2024華為云安全白皮書

目 導(dǎo)讀 1云安全戰(zhàn)略 3責(zé)任共擔(dān)模型 6華為云的安全責(zé)任 7租戶的安全責(zé)任 8安全合規(guī)與隱私保護 10安全合規(guī)與標(biāo)準遵從 10隱私保護 12安全組織和人員 13安全組織 13安全與隱私保護人員 13內(nèi)部審計人員 14人力資源管理 14安全意識教育 14網(wǎng)絡(luò)安全能力提升 15重點崗位管理 15安全違規(guī)問責(zé) 15基礎(chǔ)設(shè)施安全 17物理與環(huán)境安全 17物理安全 17環(huán)境安全 18網(wǎng)絡(luò)安全 18安全區(qū)域劃分與隔離 19業(yè)務(wù)平面劃分與隔離 20高級邊界防護 20平臺安全 21CPU隔離 21內(nèi)存隔離 22I/O隔離 22API應(yīng)用安全 22數(shù)據(jù)安全 23訪問隔離 23傳輸安全 24存儲安全 24數(shù)據(jù)刪除與銷毀 26租戶服務(wù)與租戶安全 287.1計算 28彈性云服務(wù)器（ECS） 28鏡像服務(wù)（IMS） 29彈性伸縮服務(wù)(AS) 30專屬主機服務(wù)(DeH) 30裸金屬服務(wù)（BMS） 307.2網(wǎng)絡(luò) 30虛擬私有云服務(wù)(VPC) 30彈性負載均衡服務(wù)（ELB） 33網(wǎng)關(guān)35云專線（DC） 35終端節(jié)點（VPCEP） 36虛擬專用網(wǎng)絡(luò)（VPN） 367.3容器 37云容器引擎服務(wù)（CCE） 37容器鏡像服務(wù)（SWR） 387.4存儲 38云硬盤服務(wù)（EVS） 38彈性文件服務(wù)（SFS） 39云備份服務(wù)（CBR） 40對象存儲服務(wù)（OBS） 40數(shù)據(jù)快遞服務(wù)（DES） 43CDN與智能邊緣 43內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN） 43數(shù)據(jù)庫 44關(guān)系型數(shù)據(jù)庫服務(wù) 44云數(shù)據(jù)庫RDS 44云數(shù)據(jù)庫GaussDB(forMySQL) 45云數(shù)據(jù)庫GaussDB 46非關(guān)系數(shù)據(jù)庫服務(wù) 47文檔數(shù)據(jù)庫服務(wù)（DDS） 47云數(shù)據(jù)庫GeminiDB 48GeminiDBMongo接口 49GeminiDBRedis接口 49GeminiDBInflux接口 49GeminiDBCassandra接口 49數(shù)據(jù)復(fù)制服務(wù) 49大數(shù)據(jù) 50MapReduce服務(wù)（MRS） 50應(yīng)用中間件 51分布式消息服務(wù)（DMS） 51分布式緩存服務(wù)（DCS） 52API網(wǎng)關(guān)服務(wù)（APIG） 53微服務(wù)引擎（CSE） 53企業(yè)應(yīng)用 54云桌面服務(wù)（Workspace） 54云解析服務(wù)（DNS） 55管理與監(jiān)管 56統(tǒng)一身份認證服務(wù)（IAM） 56應(yīng)用身份管理服務(wù)（OneAccess） 57云監(jiān)控服務(wù)（CES） 57云審計服務(wù)（CTS） 58企業(yè)項目管理服務(wù)（EPS） 59標(biāo)簽管理服務(wù)（TMS） 59消息通知服務(wù)（SMN） 60組織(Organization) 60安全與合規(guī) 61數(shù)據(jù)加密服務(wù)（DEW） 61企業(yè)主機安全服務(wù)（HSS） 62應(yīng)用防火墻服務(wù)63數(shù)據(jù)庫安全服務(wù)（DBSS） 64云防火墻（CFW） 64數(shù)據(jù)安全中心（DSC） 65安全云腦（SecMaster） 66DDoS防護（AAD） 66漏洞管理服務(wù)（CodeArtsInspector） 67云堡壘機(CBH) 67云日志服務(wù)68AI基礎(chǔ)平臺 69AI開發(fā)平臺（ModelArts） 69華為云工程安全 71DevOps和DevSecOps流程 71雙軌制（DualPath）機制 71安全設(shè)計 72安全編碼和測試 72第三方軟件安全管理 73配置與變更管理 73上線安全審批 74華為云運維運營安全 75O&M賬號運營安全 75賬號認證 75權(quán)限管理 75接入安全 76漏洞管理 76漏洞感知 77漏洞響應(yīng)和處理 77漏洞披露 77安全日志和事件管理 77日志管理和審計 78快速發(fā)現(xiàn)與快速定界 78快速隔離與快速恢復(fù) 78業(yè)務(wù)連續(xù)與災(zāi)難恢復(fù) 79基礎(chǔ)設(shè)施高可用 79可用區(qū)之間災(zāi)備復(fù)制 79業(yè)務(wù)連續(xù)性計劃和測試 79安全生態(tài) 81安全生態(tài)體系 81安全生態(tài)技術(shù)架構(gòu) 84安全生態(tài)特性 85版本歷史 86 1導(dǎo)讀2017年初，華為云部（CloudBusinessUnit,akaCloudBU）正式成立，重新啟程，開啟華為云新時代。過去幾年中，華為云與所有云服務(wù)供應(yīng)商（CSP–CloudServiceProvider）和客戶一樣，面臨著層出不窮的云安全挑戰(zhàn)，不斷探索，收獲頗多。華為云迎難而上，視挑戰(zhàn)為機遇，恪守業(yè)務(wù)邊界，攜手生態(tài)伙伴，共同打造安全、可信的云服務(wù)，為客戶業(yè)務(wù)賦能增值、保駕護航。華為云通過結(jié)合業(yè)界先進的云安全理念，華為長年積累的網(wǎng)絡(luò)安全經(jīng)驗和優(yōu)勢以及在云安全領(lǐng)域的技術(shù)積累與運營實踐，參考世界領(lǐng)先的CSP優(yōu)秀安全實踐、摸索出了一整套行之有效的云安全戰(zhàn)略和實踐。華為云已經(jīng)構(gòu)建起多維立體、縱深防御和合規(guī)遵從的基礎(chǔ)設(shè)施架構(gòu)，用以支撐并不斷完善涵蓋了IaaS、PaaS和SaaS等具有優(yōu)良安全功能的常用云服務(wù)。在這背后，是華為云高度自治的扁平化組織，具備高度安全意識和能力的研發(fā)運維運營團隊，先進的云服務(wù)DevOps/DevSecOps1流程，以及日益繁榮的云安全生態(tài)圈。華為云將一如既往，本著租戶業(yè)務(wù)優(yōu)先的原則，攜手生態(tài)伙伴，不斷發(fā)布高質(zhì)量的云服務(wù)增值安全功能、高級云安全服務(wù)和安全咨詢服務(wù)，切實保護租戶利益，幫助租戶持續(xù)擴大業(yè)務(wù)，提升華為云市場競爭力，實現(xiàn)用戶、合作伙伴、華為云三者的長期共贏。（簡稱“白皮書豐富經(jīng)驗，分享給用戶，分享給業(yè)界，以求相互了解，相互借鑒，共同推動云行業(yè)、云安全行業(yè)的開放與發(fā)展。本白皮書面向各行業(yè)、各地區(qū)的廣大讀者群：從租戶、生態(tài)伙伴和社區(qū)到互聯(lián)網(wǎng)用戶從大中小型企業(yè)客戶到個人用戶IT、安全和隱私保護等云服務(wù)相關(guān)的技術(shù)崗位人員，以及其(主要包括營銷、采購/合同、合規(guī)審計等云服務(wù)相關(guān)人員)。說明1.DevOpsDevSecOps目前尚沒有很好的統(tǒng)一中文譯名。DevOps是隨著云服務(wù)發(fā)展而由高科技公司的實踐派而非理論派創(chuàng)造并逐漸成熟的從研發(fā)到運營的全線DevOps需要支撐云服務(wù)和其他線上功能的持續(xù)集（CI/CDContinuousIntegration/ContinuousDeployment），傳統(tǒng)的瀑布流程和敏捷流程下的安全周期管理（SDL–SecurityDevelopmentLifecycle）大部分已不適應(yīng)新的節(jié)奏。安全必須無縫嵌入并實現(xiàn)高度自動化，DevOps也就自然而然地形成了稱為DevSecOps的全新安全周期管理實踐。通過華為對國內(nèi)外業(yè)界主流云服務(wù)和其他線上服務(wù)公司的調(diào)研，一個不爭的事實是這些公司已經(jīng)越來越普遍地大范圍采用DevOps/DevSecOps工程流程和工具鏈實踐。將安全無縫嵌入的DevOps/DevSecOps非但不會削弱安全，反而通過高度自動化對安全有高效的提升。 2云安全戰(zhàn)略安全面臨的威脅和挑戰(zhàn)將日益嚴重。網(wǎng)絡(luò)安全和云安全已經(jīng)成為多維度的全球性挑作，共同努力，減少技術(shù)被濫用所導(dǎo)致的不可預(yù)期風(fēng)險。作為全球領(lǐng)先的信息和通信技術(shù)（ICT–InformationandCommunicationTechnology）解決方案供應(yīng)商，華為技術(shù)有限公司（以下簡稱“華為”）充分理解網(wǎng)絡(luò)安全和云安全的重要性，并充分理解各國政府及客戶對此的擔(dān)憂與高度關(guān)注。針對層出不窮的云安全挑戰(zhàn)和無孔不入的云安全威脅與攻擊1，華為對安全問題的憂患意識也日益緊迫，高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力、合規(guī)及生態(tài)上的投入，并采取切實有效的措施，加速開發(fā)云安全技術(shù)和服務(wù)，提升公司云產(chǎn)品和云服務(wù)的安全性，提升云安全合規(guī)和生態(tài)建設(shè)，幫助客戶規(guī)避和減少云安全風(fēng)險，以贏得各利益相關(guān)方的信賴。華為認為，構(gòu)建一個開放、透明、可視的多維全棧云安全框架，將有助于整個云服務(wù)產(chǎn)業(yè)健康持續(xù)發(fā)展，并將促進云技術(shù)創(chuàng)新。