2024云原生安全技術(shù)

導(dǎo) 云安全戰(zhàn) 責(zé)任共擔(dān)模 華為云的安全責(zé) 租戶的安全責(zé) 安全合規(guī)與隱私保 安全合規(guī)與標(biāo)準(zhǔn)遵 隱私保 安全組織和人 安全組 安全與隱私保護(hù)人 內(nèi)部審計(jì)人 人力資源管 安全意識(shí)教 網(wǎng)絡(luò)安全能力提 重點(diǎn)崗位管 安全違規(guī)問(wèn) 基礎(chǔ)設(shè)施安 物理與環(huán)境安 物理安 環(huán)境安 網(wǎng)絡(luò)安 安全區(qū)域劃分與隔 業(yè)務(wù)平面劃分與隔 高級(jí)邊界防 平臺(tái)安 CPU隔 內(nèi)存隔 I/O隔 API應(yīng)用安 數(shù)據(jù)安 訪問(wèn)隔 傳輸安 存儲(chǔ)安 數(shù)據(jù)刪除與銷 租戶服務(wù)與租戶安 計(jì) 彈性云服務(wù)器 鏡像服務(wù) 彈性伸縮服務(wù) 專屬主機(jī)服務(wù) 裸金屬服務(wù) 網(wǎng) 虛擬私有云服務(wù) 彈性負(fù)載均衡服務(wù) 云專線 終端節(jié)點(diǎn) 虛擬專用網(wǎng)絡(luò) 容 云容器引擎服務(wù) 容器鏡像服務(wù) 存 云硬盤服務(wù) 彈性文件服務(wù) 云備份服務(wù) 對(duì)象存儲(chǔ)服務(wù) 數(shù)據(jù)快遞服務(wù) CDN與智能邊 內(nèi)容分發(fā)網(wǎng)絡(luò) 數(shù)據(jù) 關(guān)系型數(shù)據(jù)庫(kù)服 云數(shù)據(jù)庫(kù) 云數(shù)據(jù)庫(kù)GaussDB(for 云數(shù)據(jù)庫(kù) 非關(guān)系數(shù)據(jù)庫(kù)服 文檔數(shù)據(jù)庫(kù)服務(wù) 云數(shù)據(jù)庫(kù) GeminiDBMongo接 GeminiDBRedis接 GeminiDBInflux接 GeminiDBCassandra接 數(shù)據(jù)復(fù)制服 大數(shù) MapReduce服務(wù) 應(yīng)用中間 分布式消息服務(wù) 分布式緩存服務(wù) API網(wǎng)關(guān)服務(wù) 微服務(wù)引擎 企業(yè)應(yīng) 云桌面服務(wù) 云解析服務(wù) 管理與監(jiān) 統(tǒng)一身份認(rèn)證服務(wù) 應(yīng)用身份管理服務(wù) 云監(jiān)控服務(wù) 云審計(jì)服務(wù) 企業(yè)項(xiàng)目管理服務(wù) 標(biāo)簽管理服務(wù) 消息通知服務(wù) 組織 安全與合 數(shù)據(jù)加密服務(wù) 企業(yè)主機(jī)安全服務(wù) 數(shù)據(jù)庫(kù)安全服務(wù) 云防火墻 數(shù)據(jù)安全中心 安全云腦 DDoS防護(hù) 漏洞管理服務(wù)（CodeArts 云堡壘機(jī) 云日志服務(wù) AI基礎(chǔ)平 AI開(kāi)發(fā)平臺(tái) 華為云工程安 DevOps和DevSecOps流 雙軌制（DualPath）機(jī) 安全設(shè) 安全編碼和測(cè) 第三方軟件安全管 配置與變更管 上線安全審 華為云運(yùn)維運(yùn)營(yíng)安 O&M賬號(hào)運(yùn)營(yíng)安 賬號(hào)認(rèn) 權(quán)限管 接入安 漏洞管 漏洞感 漏洞響應(yīng)和處 漏洞披 安全日志和事件管 日志管理和審 快速發(fā)現(xiàn)與快速定 快速隔離與快速恢 業(yè)務(wù)連續(xù)與災(zāi)難恢 基礎(chǔ)設(shè)施高可 可用區(qū)之間災(zāi)備復(fù) 業(yè)務(wù)連續(xù)性計(jì)劃和測(cè) 安全生 安全生態(tài)體 安全生態(tài)技術(shù)架 安全生態(tài)特 版本歷 12017年初，華為云部（CloudBusinessUnit,akaCloudBU）正式成立，重新啟程，開(kāi)啟過(guò)去幾年中，華為云與所有云服務(wù)供應(yīng)商（CSPCloudServiceProvider）和客戶一樣， (主要包括營(yíng)銷、采購(gòu)/合同、合規(guī)審計(jì)等云服務(wù)相關(guān)人員)。1.DevOpsDevSecOps目前尚沒(méi)有很好的統(tǒng)一中文譯名。DevOps是隨著云服務(wù)發(fā)程流程和工具鏈實(shí)踐。由于DevOps需要支撐云服務(wù)和其他線上功能的持續(xù)集成（CI/CDContinuousIntegration/ContinuousDeployment），傳統(tǒng)的瀑布流程和敏捷流程下的安全周期管理（SDL–SecurityDevelopmentDevOpsDevSecOps的全新安全周期管理實(shí)踐。通過(guò)DevOps/DevSecOps工程流程和工具鏈實(shí)踐。DevOps/DevSecOps非但不會(huì)削弱安全，反而通過(guò)高度自動(dòng)化2作為全球領(lǐng)先的信息和通信技術(shù)（ICT–InformationandCommunicationTechnology）取切實(shí)有效的措施，加速開(kāi)發(fā)云安全技術(shù)和服務(wù)，提升公司云產(chǎn)品和云服務(wù)的安全性，提升云安全合規(guī)和生態(tài)建設(shè)，幫助客戶規(guī)避和減少云安全風(fēng)險(xiǎn)，以贏得各利益相關(guān)方2000年華為安棧防護(hù)的安全體系：2003年，推出業(yè)界首款基于網(wǎng)絡(luò)處理器（NP–NetworkProcessor）的防火墻；2008年，與賽門鐵克（Symantec）合資成立華賽公司（Huawei-Symantec）安全產(chǎn)品線，專注安全領(lǐng)域；2011年，成立安全能力中心，專攻研發(fā)安全能力；2012年，華為網(wǎng)絡(luò)安全產(chǎn)品國(guó)內(nèi)市場(chǎng)占有率第一；2015年，云安全解決方案及服務(wù)全面上線；2016年，云安全全球化布局，密鑰管理服務(wù)（KMS）DDoS攻擊服務(wù)（Anti-DDoS）在德國(guó)、西班牙上線；2017DDoS高流量防護(hù)（高防、數(shù)據(jù)庫(kù)防火墻等系列高增值安全服務(wù)；2018年，推出專屬加密服務(wù)（DHSM。圖2-1 在組織方面，全球網(wǎng)絡(luò)安全與隱私保護(hù)委員會(huì)（GSPC–GlobalSecurity&Privacy安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)官（GSPO–GlobalSecurity&PrivacyOfficer）GSPC的重要成員，負(fù)責(zé)領(lǐng)導(dǎo)團(tuán)隊(duì)制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和在業(yè)務(wù)流程方面，安全保障活動(dòng)融入研發(fā)、供應(yīng)鏈、市場(chǎng)與銷售、工程交付及方獨(dú)立機(jī)構(gòu)的安全認(rèn)證和審計(jì)等來(lái)監(jiān)督和改進(jìn)各項(xiàng)業(yè)務(wù)流程。2004年起，華為的BS7799-2/ISO27001認(rèn)證。華為云在公司級(jí)的業(yè)務(wù)流程基礎(chǔ)上，大膽地將已在華為全面采用的安全周期管理（SDL–SecurityDevelopmentLifecycle）DevOps工程流程和技術(shù)能力，形成有華為特DevSecOps方法論和工具鏈，既支撐云業(yè)務(wù)的敏捷上線，又確保研發(fā)部署的 在云安全技術(shù)能力方面，依托華為自身強(qiáng)大的安全研發(fā)能力，以數(shù)據(jù)保護(hù)為核 在云安全合規(guī)方面，面向提供云服務(wù)的地區(qū)，華為云積極與監(jiān)管機(jī)構(gòu)對(duì)話，理解他們的擔(dān)憂和要求，貢獻(xiàn)華為云的知識(shí)和經(jīng)驗(yàn)，不斷鞏固華為在云技術(shù)、云服務(wù)和云安全方面與相關(guān)法律法規(guī)的契合度。同時(shí)，華為也將法律法規(guī)的分析結(jié)果共享給 在云安全生態(tài)方面，華為云認(rèn)識(shí)到單靠一個(gè)公司、一個(gè)組織的力量不足以應(yīng)對(duì)日益復(fù)雜的云安全威脅與風(fēng)險(xiǎn)。因此，華為云誠(chéng)邀全球所有安全伙伴，攜手共建云安全商業(yè)和技術(shù)生態(tài)體系，共同向租戶提供安全保障與服務(wù)。華為云的云市場(chǎng) 3圖3-1 ， IAM服務(wù)的運(yùn)維。租戶還負(fù)責(zé)自定義虛擬網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層、數(shù)據(jù)IAM功能的安全設(shè)置，以及租戶的運(yùn)維安全和有效的用戶身份管理。、SSaS各類各項(xiàng)云服務(wù)自身的安涵蓋華為云數(shù)據(jù)中心的物理環(huán)境設(shè)施和運(yùn)行其上的基礎(chǔ)服務(wù)、平臺(tái)服務(wù)、應(yīng)用服務(wù)等。這不但包括華為云基礎(chǔ)設(shè)施和各項(xiàng)云服務(wù)技術(shù)的安全功能和性能本身，也包括運(yùn)維運(yùn)營(yíng)安全，以及更廣義的安全合規(guī)遵從（第4.1章節(jié)有專門介紹，在此不贅述。 華為云將其基礎(chǔ)設(shè)施的安全與隱私保護(hù)視為運(yùn)維運(yùn)營(yíng)安全的重中之重?；A(chǔ)設(shè)施主要包括支撐云服務(wù)的物理環(huán)境，華為自研的軟硬件，以及運(yùn)維運(yùn)營(yíng)包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、平臺(tái)、應(yīng)用、身份管理和高級(jí)安全服務(wù)等各項(xiàng)云服務(wù)的系統(tǒng)設(shè)施。同時(shí)，華為云深度集成第三方安全技術(shù)或服務(wù)，并負(fù)責(zé)對(duì)其進(jìn)行安全運(yùn) 華為云對(duì)租戶數(shù)據(jù)提供機(jī)密性、完整性、可用性、持久性、認(rèn)證、授權(quán)、以及不可否認(rèn)性等方面的全面數(shù)據(jù)保護(hù)功能，并對(duì)相關(guān)功能的安全性負(fù)責(zé)。但是，華為云只是租戶數(shù)據(jù)托管者，租戶對(duì)其數(shù)據(jù)擁有所有權(quán)和控制權(quán)。