任何用戶均可通過(guò)多種渠道進(jìn)行服務(wù)咨詢、意見反饋和投訴建議，除基礎(chǔ)性的站內(nèi)在線客服和投訴建議熱線電話外，系統(tǒng)復(fù)雜的企業(yè)客戶可以選擇適用的支持計(jì)劃，獲取由IM企業(yè)群、技術(shù)服務(wù)經(jīng)理(TAM)、服務(wù)經(jīng)理等組成的專屬支持。華為云支持與服務(wù)網(wǎng)站：/service/VIP_client.html華為云可信白皮書4產(chǎn)品可信—可信的云基礎(chǔ)設(shè)施與服務(wù)文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限 華為云認(rèn)為，云服務(wù)安全是云服務(wù)供應(yīng)商和客戶共同承擔(dān)的責(zé)任，華為云負(fù)責(zé)建立和管理物理基礎(chǔ)設(shè)施，提供各項(xiàng)基礎(chǔ)和應(yīng)用服務(wù)；客戶負(fù)責(zé)所購(gòu)買和使用的各項(xiàng)云服務(wù)內(nèi)部的安全配置及管理。華為云按照縱深防御和默認(rèn)隔離的原則，全球化部署高等級(jí)的IT基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)、平臺(tái)、應(yīng)用API的基礎(chǔ)服務(wù)安全，實(shí)現(xiàn)數(shù)據(jù)和應(yīng)用全生命周期的安全保護(hù)。4.1高等級(jí)、高可用、全球化的IT基礎(chǔ)設(shè)施4.2全方位的基礎(chǔ)服務(wù)安全保證4.3全生命周期的數(shù)據(jù)安全基于華為多年電信運(yùn)營(yíng)商的機(jī)房建設(shè)經(jīng)驗(yàn)，華為云以更高的標(biāo)準(zhǔn)選擇或建立云數(shù)據(jù)中心。華為云數(shù)據(jù)中心選址充分考慮自然因素和人為因素，每個(gè)可用區(qū)物理隔離并獨(dú)立故障維護(hù)，機(jī)房建設(shè)滿足TIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3標(biāo)準(zhǔn)。華為云每個(gè)區(qū)域內(nèi)部署了多個(gè)可用區(qū)（AZ每個(gè)可用區(qū)內(nèi)有多個(gè)物理數(shù)據(jù)中心（DC）。各區(qū)域/可用區(qū)內(nèi)部通過(guò)高速光纖進(jìn)行數(shù)據(jù)中心互聯(lián)（DCI通過(guò)多副本冗余和多活技術(shù)，可以保證可用區(qū)的數(shù)據(jù)不丟失和業(yè)務(wù)不中斷。華為作為世界頂尖的ICT產(chǎn)品及解決方案供應(yīng)商，通過(guò)私有云、公有云、混合云統(tǒng)一架構(gòu)的云計(jì)算解決方案，為全球超過(guò)270家運(yùn)營(yíng)商及其子網(wǎng)部署云平臺(tái)。在公有云領(lǐng)域，華為云在全球的五大洲建立并部署了數(shù)十個(gè)區(qū)域（Region）。華為云可信白皮書4產(chǎn)品可信—可信的云基礎(chǔ)設(shè)施與服務(wù)文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限圖4-1華為云全球IT基礎(chǔ)設(shè)施4.2全方位的基礎(chǔ)服務(wù)安全保證華為云在綜合了國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)、客戶需求和華為多年的產(chǎn)品開發(fā)經(jīng)驗(yàn)后，制定了十二大云服務(wù)可信設(shè)計(jì)原則。