華為云秉承華為公司創(chuàng)始人任正非先生提出的“將公司對網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上2000年華為安20年來，華為持續(xù)不懈地構(gòu)建自身安全能力，這些能力積累，滲透到了云安全服務(wù)研發(fā)的每個毛細血管中，構(gòu)筑了華為云多維立體、全棧防護的安全體系：2003年，推出業(yè)界首款基于網(wǎng)絡(luò)處理器（NP–NetworkProcessor）的防火墻；2008年，與賽門鐵克（Symantec）合資成立華賽公司（Huawei-Symantec）安全產(chǎn)品線，專注安全領(lǐng)域；2011年，成立安全能力中心，專攻研發(fā)安全能力；2012年，華為網(wǎng)絡(luò)安全產(chǎn)品國內(nèi)市場占有率第一；2015年，云安全解決方案及服務(wù)全面上線；2016年，云安全全球化布局，密鑰管理服務(wù)（KMS）DDoS攻擊服務(wù)（Anti-DDoS）在德國、西班牙上線；2017年，推出DDoS高流量防護（高防、數(shù)據(jù)庫防火墻等系列高增值安全服務(wù)；2018年，推出專屬加密服務(wù)（DHSM網(wǎng)絡(luò)安全與隱私保護是數(shù)智世界發(fā)展的基石。華為云會堅定不移地在產(chǎn)品和服務(wù)中構(gòu)建網(wǎng)絡(luò)安全與隱私保護能力，自內(nèi)向外打造競爭力，遵從適用的網(wǎng)絡(luò)安全與隱私保護法律法規(guī)，為客戶提供安全可信、高質(zhì)量的產(chǎn)品、解決方案和服務(wù)，助力客戶實現(xiàn)網(wǎng)絡(luò)韌性，消減網(wǎng)絡(luò)安全風(fēng)險，保護用戶隱私。華為云遵從所有適用的國家和地區(qū)的安全法規(guī)政策、國際網(wǎng)絡(luò)安全和云安全標(biāo)準，參考行業(yè)優(yōu)秀實踐。在此基礎(chǔ)上，華為云從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系。華為云將與有關(guān)政府、客戶及行業(yè)伙伴，以開放透明的方式，共同應(yīng)對云安全挑戰(zhàn)，全面滿足云服務(wù)用戶的安全需求。圖2-1華為云安全防護框架在組織方面，全球網(wǎng)絡(luò)安全與隱私保護委員會（GSPCGlobalSecurity&PrivacyCommittee）作為華為公司的最高網(wǎng)絡(luò)安全管理機構(gòu)，負責(zé)決策和批準公司總體網(wǎng)絡(luò)安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶隱私保護官（GSPOGlobalSecurity&PrivacyOfficer）GSPC的重要成員，負責(zé)領(lǐng)導(dǎo)團隊制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等相關(guān)體系的安全組織和業(yè)務(wù)，確保網(wǎng)絡(luò)安全保障體系在各體系、各區(qū)域、全流程的實施，積極推動與政府、客戶、合作伙伴、員工等各利益相關(guān)方的溝通。華為云建立并完善其適合云服務(wù)持續(xù)集成、持續(xù)部署的扁平化組織。在業(yè)務(wù)流程方面，安全保障活動融入研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等各主業(yè)務(wù)流程中。安全作為質(zhì)量管理體系的基本要求，通過管理制度和技術(shù)規(guī)范來確保其有效實施。華為通過內(nèi)部審計和接受各國政府安全部門、第三方獨立機構(gòu)的安全認證和審計等來監(jiān)督和改進各項業(yè)務(wù)流程。2004年起，華為的BS7799-2/ISO27001認證。華為云在公司級的業(yè)務(wù)流程基礎(chǔ)上，大膽地將已在華為全面采用的安全周期管理（SDLSecurityDevelopmentLifecycle）DevOps工程流程和技術(shù)能力，形成有華為DevSecOps方法論和工具鏈，既支撐云業(yè)務(wù)的敏捷上線，又確保研發(fā)部署的全線安全質(zhì)量。在人員管理方面，華為云嚴格執(zhí)行華為長期以來行之有效的人事和人員管理機法律責(zé)任。在云安全技術(shù)能力方面，依托華為自身強大的安全研發(fā)能力，以數(shù)據(jù)保護為核離和快速恢復(fù)，讓租戶受益于華為云先進技術(shù)帶來的便捷、安全與業(yè)務(wù)增值。在云安全合規(guī)方面，面向提供云服務(wù)的地區(qū)，華為云積極與監(jiān)管機構(gòu)對話，理他們的擔(dān)憂和要求，貢獻華為云的知識和經(jīng)驗，不斷鞏固華為在云技術(shù)、云服務(wù)和云安全方面與相關(guān)法律法規(guī)的契合度。同時，華為也將法律法規(guī)的分析結(jié)果共享給租戶，避免信息缺失導(dǎo)致的違規(guī)風(fēng)險，通過合同明確雙方的安全職責(zé)。華為一方面通過跨行業(yè)、跨區(qū)域的云安全認證滿足監(jiān)管機構(gòu)要求，另一方面通過獲得重點行業(yè)、重點區(qū)域所要求的安全認證，建立并鞏固華為云業(yè)務(wù)的客戶信賴度，最終在法律法規(guī)制定者、管理者、租戶三者間共建安全的云環(huán)境。在云安全生態(tài)方面，華為云認識到單靠一個公司、一個組織的力量不足以應(yīng)對益復(fù)雜的云安全威脅與風(fēng)險。因此，華為云誠邀全球所有安全伙伴，攜手共建云安全商業(yè)和技術(shù)生態(tài)體系，共同向租戶提供安全保障與服務(wù)。華為云的云市場（Marketplace）歡迎具備技術(shù)競爭力的安全技術(shù)企業(yè)、組織和個人發(fā)布云安全服志同道合的伙伴分享云安全市場。努力保障全球客戶的安全，為行業(yè)的健康發(fā)展作出應(yīng)有的貢獻。種形式的安全交流與合作，共同應(yīng)對全球云安全的威脅與挑戰(zhàn)！ 3責(zé)任共擔(dān)模型云安全的重點是保證所有應(yīng)用和服務(wù)的高性能、穩(wěn)定和安全，不會有宕機的風(fēng)險。這IaaS、PaaSSaaS。然而，運行云服務(wù)的數(shù)據(jù)IT的數(shù)據(jù)中心有很大不同。在整體安全設(shè)計和實踐方面，云服務(wù)數(shù)據(jù)IT數(shù)據(jù)中心更重視為租戶提供全面、多維度、定制化、組合式的安全和隱私保護功能和配置，涵蓋基礎(chǔ)設(shè)施、平臺、應(yīng)用和數(shù)據(jù)安全。同時，華為云安全服務(wù)支持根據(jù)每個租戶的安全需求，定制各種高級安全設(shè)置。這些安全服務(wù)與多層架構(gòu)的安全特性、設(shè)置和控制深度集成，多個孤島技術(shù)的無縫編排，以及日益自動化的云安全運維。界廣泛的實踐對模型進行了定義，如下圖所示。圖3-1責(zé)任共擔(dān)模型綠色部分由華為云負責(zé)，藍色部分由租戶負責(zé)。華為云負責(zé)提供安全的云服務(wù)，租戶負責(zé)云服務(wù)的內(nèi)部安全和安全使用。加密、訪問控制等。的設(shè)計、開發(fā)、發(fā)布、配置和使用。發(fā)布、配置、使用等?；A(chǔ)業(yè)務(wù)安全：華為云提供的計算、網(wǎng)絡(luò)、存儲的安全管理，包括云計算、存儲、數(shù)據(jù)庫等業(yè)務(wù)的底層管理（如虛擬化控制層）和使用管理（如虛擬機管理虛擬網(wǎng)絡(luò)、負載均衡、安全網(wǎng)關(guān)、VPN、專線等管理。務(wù)器和網(wǎng)絡(luò)設(shè)備的管理。IaaS、PaaSSaaS服務(wù)，以及各種服務(wù)的內(nèi)置安全功能。華為云除了提供跨層身份認證（IAM）功能外，還負責(zé)構(gòu)建縱深防御的多層防護體系，覆蓋物理層、基礎(chǔ)設(shè)施層、平臺層、應(yīng)用層和數(shù)據(jù)層。同時，還能保證運維的安全。租戶在華為云上訂購的虛擬網(wǎng)絡(luò)、平臺、應(yīng)用、數(shù)據(jù)、管理、安全等云服務(wù)，主要負責(zé)定制配置和運營。包括對華為云服務(wù)的定制化，以及租戶在華為云上部署的任何平臺、應(yīng)用和IAM服務(wù)的運維。租戶還負責(zé)自定義虛擬網(wǎng)絡(luò)層、平臺層、應(yīng)用層、數(shù)據(jù)層和跨層IAM功能的安全設(shè)置，以及租戶的運維安全和有效的用戶身份管理。華為云的安全責(zé)任IaaS、PaaSSaaS各類各項云服務(wù)自身的安涵蓋華為云數(shù)據(jù)中心的物理環(huán)境設(shè)施和運行其上的基礎(chǔ)服務(wù)、平臺服務(wù)、應(yīng)用服務(wù)等。這不但包括華為云基礎(chǔ)設(shè)施和各項云服務(wù)技術(shù)的安全功能和性能本身，也包括運維運營安全，以及更廣義的安全合規(guī)遵從（4.1章節(jié)有專門介紹，在此不贅述。華為云一方面確保各項云技術(shù)的安全開發(fā)、配置和部署；另一方面，華為云負責(zé)所提供云服務(wù)的運維運營安全，例如，對安全事件實現(xiàn)快速發(fā)現(xiàn)、快速隔離、快速響應(yīng)，確保云服務(wù)的快速恢復(fù)。同時采用適合云服務(wù)的漏洞管理機制，對云服CSP的持續(xù)部署，包括不斷優(yōu)化云產(chǎn)品默認安全配置、補丁裝載前置于研發(fā)階段和靈活簡化安全補丁部署周期等措施。另外，華為云的安全責(zé)任還表現(xiàn)在開發(fā)有強大市場競爭力、為華為云租戶業(yè)務(wù)增值的云安全服務(wù)。華為云將其基礎(chǔ)設(shè)施的安全與隱私保護視為運維運營安全的重中之重。基礎(chǔ)設(shè)存儲、網(wǎng)絡(luò)、數(shù)據(jù)庫、平臺、應(yīng)用、身份管理和高級安全服務(wù)等各項云服務(wù)的系統(tǒng)設(shè)施。同時，華為云深度集成第三方安全技術(shù)或服務(wù)，并負責(zé)對其進行安全運維。華為云還負責(zé)其支撐的各項云服務(wù)的自身安全配置和版本維護。華為云對租戶數(shù)據(jù)提供機密性、完整性、可用性、持久性、認證、授權(quán)、以及可否認性等方面的全面數(shù)據(jù)保護功能，并對相關(guān)功能的安全性負責(zé)。但是，華為云只是租戶數(shù)據(jù)托管者，租戶對其數(shù)據(jù)擁有所有權(quán)和控制權(quán)。華為云絕不允許運化，負責(zé)遵從華為云服務(wù)所必需的安全法律法規(guī)，開展所服務(wù)行業(yè)的安全標(biāo)準評估，并且向租戶分享我們的合規(guī)實踐，保持應(yīng)有的透明度。華為云攜手云安全商業(yè)合作伙伴向租戶提供咨詢服務(wù)，例如協(xié)助租戶對虛擬網(wǎng)絡(luò)、虛擬機（包括虛擬主機和訪客虛擬機）安全補丁管理；對虛擬網(wǎng)絡(luò)防火墻、API網(wǎng)關(guān)（APIGWAPIGateway）和高DoS/DDoS全事件的應(yīng)急響應(yīng)及災(zāi)難恢復(fù)演練。