華為云絕不允許運(yùn)維運(yùn)營(yíng)人員在未經(jīng)授權(quán)的情況下訪問(wèn)租戶數(shù)據(jù)。華為云關(guān)注內(nèi)外部合規(guī)要求的變化，負(fù)責(zé)遵從華為云服務(wù)所必需的安全法律法規(guī)，開(kāi)展所服務(wù)行業(yè)的安全標(biāo)準(zhǔn)評(píng) 華為云攜手云安全商業(yè)合作伙伴向租戶提供咨詢服務(wù)，例如協(xié)助租戶對(duì)虛擬網(wǎng)絡(luò)、安全補(bǔ)丁管理；對(duì)虛擬網(wǎng)絡(luò)防火墻、API網(wǎng)關(guān)（APIGW–APIGateway）和高級(jí)DoS/DDoS攻擊防范演練、租戶安全、SS類各項(xiàng)云服務(wù)內(nèi)部的安全以及對(duì)租戶定制配置進(jìn)行安全有效的管理，包括但不限于虛擬網(wǎng)絡(luò)、虛擬主機(jī)和訪客虛擬機(jī)的操作系統(tǒng)，虛擬防火墻、API 租戶的安全責(zé)任細(xì)節(jié)由最終所使用的云服務(wù)來(lái)決定，具體到租戶負(fù)責(zé)執(zhí)行什么默認(rèn)和定制的安全配置。對(duì)于華為云的各項(xiàng)云服務(wù)，華為云只提供租戶執(zhí)行特定安全 租戶負(fù)責(zé)部署配置：（1） 使用MapReduce服務(wù)（MRS）時(shí)租戶應(yīng)負(fù)責(zé)：（1）管理其購(gòu)買的MRS大數(shù)據(jù)集群 備及恢復(fù)策略、VPC及安全組配置、互聯(lián)網(wǎng)訪問(wèn)配置、訪問(wèn)通道加密配置、數(shù)據(jù) 無(wú)論使用哪一項(xiàng)華為云服務(wù)，租戶始終是其數(shù)據(jù)的所有者和控制者。租戶負(fù)責(zé)各項(xiàng)具體的數(shù)據(jù)安全配置，對(duì)其保密性、完整性、可用性以及數(shù)據(jù)訪問(wèn)的身份驗(yàn)證）和數(shù)據(jù)加密服務(wù)(MFA)，規(guī)范使用安全傳輸協(xié)議與華為云資源通信，并且設(shè)置用戶活動(dòng)（/cloudbu-site/china/zh-creer/eaer8.f 4理框架——服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準(zhǔn)（CloudServiceCybersecurity&Compliance“3CS圖4-13CS-CSASTAR為例（CSA–CloudSecurityAllianceSTAR–Registry安全控制矩陣（CCMCloudControlMatrix）和其他安全要求，涵蓋了風(fēng)險(xiǎn)治理、數(shù)目前，華為云部分標(biāo)準(zhǔn)類認(rèn)證/TL9000&ISOISO20000- BSISO PCIDSS PCIISOISO SOC\h\h（CIS–CenterofInternetSecurity）DevSecOpsCISPCIDSS(PaymentCardIndustryDataSecurityStandard)即支付卡行業(yè)數(shù)據(jù)安全標(biāo)華為云建立完善、規(guī)范和統(tǒng)一隱私保護(hù)體系確保云平臺(tái)的隱私保護(hù)得以實(shí)現(xiàn)，并幫助客戶實(shí)施隱私保護(hù)。華為云制定隱私保護(hù)七大原則（合法、正當(dāng)、透明，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，存儲(chǔ)期限最小化，完整性與保密性，可歸責(zé)，同時(shí)采用業(yè)界認(rèn)念D1（PrivacybyDesign）作為指導(dǎo)，結(jié)合華為云實(shí)際情況形成華為隱私保護(hù)理念。隱私保護(hù)理念廣泛應(yīng)用在華為云的組織和人員管理、云平臺(tái)個(gè)人數(shù)據(jù)用A2（PrivacyImpact sent）識(shí)別隱私風(fēng)險(xiǎn)并采取恰當(dāng)?shù)姆绞较蚪档惋L(fēng)險(xiǎn)。華為云尊重用戶的隱私權(quán)利，在官網(wǎng)明顯處提供清晰的《隱私政策聲明》以及客戶反饋通道，幫助客戶了解華為云隱私保護(hù)的信息。華為云研究團(tuán)隊(duì)同時(shí)致力研發(fā)各類隱私增強(qiáng)技術(shù)（PET–PrivacyEnhancingechnology云現(xiàn)已擁有的一系列PET，包括等價(jià)類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支 5面，GSPC作為最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。GSPO其辦公室負(fù)責(zé)制定和執(zhí)行華為端到端網(wǎng)絡(luò)安全保障體系。GSPOCEODevOps/DevSecOps流程。扁平化的組織結(jié)構(gòu)和適應(yīng)云服務(wù)的流 DevOps/DevSecOps流程和云安全審計(jì)流程，開(kāi)發(fā)推廣全流程 積極實(shí)施安全質(zhì)量保證和安全評(píng)估，開(kāi)展內(nèi)部和第三方滲透測(cè)試和安全評(píng)估，監(jiān)控、 IaaS、PaaSSaaS各類各項(xiàng)服務(wù)的安全功能 華為云安全的人力資源管理框架和公司的整體人力資源管理框架一致，都是建立在法HR的訴求主要是保證我們的員工背景和資歷適合華為云業(yè)務(wù)的需要。員工行為符合所有法律、政策、流程以及華為商業(yè)行為準(zhǔn)則的要求。員工有履行其職責(zé)必備的知識(shí)、技能和經(jīng)驗(yàn)。整體模型如下：（此模型較為簡(jiǎn)明，故不贅述圖5-1意識(shí)教育普及、宣傳活動(dòng)開(kāi)展、BCG及承諾書(shū)簽署三個(gè)方面開(kāi)展安全意識(shí)教育： 意識(shí)教育普及：定期開(kāi)展網(wǎng)絡(luò)安全意識(shí)教育學(xué)習(xí)，要求員工持續(xù)學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，了解相關(guān)的政策和制度，知道哪些行為是可以接受，哪些是不能接受的，意 BCG及承諾書(shū)簽署：將網(wǎng)絡(luò)安全納入《華為員工商業(yè)行為準(zhǔn)則》（BCG–Guide網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)：華為根據(jù)不同角色、崗位制定相應(yīng)的安全基礎(chǔ)能力培訓(xùn)計(jì)精準(zhǔn)培訓(xùn)：通過(guò)大數(shù)據(jù)分析識(shí)別產(chǎn)品研發(fā)過(guò)程中的典型安全問(wèn)題和問(wèn)題關(guān)聯(lián)責(zé) 實(shí)戰(zhàn)演練：引進(jìn)業(yè)界優(yōu)秀實(shí)踐，開(kāi)發(fā)網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練平臺(tái)，開(kāi)展紅藍(lán)對(duì)抗，提供場(chǎng)景化的實(shí)戰(zhàn)演練環(huán)境供員工練習(xí)和交流，提升員工的安全技能和安全響應(yīng)能力。 安全能力任職牽引：為了讓員工更加自覺(jué)、有效地進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)，華為將網(wǎng)絡(luò)安全要求融入到任職資格標(biāo)準(zhǔn)中。員工在任職晉升過(guò)程中需要學(xué)習(xí)相應(yīng)的網(wǎng)絡(luò)安全課程，通過(guò)相應(yīng)的網(wǎng)絡(luò)安全技能考試，提升自身網(wǎng)絡(luò)安全能力。 在崗安全培訓(xùn)賦能：圍繞網(wǎng)絡(luò)安全意識(shí)、客戶網(wǎng)絡(luò)服務(wù)的業(yè)務(wù)規(guī)范、用戶數(shù)據(jù)及隱私保護(hù)要求進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)和考試，并根據(jù)業(yè)務(wù)變化定期刷新學(xué)習(xí)和考試大綱。 上崗資格管理：重點(diǎn)崗位員工必須通過(guò)網(wǎng)絡(luò)安全上崗證的考試，并取得證書(shū)。通過(guò)證書(shū)管理平臺(tái)對(duì)已通過(guò)安全上崗證考試的員工發(fā)放有效期不超過(guò)兩年的電子證書(shū)，證書(shū)到期前提醒員工重新參加考試。 6GB《電子信息機(jī)房設(shè)計(jì)規(guī)范》ATIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+標(biāo)準(zhǔn)。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計(jì)施工和運(yùn)營(yíng)時(shí)，合理劃分了機(jī)房物理 機(jī)房選址：華為云數(shù)據(jù)中心機(jī)房選址一定程度上決定面臨的自然災(zāi)害以及可能的環(huán)境威脅。華為云數(shù)據(jù)中心選址一律避開(kāi)自然災(zāi)害不利或危險(xiǎn)的地區(qū)，減少周邊環(huán)400 門口設(shè)置了全天候（2477*24小時(shí)）保安人員進(jìn)行登 電力保障7*24可啟動(dòng)柴油機(jī)供電，以備不時(shí)之需。并配備了不間斷電源（UPS–Supply 溫濕度控制：通過(guò)精密空調(diào)、集中加濕器自動(dòng)調(diào)節(jié)，華為云數(shù)據(jù)中心機(jī)房溫濕度保持在設(shè)備運(yùn)行所允許的范圍內(nèi)，使設(shè)備元器件處于良好運(yùn)行狀態(tài)。機(jī)柜冷熱通道有合理的布置，利用架空地板下空間作為靜壓箱來(lái)給機(jī)柜送風(fēng)，并設(shè)置了冷通道密消防能力A 防靜電：華為云數(shù)據(jù)中心機(jī)房鋪設(shè)了防靜電地板，導(dǎo)線連接地板支架與接地網(wǎng)，機(jī)器接地以導(dǎo)走靜電。在機(jī)房大樓頂部設(shè)置了避雷帶，供電線路安裝了多級(jí)避雷器，導(dǎo)走電流。