圖4-2華為云十二大可信設(shè)計(jì)原則華為云采用多種技術(shù)手段，將設(shè)計(jì)原則真正應(yīng)用到全棧的云服務(wù)研發(fā)和實(shí)踐中，從產(chǎn)品設(shè)計(jì)到產(chǎn)品落地的全生命周期，從基礎(chǔ)網(wǎng)絡(luò)防護(hù)、平臺(tái)隔離到應(yīng)用安全等多個(gè)防護(hù)層次進(jìn)行了實(shí)踐，實(shí)現(xiàn)了全方位的基礎(chǔ)服務(wù)安全保證基礎(chǔ)網(wǎng)絡(luò)安全為了加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，阻止網(wǎng)絡(luò)攻擊擴(kuò)散，華為云參考ITUE.408安全區(qū)域的劃分原則并結(jié)合業(yè)界網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐，對(duì)華為云網(wǎng)絡(luò)進(jìn)行安全區(qū)域，網(wǎng)絡(luò)層面的劃分和隔離，使用了DDoS異常和超大流量清洗、網(wǎng)絡(luò)入侵檢測(cè)與攔截（IDS/IPS）、Web安全防護(hù)等技術(shù)手段。華為云使用統(tǒng)一虛擬化平臺(tái)對(duì)服務(wù)器物理資源進(jìn)行抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動(dòng)態(tài)分配的邏輯資源，并基于這些邏輯資文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限源，在單個(gè)物理服務(wù)器上構(gòu)建多個(gè)同時(shí)運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境。在中國(guó)可信云認(rèn)證中，華為云平臺(tái)的云主機(jī)獲得最高級(jí)的五星+認(rèn)證。華為云的虛擬私有云（VPC）產(chǎn)品是實(shí)現(xiàn)網(wǎng)絡(luò)隔離的關(guān)鍵，通過(guò)VPC，租戶可以完全掌控自己的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)不同租戶間二、三層網(wǎng)絡(luò)隔離；利用VPC的安全組功能，按需配置安全與訪問(wèn)規(guī)則，滿足租戶更細(xì)粒度的網(wǎng)絡(luò)隔離需求。華為云各服務(wù)可通過(guò)公開的API進(jìn)行配置管理，對(duì)接企業(yè)已有的IT管理和審計(jì)系統(tǒng)。API作為服務(wù)至關(guān)重要的安全邊界，采用了多重機(jī)制和措施進(jìn)行重點(diǎn)保護(hù)：l每個(gè)API請(qǐng)求通過(guò)與華為云IAM的集成進(jìn)行身份驗(yàn)證，傳輸通道通過(guò)TLS協(xié)議l訪問(wèn)請(qǐng)求需通過(guò)令牌(token)認(rèn)證或訪問(wèn)密鑰ID/訪問(wèn)密鑰（AK/SK）認(rèn)證；l結(jié)合Anti-DDoS、入侵防御系統(tǒng)（IPS）和Web應(yīng)用防火墻（WAF）等多層高級(jí)邊界防護(hù)機(jī)制針對(duì)不同的威脅和攻擊進(jìn)行有效防范；l在高級(jí)邊界防護(hù)的基礎(chǔ)上，確保只有注冊(cè)的API接口才能被租戶訪問(wèn)；通過(guò)ACL規(guī)則限制將API網(wǎng)關(guān)僅開放給有限特定的租戶和網(wǎng)段；通過(guò)API流量控制確?；贏PI訪問(wèn)的高可用性和連續(xù)性。4.3全生命周期的數(shù)據(jù)安全數(shù)據(jù)創(chuàng)建華為云以區(qū)域?yàn)閱挝惶峁┓?wù)，區(qū)域即是客戶自主選擇內(nèi)容數(shù)據(jù)的存儲(chǔ)位置，華為云未經(jīng)授權(quán)絕不會(huì)跨區(qū)域移動(dòng)客戶的內(nèi)容數(shù)據(jù)；通過(guò)不同粒度的訪問(wèn)控制機(jī)制，確?？蛻糁荒茉L問(wèn)到自己的數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)華為云通過(guò)數(shù)據(jù)加密服務(wù)（DEW）的專屬加密（DHSM）、密鑰管理（KMS）、密鑰對(duì)管理等功能提供云上數(shù)據(jù)加密和存儲(chǔ)保護(hù)。