租戶的安全責(zé)任華為云租戶的安全責(zé)任在于對使用的IaaS、PaaS和SaaS類各項云服務(wù)內(nèi)部的安全以及對租戶定制配置進行安全有效的管理，包括但不限于虛擬網(wǎng)絡(luò)、虛擬主機和訪客虛擬機的操作系統(tǒng)，虛擬防火墻、API網(wǎng)關(guān)和高級安全服務(wù)，各項云服務(wù)，租戶數(shù)據(jù)，以及身份賬號和密鑰管理等方面的安全配置。租戶的安全責(zé)任細節(jié)由最終所使用的云服務(wù)來決定，具體到租戶負責(zé)執(zhí)行什么作。（）其虛擬網(wǎng)絡(luò)的防火墻，網(wǎng)關(guān)和高級安全服務(wù)等的策略配（2）租戶的虛擬網(wǎng)絡(luò)、虛擬主機和訪客虛擬機和容器等云服務(wù)所必需的安全配置和管理任務(wù)（包括更新和安全補丁、容器安全管理（容器的安全配置、訪問控制安全配置等、大數(shù)據(jù)分析等平臺服務(wù)的租戶配置；（3）其他各項租戶租用的云服務(wù)內(nèi)部的安全配置等；（4）其自行部署在華為云的任何應(yīng)用程序軟件或?qū)嵱贸绦蜻M行安全管理。在配置云服務(wù)時，租戶負責(zé)各項安全配置，在部署到生產(chǎn)環(huán)境前應(yīng)做好充分測需配置賬戶對資源的訪問控制并妥當(dāng)保管賬戶憑證。少數(shù)云服務(wù)需要執(zhí)行其他任務(wù)，才能達到應(yīng)有的安全性。各項監(jiān)控管理服務(wù)和高級安全服務(wù)具有較多安全配置選項，租戶可尋求華為云和其合作伙伴的技術(shù)支持，以確保安全性。使用apeduce服務(wù)（R）（1）管理其購買的S大數(shù)據(jù)集群的彈性I（2）配置訪問控制策略，如彈性IP綁（3）負責(zé)大數(shù)據(jù)集群的用戶管理、大數(shù)據(jù)組件的安全配置，并且妥當(dāng)保管相關(guān)的賬戶（）以及對其部署在大數(shù)據(jù)集群上的應(yīng)用進行安全管理。使用數(shù)據(jù)庫服務(wù)時租戶應(yīng)負責(zé)：數(shù)據(jù)庫引擎的生命周期管理及數(shù)據(jù)庫安全管理，包括（1）（2）災(zāi)備及恢復(fù)策略、VPC及安全組配置、互聯(lián)網(wǎng)訪問配置、訪問通道加密配置、數(shù)據(jù)庫認證和鑒權(quán)配置、數(shù)據(jù)庫審計配置以及其他安全配置。無論使用哪一項華為云服務(wù)，租戶始終是其數(shù)據(jù)的所有者和控制者。租戶負責(zé)和鑒權(quán)進行有效保障。在使用統(tǒng)一身份認證服務(wù)（IAM）和數(shù)據(jù)加密服務(wù)（DEW）時，租戶負責(zé)妥善保管其自行配置的服務(wù)登錄賬戶、密碼和密鑰，并負責(zé)執(zhí)行密碼密鑰設(shè)定、更新和重設(shè)規(guī)則的業(yè)界優(yōu)秀實踐。租戶負責(zé)設(shè)置個人賬戶(MFA)活動日志記錄用于監(jiān)測和審計。租戶負責(zé)對其自行部署于華為云上、不屬于華為云提供的各項應(yīng)用和服務(wù)所必需的安全法律法規(guī)，并自行開展所服務(wù)行業(yè)的安全標(biāo)準評估。華為云提供安全基線配置指南（/cloudbu-site/china/zh-cnruener/heaper1714458024886507633.pdf，供租戶配置參考。 4安全合規(guī)與隱私保護安全合規(guī)與標(biāo)準遵從16個主流全球安全標(biāo)準為參考基礎(chǔ)，同時融合了三十年安全運營管理經(jīng)驗和技術(shù)積累，打造了云原生安全治理框架——服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準（CloudServiceCybersecurity&Complianceandard,簡稱“3C3C”體系的基礎(chǔ)理念是基于云服務(wù)各業(yè)務(wù)模塊的流程，劃分相對應(yīng)的安全控制領(lǐng)域，使安全控制要求得以嵌入到云服務(wù)管理流程中，同步確保安全管理責(zé)任清晰明確、可度量、可追溯?！?CS”體系幫助華為云充分利用了華為云全球合規(guī)治理經(jīng)驗，大大提升了獲得法規(guī)及行業(yè)標(biāo)準認證的效率，從而實現(xiàn)全面高效的安全治理，持續(xù)提升云服務(wù)可信能力。圖4-13CS-云服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準框架華為云充分發(fā)揮其基于“3CS”的強大合規(guī)治理能力，一如既往地確保其基礎(chǔ)設(shè)施和云服務(wù)通過業(yè)界權(quán)威的獨立第三方安全組織的測評及認證，僅向客戶提供安全合規(guī)的基礎(chǔ)設(shè)施與云服務(wù)。截止目前，華為云共獲得了100+個國內(nèi)外權(quán)威安全合規(guī)認證。這些安全測評和認證向客戶展示了華為云在策略、流程、組織、技術(shù)等多方面的安全風(fēng)險管控措施，使得客戶能夠深入了解華為云對保障云上業(yè)務(wù)與用戶數(shù)據(jù)安全方面的投入以及有效管控能力。以華為云通過的云安全聯(lián)盟CSA為例（CSA–CloudSecurityAlliance，A–ecury，rust&Auranceegry，該認證在IOIEC27001的基礎(chǔ)上，增加了云安全控制矩陣（CCMCloudControlMatrix）和其他安全要求，涵蓋了風(fēng)16個控制領(lǐng)域。取得CSA標(biāo)志著華為云的運營安全管理和技術(shù)能力獲得了國際權(quán)威的認可，其安全合規(guī)性已處于世界領(lǐng)先水平。華為云將基于安全責(zé)任共擔(dān)模型，持續(xù)主動的構(gòu)建并提升包括物理環(huán)境、網(wǎng)絡(luò)、平臺等各層基礎(chǔ)設(shè)施與云服務(wù)的安全合規(guī)能力，全面保障用戶業(yè)務(wù)與數(shù)據(jù)的安全與合規(guī)。目前，華為云部分標(biāo)準類認證/鑒證示例：? ISO27001:2022? ISO27017:2015? ISO27018:2019? TL9000&ISO9001? ISO20000-1:2018? ISO22301:2019CSA認證? ISO27701:2019? BS10012:2017? ISO29151:2017DSS13DS? ISO27799:2016? ISO27034SOC審計報告關(guān)于更多華為云的安全合規(guī)信息以及獲取相關(guān)合規(guī)證書，可參見華為云官網(wǎng)“信任中心-合規(guī)中心”另外，華為云主動識別并遵從業(yè)界優(yōu)秀安全實踐。例如，華為云參考互聯(lián)網(wǎng)安全中心（CIS–CenterofInternetSecurity）安全基線并將其融入華為云服務(wù)DevSecOps流程。CIS安全基線是一套用于網(wǎng)絡(luò)系統(tǒng)安全配置和操作的業(yè)界優(yōu)秀實踐，覆蓋技術(shù)（軟件、硬件、流程（系統(tǒng)和網(wǎng)絡(luò)管理、人員（最終用戶和管理行為云在安全合規(guī)與標(biāo)準遵從上一如既往地與業(yè)界看齊。說明PCIDSSPaymentCardIndustryDataSecurityStandard)即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準。隱私保護實現(xiàn)隱私保護。華為云建立完善、規(guī)范和統(tǒng)一隱私保護體系確保云平臺的隱私保護得以實現(xiàn)，并幫助客戶實施隱私保護。華為云制定隱私保護七大原則（合法、正當(dāng)、透明，目的限制，數(shù)據(jù)最小化，準確性，存儲期限最小化，完整性與保密性，可歸責(zé)，同時采用業(yè)界認PbD1（PrivacybyDesign）作為指導(dǎo)，結(jié)合華為云實際情況形成華為云隱私保護理念。隱私保護理念廣泛應(yīng)用在華為云的組織和人員管理、云平臺個人數(shù)PIA2（PrivacyImpactAssessment）識別隱私風(fēng)險并采取恰當(dāng)?shù)姆绞较蚪档惋L(fēng)險。華為云尊重用戶的隱私權(quán)利，在官網(wǎng)明顯處提供清晰的《隱私政策聲明》以及客戶反饋通道，幫助客戶了解華為云隱私保護的信息。華為云研究團隊同時致力研發(fā)各類隱私增強技術(shù)（PET–PrivacyEnhancingechnoogy，積累隱私保護工程技術(shù)能力，以滿足客戶不同需要實施隱私保護。華為PET，包括等價類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支付以及隱私保存計算等。更多關(guān)于華為云隱私保護的政策和表述，可以查閱《華為云隱私保護白皮書》和華為云的官方網(wǎng)站。說明最早作為針對產(chǎn)品研發(fā)周期隱私保護的方法。經(jīng)過近幾年的發(fā)展，逐漸演變成隱私保護的管理理念。PbD中，幫助組織在隱私保護中取得主動地位。隱私影響評估作為業(yè)界通用的隱私評估與設(shè)計工具被廣泛使用和認可。PIA組織識別并減少業(yè)務(wù)的隱私風(fēng)險，識別和最小化潛在隱私風(fēng)險的過程 5安全組織和人員安全組織華為把網(wǎng)絡(luò)安全作為公司重要戰(zhàn)略之一，通過自上而下的治理結(jié)構(gòu)來實現(xiàn)。在組織方面，GSPC作為最高網(wǎng)絡(luò)安全管理機構(gòu)，決策和批準公司總體網(wǎng)絡(luò)安全戰(zhàn)略。GSPO及其辦公室負責(zé)制定和執(zhí)行華為端到端網(wǎng)絡(luò)安全保障體系。GSPO直接向公司CEO匯報。秉承華為網(wǎng)絡(luò)安全戰(zhàn)略和規(guī)范，華為云安全團隊對本領(lǐng)域安全工作進行自主規(guī)劃和管理。全面實現(xiàn)云服務(wù)業(yè)務(wù)和云安全業(yè)務(wù)的研發(fā)運維運營組織合一，組織結(jié)構(gòu)趨于扁平化，以便適應(yīng)云服務(wù)必需的DevOps/DevSecOps流程。扁平化的組織結(jié)構(gòu)和適應(yīng)云服務(wù)的流程一方面滿足云服務(wù)快速持續(xù)集成、交付與部署的進度要求，另一方面保證云服務(wù)達到必需的安全質(zhì)量標(biāo)準，有效控制安全風(fēng)險。