ITUE.408安全區(qū)域的劃分原則并結(jié)合圖6-1 DMZ區(qū)DMZ區(qū)主要部署了面向外網(wǎng)和租戶的前置部件，如負(fù)載均衡器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺(tái)、API網(wǎng)關(guān)等。租戶對(duì)DMZ區(qū)的DMZ單獨(dú)隔離，防止外部請(qǐng)求接觸云服務(wù)后端部DDoS措施外，還部署 ServiceOpenStack、IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件如DMZ區(qū)。華為云管理員可以從內(nèi)網(wǎng)區(qū)訪問(wèn)該區(qū) 資源交付區(qū)（POD–PointofDelivery：DDoS防護(hù)及入侵檢測(cè)與防御，保障租戶業(yè)務(wù)。數(shù)據(jù)存儲(chǔ)區(qū)（OBSObject-BasedStorageDMZ的服務(wù)控制臺(tái)或網(wǎng)關(guān)才能訪問(wèn)該區(qū)。運(yùn)維管理區(qū)（OM–OperationsManagement件，華為云運(yùn)維人員必須先通過(guò)虛擬專用網(wǎng)絡(luò)（VPNVirtualPrivateOM區(qū)，攻擊面最I(lǐng)T數(shù)據(jù)中心，因此在實(shí)現(xiàn)區(qū)域隔離上與傳統(tǒng)手段不盡相（SDP–SoftwareDefinedPerimeter）。并且，不止定義網(wǎng)絡(luò)層區(qū)域邊界，采用 租戶數(shù)據(jù)平面 業(yè)務(wù)控制平面API 平臺(tái)運(yùn)維平面：實(shí)現(xiàn)基礎(chǔ)設(shè)施和平臺(tái)（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)）的后臺(tái)運(yùn)維管 數(shù)據(jù)存儲(chǔ)平面PODPOD區(qū)有租戶數(shù)據(jù)平面、平臺(tái)運(yùn)維平面、業(yè)務(wù)控制平面、BMC管理平面，而運(yùn)維區(qū)只有平臺(tái)運(yùn)維平 設(shè)備來(lái)完成對(duì)異常和超大流量攻擊的檢測(cè)及清洗。Anti-DDoSDDoS防護(hù)服務(wù)，租戶可以根據(jù)業(yè)務(wù)的應(yīng)用類型，配置流量閾值參 網(wǎng)絡(luò)入侵檢測(cè)與攔截（IDS/IPS–IntrusionDetectionSystem/IntrusionSystem：界、安全區(qū)域邊界和租戶空間邊界等。IPS具備網(wǎng)絡(luò)實(shí)時(shí)流量分析和阻斷能力，種入侵行為?；诰W(wǎng)絡(luò)流量，IPS可以提供信息幫助定位和調(diào)查網(wǎng)絡(luò)異常，分配Web安全防護(hù)WebWebWebDDoS攻擊、SQL注入、跨站腳本攻擊（XSSCross-SiteScripting、跨站請(qǐng)求–ForgeryDMZWeb77.1.1彈性云服務(wù)器（ECS）6.2.1虛擬私有云服務(wù)（VPC）作為華為云平臺(tái)操作系統(tǒng)，華為統(tǒng)一虛擬化平臺(tái)（UVP-UnifiedVirtualizationPlatform）CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、(PAM–PrivilegeUVPUVPCPUI/O隔離等技術(shù)手段實(shí)現(xiàn)虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)之間的隔離，并通過(guò)Hypervisor讓虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作CPUI/OUVPCPUCPU隔離主要是指虛擬化平臺(tái)與虛擬機(jī)之間的隔離，虛擬機(jī)內(nèi)部的權(quán)限分配和虛擬機(jī)與虛擬機(jī)之間的隔離。CPURootNon-Root兩種運(yùn)行模式的切換、各運(yùn)VCPU（VirtualCPU）CPU隔離機(jī)制，UVP可以控制虛擬機(jī)對(duì)物理I/OI/OI/O設(shè)備，實(shí)I/O路徑的隔離。APIAPIIT管理和審計(jì)系統(tǒng)。APIHTTP應(yīng)用層面臨的安全威脅，業(yè)界普遍API得到有效保護(hù)：身份認(rèn)證及鑒權(quán)APIIAMTLS加密。API命令接口來(lái)管理虛擬機(jī)，API命令的權(quán)限管理直接關(guān)系到虛擬機(jī)的API網(wǎng)關(guān)對(duì)用戶命令支持二級(jí)權(quán)限管理。用戶發(fā)出命令時(shí)，不僅IAMAPIAPI網(wǎng)關(guān)并下發(fā)到平臺(tái)層或應(yīng)用層執(zhí)行。API命令的執(zhí)行權(quán)限，命令才允許執(zhí)行。 (token)認(rèn)證tokentoken由租戶通IAMIAM接口獲取。 訪問(wèn)密鑰ID/訪問(wèn)密鑰（AK/SK–AccessKeyID/SecretAccessKey）認(rèn)證：AK/SK的鑒權(quán)信息，APIAK/SK鑒權(quán)機(jī)制要求客戶AK/SKAPISDK進(jìn)行簽名，將包API網(wǎng)關(guān)，API網(wǎng)關(guān)將對(duì)簽名信息進(jìn)行認(rèn)證校驗(yàn)。 傳輸保護(hù)：APITLSAPI網(wǎng)關(guān)所有APITLS1.2PFS（PerfectForward 邊界防護(hù)：APIAnti-DDoS、入侵防御系統(tǒng)（IPS）Web進(jìn)行監(jiān)控，對(duì)攻擊執(zhí)行阻斷。在高級(jí)邊界防護(hù)的基礎(chǔ)上，API網(wǎng)關(guān)作為云服務(wù)特?API注冊(cè)APIAPI?ACL規(guī)則限制：該功能允許租戶自行配置特定的租戶信息和網(wǎng)段信息。租戶可根據(jù)訪問(wèn)控制列表（ACL–AccessControlList）配置信息，API網(wǎng)關(guān)能有APIAPI從特定網(wǎng)段訪問(wèn)。?防重放攻擊：當(dāng)API網(wǎng)關(guān)接受過(guò)期請(qǐng)求時(shí)，將會(huì)執(zhí)行拒絕措施防止重放攻?防暴力破解AK/SK請(qǐng)求時(shí)，API網(wǎng)關(guān)的防暴力破解機(jī)制一旦API流量控制：APIAPIAPI的訪問(wèn)的高可用性和連續(xù)性。APIAPI級(jí)別和租戶級(jí)別的APIAPIAPIAPI次數(shù)的配額、每個(gè)華為云租API次數(shù)的配額分別進(jìn)行流控。 身份認(rèn)證和訪問(wèn)控制：華為云的訪問(wèn)控制能力是通過(guò)統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccessManagement）提供的。IAM是面向企業(yè)租戶的安全管理服務(wù)，使用IAM，租戶管理員可以管理用戶賬號(hào)，并且可以控制這些用戶賬號(hào)對(duì)租戶名 數(shù)據(jù)隔離：華為云對(duì)云端數(shù)據(jù)的隔離是通過(guò)虛擬私有云（VPC–VirtualPrivate

VPN或云專VPC與租戶內(nèi)網(wǎng)的傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實(shí)現(xiàn)租戶應(yīng)用和數(shù)據(jù)從租戶內(nèi)網(wǎng)虛擬專用網(wǎng)絡(luò)（VPN：VPNVPC之間建立一條符合行業(yè)標(biāo)VPNVPCWeb服務(wù)器來(lái)增加網(wǎng)絡(luò)的計(jì)算容量，實(shí)現(xiàn)了企業(yè)的混合云架構(gòu)的同IKE（密鑰交換協(xié)議）IPSecVPN結(jié)合的方法對(duì) 應(yīng)用層TLS與證書(shū)管理RESTHighwayRESTRESTfulHTTPRESTfulAPI進(jìn)行調(diào)用，實(shí)現(xiàn)數(shù)據(jù)傳輸；Highway通道是高性能私有協(xié)議通道，在有特殊性能需求場(chǎng)景時(shí)可選用。上述兩種數(shù)據(jù)傳輸方式均支持使用傳輸層安全協(xié)議（TLS–TransportLayerSecurity）1.2X.509證書(shū)管理服務(wù)（SSLCertificateService）則是華為云聯(lián)合全球知名數(shù)字證書(shū)服務(wù)機(jī)X.509證書(shū)的全生命周期管理服務(wù)，實(shí)現(xiàn)目標(biāo)網(wǎng)站的可 密鑰管理服務(wù)（KMS–KeyManagementService）是一種安全、可靠、簡(jiǎn)單易用模塊（HSM–HardwareSecurityModule，為租戶創(chuàng)建和管理密鑰，防止密鑰明HSM之外，從而防止密鑰泄露。HSM是一種安全產(chǎn)生、存儲(chǔ)、管理及HSMFIPS140-2國(guó)際權(quán)威HSM。KMS對(duì)密鑰的所有操作都會(huì)進(jìn)行訪問(wèn)控制及日志跟蹤，滿KMS服務(wù)的華為云服務(wù)包括：云硬盤EVSOBSManagementServiceIMS）等。 140-23級(jí)驗(yàn)證的硬件加密機(jī)，對(duì)租戶業(yè)務(wù)進(jìn)行專屬加密，默認(rèn)雙機(jī)架構(gòu)以提 表6-1KMS提供密鑰。用戶主密鑰（CMKCustomerMasterKey）KMS生成、管理99.9999999%。云備份Backupand99.999999999%VMware對(duì)于服務(wù)器端加密，OBS提用戶提供密鑰（SSE1-CMD5KMS托管密鑰（SSE-KMS方式）：KMSCMK。99.9999999999%99.995%KMS提供密鑰。用戶主密鑰（CMKCustomerMasterKey）KMS生成、管理99.95%。CBR實(shí)現(xiàn)文件存儲(chǔ)1OBS732KMSKMS提供密鑰。