DHSM是符合國(guó)家密碼局認(rèn)證或FIPS140-2第3級(jí)驗(yàn)證的硬件加密機(jī)，實(shí)現(xiàn)最高每秒鐘10000TPS的、用戶獨(dú)享的加密能力。KMS為各個(gè)云服務(wù)提供加密特性和安全的密鑰管理，KMS的密鑰由硬件安全模塊（HSM）保護(hù)，客戶可使用KMS進(jìn)行安全的密鑰管理。HSM擁有FIPS140-2（2級(jí)和3級(jí)）的主流國(guó)際安全認(rèn)證，滿足用戶的數(shù)據(jù)合規(guī)性要求。數(shù)據(jù)傳輸華為云使用虛擬專用網(wǎng)絡(luò)（VPN）在遠(yuǎn)端用戶和VPC之間建立符合行業(yè)標(biāo)準(zhǔn)的安全加密通信隧道，將已有數(shù)據(jù)中心無(wú)縫擴(kuò)展到華為云上，提供租戶端到端的數(shù)據(jù)傳輸機(jī)密性保障。通過(guò)VPN在傳統(tǒng)數(shù)據(jù)中心與VPC之間建立通信隧道，客戶可方便地使用華為云的資源。華為云可信白皮書4產(chǎn)品可信—可信的云基礎(chǔ)設(shè)施與服務(wù)文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限華為云服務(wù)通過(guò)標(biāo)準(zhǔn)RESTful形式向外發(fā)布，全網(wǎng)數(shù)據(jù)傳輸使用TLS進(jìn)行加密保護(hù)，同時(shí)也支持基于X.509證書的目標(biāo)網(wǎng)站身份認(rèn)證。數(shù)據(jù)的備份與恢復(fù)華為云提供多重冗余和容災(zāi)機(jī)制保證數(shù)據(jù)的高持久和服務(wù)高可用，其中不少產(chǎn)品的可用性指標(biāo)均達(dá)到業(yè)界先進(jìn)水平。表4-1華為云數(shù)據(jù)持久性與可用性保證指標(biāo)存儲(chǔ)類型服務(wù)可用性/數(shù)據(jù)持久性EVS（云硬盤）數(shù)據(jù)持久性達(dá)99.9999999%VBS（云硬盤備份）數(shù)據(jù)持久性達(dá)99.999999999%OBS（對(duì)象存儲(chǔ)服務(wù)）數(shù)據(jù)持久性達(dá)99.9999999999%，服務(wù)可用性達(dá)99.995%RDS（關(guān)系型數(shù)據(jù)庫(kù)服務(wù)）熱備架構(gòu)，備份文件保留732天，1分鐘IMS（鏡像服務(wù)）多份冗余存儲(chǔ)私用鏡像，數(shù)據(jù)持久性達(dá)99.999999999%數(shù)據(jù)清除和銷毀當(dāng)客戶決定不再使用云服務(wù)或主動(dòng)刪除數(shù)據(jù)時(shí)，華為云會(huì)綜合內(nèi)存清零、邏輯刪除、虛擬卷清零、銷毀加密密鑰等手段確保數(shù)據(jù)及其所有副本被安全銷毀。當(dāng)客戶注銷華為云賬戶后，內(nèi)容數(shù)據(jù)將進(jìn)入保留期，客戶不能訪問(wèn)及使用云服務(wù)，保留期屆滿后，內(nèi)容數(shù)據(jù)會(huì)得到徹底的清除。在物理存儲(chǔ)介質(zhì)報(bào)廢階段，華為云通過(guò)對(duì)存儲(chǔ)介質(zhì)消磁、折彎或破碎等方式進(jìn)行數(shù)據(jù)清除，確保其上的數(shù)據(jù)無(wú)法恢復(fù)。華為云可信白皮書文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限 華為云在保證自身產(chǎn)品可信的基礎(chǔ)上，通過(guò)全棧的服務(wù)和解決方案，把華為云積累的可信能力釋放出來(lái)，幫助客戶實(shí)現(xiàn)可信，即：安全、隱私、韌性、合規(guī)、透明五大特華為云提供安全可靠、性能穩(wěn)定的六大類上百種服務(wù)，并根據(jù)行業(yè)發(fā)展和客戶需求不斷地豐富和完善。華為云的全棧服務(wù)分類及產(chǎn)品示意如下。