依托云服務(wù)安全工程能力、云安全服務(wù)與解決方案的設(shè)計和開發(fā)、云服務(wù)安全運維運營等職能，構(gòu)建華為云服務(wù)的安全合規(guī)遵從和安全運維運營能力，切實保障華為云租戶利益?；谠瓢踩珜θA為云的特殊重要性，云安全團隊直接向華為云總裁匯報。安全與隱私保護人員安全團隊的主要職責(zé)如下：DevOps/DevSecOps流程和云安全審計流程，開發(fā)推廣全流程安全工具鏈；控、排查并解決安全威脅；IT據(jù)和知識產(chǎn)權(quán)的安全管控和隱私保護；IaaS、PaaSSaaS各類各項服務(wù)的安全功能和整體云安全解決方案；服務(wù)的隱私保護優(yōu)秀實踐，推動發(fā)布符合隱私保護標(biāo)準的云技術(shù)、云服務(wù)；制定和發(fā)展可持續(xù)云安全技術(shù)及業(yè)務(wù)生態(tài)。內(nèi)部審計人員華為內(nèi)部審計團隊直接向董事會和公司高層管理者匯報，嚴格的審計活動在推動網(wǎng)絡(luò)安全流程和標(biāo)準落地，保障結(jié)果交付上起著關(guān)鍵的作用。10+12個安全運維和安全運營上的風(fēng)險。審計結(jié)果向董事會和公司高層管理者匯報，保證發(fā)現(xiàn)的問題得到解決并最終閉環(huán)。人力資源管理華為云安全的人力資源管理框架和公司的整體人力資源管理框架一致，都是建立在法律基礎(chǔ)之上。云安全對HR的訴求主要是保證我們的員工背景和資歷適合華為云業(yè)務(wù)的需要。員工行為符合所有法律、政策、流程以及華為商業(yè)行為準則的要求。員工有履行其職責(zé)必備的知識、技能和經(jīng)驗。整體模型如下：（此模型較為簡明，故不贅述）圖5-1華為云安全融入人力資源流程安全意識教育從意識教育普及、宣傳活動開展、BCG及承諾書簽署三個方面開展安全意識教育：意識教育普及：定期開展網(wǎng)絡(luò)安全意識教育學(xué)習(xí)，要求員工持續(xù)學(xué)習(xí)網(wǎng)絡(luò)安全識到即使主觀上沒有惡意，也要對自己的行為負責(zé)，并承諾按要求執(zhí)行；宣傳活動開展：面向全員開展形式多樣的網(wǎng)絡(luò)安全宣傳活動，包括網(wǎng)絡(luò)安全社運營、網(wǎng)絡(luò)安全典型案例宣傳、網(wǎng)絡(luò)安全活動周、網(wǎng)絡(luò)安全動畫宣傳片等；BCG及承諾書簽署（BCG–unesConductGude，通過公司統(tǒng)一開展的年度例行G學(xué)習(xí)、考試和簽署活動來傳遞公司對全員在網(wǎng)絡(luò)安全領(lǐng)域的要求，提高員工網(wǎng)絡(luò)安全意識。簽署網(wǎng)絡(luò)安全承諾書，承諾遵守公司各項網(wǎng)絡(luò)安全政策和制度要求。網(wǎng)絡(luò)安全能力提升等環(huán)節(jié)納入多種形式的安全技能培訓(xùn)，提升員工安全技能，確保員工有能力向客戶交付安全、合規(guī)的產(chǎn)品、解決方案與服務(wù)。網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)：華為根據(jù)不同角色、崗位制定相應(yīng)的安全基礎(chǔ)能力培訓(xùn)計必須的培訓(xùn)和研討。精準培訓(xùn)：通過大數(shù)據(jù)分析識別產(chǎn)品研發(fā)過程中的典型安全問題和問題關(guān)聯(lián)責(zé)任人，并向其精準推送安全典型培訓(xùn)方案（包括案例、培訓(xùn)課程、練習(xí)題等改進安全質(zhì)量。實戰(zhàn)演練：引進業(yè)界優(yōu)秀實踐，開發(fā)網(wǎng)絡(luò)安全實戰(zhàn)演練平臺，開展紅藍對抗，力。安全能力任職牽引：為了讓員工更加自覺、有效地進行網(wǎng)絡(luò)安全學(xué)習(xí)，華為將絡(luò)安全要求融入到任職資格標(biāo)準中。員工在任職晉升過程中需要學(xué)習(xí)相應(yīng)的網(wǎng)絡(luò)安全課程，通過相應(yīng)的網(wǎng)絡(luò)安全技能考試，提升自身網(wǎng)絡(luò)安全能力。重點崗位管理為了內(nèi)部有序管理，消減人員管理風(fēng)險對業(yè)務(wù)連續(xù)性和安全性帶來的潛在影響，華為云對運維工程師等重點崗位實施專項管理。具體如下：上崗安全審查：針對新上崗人員，開展上崗人員安全審查，確保上崗人員背景資歷符合云安全業(yè)務(wù)要求。在崗安全培訓(xùn)賦能：圍繞網(wǎng)絡(luò)安全意識、客戶網(wǎng)絡(luò)服務(wù)的業(yè)務(wù)規(guī)范、用戶數(shù)據(jù)隱私保護要求進行網(wǎng)絡(luò)安全學(xué)習(xí)和考試，并根據(jù)業(yè)務(wù)變化定期刷新學(xué)習(xí)和考試大綱。上崗資格管理：重點崗位員工必須通過網(wǎng)絡(luò)安全上崗證的考試，并取得證書。書，證書到期前提醒員工重新參加考試。離崗安全審查：按照調(diào)動、離職安全審查清單，對內(nèi)部調(diào)離、離職人員進行離安全審查，包括離崗權(quán)限賬號的清理或修改等。安全違規(guī)問責(zé)任。違規(guī)事件處理根據(jù)違規(guī)個人態(tài)度與調(diào)查配合情況予以加重或減輕處理。 6基礎(chǔ)設(shè)施安全物理與環(huán)境安全華為云已制定并實施完善的物理和環(huán)境安全防護策略、規(guī)程和措施，滿足GB50174《電子信息機房設(shè)計規(guī)范》A類和TIA942《數(shù)據(jù)中心機房通信基礎(chǔ)設(shè)施標(biāo)準》中的T3+標(biāo)準。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計施工和運營時，合理劃分了機房物理區(qū)域，合理布置了信息系統(tǒng)的組件，以防范物理和環(huán)境潛在危險（如火災(zāi)、電磁泄露等）和非授權(quán)訪問，而且提供了足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量，以滿足基礎(chǔ)設(shè)施快速擴容的需求。同時，華為云運維運營團隊嚴格執(zhí)行訪問控制、安保措施、例行監(jiān)控審計、應(yīng)急響應(yīng)等措施，以確保華為云數(shù)據(jù)中心的物理和環(huán)境安全。物理安全機房選址：華為云數(shù)據(jù)中心機房選址一定程度上決定面臨的自然災(zāi)害以及可能環(huán)境威脅。華為云數(shù)據(jù)中心選址一律避開自然災(zāi)害不利或危險的地區(qū)，減少周邊400選址上保證了數(shù)據(jù)中心正常運營需要的配套資源，如市電、水、通信線路等。訪問控制：華為云數(shù)據(jù)中心嚴格管理人員及設(shè)備進出，在數(shù)據(jù)中心園區(qū)及建筑的門口設(shè)置了全天候（2477*24小時）記盤查，限制并監(jiān)控來訪人員授權(quán)活動范圍。門禁控制系統(tǒng)在不同的區(qū)域采取不同安全策略的門禁控制系統(tǒng)，嚴格審核人員出入權(quán)限。數(shù)據(jù)中心的重要配件，由倉儲系統(tǒng)中的專門電子加密保險箱存放，且由專人進行保險箱的開關(guān)；數(shù)據(jù)中心的任何配件，都必須提供授權(quán)工單方能領(lǐng)取，且領(lǐng)取時須在倉儲管理系統(tǒng)中登可訪問數(shù)據(jù)中心。安保措施：華為云數(shù)據(jù)中心采用當(dāng)前通用的機房安保技術(shù)監(jiān)測，并消除物理隱7*24并與紅外感應(yīng)、門禁等聯(lián)動。保安人員對數(shù)據(jù)中心定時巡查，并設(shè)置在線巡更系統(tǒng)。對非法闖入和其他安保事件及時進行聲光報警。環(huán)境安全電力保障7*24常電力供應(yīng)采用來自不同變電站的雙路市電供電。配備柴油發(fā)電機，在市電斷電時可啟動柴油機供電，以備不時之需。并配備了不間斷電源（UPS–Unnerrupedoweruppy，提供短期備用電力供應(yīng)。在機房供電線路上配置了穩(wěn)壓器和過壓防護設(shè)備。在供電設(shè)備及線路上還設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。溫濕度控制：通過精密空調(diào)、集中加濕器自動調(diào)節(jié)，華為云數(shù)據(jù)中心機房溫濕道密閉，以防止局部熱點。消防能力A料，滿足國家消防規(guī)范。采用了阻燃、耐火電纜，在管內(nèi)或線槽鋪設(shè)，并設(shè)置了漏電檢測裝置。部署了自動報警和自動滅火系統(tǒng)，能夠迅速準確發(fā)現(xiàn)并通報火也能開啟自動滅火系統(tǒng)，得以控制火情。例行監(jiān)控制度得到例行監(jiān)控，安全隱患能被及時發(fā)現(xiàn)并修復(fù)，確保設(shè)備穩(wěn)定運行。供水排水倒灌風(fēng)險。建筑滿足防水一級標(biāo)準，保證了雨水不能通過屋頂、墻壁向機房滲透。數(shù)據(jù)中心也配備了及時排水的設(shè)施，供水災(zāi)時使用。防靜電：華為云數(shù)據(jù)中心機房鋪設(shè)了防靜電地板，導(dǎo)線連接地板支架與接地網(wǎng)器，導(dǎo)走電流。網(wǎng)絡(luò)安全華為云數(shù)據(jù)中心節(jié)點眾多、功能區(qū)域復(fù)雜。為了簡化網(wǎng)絡(luò)安全設(shè)計，阻止網(wǎng)絡(luò)攻擊在華為云中的擴散，最小化攻擊影響，華為云參考ITUE.408安全區(qū)域的劃分原則并結(jié)合業(yè)界網(wǎng)絡(luò)安全的優(yōu)秀實踐，對華為云網(wǎng)絡(luò)進行安全區(qū)域、業(yè)務(wù)層面的劃分和隔離。安全區(qū)域內(nèi)部的節(jié)點具有相同的安全等級。華為云從網(wǎng)絡(luò)架構(gòu)設(shè)計、設(shè)備選型配置到運行維護諸方面綜合考慮，對承載網(wǎng)絡(luò)采用各種針對物理和虛擬網(wǎng)絡(luò)的多層安全隔離，接入控制和邊界防護技術(shù)，同時嚴格執(zhí)行相應(yīng)的管控措施，確保華為云安全。安全區(qū)域劃分與隔離圖6-1華為云平臺安全域劃分及網(wǎng)絡(luò)邊界保護華為云根據(jù)業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險將數(shù)據(jù)中心劃分為多個安全區(qū)域，實現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對入侵和內(nèi)鬼的分區(qū)自我保護和容錯恢復(fù)能力1。