KMS99.999999999%SSE–Server-SideEncryption.CSSE-C中是指客戶（customer） 內(nèi)存刪除 加密數(shù)據(jù)防泄露：華為云建議租戶對(duì)要上云的重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)，數(shù)據(jù)需要?jiǎng)h除時(shí)，通過(guò)直接刪除相關(guān)數(shù)據(jù)加密密鑰，防止數(shù)據(jù)在被徹底刪除前被恢復(fù)為明 存儲(chǔ)數(shù)據(jù)刪除：當(dāng)租戶刪除存儲(chǔ)數(shù)據(jù)時(shí)，數(shù)據(jù)和對(duì)應(yīng)的元數(shù)據(jù)在系統(tǒng)中一并刪租EVS服務(wù)的回收站功能、OBS服務(wù)的多版本控制功能，用 物理磁盤報(bào)廢：當(dāng)物理磁盤報(bào)廢時(shí)，華為云通過(guò)對(duì)存儲(chǔ)介質(zhì)進(jìn)行消磁、完全破碎等方式清除數(shù)據(jù)，并對(duì)數(shù)據(jù)清除操作保存完整記錄，滿足行業(yè)標(biāo)準(zhǔn)，確保用戶隱 7彈性云服務(wù)器彈性云服務(wù)器（ECS–ElasticCloudServer）是華為云為租戶提供的一種可隨時(shí)自助獲（UVP 鏡像加固實(shí)時(shí)監(jiān)測(cè)，并定期更新公共鏡像以確保高危漏洞得到修復(fù)。由客戶根用運(yùn)行及安全運(yùn)維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛?網(wǎng)絡(luò)與平臺(tái)隔離Hypervisor提供的虛擬交換機(jī)（vSwitch）通過(guò)設(shè)置VLAN、VXLAN、ACL等屬性確保虛擬機(jī)在網(wǎng)絡(luò)層的邏輯隔離。多臺(tái)主機(jī)離。同時(shí)，UVPCPU、內(nèi)存、I/O隔離進(jìn)一步實(shí)現(xiàn)虛擬機(jī)在平臺(tái)層的 IP/MAC仿冒控制IPMAC引起的網(wǎng)DHCPsnoopingIPMACIP(IPSourceGuard)ARP檢測(cè)（DAIDynamicARPInspection）IP?安全組：UVP還提供安全組功能，用于多臺(tái)虛擬機(jī)之間的分組隔離。多臺(tái)虛入/移出安全組的操作。第7章7.2.1虛擬私有云服務(wù)（VPC）一節(jié)對(duì)安全組做遠(yuǎn)程訪問(wèn)認(rèn)證：SSH遠(yuǎn)程訪問(wèn)虛擬機(jī)操作系統(tǒng)來(lái)進(jìn)行系統(tǒng)維護(hù)。但SSH接口也是虛擬機(jī)的一個(gè)較高安全風(fēng)險(xiǎn)。為保證遠(yuǎn)程訪問(wèn)控制安使用更為安全的公/ 資源管理認(rèn)證：APIECSAPI接入IAMAPI對(duì)計(jì)算資源進(jìn) VNC安全：VNC（VirtualNetworkComputing）方式遠(yuǎn)程訪問(wèn)虛擬機(jī)，TLS1.2版本進(jìn)行加密傳輸，確保數(shù)據(jù)傳輸安事件管理功能：在彈性云服務(wù)器日常運(yùn)維中，華為云會(huì)對(duì)實(shí)例所在底層宿主機(jī)鏡像服務(wù)華為云鏡像服務(wù)（IMS–ImageManagementService）提供簡(jiǎn)單方便的鏡像自助管理功API對(duì)自己的鏡像進(jìn)行管理。華為云負(fù)責(zé)公共鏡像的定IMS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來(lái)進(jìn)行認(rèn)證，支持鏡像的傳輸和存儲(chǔ)加密以及完整性檢測(cè)。IMS的所有數(shù)據(jù)都存儲(chǔ)于信任子網(wǎng)內(nèi)的鏡像倉(cāng)庫(kù)，并且采用對(duì)象存儲(chǔ)分桶機(jī)制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS提供了安全I(xiàn)MS對(duì)租戶的所有操作進(jìn)行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對(duì)所有關(guān)鍵彈性伸縮服務(wù)（ASAuto-Scaling）是根據(jù)租戶的業(yè)務(wù)需求，通過(guò)用戶預(yù)先定義的策略自動(dòng)按需調(diào)整資源的服務(wù)。AS前的需求。在業(yè)務(wù)增長(zhǎng)時(shí)實(shí)現(xiàn)應(yīng)用系統(tǒng)自動(dòng)擴(kuò)容，業(yè)務(wù)下降時(shí)實(shí)現(xiàn)應(yīng)用系統(tǒng)自動(dòng)減容。從而既能幫助租戶節(jié)約資源和人力成本，又能保證其業(yè)務(wù)平穩(wěn)健康運(yùn)行。S對(duì)執(zhí)行資DDoS攻擊的能力。AS可以實(shí)時(shí)檢測(cè)實(shí)例的運(yùn)行狀況，并啟動(dòng)新實(shí)例以替換運(yùn)行狀況–Zone專屬主機(jī)服務(wù)（DeHDedicatedHostService）ECS的基礎(chǔ)上，提供的一ECS服務(wù)的所有功能以及安DeH由于以主機(jī)為單位出租，在安全上有物理層主機(jī)隔離的優(yōu)勢(shì)：?jiǎn)蝹€(gè)租戶擁有整個(gè)Hypervisor可能出現(xiàn)裸金屬服務(wù)裸金屬服務(wù)（BMS–BareMetalService）是華為云為租戶提供的一種可隨時(shí)自助獲取，BMSBMS提供給每個(gè)租戶的操作實(shí)體。一個(gè)實(shí)例就是一臺(tái)物理機(jī)。對(duì)自己創(chuàng)建的BMSECS類似的多層安全防護(hù)，包括主機(jī)系統(tǒng)和網(wǎng)絡(luò)安全、遠(yuǎn)程訪77.1.1彈性云服務(wù)器（ECS）一節(jié)。更重要的是，BMS獨(dú)享物理機(jī)隔離的安全優(yōu)勢(shì)。通過(guò)從主機(jī)到整個(gè)組虛擬私有云服務(wù)（VPC–VirtualPrivateCloud）為彈性云服務(wù)器構(gòu)建隔離的、用戶自VPC VPCIP地址1 VPNVPC VPC VPCDHCP，執(zhí)行安全快捷的網(wǎng) VPC圖7-1VPCVPC 子網(wǎng)IP地址管理、DNSVPC的所有子網(wǎng)內(nèi)的彈性云服務(wù)器默認(rèn)均可以相互通VPC中的任意兩臺(tái)彈性云服務(wù)器默認(rèn)禁止通信。 VPN：VPNVPC之間建立一條安全加密的通信管道，使遠(yuǎn)端用VPNVPCVPC中的彈性云服VPNVPN相關(guān)參數(shù)。VPCOpenSystemInterconnection（OSI）層的網(wǎng)絡(luò)安全防護(hù)功能，網(wǎng)絡(luò)ACL：網(wǎng)絡(luò)ACL是對(duì)一個(gè)或多個(gè)子網(wǎng)的訪問(wèn)制定、維護(hù)并執(zhí)行訪問(wèn)控制策安全組：在VPC中，安全組是一組對(duì)彈性云服務(wù)器的訪問(wèn)規(guī)則的集合，為同個(gè)VPCVPC中每個(gè)安全組可以設(shè)定一組訪問(wèn)規(guī)則。安全組規(guī)則包括：協(xié)議、出/IP地址段/TCP、UDP、ICMP三種協(xié)議。用ACLVPC的網(wǎng)絡(luò)安全性。因此，VPCACL和安全組表7-1安全組和網(wǎng)絡(luò)ACL（第一層防護(hù)ACL選項(xiàng)，必須創(chuàng)建網(wǎng)絡(luò)VPC 虛擬局域網(wǎng)（VLAN）隔離：VLANOSIVLANtagging功能實(shí)現(xiàn)虛擬交換并確保虛擬機(jī)之間的安全隔離。 IP和MAC綁定IP、MACIP、MACDHCPsnoopingIP-MACIP(IPSourceGuard)ARP檢測(cè)對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過(guò)濾。 DHCPServer隔離DHCPServer服務(wù)，防止用戶無(wú)意識(shí)DHCPServerIP地址分配過(guò)程。 防DoS/DDoS攻擊：系統(tǒng)通過(guò)限制虛擬端口的連接跟蹤數(shù)來(lái)抵御來(lái)自云平臺(tái)外部2。彈性負(fù)載均衡服務(wù)彈性負(fù)載均衡（ELB–ElasticLoadBalance）將訪問(wèn)流量自動(dòng)分發(fā)到多臺(tái)彈性云服務(wù) 協(xié)議、UDP協(xié)議）或七層（HTTP協(xié)議、HTTPS協(xié)議）的負(fù)載分發(fā)。 支持全端口監(jiān)聽(tīng)，獨(dú)享型負(fù)載均衡器下，四層協(xié)議（TCP/UDP） ELB圖7-2ELB DDoS攻擊能力。ELB支持安全組配置：ELB安全組可以確保租戶實(shí)例只接收ELB的流量。支持源地址透?jìng)鳎篍LBHTTPHTTPS服務(wù)時(shí)支持源地址透?jìng)鞴δ躍SL/TLS卸載及證書(shū)管理：ELBSSL/TLS卸載。SSL/TLS卸載將報(bào)ELBELBELBELB支持加密協(xié)議和加密套件可配置HTTPSELBTLS1.2版本。ELB同時(shí)支持加密套件可選；對(duì)于有更多加密算法項(xiàng)選擇的租戶，ELB提供擴(kuò)展的NAT網(wǎng)關(guān)網(wǎng)關(guān)（PublicNATGateway）NAT網(wǎng)關(guān)（PrivateNATGateway。私網(wǎng)NAT網(wǎng)關(guān)能夠?yàn)樘摂M私有云內(nèi)的云主機(jī)（彈性云服務(wù)器、裸金屬服務(wù)器）提供私IPIP實(shí)現(xiàn)VPC內(nèi)的云主機(jī)與其他VPC、云下IDCNAT靈活部署：支持跨子網(wǎng)部署和跨可用區(qū)域部署。NAT網(wǎng)關(guān)支持跨可用區(qū)部署，IP，均可以隨時(shí)調(diào)整。多樣易用：NAT網(wǎng)關(guān)進(jìn)行簡(jiǎn)單配置后，即可使用降低成本：IPIP地址通過(guò)NATInternetIP和帶寬資NAT DoS/DDoS攻擊Qos限速能力來(lái)抵御來(lái)自云平臺(tái)外部或平臺(tái)內(nèi)部其云專線云專線（DirectConnect）VPC之間高速、低時(shí)可以利用云專線建立華為云與租戶的數(shù)據(jù)中心、辦公室或主機(jī)托管區(qū)域的專線連接，降低網(wǎng)絡(luò)時(shí)延，獲得比互聯(lián)網(wǎng)線路更快速、更安全的網(wǎng)絡(luò)體驗(yàn)。 VPC，使用專享私密通道進(jìn)行通信，網(wǎng)絡(luò)隔離，安全 通過(guò)云專線將用戶本地?cái)?shù)據(jù)中心與云上資源互聯(lián)，形成靈活可伸縮的混合云部署。