圖5-1華為云全棧式服務(wù)為滿足小到個(gè)人用戶、大到跨國(guó)企業(yè)的安全需求，華為云開發(fā)設(shè)計(jì)了簡(jiǎn)單易用、功能完善的安全產(chǎn)品和解決方案，針對(duì)不同量級(jí)的攻擊模式和路徑，提供全棧式的安全服務(wù)。同時(shí)華為云基于游戲、電商、金融等行業(yè)的典型安全風(fēng)險(xiǎn)及業(yè)務(wù)架構(gòu)特點(diǎn)，提供了針對(duì)性的安全解決方案，助力客戶業(yè)務(wù)安全。華為云可信白皮書文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限圖5-2華為云全棧式安全服務(wù)華為云Web應(yīng)用防火墻（WAF）結(jié)合華為多年攻防經(jīng)驗(yàn)，通過(guò)深度機(jī)器學(xué)習(xí)，智能識(shí)別惡意請(qǐng)求特征并可防御未知威脅，對(duì)客戶網(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測(cè)和防護(hù)，阻擋諸如SQL注入或跨站腳本等常見攻擊，避免這些攻擊對(duì)客戶Web應(yīng)用的影響，降低客戶數(shù)據(jù)被篡改、失竊的風(fēng)險(xiǎn)。華為云企業(yè)主機(jī)安全（HSS）是提升主機(jī)整體安全性的服務(wù)，包括賬戶破解防護(hù)、弱口令檢測(cè)、惡意程序檢測(cè)、雙因子認(rèn)證、漏洞管理，網(wǎng)頁(yè)防篡改等功能，幫助客戶構(gòu)建服務(wù)器安全防護(hù)體系，降低主機(jī)面臨的主要安全風(fēng)險(xiǎn)。華為云還與第三方權(quán)威機(jī)構(gòu)一起為客戶提供“專家式”服務(wù)，幫助客戶預(yù)防、監(jiān)測(cè)、發(fā)現(xiàn)主機(jī)站點(diǎn)及系統(tǒng)的安全風(fēng)險(xiǎn)，并及時(shí)修復(fù)被攻擊系統(tǒng)。華為云將隱私保護(hù)的豐富實(shí)踐和研發(fā)成果融入到云服務(wù)當(dāng)中，為客戶提供具備隱私保護(hù)功能的服務(wù)，幫助客戶在其產(chǎn)品和服務(wù)中遵循隱私保護(hù)的原則要求、保障數(shù)據(jù)主體的權(quán)利、快速構(gòu)建隱私合規(guī)能力。從系統(tǒng)中識(shí)別個(gè)人數(shù)據(jù)尤其是敏感個(gè)人數(shù)據(jù)是隱私保護(hù)工作的重要環(huán)節(jié)。客戶可使用數(shù)據(jù)庫(kù)安全服務(wù)（DBSS基于內(nèi)置的合規(guī)知識(shí)庫(kù)或者自定義檢測(cè)規(guī)則，自動(dòng)識(shí)別數(shù)據(jù)庫(kù)中身份證號(hào)碼、信用卡號(hào)碼等敏感數(shù)據(jù)。客戶可針對(duì)敏感數(shù)據(jù)自定義保護(hù)策略，如通過(guò)數(shù)據(jù)加密服務(wù)（DEW）進(jìn)行加密，以滿足合規(guī)要求。華為云的融合視頻云服務(wù)（CVCS提供了簽署和查詢隱私聲明的接口，使客戶便捷地在其產(chǎn)品和服務(wù)中嵌入同意或撤銷隱私聲明并記錄相關(guān)操作記錄的功能，滿足隱私保護(hù)相關(guān)法律法規(guī)的要求。針對(duì)網(wǎng)約打車、快遞外賣，房產(chǎn)中介等應(yīng)用場(chǎng)景，客戶可使用華為云提供的隱私保護(hù)通話（PrivateNumber）服務(wù)，在不增加SIM卡的情況下，為用戶提供隱私號(hào)碼，讓用戶在享受優(yōu)質(zhì)的通話和短信服務(wù)的同時(shí)，隱藏真實(shí)號(hào)碼，保護(hù)用戶的個(gè)人隱私。華為云可信白皮書文檔版本1.1(2024-08-14)版權(quán)所有?華為云計(jì)算技術(shù)有限韌性使能保證業(yè)務(wù)的連續(xù)性是每個(gè)客戶面對(duì)的巨大挑戰(zhàn)，華為云針對(duì)不同的風(fēng)險(xiǎn)提供相應(yīng)的服務(wù)和解決方案，幫助客戶在遭遇攻擊、災(zāi)難事件或故障時(shí)降低影響。針對(duì)病毒入侵、人為誤刪除、軟硬件故障等場(chǎng)景