在這里介紹以下五個重要安全區(qū)域：DMZ區(qū)DMZ器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺、APIDMZDMZ單獨隔離，防止外部請求接觸云服務(wù)后DDoS部署了應(yīng)用防火墻及入侵檢測與攔截設(shè)備（IDS/IPS）以保護基礎(chǔ)網(wǎng)路、平臺及應(yīng)用。公共服務(wù)區(qū)（Pcervce：該區(qū)域主要部署IaaaaaaSOpenStack、IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件如DNS、NTP、補丁服務(wù)等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務(wù)需要受限開放給租戶，且租DMZ區(qū)域進行操作和管理。資源交付區(qū)（PD–PotofDever：此區(qū)域提供租戶所需的基礎(chǔ)設(shè)施資聯(lián)網(wǎng)的租戶流量做DDoS防護及入侵檢測與防御，保障租戶業(yè)務(wù)。數(shù)據(jù)存儲區(qū)（S–ject-aedtorage：此區(qū)域部署對象存儲系統(tǒng)，提供對象存儲服務(wù)，存儲租戶隱私數(shù)據(jù)，所以進行了分區(qū)隔離。在該區(qū)域邊界由租戶在華為云提供的安全組件上配置執(zhí)行租戶所需的訪問控制規(guī)則，在任意租戶空間DMZ過DMZ的服務(wù)控制臺或網(wǎng)關(guān)才能訪問該區(qū)。運維管理區(qū)（M–eratosMaagemet：該區(qū)域主要部署操作運維部件，華為云運維人員必須先通過虛擬專用網(wǎng)絡(luò)（VPNVirtualPrivateNetwork）運維接口。此區(qū)域不向其他區(qū)域開放接口。除了上述網(wǎng)絡(luò)分區(qū)，同時也對不同區(qū)域的安全級別進行了劃分，根據(jù)不同的業(yè)務(wù)功能，確定不同的攻擊面以及不同的安全風(fēng)險，比如說直接暴露在互聯(lián)網(wǎng)的區(qū)域，安全風(fēng)險最高，而與互聯(lián)網(wǎng)幾乎沒有交互并且不向其他區(qū)域開放接口的OM區(qū)，攻擊面最小，安全風(fēng)險相對容易控制。說明1.華為云數(shù)據(jù)中心不同傳統(tǒng)IT數(shù)據(jù)中心，因此在實現(xiàn)區(qū)域隔離上與傳統(tǒng)手段不盡相同，不再是簡單地使用防火墻實現(xiàn)，也會運用革新技術(shù)，如軟件定義邊界（SDPSoftwareDefinedPerimeter）。并且，不止定義網(wǎng)絡(luò)層區(qū)域邊界，采用多層邊界劃分與隔離協(xié)防，從網(wǎng)絡(luò)層、平臺層、應(yīng)用層一直到用戶身份層，都有信任邊界和相應(yīng)的訪問控制。這里介紹的網(wǎng)絡(luò)層安全區(qū)域只是多維全棧防護體系的一部分。業(yè)務(wù)平面劃分與隔離為保證租戶業(yè)務(wù)不影響管理操作，確保設(shè)備、資源和流量不會脫離有效監(jiān)管，華為云將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務(wù)職能、不同安全風(fēng)險等級和不同權(quán)限需要劃分為租戶數(shù)據(jù)平面、業(yè)務(wù)控制平面、平臺運維平面、BMC（BaseboardManagementController）管理平面、數(shù)據(jù)存儲平面等，以保證關(guān)乎不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流，便于實現(xiàn)職責(zé)分離。租戶數(shù)據(jù)平面供業(yè)務(wù)應(yīng)用。業(yè)務(wù)控制平面API的安全交互。平臺運維平面：實現(xiàn)基礎(chǔ)設(shè)施和平臺（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲）理。BMC管理平面護。數(shù)據(jù)存儲平面POD區(qū)內(nèi)計算節(jié)點與存儲節(jié)點間的數(shù)據(jù)安全傳輸與存儲。在每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，如POD區(qū)有租戶數(shù)據(jù)平面、平臺運維平面、業(yè)務(wù)控制平面、BMC管理平面，而運維區(qū)只有平臺運維平面和BMC管理平面。安全區(qū)域與業(yè)務(wù)平面并用形成更多層面的、既有物理又有邏輯控制的多維度隔離，而這還只是華為云全棧防護的一部分。高級邊界防護華為云高效的多維全棧防護體系也包括多種邊界防護措施，這不僅僅有上述主要通過傳統(tǒng)網(wǎng)絡(luò)技術(shù)和防火墻實現(xiàn)的安全區(qū)域和業(yè)務(wù)平面的劃分與隔離，還包括了得益于華為自研的各項高級邊界防護功能。華為云已將各項高級防護功能按需適配到華為云外網(wǎng)邊界和內(nèi)網(wǎng)的區(qū)域間的信任邊界。對華為自研的幾項主要高級邊界防護功能1，簡介如下：DDoS異常和超大流量清洗Anti-DDoS設(shè)備來完成對異常和超大流量攻擊的檢測及清洗。Anti-DDoS設(shè)備還可以為租戶提供精細化的DDoS防護服務(wù)，租戶可以根據(jù)業(yè)務(wù)的應(yīng)用類型，配置流量閾值參數(shù)，并查看攻擊和防御狀態(tài)。網(wǎng)絡(luò)入侵檢測與攔截（IDS/IPS–IntrusionDetectionSystem/Intrusionrevenonysem：為了感知來自互聯(lián)網(wǎng)以及租戶虛擬網(wǎng)絡(luò)之間東西向的攻擊，IPS設(shè)備，包括但不限于外網(wǎng)邊界、安全區(qū)域邊界和租戶空間邊界等。IPS具備網(wǎng)絡(luò)實時流量分析和阻斷能力，能防護異常協(xié)議攻擊、暴力攻擊、端口/漏洞掃描、病毒/各種入侵行為?；诰W(wǎng)絡(luò)流量，IPS可以提供信息幫助定位和調(diào)查網(wǎng)絡(luò)異常，分配定向流量的限制策略，并采用相應(yīng)的自定義檢測規(guī)則，保障生產(chǎn)環(huán)境內(nèi)的應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全。Web安全防護層的DDoS攻擊、QL注入、跨站腳本攻擊（XSS-ro-ecrpng、跨站請求偽造（SF–ro-ieequetogery、組件漏洞攻擊、身份偽造等，以保護部署在DMZ區(qū)、面向外網(wǎng)的應(yīng)用服務(wù)和系統(tǒng)。說明1.77.1.1彈性云服務(wù)器（ECS）6.2.1虛擬私有云服務(wù)（VPC）中有具體介紹，在此不做贅述。平臺安全作為華為云平臺操作系統(tǒng)，華為統(tǒng)一虛擬化平臺（UVP-UnifiedVirtualizationPlatform）通過對服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個物理服務(wù)器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境。在中國可信云認證中，華為云平臺的云主機獲得最高級的五星+認證。為保證平臺安全，華為云對主機操作系統(tǒng)進行最小化裁剪并對服務(wù)做安全加固。同時，對接入主機操作系統(tǒng)的華為云管理員執(zhí)行嚴格的權(quán)限訪問控制(PAM–PrivilegeAccessManagement)，對其所執(zhí)行的各項運維運營操作實行全面的日志審計。華為云管理員必須經(jīng)過雙因子認證后，才能通過堡壘機接入管理平面，所有操作都會記錄日志并及時傳送到集中日志審計系統(tǒng)。UVP直接運行于物理服務(wù)器之上，提供虛擬化能力，為虛擬機提供運行環(huán)境。UVP通過CPU隔離、內(nèi)存隔離和I/O隔離等技術(shù)手段實現(xiàn)虛擬主機操作系統(tǒng)與訪客虛擬機操作系統(tǒng)之間的隔離，并通過Hypervisor讓虛擬主機操作系統(tǒng)與訪客虛擬機操作系統(tǒng)使用不同的權(quán)限運行，來保證平臺系統(tǒng)資源的安全。以下分別從CPU、內(nèi)存和I/O隔離三個方面介紹UVP的資源安全隔離實現(xiàn)機制。CPU隔離CPU隔離主要是指虛擬化平臺與虛擬機之間的隔離，虛擬機內(nèi)部的權(quán)限分配和虛擬機與虛擬機之間的隔離。CPU隔離是通過Root和Non-Root兩種運行模式的切換、各運行模式下的運行權(quán)限分配以及以VCPU（VirtualCPU）的形式呈現(xiàn)的虛擬計算資源的分配與切換等方式來實現(xiàn)的。通過CPU隔離機制，UVP可以控制虛擬機對物理擬化平臺的信息和資源。內(nèi)存隔離虛擬化平臺還負責(zé)為虛擬機提供內(nèi)存資源，保證每個虛擬機只能訪問到其自身的內(nèi)存。為實現(xiàn)這個目標(biāo)，虛擬化平臺管理虛擬機內(nèi)存與真實物理內(nèi)存之間的映射關(guān)系。保證虛擬機內(nèi)存與物理內(nèi)存之間形成一一映射關(guān)系。虛擬機對內(nèi)存的訪問都會經(jīng)過虛其他虛擬機或虛擬化平臺自身使用的內(nèi)存。I/O隔離虛擬化平臺還給虛擬機提供了虛擬I/O設(shè)備，包括磁盤、網(wǎng)卡、鼠標(biāo)、鍵盤等。虛擬化平臺為每個虛擬機提供獨立的設(shè)備，避免多個虛擬機共享設(shè)備造成的信息泄露。I/OI/O設(shè)備，實現(xiàn)I/O路徑的隔離。API應(yīng)用安全API進行配置管理，對接企業(yè)已有的IT管理和審計系A(chǔ)PIHTTP應(yīng)用層面臨的安全威脅，業(yè)APIAPIAPI網(wǎng)關(guān)實現(xiàn)的。API網(wǎng)關(guān)支持以下機制API得到有效保護：身份認證及鑒權(quán)APIIAM證，確保只有經(jīng)過身份驗證的用戶才能訪問和管理云監(jiān)控信息，且傳輸通道通過TLS加密。租戶通過API命令接口來管理虛擬機，API命令的權(quán)限管理直接關(guān)系到虛擬機的安全性。華為云API網(wǎng)關(guān)對用戶命令支持二級權(quán)限管理。用戶發(fā)出命令時，不僅需要通過IAM的身份登錄和鑒權(quán)，而且命令也需要經(jīng)過API網(wǎng)關(guān)的檢查鑒權(quán)。