DC具有以下主要安全防護(hù)功能： 傳輸加密：DCTLS加密傳輸，建立安全傳輸通道，減少數(shù)終端節(jié)點(diǎn)Endpoint 性能優(yōu)異： 即創(chuàng)即用： 安全性高：VPCEP 訪問(wèn)控制： 連接配置： 公網(wǎng)IP被掃描攻擊的風(fēng)險(xiǎn)，減少了攻擊面。 支持雙端固定：使用“雙端固定”VPC終端節(jié)點(diǎn)策略與桶策略，以限制VPC中的服務(wù)器（ECS/CCE/BMS）訪問(wèn)OBS中的特定資源；另一方面，虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）VPC之VPN用于在遠(yuǎn)端用戶和虛擬私有云（VirtualPrivateCloudVPC）之間建立VPC中的彈性云VPN功能。VPN由VPN網(wǎng)關(guān)和VPN連接組成，VPN網(wǎng)關(guān)提供了虛擬私有云的公網(wǎng)出口，與用戶VPN安全通道：VPNVPCVPCVPN連接路由，以保護(hù)動(dòng)態(tài)數(shù)據(jù)的機(jī)密性和基礎(chǔ)設(shè)施安全：IKE和IPsec對(duì)傳輸數(shù)據(jù)加密，提供國(guó)密型網(wǎng)關(guān)及基礎(chǔ)型網(wǎng)關(guān)：企業(yè)版VPN新增基礎(chǔ)型網(wǎng)關(guān)和國(guó)密型網(wǎng)關(guān)。國(guó)密型關(guān)，遵循《GB∕T36968-2018IPSecVPN技術(shù)規(guī)范》。云容器引擎服務(wù)云容器引擎服務(wù)（CCECloudContainerEngine）提供高度可擴(kuò)展的、高性能的企業(yè)級(jí)KubernetesDocker容器。借助CCE，租戶可以在華為云上輕松部署、Kubernetes控制節(jié)點(diǎn)和若干個(gè)按需創(chuàng)建的工作節(jié)點(diǎn)，其中控制節(jié)點(diǎn)在創(chuàng)建過(guò)程中將按Kubernetes集群中的虛擬機(jī)，租戶擁有管理華為云容器服務(wù)提供體系化的云原生安全能力。在基礎(chǔ)設(shè)施層，CCE繼承了華為云和ECS服務(wù)提供的安全能力；在集群層面，CCE支持細(xì)粒度權(quán)限管理、配額管理、網(wǎng)絡(luò)Kubernetes社區(qū)的各種安全機(jī)制；在容器層面，CCE支持KataCGS可支持容器逃逸檢測(cè)等運(yùn)行時(shí)檢測(cè)的高階能力；在云原生應(yīng)用開(kāi)云CCE模板管理構(gòu)建更多的安全插件。細(xì)粒度權(quán)限管理：CCEIAM和KubernetesRBAC基礎(chǔ)上打造了細(xì)粒度配額管理Kubernetes網(wǎng)絡(luò)隔離：創(chuàng)建集群時(shí)，CCEVPC安全組，租戶可根據(jù)業(yè)務(wù)按需加固；對(duì)于工作節(jié)點(diǎn)上應(yīng)用容器之間的互訪流量，CCE支持配敏感信息保護(hù)Secret資源中，CCE支持Secret的落CCEKMS 安全容器：與普通容器相比，每個(gè)安全容器都運(yùn)行在一個(gè)單獨(dú)的微型虛擬機(jī)中，擁有獨(dú)立的操作系統(tǒng)內(nèi)核以及虛擬化層的安全隔離。如果集群內(nèi)的不同應(yīng)用容器 云原生應(yīng)用部署安全：租戶可使用SecurityContext、PodSecurityPolicy和 運(yùn)行時(shí)檢測(cè)：參考CGS容器鏡像服務(wù)容器鏡像服務(wù)（SWRSoftWareRepositoryforContainer）是一種支持容器鏡像全生命均采用HTTPSOCI標(biāo)準(zhǔn)實(shí)現(xiàn)了鏡像的完整性檢查；鏡像托管在信任子網(wǎng)內(nèi)的OBS倉(cāng)庫(kù)中，保障了安全可靠。除了倉(cāng)庫(kù)的安全能力外，SWR服務(wù)還集成CGS服務(wù)提供了鏡像安全掃描的能力。 鏡像安全掃描云硬盤服務(wù)云硬盤（ElasticVolumeService）可以為云服務(wù)器提供高可靠、高性能、規(guī)格豐富并且32TBECS、BMS、CCI資源管理認(rèn)證：EVS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來(lái)進(jìn)行認(rèn)證，EVS（CTS數(shù)據(jù)可靠性和持久性：EVS通過(guò)支持塊存儲(chǔ)數(shù)據(jù)的高可靠性，并通過(guò)業(yè)務(wù)節(jié)點(diǎn)99.9999999%。EVS云硬盤的數(shù)據(jù)冗余存儲(chǔ)在同一可用區(qū)中，而存儲(chǔ)加密：EVS提供了安全的加密算法（AES-256）對(duì)云硬盤數(shù)據(jù)進(jìn)行加密存儲(chǔ)，并且支持用戶選擇用戶主密鑰（CMK–CustomerKey，CMK 數(shù)據(jù)刪除：租戶刪除云硬盤時(shí)，底層的分布式塊存儲(chǔ)設(shè)備會(huì)立即將云硬盤對(duì)應(yīng)的元數(shù)據(jù)標(biāo)記刪除，確保無(wú)法繼續(xù)訪問(wèn)數(shù)據(jù)。同時(shí)，會(huì)啟動(dòng)后臺(tái)任務(wù)，徹底刪除元數(shù)據(jù)以及對(duì)應(yīng)的數(shù)據(jù)塊，回收云硬盤對(duì)應(yīng)的物理空間。物理空間清零后才會(huì)再次被分 額外注意：云硬盤的行為類似于原始、未格式化的塊設(shè)備，具有塊設(shè)備名稱和塊設(shè)備接口，租戶可以在云硬盤上創(chuàng)建文件系統(tǒng)，也可以以使用塊設(shè)備（如硬盤）的任何方式使用它們。租戶刪除文件系統(tǒng)上的文件時(shí)，文件系統(tǒng)的行為一般是僅刪除彈性文件服務(wù)（NAS，erver，E（CE&CI服務(wù)器（BMS）提供共享訪問(wèn)。SFS容量型為用戶提供一個(gè)完全托管的共享文件存服務(wù)等。SFSTurbo為用戶提供一個(gè)完全托管的共享文件存儲(chǔ)，能夠彈性伸縮至IOPS型應(yīng)用提供有力支持。 資源管理認(rèn)證：SFS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來(lái)進(jìn)行認(rèn)證，SFS對(duì)（CTS數(shù)據(jù)可靠性和持久性：SFS99.9999999%SFS執(zhí)行備 SFSTurboVPC內(nèi)。租戶可以在VPC內(nèi)創(chuàng)建一個(gè)跨可用區(qū)SFSTurbo實(shí)例選擇此子網(wǎng)，SFSTurbo在創(chuàng)署在租戶VPC后，租戶可通過(guò)VPCVPCSFSTurbo實(shí)例所在VPCVPCECSIP連接文件存儲(chǔ)。租戶可以綜SFSTurboSFSTurbo實(shí)例 SFSTurbo實(shí)例。存儲(chǔ)加密：SFS容量型和SFSTurbo均支持用戶選擇是否對(duì)文件系統(tǒng)數(shù)據(jù)進(jìn)行加–Key，CMK據(jù)加密服務(wù)（DEW）管理。用戶應(yīng)用在寫入數(shù)據(jù)到文件存儲(chǔ)時(shí)，SFS 數(shù)據(jù)備份：SFSTurboCBR備份，SFSTurbo，CBRSFS容量型/通用文件系統(tǒng)進(jìn)行備份，可將數(shù)據(jù)復(fù)制至OBS中進(jìn)行云備份服務(wù)云備份（CBR–CloudBackupandRecovery）提供對(duì)云硬盤（ElasticVolumeService、彈性云服務(wù)器（ElasticCloudServer）和裸金屬服務(wù)器（BareMetalServer）的備份保BCManager中的備份數(shù)據(jù)，可以在云上對(duì)備份數(shù)據(jù)AZ正常訪問(wèn)數(shù)據(jù)，適用于對(duì)可靠性要求較高的場(chǎng)景。CBRIAMHTTPSHTTPS的RESTfulCBRNTP（NetWorkTimeProtocol）確保系統(tǒng)內(nèi)各網(wǎng)元時(shí)間的一致性，對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、CBR支持對(duì)備份數(shù)據(jù)的完整性校驗(yàn)。在備份和恢復(fù)過(guò)程中，采用CRC32C校驗(yàn)備份數(shù) 對(duì)象存儲(chǔ)服務(wù)對(duì)象存儲(chǔ)服務(wù)（OBS–ObjectStorageService）是一個(gè)基于對(duì)象的海量存儲(chǔ)服務(wù)，為租OBS是一項(xiàng)面向互聯(lián)網(wǎng)的服務(wù)，其HTTPSWeb服務(wù)接口，讓用戶能在任意可連接至互聯(lián)網(wǎng)的電腦OBSOBS中的數(shù)據(jù)。OBSACL、桶策略、用戶身份認(rèn)證等安全手段，對(duì)租戶請(qǐng)求的訪問(wèn)權(quán)限進(jìn)行限制；同時(shí)，對(duì)租戶數(shù)據(jù)，OBS提供了一系列的安全手段，如通 訪問(wèn)控制：OBSACL（ACL：OBS訪問(wèn)權(quán)限。ACL可以限制所有用戶或特定用戶對(duì)單個(gè)桶或?qū)ο蟮脑L問(wèn)權(quán)限，PolicyOBS操作、申請(qǐng)人、資源、請(qǐng)求的其他要素（IP地址）提供對(duì)桶和對(duì)象的集中訪問(wèn)控制等。附加到某個(gè)桶上的權(quán) ACL只能對(duì)單個(gè)對(duì)象進(jìn)行權(quán)限的添加，而桶策略可對(duì)一個(gè)桶內(nèi)的所有對(duì)設(shè)置桶策略后，OBS將根據(jù)桶策略判斷是接受還是拒絕對(duì)桶訪問(wèn)的請(qǐng)用戶簽名驗(yàn)證OBSAK/SK。AK和SKIAM的認(rèn)證機(jī)制。OBSAKSK進(jìn)行認(rèn)證鑒權(quán)，OBSOBSSK、請(qǐng)求時(shí)間、請(qǐng)求類型等信息生成的鑒權(quán)信息。并且，在進(jìn)行鑒權(quán)之前，OBS需要對(duì)桶名、對(duì)象名單獨(dú)進(jìn)行URLEncode編碼，OBSOBSS3（SimpleStorageService）接口。租戶可–Name和第4版（AmazonSignatureV2V4）1兩種版本的簽名認(rèn)證流程以及認(rèn)證接 數(shù)據(jù)可靠性和持久性：OBS通過(guò)支持對(duì)象數(shù)據(jù)的高可靠性，并通過(guò)業(yè)務(wù)節(jié)點(diǎn)的高99.995%，完全滿足對(duì)象存儲(chǔ)服務(wù)高可用的需求。OBS通過(guò)提供對(duì)象數(shù)據(jù)多份冗余和保證多份對(duì)象的數(shù)據(jù)99.9999999999%OBS支持保存一個(gè)對(duì)象的多個(gè)版本，使用戶更方便地檢索和還原各個(gè)版本，在意場(chǎng)景提供了恢復(fù)手段。默認(rèn)情況下，OBS中新創(chuàng)建的桶不會(huì)開(kāi)啟多版本功能，向訪問(wèn)日志記錄：OBS支持對(duì)桶的訪問(wèn)請(qǐng)求，并保存訪問(wèn)日志記錄，用于進(jìn)行請(qǐng)請(qǐng)求性質(zhì)、類型或趨勢(shì)。當(dāng)租戶開(kāi)啟一個(gè)桶的日志管理功能后，OBSOBSOBS的存儲(chǔ)費(fèi)用，因此默認(rèn)情況下OBS不會(huì)開(kāi)啟該功能。若出于分析或?qū)徲?jì)等目的， –Sharing：OBSOBS中的資源。CORSW3C（WorldWideWeb應(yīng)用程序與另一個(gè)域中的資源交互方式。OBS支持靜態(tài)網(wǎng)站托管，CORS配置時(shí)，OBS中保存的靜態(tài)網(wǎng)站才被響應(yīng)另一個(gè)跨域網(wǎng)站的請(qǐng)求，不會(huì)由于同源安全策略（SOP–SameOriginPolicy） 防盜鏈：OBS的數(shù)據(jù)被他人盜鏈，OBSHTTP（header）中參照位址（referer）的防盜鏈方法，OBSHTTP協(xié)議中，通過(guò)表頭字段，網(wǎng)站可以檢測(cè)目標(biāo)網(wǎng)頁(yè)訪問(wèn)的來(lái)源服務(wù)端加密：務(wù)端加密（SSE-C）和OBS根密鑰派生密鑰（SSE-OBS）加密SSE-KMSOBSKMS提供的密鑰進(jìn)行服務(wù)端加密。用戶首先需KMS中創(chuàng)建密鑰（KMS提供的默認(rèn)密鑰，然后在上傳對(duì)象SSE-COBS使用用戶提供的密鑰和密鑰的哈希值進(jìn)行服務(wù)端加密。用戶在上傳對(duì)象的接口中攜帶密鑰，OBS使用該密鑰進(jìn)行服務(wù)端加密。OBSSSE-OBS是指使用OBS根密鑰派生的密鑰對(duì)用戶數(shù)據(jù)進(jìn)行服務(wù)端加密。與SSE-KMSSSE-OBSOBSKMS。租戶在使用SSE-KMS對(duì)用戶數(shù)據(jù)進(jìn)行服務(wù)端加密時(shí)，不僅可以選擇采用行業(yè)標(biāo)數(shù)據(jù)快遞服務(wù)數(shù)據(jù)快遞服務(wù)（DESDataExpressService）是一種線下海量數(shù)據(jù)傳輸服務(wù)，它使用物理存儲(chǔ)介質(zhì)（例如：eSATA硬盤驅(qū)動(dòng)器）向華為云傳輸大量數(shù)據(jù)。使用數(shù)據(jù)快遞服務(wù)為了保護(hù)數(shù)據(jù)安全，在郵寄前，建議用戶對(duì)磁盤數(shù)據(jù)進(jìn)行加密。DES支持第三方加密AES-256加密算法對(duì)數(shù)據(jù)進(jìn)行客戶端加密。DES支持的客戶端是Windows、MacOSX、Linux等操作系統(tǒng)。工具不需要生成任何文件即可在硬盤上建CDN內(nèi)容分發(fā)網(wǎng)絡(luò)內(nèi)容分發(fā)網(wǎng)絡(luò)（NContentDelveryNtwork）N節(jié)點(diǎn)，提供媒體內(nèi)容的預(yù)注入、回源、存儲(chǔ)和緩存、分片、播放等功能，以及網(wǎng)頁(yè)、文件的緩存和下載功能，使用戶可以就近獲得所需的內(nèi)容。CDN采用口令認(rèn)證、訪問(wèn)控制、最小授權(quán)、會(huì)話管理、輸入校驗(yàn)、加密等安全手段確通過(guò)對(duì)Web容器實(shí)施加固，對(duì)Web應(yīng)用進(jìn)行安全設(shè)計(jì)，使業(yè)務(wù)系統(tǒng)能夠有效應(yīng)對(duì)安全Web應(yīng)用安此外，CDNESA邊緣安全加速服務(wù)（ESAEdgeSecurityAcceleration）的深控制、CCDDos攻擊防護(hù)等安全能力： 精準(zhǔn)訪問(wèn)控制：ESA支持豐富的自定義條件（請(qǐng)求方法、請(qǐng)求域名、請(qǐng)求頭域邊緣CC攻擊防護(hù)：CCCC攻擊。ESA域、URL等）和邏輯條件（等于、包含、不包含、不等于等）組合精準(zhǔn)防護(hù)CC DDoS攻擊流量，智能調(diào)度協(xié)防，消除攻擊對(duì)用戶的影響。關(guān)系型數(shù)據(jù)庫(kù)服務(wù)（RDSRelationalDatabaseService）是一種基于云計(jì)算平臺(tái)的穩(wěn)定RDS支持以下引擎： SQL 限設(shè)置、SSL連接、自動(dòng)備份、數(shù)據(jù)庫(kù)快照、時(shí)間點(diǎn)恢復(fù)（PITR–PointInTimeRecovery網(wǎng)絡(luò)隔離：VPCVPCIPIP址段。RDSVPC內(nèi)，該VPC不與其他實(shí)例共享。租戶可以創(chuàng)RDS的高可用實(shí)例選擇此子網(wǎng)完成。RDSIP地址，用于連接數(shù)據(jù)庫(kù)。RDSVPC后，租戶可通過(guò)VPC互聯(lián)使其它VPCVPCVPCECSIP連接數(shù)據(jù)庫(kù)。RDSRDS實(shí) 訪問(wèn)控制RDS實(shí)例時(shí)，RDSRDSRDS實(shí)例VPCRDS實(shí)例所在的安全RDS實(shí)例。傳輸加密：RDSTLSRDSCA會(huì)為每個(gè)實(shí)例生成唯一的服務(wù)證書(shū)?？蛻舳丝梢允褂脧姆?wù)控CA 自動(dòng)備份和快照：RDS提供兩種備份恢復(fù)方法，即自動(dòng)備份和數(shù)據(jù)庫(kù)快照。云數(shù)據(jù)庫(kù)RDS服務(wù)會(huì)在數(shù)據(jù)庫(kù)實(shí)例的備份時(shí)段中創(chuàng)建數(shù)據(jù)庫(kù)實(shí)例的自動(dòng)備份。系統(tǒng)根存儲(chǔ)期限最多兩年，同時(shí)開(kāi)啟自動(dòng)備份后允許對(duì)數(shù)據(jù)庫(kù)執(zhí)行時(shí)間點(diǎn)恢復(fù)。RDS自O(shè)BS桶中，當(dāng)租戶刪除實(shí)例時(shí)，會(huì)同步刪除OBS桶中的快照。租戶也可以從已有的快照恢復(fù)到新實(shí)例中。 數(shù)據(jù)復(fù)制：RDS高可用實(shí)例。當(dāng)租戶選擇高可用實(shí)例時(shí)，RDS在主實(shí)例故障的情況下，RDS會(huì)自動(dòng)將從實(shí)例升為主實(shí)例，從而達(dá)到高可用的目MySQL數(shù)據(jù)庫(kù)時(shí)，業(yè)務(wù)中讀取數(shù)據(jù)比例大的話，可以對(duì)RDS單實(shí)例創(chuàng)建只讀實(shí)例，RDS維護(hù)主實(shí)例和只讀實(shí)例間的數(shù)據(jù)同步關(guān)系，租戶可以數(shù)據(jù)刪除：RDS實(shí)例時(shí)，存儲(chǔ)在數(shù)據(jù)庫(kù)實(shí)例中的數(shù)據(jù)都會(huì)被刪除數(shù)據(jù)庫(kù)，完全兼容MySQL。GaussDBDFV分布式存儲(chǔ)，采用計(jì)算128TBQPS吞吐，支持跨AZ0丟失，既擁有商業(yè)數(shù)據(jù)庫(kù)的性能和可靠性，又具備開(kāi)源數(shù)據(jù)庫(kù)的靈GaussDB(forMySQL)還提供多個(gè)特性來(lái)保障租戶數(shù)據(jù)庫(kù)的可靠性和安全性，例如VPC、安全組、權(quán)限設(shè)置、SSL連接、自動(dòng)備份、數(shù)據(jù)庫(kù)快照、時(shí)間點(diǎn)恢復(fù)（PITRPointInTimeRecovery、跨可用區(qū)部署等，具體安全特性如下：網(wǎng)絡(luò)隔離：VPCVPCIPIP址段。GaussDB(forMySQL)VPC內(nèi)，該VPC不與其他實(shí)例共享。在創(chuàng)建完實(shí)例后，GaussDB(forMySQL)IP于連接數(shù)據(jù)庫(kù)。GaussDB(forMySQL)VPC后，租戶可通過(guò)VPCVPCVPCVPC內(nèi)部創(chuàng)建GaussDB(forMySQL)實(shí)例的隔離，提升安全性。存儲(chǔ)隔離：訪問(wèn)控制：租戶創(chuàng)建GaussDB(forMySQL)實(shí)例時(shí)，GaussDB(forMySQL)GaussDB(forMySQL)實(shí)例。傳輸加密：GaussDB(forMySQL)TLS輸。GaussDB(forMySQL)CA務(wù)證書(shū)?？蛻舳丝梢允褂脧姆?wù)控制臺(tái)上下載的CA根證書(shū)，并在連接數(shù)據(jù)庫(kù)時(shí)自動(dòng)備份和快照：GaussDB(forMySQL)提供兩種備份恢復(fù)方法，即自動(dòng)備份和2年。開(kāi)啟自動(dòng)備份策略后會(huì)自動(dòng)觸發(fā)一次全量備份，之后仍然會(huì)按OBS桶中，當(dāng)租戶OBS桶中的快照。租戶也可以將已有的快照恢復(fù)到新實(shí)例中。同時(shí)，GaussDB(forMySQL)支持開(kāi)啟和關(guān)閉備份加密功能。 高可用：GaussDB(forMySQL)支持集群高可用實(shí)例，租戶可選擇在單可用區(qū)或多GaussDB(forMySQL)會(huì)自動(dòng)將業(yè)務(wù)路由到其他節(jié)點(diǎn)，從而實(shí)現(xiàn)高可用。 數(shù)據(jù)刪除：GaussDB(forMySQL)實(shí)例時(shí)，存儲(chǔ)在此實(shí)例中的數(shù)據(jù)以及在OBS中相應(yīng)的備份數(shù)據(jù)都會(huì)被自動(dòng)刪除，實(shí)例中的數(shù)據(jù)無(wú)法被查看及恢復(fù)。云數(shù)據(jù)庫(kù)GaussDB是軟硬全棧協(xié)同所創(chuàng)新研發(fā)的分布式關(guān)系型數(shù)據(jù)庫(kù)。