用戶有權(quán)限執(zhí)行該命令時，命令才可以通過API網(wǎng)關(guān)并下發(fā)到平臺層或應(yīng)用層執(zhí)行。平臺層或應(yīng)用層接到命令后，會再次對用戶的權(quán)限進行檢查判斷，只有用戶確實擁有當(dāng)前API命令的執(zhí)行權(quán)限，命令才允許執(zhí)行。所有的訪問請求可以通過兩種方式認證：令牌(token)認證tokentoken由租戶通過使用IAM注冊的用戶名及密碼調(diào)用IAM接口獲取。訪問密鑰ID/訪問密鑰（AK/SKAccessKeyID/SecretAccessKey）認證AK/SK的鑒權(quán)信息，APIAK/SK鑒權(quán)機制要AK/SKAPI網(wǎng)關(guān)發(fā)布的官方SDK進行簽API網(wǎng)關(guān)，API證校驗。傳輸保護：APITLSAPI網(wǎng)關(guān)所有APITLS1.2版本加密協(xié)議，并且支持PFS（PerfectForwardSecrecy）安全特性。邊界防護：APIAnti-DDoS、入侵防御系統(tǒng)（IPS）應(yīng)用防火墻（WAF）等多層高級邊界防護機制針對不同的威脅和攻擊進行有效防范。通過負載均衡器對TLS加密傳輸進行解密，多層高級邊界防護機制可對API網(wǎng)關(guān)流量明文進行監(jiān)控，對攻擊執(zhí)行阻斷。在高級邊界防護的基礎(chǔ)上，API網(wǎng)關(guān)作為云服務(wù)特有的安全邊界還提供以下多種防護措施：API注冊APIAPI接口，才能被租戶訪問。ACL規(guī)則限制可根據(jù)訪問控制列表（ACLAccessControlList）配置信息，API網(wǎng)關(guān)能APIAPI從特定網(wǎng)段訪問。防重放攻擊API擊。防暴力破解AK/SK請求時，API網(wǎng)關(guān)的防暴力破解機制一旦API限時鎖定。API流量控制：APIAPI的頻率的適當(dāng)流量控制，確?；鵄PI的訪問的高可用性和連續(xù)性。APIAPIAPIAPI網(wǎng)關(guān)需要配置對應(yīng)的流控信息，在單位APIAPI次數(shù)的配額、每個華為云租API次數(shù)的配額分別進行流控。數(shù)據(jù)安全等方面的全面保護。華為云高度重視用戶的數(shù)據(jù)信息資產(chǎn)，把數(shù)據(jù)保護作為華為云安全策略的核心。華為云將繼續(xù)遵循數(shù)據(jù)安全生命周期管理的業(yè)界先進標(biāo)準，在身份認證、權(quán)限管理、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除、物理銷毀等方面，采用優(yōu)秀技術(shù)、實踐和流程，為用戶提供最切實有效的數(shù)據(jù)保護能力，保證租戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯。訪問隔離身份認證和訪問控制：華為云的訪問控制能力是通過統(tǒng)一身份認證服務(wù)（IAM–IdentityandAccessManagement）提供的。IAM是面向企業(yè)租戶的安全管理服務(wù)，通過IAM，租戶可以集中管理用戶、安全憑證（例如訪問密鑰，以及控制用戶管理權(quán)限和用戶可訪問的云資源權(quán)限。IAMIAM可以避免與其他用戶共享賬號密鑰，按需為用戶分配最小權(quán)限，也可以通過設(shè)置登錄驗證策略、密碼策略、訪問控制列表來確保用戶賬戶的安全，從而降低租戶的企業(yè)信息安全風(fēng)險。數(shù)據(jù)隔離：華為云對云端數(shù)據(jù)的隔離是通過虛擬私有云（VPCVirtualPrivateCloud）實施的，VPC

離，租戶可以完全掌控自己的虛擬網(wǎng)絡(luò)構(gòu)建與配置：一方面，結(jié)合VPN或云專線，將VPC與租戶內(nèi)網(wǎng)的傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實現(xiàn)租戶應(yīng)用和數(shù)據(jù)從租戶內(nèi)網(wǎng)向云上的平滑遷移；另一方面，利用VPC的ACL、安全組功能，按需配置安全與訪問規(guī)則，滿足租戶更細粒度的網(wǎng)絡(luò)隔離需要。對于華為云平臺客戶端到服務(wù)端、服務(wù)端之間的數(shù)據(jù)通過公共信息通道進行傳輸?shù)膱鼍埃瑐鬏斨袛?shù)據(jù)的保護通過如下方式提供：虛擬專用網(wǎng)絡(luò)（VPN：VN用于在遠端網(wǎng)絡(luò)和VCVPNVPC之間建立通信隧服務(wù)器來增加網(wǎng)絡(luò)的計算容量，實現(xiàn)了企業(yè)的混合云架構(gòu)的同時，也降低了企業(yè)核心數(shù)據(jù)非法擴散的風(fēng)險。目前，華為云采用硬件實現(xiàn)的IKE（密鑰交換協(xié)議）和IPSecVPN結(jié)合的方法對數(shù)據(jù)傳輸通道進行加密，確保傳輸安全。應(yīng)用層TLS與證書管理RESTHighway方式進行數(shù)據(jù)傳輸：RESTRESTful的形式向外發(fā)布，調(diào)用端直接使用HTTP客戶端，通過標(biāo)準RESTfulAPI進行調(diào)用，實現(xiàn)數(shù)據(jù)傳輸；Highway通道是高性能私有協(xié)議通道，在有特殊性能需求場景時可選用。上述兩種數(shù)據(jù)傳輸方式均支持使用傳輸層安全協(xié)議（TLSTransportLayerSecurity）1.2版本進行加密傳輸，同時也支持基于X.509證書的目標(biāo)網(wǎng)站身份認證。證書管理服務(wù)（SSLCertificateService）則是華為云聯(lián)合全球知名數(shù)字證書服務(wù)機構(gòu)，為租戶提供的一站式X.509證書的全生命周期管理服務(wù)，實現(xiàn)目標(biāo)網(wǎng)站的可信身份認證與安全數(shù)據(jù)傳輸。存儲安全密鑰保護與管理密鑰管理服務(wù)（KMSKeyManagementService）是一種安全、可靠、簡單易用的密鑰托管服務(wù)，幫助用戶集中管理密鑰，保護密鑰安全。它通過使用硬件安全模塊（HSM–Hrdwareecuryodue，為租戶創(chuàng)建和管理密鑰，防止密鑰明HSM之外，從而防止密鑰泄露。HSM是一種安全產(chǎn)生、存儲、管理及使用密鑰并提供加密處理服務(wù)的硬件設(shè)備。為保護租戶密鑰安全，減少密鑰外泄風(fēng)險，華為云提供不同廠商、不同規(guī)格（標(biāo)準加密算法、國密算法等、不同強HSMFIPS140-2國際權(quán)威認證的第三方HSM。KMS對密鑰的所有操作都會進行訪問控制及日志跟KMS服務(wù)的華為云服務(wù)包括：云硬盤（Eacoueervce，簡稱EV、對象存儲（Obectorageervce，簡稱O、云備份（oudackupandecovery，簡稱）及鏡像服務(wù)（IageManagementService，簡稱IMS）等。專屬加密專屬加密滿足租戶更高合規(guī)性要求的加密場景，采用通過國家密碼局認證或FIPS140-2第3級驗證的硬件加密機，對租戶業(yè)務(wù)進行專屬加密，默認雙機架構(gòu)以提高可靠性。數(shù)據(jù)機密性及可靠性保證華為云針對各存儲服務(wù)提供數(shù)據(jù)保護功能和建議，具體見下表：表6-1華為云存儲服務(wù)機密性與可靠性概覽存儲類型服務(wù)描述機密性保證可靠性保證EVS于分布式架構(gòu)務(wù)。KMS提供密鑰。用戶主密鑰（CMK-CustomerMasterKey）由KMS生成、管理和銷毀，用于加密和解密數(shù)據(jù)加密密鑰。華為云提供整卷加密功能。三副本冗余，數(shù)據(jù)持久性高達99.9999999%。通過CBR實現(xiàn)云硬盤的備份與恢復(fù)，且支持通過云硬盤備份創(chuàng)建新的云硬盤。CBR云備份（CloudBackupandRecovery，CBR）云硬盤和云下VMware虛擬化易用的備份服侵、人為誤刪份點。加密盤的備份數(shù)據(jù)自動加密，保證數(shù)據(jù)安全。備份數(shù)據(jù)跨數(shù)據(jù)中心保存，數(shù)據(jù)持久性高達99.999999999%。OBS為用戶提供海對于服務(wù)器端加密，OBS提供兩種密鑰管理方式：用戶提供密鑰（SSE1-C方式）：OBSMD5值進行服務(wù)端加密。KMS托管密鑰（SSE-KMS方式）：由KMS的桶上傳對象時，OBS密數(shù)據(jù)的CMK。數(shù)據(jù)持久性高達99.9999999999%，服務(wù)可用性達99.995%。數(shù)據(jù)檢查：存儲前和存儲后通過Hash校驗數(shù)據(jù)一致性，確保存入數(shù)據(jù)是上傳數(shù)據(jù)。分片冗余：數(shù)據(jù)分片后多份冗余存儲在不同磁盤，后臺自行檢測一致性并及時修復(fù)受損數(shù)據(jù)。SFS彈性文件服務(wù)是一種基于文件的存儲服務(wù)。KMS提供密鑰。用戶主密鑰（CMK-CustomerMasterKey）由KMS生成、管理和銷毀，用于加密和解密數(shù)據(jù)加密密鑰。數(shù)據(jù)持久性可達99.9999999%。服務(wù)可用性達99.95%。通過CBR實現(xiàn)文件存儲的備份與恢復(fù)。存儲類型服務(wù)描述機密性保證可靠性保證RDS務(wù)（RelationalDatabaseService，簡稱RDS）是一種基可靠、彈性伸庫服務(wù)。通過靜態(tài)加密、表空間加密、同態(tài)加密對數(shù)據(jù)進行加密。華為云關(guān)系型數(shù)據(jù)庫服務(wù)支持對存儲到數(shù)據(jù)庫中的數(shù)據(jù)加密后存儲，加密密鑰由KMS進行管理。關(guān)系型數(shù)據(jù)庫服務(wù)采用熱備架構(gòu)，故障系統(tǒng)1分鐘自動切換。每天自動備份數(shù)據(jù)，上傳到OBS桶，備份文件保留732天，支持一鍵式恢復(fù)。IMS鏡像服務(wù)提供靈活的自助服務(wù)和完善的鏡像管理能力，用戶可以從豐富的公共鏡像庫中選擇或創(chuàng)建私有鏡像，快速創(chuàng)建或批量復(fù)制彈性云服務(wù)器。由KMS提供密鑰。CMK由KMS生成、管理和銷毀，用于加密和解密數(shù)據(jù)加密密鑰。華為云提供兩種方式創(chuàng)建加密鏡像：通過加密彈性云服務(wù)器創(chuàng)建和通過外部鏡像文件創(chuàng)建。使用多份冗余存儲私用鏡像，數(shù)據(jù)持久性高達99.999999999%。說明1. –Server-SideEncryption.CSSE-C中是指客戶（customer）。數(shù)據(jù)刪除與銷毀在用戶確認刪除數(shù)據(jù)后，華為云會徹底刪除用戶數(shù)據(jù)，確保數(shù)據(jù)不泄露：內(nèi)存刪除行清零操作，即寫“零”處理，防止通過物理內(nèi)存恢復(fù)刪除數(shù)據(jù)造成的數(shù)據(jù)泄露。加密數(shù)據(jù)防泄露：華為云建議租戶對要上云的重要數(shù)據(jù)進行加密存儲，數(shù)據(jù)需文后造成泄露。存儲數(shù)據(jù)刪除：當(dāng)租戶刪除存儲數(shù)據(jù)時，數(shù)據(jù)和對應(yīng)的元數(shù)據(jù)在系統(tǒng)中一并刪源中的存儲數(shù)據(jù)，同時，會啟動后臺任務(wù)，徹底刪除元數(shù)據(jù)以及對應(yīng)的存儲數(shù)刪除的操作場景，通過EVS服務(wù)的回收站功能、OBS服務(wù)的多版本控制功能，用戶可以最終決定數(shù)據(jù)的恢復(fù)或徹底刪除。磁盤數(shù)據(jù)刪除：華為云對刪除虛擬卷采用清零措施，確保數(shù)據(jù)不可恢復(fù)，有效止被惡意租戶使用數(shù)據(jù)恢復(fù)軟件讀出磁盤數(shù)據(jù)，杜絕信息泄漏風(fēng)險。物理磁盤報廢：當(dāng)物理磁盤報廢時，華為云通過對存儲介質(zhì)進行消磁、完全破私和數(shù)據(jù)不受未授權(quán)訪問。 7租戶服務(wù)與租戶安全計算彈性云服務(wù)器（ECS）彈性云服務(wù)器（ECSElasticCloudServer）是華為云為租戶提供的一種可隨時自助獲取，按需租用虛擬計算資源的云服務(wù)。租戶購買的云服務(wù)器實例是一個虛擬的計算CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件。一個實例就是一臺虛擬機。對自己創(chuàng)建的實例，租戶擁有管理員權(quán)限，可以進行多項基本操作，如掛載磁盤、添加網(wǎng)卡、創(chuàng)建鏡像、部署環(huán)境等。華為云ECS提供了多層次的安全防護和保障，包括主機操作系統(tǒng)安全、虛擬機隔離、安全組等。通過從虛擬機到主機再到整個組網(wǎng)的整體安全設(shè)計，為用戶打造安全可靠、靈活高效的應(yīng)用環(huán)境。主機安全：主機操作系統(tǒng)使用華為統(tǒng)一虛擬化平臺（UV，對CU，內(nèi)存和I/O資源隔離管理。UVP66.3不再贅述。虛擬機安全鏡像加固像進行安全分析，并及時修復(fù)系統(tǒng)安全漏洞，最終生成安全更新了的公共鏡像，并通過鏡像服務(wù)（IMS）持續(xù)提供給租戶。同時華為云保持對公共鏡像漏洞的實時監(jiān)測，并定期更新公共鏡像以確保高危漏洞得到修復(fù)。由客戶根據(jù)相關(guān)應(yīng)用運行及安全運維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛擬機或自行創(chuàng)建已安裝安全補丁的私有鏡像。網(wǎng)絡(luò)與平臺隔離Hypervisor提供的虛擬交換機（vSwitch）通過VLAN、VXLAN、ACL等屬性確保虛擬機在網(wǎng)絡(luò)層的邏輯隔離。多臺主機之間的網(wǎng)絡(luò)依然使用傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備（路由器、交換機等）進行物理隔離。同時，UVPCPU、內(nèi)存、I/O隔離進一步實現(xiàn)虛擬機在平臺層的邏輯隔離。IP/MAC仿冒控制IPMAC引起的DHCPsnoopingIPMAC然后通過IP源側(cè)防護(IPSourceGuard)ARP檢測（DAI–DynamicARPInspection）對非綁定關(guān)系的報文進行過濾，可以防止用戶虛擬機IPMAC地址的仿冒。安全組：UVP擬機之間如果要相互訪問，可以建立安全組。同一個安全組內(nèi)的多臺虛擬機默認可相互訪問，處于不同安全組的任何兩臺虛擬機默認禁止相互通信。但可定制配置為允許通信。此外，用戶可以對多臺彈性云服務(wù)器進行批量更改/加入/移出安全組的操作。77.2.1虛擬私有云服務(wù)（VPC）一節(jié)對安全組做詳盡的介紹，請參考。遠程訪問認證：遠程訪問虛擬機操作系統(tǒng)來進行系統(tǒng)維護。但SSH接口也是虛擬機的一個較高安全風(fēng)險。為保證遠程訪問控制安全，租戶可選擇使用賬號口令或公/認使用更為安全的公/私鑰對認證方式。資源管理認證：APIECSAPI接IAMAPI進行管理。VNC安全：VNC（VirtualNetworkComputing）方式遠程訪問虛擬機TLS1.2版本進行加密傳輸，確保數(shù)據(jù)傳輸安全。事件管理功能：軟硬件故障進行預(yù)測和主動規(guī)避。當(dāng)宿主機上的故障風(fēng)險無法規(guī)避時，為避免因ECS響的實例生成事件并進行上報。您可以對系統(tǒng)上報的事件進行響應(yīng)操作。鏡像服務(wù)（IMS）鏡像是一個包含了軟件及必要配置的云服務(wù)器或裸金屬服務(wù)器模版，至少包含操作系統(tǒng)，還可以包含各種預(yù)裝的應(yīng)用軟件（例如，數(shù)據(jù)庫軟件鏡像、共享鏡像和市場鏡像。公共鏡像是華為云為操作系統(tǒng)提供的標(biāo)準鏡像；私有鏡像是用戶自行創(chuàng)建的鏡像；共享鏡像是用戶自己定義并分享給其他用戶的鏡像，由用戶社區(qū)在自愿基礎(chǔ)上維護；市場鏡像是提供預(yù)裝操作系統(tǒng)、應(yīng)用環(huán)境和各類軟件的優(yōu)質(zhì)第三方鏡像。華為云鏡像服務(wù)（IMS–ImageManagementService）提供簡單方便的鏡像自助管理功能?？蛻艨赏ㄟ^服務(wù)控制臺或API對自己的鏡像進行管理。華為云負責(zé)公共鏡像的定期更新與維護，向用戶提供安裝安全補丁的公共鏡像和相關(guān)安全加固和補丁信息，以便用戶在部署測試、故障排除等運維活動時參考。用戶可以直接使用公共鏡像，或者通過已有的云服務(wù)器或使用外部鏡像文件自行創(chuàng)建私有鏡像，也可以參與創(chuàng)建和維護共享鏡像。用戶能靈活選擇上述任何鏡像申請彈性云服務(wù)器。IMS基于華為云統(tǒng)一身份認證服務(wù)（IAM）來進行認證，支持鏡像的傳輸和存儲加密以及完整性檢測。IMS的所有數(shù)據(jù)都存儲于信任子網(wǎng)內(nèi)的鏡像倉庫，并且采用對象存儲分桶機制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS提供了安全的加密算法和功能，讓用戶選擇對鏡像進行加密存儲。在基于鏡像創(chuàng)建虛擬機時，系統(tǒng)會自動檢查鏡像完整性，以確保創(chuàng)建的虛擬機包含完整的鏡像內(nèi)容。IMS對租戶的所有操作進行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對所有關(guān)鍵操作進行審計記錄。審計日志實現(xiàn)持久化，租戶可以對其進行長期而且精確的回溯。彈性伸縮服務(wù)(AS)彈性伸縮服務(wù)（AS–Auto-Scaling）是根據(jù)租戶的業(yè)務(wù)需求，通過用戶預(yù)先定義的策略自動按需調(diào)整資源的服務(wù)。AS在運行中無需人工干預(yù)，就可使資源使用量符合業(yè)務(wù)當(dāng)前的需求。在業(yè)務(wù)增長時實現(xiàn)應(yīng)用系統(tǒng)自動擴容，業(yè)務(wù)下降時實現(xiàn)應(yīng)用系統(tǒng)自動減容。從而既能幫助租戶節(jié)約資源和人力成本，又能保證其業(yè)務(wù)平穩(wěn)健康運行。AS對執(zhí)行資源調(diào)配和管控策略的自動化特性有助于避免資源爭奪類攻擊或租戶管理人員在調(diào)配資源時人為操作失誤所造成的安全風(fēng)險。AS支持自動地將加入的實例添加到負載均衡監(jiān)聽器，訪問流量將通過負載均衡監(jiān)聽器自動分發(fā)到伸縮組內(nèi)的所有實例，相比直接訪問單個后端服務(wù)器和服務(wù)具有更高的防DDoS攻擊的能力。AS不佳的實例。同時支持配置使用多個可用區(qū)（AZ–vaablyZone，在多個可用分區(qū)中平均分配實例，保證伸縮組中部署應(yīng)用的容災(zāi)能力，提升系統(tǒng)可用性。專屬主機服務(wù)(DeH)專屬主機服務(wù)（DeHDedicatedHostService）ECS的基礎(chǔ)上，提供的ECS服務(wù)的所有功能以及安全特性。DeH由于以主機為單位出租，在安全上有物理層主機隔離的優(yōu)勢：單個租戶擁有整個主機，可以避免其他租戶對系統(tǒng)資源的搶占，防止惡意租戶通過Hypervisor可能出現(xiàn)的漏洞對系統(tǒng)實施攻擊。裸金屬服務(wù)（BMS）裸金屬服務(wù)（BMS–BareMetalService）是華為云為租戶提供的一種可隨時自助獲取，按需租用物理層計算資源的云服務(wù)。租戶購買的裸金屬服務(wù)器，即BMS實例，是一個物理的計算環(huán)境，包含了CPU、內(nèi)存、操作系統(tǒng)、磁盤、帶寬等最基礎(chǔ)的服務(wù)器組件，是BMS提供給每個租戶的操作實體。一個實例就是一臺物理機。對自己創(chuàng)建的實例，租戶擁有管理員權(quán)限，可以執(zhí)行多項基本操作，如開關(guān)機器，掛載磁盤、部署環(huán)境等。BMS提供了與華為云ECS類似的多層安全防護，包括主機系統(tǒng)和網(wǎng)絡(luò)安全、遠程訪問認證、管理控制安全等技術(shù)手段，具體內(nèi)容可參考第7章7.1.1彈性云服務(wù)器（ECS）一節(jié)。更重要的是，BMS獨享物理機隔離的安全優(yōu)勢。通過從主機到整個組境中運行的，安全可靠、靈活高效的應(yīng)用環(huán)境。網(wǎng)絡(luò)虛擬私有云服務(wù)(VPC)虛擬私有云服務(wù)（VPC–VirtualPrivateCloud）為彈性云服務(wù)器構(gòu)建隔離的、用戶自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境，提升用戶云中資源的安全性，簡化用戶的網(wǎng)絡(luò)部署。VPC的優(yōu)勢如下：可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括創(chuàng)建自己的網(wǎng)絡(luò)。