該產(chǎn)品具備企業(yè)級(jí)復(fù)雜事務(wù)混合負(fù)載能力，同時(shí)支持分布式事務(wù)，同城跨AZ部署，數(shù)據(jù)0丟失，支持1000+ 權(quán)限設(shè)置、SSL連接、自動(dòng)備份、數(shù)據(jù)庫(kù)快照、時(shí)間點(diǎn)恢復(fù)（PITR–PointInTimeRecovery 網(wǎng)絡(luò)隔離：VPCVPCIP地址段。GaussDBVPC內(nèi)VPC建完實(shí)例后，GaussDBIP地址，用于連接數(shù)據(jù)庫(kù)。GaussDBVPC后，租戶可通過(guò)VPCVPC能夠訪問(wèn)該VPCVPCECSIP連接數(shù)據(jù)庫(kù)。租戶可GaussDB實(shí)例的隔離，提升安全性。存儲(chǔ)隔離：訪問(wèn)控制：租戶創(chuàng)建GaussDB實(shí)例時(shí)，GaussDBGaussDB實(shí)例。 傳輸加密：GaussDBTLS加密傳輸。GaussDB 自動(dòng)備份和快照：GaussDB提供兩種備份恢復(fù)方法，即自動(dòng)備份和數(shù)據(jù)庫(kù)快照。行時(shí)間點(diǎn)恢復(fù)。GaussDB自動(dòng)備份會(huì)進(jìn)行全量數(shù)據(jù)備份，這就允許租戶將數(shù)據(jù)恢15分鐘，最大1440分鐘。快照是租戶手動(dòng)觸發(fā)的數(shù)據(jù)庫(kù)全量備份，這些備份數(shù)據(jù)存儲(chǔ)在華為OBSOBS桶中的快照。租戶也可以從已 高可用：GaussDB支持集群高可用實(shí)例，租戶可選擇在單可用區(qū)或多可用區(qū)中部 數(shù)據(jù)刪除：GaussDBOBS文檔數(shù)據(jù)庫(kù)服務(wù)文檔型數(shù)據(jù)庫(kù)服務(wù)（DDSDocumentDatabaseService）是華為云提供的一款允許租戶DDSMongoDB數(shù)據(jù)安全配置規(guī)范》 網(wǎng)絡(luò)隔離：VPCVPCIPIP地址段。DDSVPC內(nèi),該VPCDDS的高可用實(shí)例選擇此子網(wǎng)完成，DDSIP地址，用于連接數(shù)據(jù)庫(kù)。DDSVPC后，租戶可通過(guò)VPCVPC能夠訪VPCVPCECSIP連接數(shù)據(jù)庫(kù)。租戶DDS實(shí)例的隔離，提升DDS實(shí)例的VPCDDS實(shí)例所在的安全組入站、出站規(guī)則進(jìn)行限制，從而控制可以連接數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)范圍，配置規(guī)則時(shí)無(wú)需重啟GaussDB(forDDS)實(shí) 存儲(chǔ)隔離：存儲(chǔ)資源按照租戶維度進(jìn)行分配，VM 訪問(wèn)控制DDS實(shí)例時(shí)，DDSDDSDDS實(shí)例數(shù)據(jù)庫(kù)，并根據(jù)需要?jiǎng)?chuàng)建數(shù)據(jù)庫(kù)實(shí)例DDS實(shí)例業(yè) 自動(dòng)備份和快照：DDS提供兩種備份恢復(fù)方法，即自動(dòng)備份和數(shù)據(jù)庫(kù)快照。自中設(shè)置的備份時(shí)間段和備份周期進(jìn)行全量備份，備份存儲(chǔ)期限最多兩年。OBSOBS桶中的快照。租戶也數(shù)據(jù)復(fù)制：DDS在單可用區(qū)或多可用區(qū)中部署高可用實(shí)例。當(dāng)租戶選擇高可用實(shí)例時(shí)，DDS副本集之間會(huì)自動(dòng)同步數(shù)據(jù)，在集群/副本集的單節(jié)點(diǎn)故障時(shí)，DDS會(huì)自動(dòng)將業(yè) 審計(jì)日志：用戶可以通過(guò)審計(jì)日志記錄您對(duì)數(shù)據(jù)庫(kù)或者集合執(zhí)行的操作，生成的日志文件將以文件的形式存儲(chǔ)在對(duì)象存儲(chǔ)服務(wù)。通過(guò)查看日志文件，您可以對(duì)數(shù)GeminiDBNoSQL數(shù)據(jù)庫(kù)服務(wù)，GeminiDB目前包含GeminiDBCassandra、GeminiDBMongo、GeminiDBInflux和GeminiDBRedis四款產(chǎn)品，分別兼容Cassandra、MongoDB、InfluxDB和Redis主流NoSQL接口，并提供高讀寫性能，IoT、氣象、互聯(lián)網(wǎng)、游戲等領(lǐng)域。備份與恢復(fù)：重要操作審計(jì)能力：GeminiDB相關(guān)的操作事件，便于日GeminiDBMongoGeminiDBMongo接口是一款基于華為自研的計(jì)算存儲(chǔ)分離架構(gòu)，兼容MongoDB生態(tài)的云原生NoSQL數(shù)據(jù)庫(kù),應(yīng)用于游戲（裝備、道具、泛互聯(lián)場(chǎng)景。在華為云高性能GeminiDBRedisGeminiDBRedisRedis協(xié)議，支持豐富數(shù)據(jù)類型，其Key-Value存儲(chǔ)模式可用于互聯(lián)網(wǎng)場(chǎng)景。本服務(wù)提供數(shù)據(jù)實(shí)時(shí)持久化、多副本GeminiDBInfluxGeminiDBCassandraGeminiDBCassandra接口是一款基于華為自研的計(jì)算存儲(chǔ)分離架構(gòu)的分布式數(shù)據(jù)庫(kù)，兼容CassandraNoSQLSQL語(yǔ)法CQL。在華為云高性能、數(shù)據(jù)復(fù)制服務(wù)（DRSDataReplicationService）是華為云提供的一款易用、穩(wěn)定、高 細(xì)粒度鑒權(quán)：租戶可以通過(guò)統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccesssManagementDRS操作權(quán)限的隔離。網(wǎng)絡(luò)隔離：DRS服務(wù)可以指定子網(wǎng)，實(shí)現(xiàn)同源庫(kù)或目標(biāo)庫(kù)的網(wǎng)絡(luò)隔離，同時(shí)可實(shí)例的主機(jī)安全：DRS實(shí)例的計(jì)算資源使用了華為云彈性云服務(wù)器（ECS（UVPUVP在第55.3平臺(tái)安全一節(jié)的介紹。 實(shí)例的數(shù)據(jù)可靠性和持久性：DRSEVS服務(wù)提供， 實(shí)例的高可用：DRS提供了AZDRS實(shí)例出現(xiàn)故障時(shí)可以切 DRS實(shí)例上的所有日志及運(yùn)行數(shù)據(jù)均被刪除，且無(wú)法恢復(fù)。 日志：DRS任務(wù)日志記錄了數(shù)據(jù)遷移過(guò)程中的信息，包含告警、錯(cuò)誤和提示等類MapReduce服務(wù)MapReduce服務(wù)（MRSMapReduceService）在華為云上提供高可靠性、高擴(kuò)展性、高容錯(cuò)性、易運(yùn)維的高效托管大數(shù)據(jù)分析集群服務(wù)。MRS集群作為一個(gè)云上托管的數(shù)OMS（Operation&MaintenanceService）的主、備節(jié)點(diǎn)和其他節(jié)點(diǎn)間采用雙向互MRS支持用戶使用瀏覽器、組件客戶端的方式登錄集群。MRS（CentralAuthenticationService）的單點(diǎn)登錄（SSO–SingleSign-On，用戶在任意MRSKerberosMRSKerberos認(rèn)證協(xié)議進(jìn)行安全認(rèn)證。Kerberos的系統(tǒng)在設(shè)計(jì)上采用“客戶端/服務(wù)器”AES等加密技\h\hMRSRanger實(shí)現(xiàn)對(duì)大數(shù)據(jù)組件的數(shù)據(jù)訪問(wèn)控制。\hApacheRanger提供一個(gè)集Hadoop生態(tài)中如HDFS、Hive、HBase、KafkaRangerWebUI\h\h 用戶口令管理：MRS系統(tǒng)通過(guò)Kerberos/LDAPIAMLDAP數(shù)據(jù)庫(kù)。?權(quán)限控制：MRSRBAC權(quán)限控制，用戶的角色決定了用戶的權(quán)限。通?數(shù)據(jù)加密：MRS的HBase支持按列簇加密存儲(chǔ)。在建表時(shí)，客戶可選擇對(duì) 數(shù)據(jù)完整性：MRSHDFS上，HDFSCRC32CCRC32CCRC32校驗(yàn)方式。HDFS的數(shù)據(jù)節(jié)點(diǎn)（DN–DataNode）負(fù)責(zé)存儲(chǔ)校驗(yàn)數(shù)據(jù)，如果發(fā)現(xiàn)客戶端DN節(jié)點(diǎn)上讀取數(shù)據(jù)。 數(shù)據(jù)備份：MRSHBase集群支持將主集群數(shù)據(jù)異步實(shí)時(shí)備份至備集群。它對(duì)Manager的數(shù)據(jù)、組件元數(shù)據(jù)及業(yè)務(wù)數(shù)（LocalDir（LocaHDFeoeFNASNF/IF（SFTP?查看告警詳情：MRS集群中的所有告警信息，MRS界面顯警管理”MRS中未清除告警的基本信息。分布式消息服務(wù)分布式消息服務(wù)（DMS–DistributedMessageService）是基于高可用分布式集群技術(shù)構(gòu)Kafka版：Kafka版是一個(gè)高吞吐、高可用的消息中間件服務(wù)，適用RabbitMQ版：RabbitMQ是100%RabbitMQ的云上消息隊(duì)RocketMQ版：RocketMQ版是一個(gè)低延遲、彈性高可靠、高吞吐、RocketMQ多樣的業(yè)務(wù)場(chǎng)景。DMS可應(yīng)用在多個(gè)領(lǐng)域，包括異步通信解耦、企業(yè)解決方案、金融 業(yè)務(wù)解耦：將業(yè)務(wù)中依賴其他系統(tǒng)同時(shí)屬于非核心或不重要的部分使用消息通知即可，無(wú)需同步等待其他系統(tǒng)的處理結(jié)果。如電商網(wǎng)站在促銷期間的搶購(gòu)訂單，搶到的手機(jī)訂單信息放入消息隊(duì)列，出庫(kù)、發(fā)貨等后續(xù)會(huì)從隊(duì)列里讀取任務(wù)信息然后 致，或都成功或都失敗。子系統(tǒng)/ 錯(cuò)峰流控：在電子商務(wù)系統(tǒng)或大型網(wǎng)站中，上下游系統(tǒng)處理能力存在差異，處理能力高的上游系統(tǒng)的突發(fā)流量可能會(huì)對(duì)處理能力低的某些下游系統(tǒng)造成沖擊，需要提高系統(tǒng)的可用性的同時(shí)降低系統(tǒng)實(shí)現(xiàn)的復(fù)雜性。