VPC中申請彈性IP1，將彈性云服務(wù)器連接到公網(wǎng)。VPNVPC與傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實現(xiàn)應(yīng)用向云上的平滑遷移。VPC可以通過對等連接功能互聯(lián)。VPCDHCP，執(zhí)行安全快捷的網(wǎng)絡(luò)變更。VPC多項網(wǎng)絡(luò)安全防護功能提高網(wǎng)絡(luò)安全性。VC（請見下頁）圖7-1華為云VPC架構(gòu)簡圖VPC提供了以下與租戶網(wǎng)絡(luò)安全強相關(guān)的網(wǎng)絡(luò)功能：子網(wǎng)IP地址管理、DNSVPCVPC中的任意兩臺彈性云服務(wù)器默認禁止通信。VPN：VPNVPC之間建立一條安全加密的通信管道，使遠端用VPNVPCVPC中的彈性云服務(wù)器無法與租戶自己的數(shù)據(jù)中心或私有網(wǎng)絡(luò)進行通信，如需通信，租戶可啟用VPNVPN相關(guān)參數(shù)。VPC還提供了多項不同OpenSystemInterconnection（OSI）層的網(wǎng)絡(luò)安全防護功能，租戶可以根據(jù)其在華為云上的網(wǎng)絡(luò)安全需求定制配置。其中，對整個華為云和每個租戶的VPC的網(wǎng)絡(luò)安全都至關(guān)重要的非網(wǎng)絡(luò)ACL和安全組這兩款安全功能莫屬，先著重介紹：ACLACL是對一個或多個子網(wǎng)的訪問制定、維護并執(zhí)行訪問控制策略的系統(tǒng)，根據(jù)與子網(wǎng)關(guān)聯(lián)的入站/出站規(guī)則，判斷數(shù)據(jù)包是否被允許流入/聯(lián)子網(wǎng)。安全組VPC中，安全組是一組對彈性云服務(wù)器的訪問規(guī)則的集合，為同一VPC內(nèi)具有相同安全保護需求并且相互信任的彈性云服務(wù)器提供訪問策略。用戶可以自行創(chuàng)建并定義安全組內(nèi)與組間彈性云服務(wù)器的訪問規(guī)則，將VPC中的彈性云服務(wù)器劃分成不同的安全域，以提升彈性云服務(wù)器訪問的安全性。每個安全組可以設(shè)定一組訪問規(guī)則。安全組規(guī)則包括：協(xié)議、出/入方向、源IP地址段/子網(wǎng)或安全組、允許訪問的端口范圍。支持配置TCP、UDP、ICMP三種協(xié)議。用戶自行添加安全規(guī)則時，安全規(guī)則添加界面支持添加多個IP。此外，安全組支持一鍵放通安全組常見端口功能。通信。當(dāng)默認訪問規(guī)則可以滿足需求時，則無需再為該安全組添加規(guī)則。顯而易見，網(wǎng)絡(luò)ACL和安全組功能都是為了提升華為云VPC的網(wǎng)絡(luò)安全性。因此，了解二者區(qū)別會對租戶建立有效的VPC網(wǎng)絡(luò)安全策略大有助益。網(wǎng)絡(luò)ACL和安全組的區(qū)別總結(jié)如下，僅供參考。表7-1安全組和網(wǎng)絡(luò)ACL區(qū)別列表安全組網(wǎng)絡(luò)ACL彈性云服務(wù)器實例級別操作（第一層防護）子網(wǎng)級別操作（第二層防護）支持允許策略支持允許和拒絕策略多個規(guī)則沖突，取其并集生效多個規(guī)則沖突，靠前的規(guī)則優(yōu)先生效創(chuàng)建彈性云服務(wù)器實例默認必須選擇安全組，默認安全組自動應(yīng)用到彈性云服務(wù)器實例ACL選項，必須創(chuàng)建網(wǎng)絡(luò)ACL例支持報文三元組（即協(xié)議、端口和對端地址）過濾支持報文五元組（即協(xié)議、源端口、目的端口、源地址和目的地址）過濾另外，為增強VPC網(wǎng)絡(luò)隔離防護，平臺內(nèi)也提供了其他網(wǎng)絡(luò)安全功能，總結(jié)如下：虛擬局域網(wǎng)（VLAN）隔離：VLANOSIVLANtagging功能實現(xiàn)虛擬交換并確保虛擬機之間的安全隔離。IP和MAC綁定：防止虛擬機用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，避免網(wǎng)絡(luò)混亂，增強虛擬機網(wǎng)絡(luò)的安全性。具體技術(shù)能力包括通過DHCPsnooping生成IP-MAC的綁定關(guān)系，然后通過IP源側(cè)防護(IPSourceGuard)ARP檢測對非綁定關(guān)系的報文進行過濾。DHCPServer隔離DHCPServer服務(wù)，防止用戶無意識或惡意啟動DHCPServer服務(wù)，影響正常的虛擬機IP地址分配過程。DoS/DDoS攻擊：系統(tǒng)通過限制虛擬端口的連接跟蹤數(shù)來抵御來自云平臺外部2。說明地址和子網(wǎng)中關(guān)聯(lián)的彈性云VPC地址與互聯(lián)網(wǎng)互通。導(dǎo)致不能接受新的連接請求，最終造成業(yè)務(wù)及管理流量中斷。彈性負載均衡服務(wù)彈性負載均衡（ELBElasticLoadBalance）將訪問流量自動分發(fā)到多臺彈性云服務(wù)器，擴展應(yīng)用系統(tǒng)對外的服務(wù)能力，實現(xiàn)更高水平的應(yīng)用程序容錯性能。相比傳統(tǒng)硬件負載均衡器，彈性負載均衡具有如下優(yōu)勢：可用性。變化的流量需求。1OSI四層（TCP協(xié)議、UDP協(xié)議）或七層（HTTP協(xié)議、HTTPS協(xié)議）的負載分發(fā)。支持全端口監(jiān)聽，獨享型負載均衡器下，四層協(xié)議（TCP/UDP）監(jiān)聽器支持全端口監(jiān)聽。和轉(zhuǎn)發(fā)策略。支持快速部署華為云云證書管理服務(wù)，統(tǒng)一管理的服務(wù)器證書。ELB組網(wǎng)基本設(shè)計如下圖：圖7-2華為云ELB組網(wǎng)圖彈性負載均衡服務(wù)提供如下安全防護：隱藏內(nèi)部真正的服務(wù)器地址和端口號：ELB僅對外暴露單個地址和相應(yīng)服務(wù)端口，不暴露真實的后端地址和服務(wù)端口，防止網(wǎng)絡(luò)信息泄露，減少攻擊面。根據(jù)流量狀態(tài)，自動擴展處理能力：ELB可以配合彈性伸縮服務(wù)提供更加靈活的DDoS攻擊能力。ELB支持安全組配置：ELB安全組可以確保租戶實例只接收來自負載均衡器的流量。租戶也可以定義允許的端口和協(xié)議，確保兩個方向通過ELB的流量。支持源地址透傳：ELBHTTPHTTPS服務(wù)時支持源地址透傳功能安全訴求，通過客戶應(yīng)用實現(xiàn)，更快速發(fā)現(xiàn)攻擊并有效響應(yīng)。SSL/TLS卸載及證書管理：ELBSSL/TLS卸載。SSL/TLS卸載將報ELB，可以有效降低租戶后端服務(wù)器ELBELB負責(zé)將報文解密，然后分發(fā)到租戶的后端服務(wù)器；對于流出ELBELB對報文進行加密后發(fā)送。使用SSL/TLS卸載功能時，需要租戶上傳所需證書及私密鑰，由ELB進行管理。支持加密協(xié)議和加密套件可配置HTTPSELB的安全通信協(xié)議TLS1.2版本。ELB同時支持加密套件可選；對于有更多加密算法項選擇的租戶，ELB提供擴展的加密套件；對有高安全需求的租戶，提供嚴格的加密算法。NAT網(wǎng)關(guān)（NAT）網(wǎng)關(guān)Gateway）VPCIPIP網(wǎng)關(guān)（ubcNTGaeway）和私網(wǎng)NT網(wǎng)關(guān)（rvaeNTGaewayIPIP，轉(zhuǎn)換后，云上資源即可安全地訪問公網(wǎng)或者對外提供服務(wù)，并且保護私有網(wǎng)絡(luò)信息不直接對公網(wǎng)暴露。網(wǎng)關(guān)能夠為虛擬私有云內(nèi)的云主機（彈性云服務(wù)器、裸金屬服務(wù)器）、規(guī)則，可將源、目IPIPVPCVPC、云下IDC互訪。NAT網(wǎng)關(guān)優(yōu)勢如下：靈活部署：支持跨子網(wǎng)部署和跨可用區(qū)域部署。網(wǎng)關(guān)支持跨可用區(qū)部署，可網(wǎng)關(guān)的業(yè)務(wù)連續(xù)性。網(wǎng)關(guān)的IP，均可以隨時調(diào)整。多樣易用：網(wǎng)關(guān)進行簡單配置后，即可使用，運維簡單，快速發(fā)放，即開即用，運行穩(wěn)定可靠。降低成本：IPIPInternetIP和帶IP，有效降低成本。NAT網(wǎng)關(guān)具有以下主要安全防護功能：隱藏內(nèi)部真正的服務(wù)器地址和端口號IP，不暴露真IP，防止網(wǎng)絡(luò)信息泄露，減少攻擊面。DoS/DDoS攻擊Qos限速能力來抵御來自云平臺外部或平臺內(nèi)部其他虛擬機的大流量攻擊。云專線（DC）云專線（DirectConnect）用于搭建用戶本地數(shù)據(jù)中心與華為云VPC之間高速、低時延、穩(wěn)定安全的專屬連接通道，充分利用華為云服務(wù)優(yōu)勢的同時，繼續(xù)使用現(xiàn)有的IT設(shè)施，實現(xiàn)靈活一體，可伸縮的混合云計算環(huán)境。戶可以利用云專線建立華為云與租戶的數(shù)據(jù)中心、辦公室或主機托管區(qū)域的專線連接，降低網(wǎng)絡(luò)時延，獲得比互聯(lián)網(wǎng)線路更快速、更安全的網(wǎng)絡(luò)體驗。云專線優(yōu)勢如下：用戶使用云專線接入華為云上VPC，使用專享私密通道進行通信，網(wǎng)絡(luò)隔離，安全性極高。專用網(wǎng)絡(luò)進行數(shù)據(jù)傳輸，網(wǎng)絡(luò)性能高，延遲低，用戶使用體驗更佳。100Gbps帶寬連接，滿足各類用戶帶寬需求。署。華為云DC具有以下主要安全防護功能：網(wǎng)絡(luò)隔離：DCVPC對接，通過租戶獨占物理專線實現(xiàn)彼此間網(wǎng)絡(luò)隔離，互不干擾。傳輸加密：DCTLS加密傳輸，建立安全傳輸通道，減少數(shù)據(jù)傳輸泄密風(fēng)險。終端節(jié)點（VPCEP）VC終端節(jié)點（VPCEndpont，能夠?qū)C私密地連接到終端節(jié)點服務(wù)（云服務(wù)、用戶私有服務(wù)，使VC中的云資源無需彈性公網(wǎng)IP就能夠訪問終端節(jié)點服務(wù)，提高了訪問效率，為用戶提供更加靈活、安全的組網(wǎng)方式。優(yōu)勢如下：性能優(yōu)異：每個網(wǎng)關(guān)節(jié)點可提供百萬級對話，滿足多種應(yīng)用場景需求。即創(chuàng)即用：秒級創(chuàng)建，快速生效，迅速響應(yīng)，方