電商大促銷等流量洪流突然來(lái)襲日志同步：應(yīng)用通過(guò)可靠異步方式將日志消息同步到消息服務(wù)，再通過(guò)其他組DMSIAM來(lái)進(jìn)行控制。通過(guò)身份驗(yàn)證后，賬戶可以完全擁有IAM用此外，DMSHTTPSDMSAPITLS1.2協(xié)PFS安全特性?；诎踩陨系目紤]，DMS為用戶提供數(shù)據(jù)進(jìn)行加密后存儲(chǔ)的（SSEKMS服務(wù)創(chuàng)建的密鑰進(jìn)行加密存儲(chǔ)。另外，用戶在將消息數(shù)DMS之前也可以進(jìn)行數(shù)據(jù)加密，可防止未授權(quán)人員訪問(wèn)敏感數(shù)據(jù)。分布式緩存服務(wù)分布式緩存服務(wù)（DCS–DistributedCacheService）Redis為基礎(chǔ)的分布式緩存中間件集群服務(wù)，在安全、性能、可靠性方面進(jìn)行了增強(qiáng)。DCS是基于內(nèi)存的數(shù)據(jù)結(jié)構(gòu)（srngs（hashes（lists（setssets（LRULeastRecentlyUsed）Mangmet，IAM\h\h\h\h\h\h驗(yàn)證策略。。不同DCSVPC隔離。DCS管理面數(shù)據(jù)保存在信任子網(wǎng)里，通過(guò)多副本機(jī)制實(shí)現(xiàn)數(shù)據(jù)冗余，保證數(shù)據(jù)可靠API網(wǎng)關(guān)服務(wù)API網(wǎng)關(guān)（APIGateway）是為企業(yè)開(kāi)發(fā)者及合作伙伴提供的高性能、高可用、高安全的APIAPI服務(wù)，幫助用戶輕松構(gòu)建、API 訪問(wèn)控制：訪問(wèn)控制策略是APIAPI安全防護(hù)組件之一，主要用來(lái)控IPAPI。監(jiān)控告警：API監(jiān)控，包括：API請(qǐng)求次數(shù)、API簽名密鑰：APIAPI網(wǎng)關(guān)請(qǐng)求后端服Key和Secret組成，簽名密鑰需 流量控制API的請(qǐng)求頻率、用戶的請(qǐng)求IP的請(qǐng)求頻率的管控，用于保障后端服務(wù)的穩(wěn)定運(yùn)行。 日志審計(jì)：支持通過(guò)云日志服務(wù)（LTS）對(duì)API網(wǎng)關(guān)的API調(diào)用請(qǐng)求日志分析，用于API調(diào)用請(qǐng)求訪問(wèn)的分析、問(wèn)題定位等。支持通過(guò)云審計(jì)服務(wù)（CTS）對(duì)微服務(wù)引擎微服務(wù)引擎（CloudServiceEngine，CSE，是用于微服務(wù)應(yīng)用的云中間件，支持華為ApacheServicecomb引擎、開(kāi)源增強(qiáng)的注冊(cè)配置中心Nacos引擎和應(yīng)用網(wǎng)關(guān)。用戶可結(jié)合其他云服務(wù)，快速構(gòu)建云原生微服務(wù)體系，實(shí)現(xiàn)引擎管理：3AZ 微服務(wù)管理： 配置管理：能夠?qū)崿F(xiàn)管理配置、配置格式多樣化、配置文件導(dǎo)入導(dǎo)出基礎(chǔ)能力，也具有查看歷史版本、版本對(duì)比、一鍵回滾及配置標(biāo)簽的高級(jí)特性，同時(shí)能夠滿 本地輕量化引擎： 微服務(wù)治理： 數(shù)據(jù)保護(hù)：CSECSE中的數(shù)據(jù)安全可靠，HTTPS傳輸、創(chuàng)建多AZ引擎、多版本控制、和配置文件加密。、 云桌面服務(wù)云桌面服務(wù)（Workspace）Windows的虛擬桌面基礎(chǔ)架構(gòu)（VDIVirtualDesktopInfrastructure）與虛擬應(yīng)用服務(wù)，用戶可通過(guò)瘦客戶端（硬件盒子PC應(yīng)用，云桌面使用防火墻對(duì)用戶使用界面和用HDP（HuaweiDesktopProtocol）協(xié)議轉(zhuǎn)換消息，對(duì)于本地外設(shè)的用戶身份識(shí)別 訪問(wèn)控制：訪問(wèn)控制的覆蓋范圍包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作。訪問(wèn)控制主體為用戶、業(yè)務(wù)系統(tǒng)等。授權(quán)用戶對(duì)受保護(hù)資源進(jìn)行訪問(wèn)的內(nèi)容、 TLS1.2協(xié)議建立加密通道。 鏡像安全：支持對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性、機(jī)密性保護(hù)，并確保虛擬機(jī)的鏡像、 備份與恢復(fù)機(jī)制VDI系統(tǒng)的管理數(shù)據(jù)備份機(jī)制，保障備份數(shù)據(jù)可以恢 安全監(jiān)控安全審計(jì)云解析服務(wù)云解析服務(wù)（DNS–DomainNameService）DNS服務(wù)和DNSIP地址，從S、O、S等其他服務(wù)地址，便于通過(guò)域名直接訪S中獲得其獨(dú)有的內(nèi)網(wǎng)域名解析服務(wù)，可以基于VPC任意定制域名和解析，解決了內(nèi)部業(yè)務(wù)的域名注冊(cè)和管理問(wèn)題，降低了業(yè)務(wù)部署和維S基于華為云高可用性和可靠性的基礎(chǔ)架構(gòu)構(gòu)建，其服務(wù)器的分布式特性有助于提高可用性，確保將最終用S解析記錄進(jìn)行故障轉(zhuǎn)移，保障租戶業(yè)務(wù)的可用性。DNS 通過(guò)例行更新，縮短生存期（TTL–TimetoLive）DNS緩存等措施DNS緩存中毒攻擊。 Anti-DDoS功能，對(duì)訪問(wèn)流量進(jìn)行特征模擬，清洗攻擊流量，限流和屏蔽惡IP訪問(wèn)，保障服務(wù)安全穩(wěn)定運(yùn)行。DNS提供的七層防護(hù)算法，逐層對(duì)攻擊流DDoSDNS放大攻擊。 LocalDNSServerIAM為租戶成員分配云解析服務(wù)及操作權(quán)限，使用訪問(wèn)密API的方式訪問(wèn)華為云資源。統(tǒng)一身份認(rèn)證服務(wù)統(tǒng)一身份認(rèn)證服務(wù)（IAMIdentityandAccessManagement）提供適合企業(yè)級(jí)組織結(jié)構(gòu)IAMAPI的方式訪問(wèn)華為云資源。IAM可以按層次和細(xì)粒度授權(quán)，保證同一企業(yè)租戶的不同用戶在使用云資源上得到有密碼認(rèn)證：密碼是租戶最初創(chuàng)建賬戶（注冊(cè)或創(chuàng)建企業(yè)用戶）時(shí)指定的。用戶?密碼策略：IAM支持租戶的安全管理員根據(jù)需求，設(shè)置不同強(qiáng)度的密碼策略?登錄策略：IAM支持租戶的安全管理員設(shè)置登錄策略，避免用戶密碼被暴力?ACL：IAMIPACL多因子認(rèn)證（MFA：多因子認(rèn)證（MFAMulti-FactorAuthentication）證碼進(jìn)行二次認(rèn)證。用戶修改密碼、手機(jī)等敏感信息時(shí)，IAM默認(rèn)啟用多因子認(rèn)訪問(wèn)密鑰API命令管理華為云上的資源時(shí)，訪問(wèn)API請(qǐng)求進(jìn)行簽名，API網(wǎng)關(guān)則校驗(yàn)簽名信息。數(shù)字簽名和時(shí)間戳可以 聯(lián)邦認(rèn)證：如果租戶有安全可靠的外部身份認(rèn)證服務(wù)（LDAPKerberos）驗(yàn)SAML2.0協(xié)議（SAML–SecurityAssertionMarkupLanguage，那么租戶可以將該服務(wù)作為身份提供商（IdP–IdentityProviderProviderAPI方式訪問(wèn)云資源。Web的應(yīng)用程序訪問(wèn)華為云資源，則應(yīng)用程序中權(quán)限管理：IAM權(quán)限包括用戶管理權(quán)限和云資源權(quán)限。用戶管理權(quán)限可以管理亂。另外，IAMPAM功能還可以更有效地細(xì)化管理特權(quán)賬戶。應(yīng)用身份管理服務(wù)華為云應(yīng)用身份管理服務(wù)s，具備集中式的身份管理、身份認(rèn)證和授權(quán)能力，s覆蓋了事前預(yù)防、事中控制以及事后追溯的全流程身份與訪問(wèn)控制機(jī)制，有效提高用戶身份管理效率、保護(hù)信息資源安全。其主要功能包含了： 統(tǒng)一身份管理：提供統(tǒng)一的用戶、組織機(jī)構(gòu)、用戶組、應(yīng)用、帳號(hào)和憑證管理及設(shè)置，同時(shí)提供數(shù)據(jù)同步、密碼策略及用戶自服務(wù)，方便企業(yè)和管理員對(duì)用戶身 統(tǒng)一認(rèn)證管理：提供集中統(tǒng)一的認(rèn)證管理功能。平臺(tái)支持單點(diǎn)登錄登出，并內(nèi)置多種認(rèn)證方式，如靜態(tài)密碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、二維碼等。用戶可以靈活配置多因素認(rèn)證策略，自定義選擇多種認(rèn)證方式，從而實(shí)現(xiàn)可信身份認(rèn)證，提升信息 智能訪問(wèn)控制：提供自適應(yīng)的訪問(wèn)控制能力，基于訪問(wèn)上下文信息（訪問(wèn)時(shí)間/地點(diǎn)/設(shè)備等）和用戶行為數(shù)據(jù)，使用設(shè)定的規(guī)則實(shí)時(shí)判斷用戶訪問(wèn)過(guò)程中的風(fēng)險(xiǎn)。發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)，實(shí)時(shí)調(diào)整認(rèn)證方式以加強(qiáng)校驗(yàn)，實(shí)現(xiàn)自適應(yīng)訪問(wèn)控制。 流程合規(guī)審計(jì)：提供認(rèn)證日志、訪問(wèn)日志、操作日志、同步日志、系統(tǒng)日志等記錄。平臺(tái)將用戶日志、管理員日志分別進(jìn)行集中管理，通過(guò)內(nèi)置報(bào)表引擎進(jìn)行可云監(jiān)控服務(wù)云監(jiān)控服務(wù)（CESCloudEyeService）為用戶提供一個(gè)針對(duì)彈性云服務(wù)器、帶寬等資源的立體化監(jiān)控平臺(tái)。CES提供實(shí)時(shí)監(jiān)控告警、通知以及個(gè)性化報(bào)表視圖，精準(zhǔn)掌握業(yè)務(wù)資源狀態(tài)。需要強(qiáng)調(diào)的是，CES的監(jiān)控對(duì)象是基礎(chǔ)設(shè)施的資源使用數(shù)據(jù)，不監(jiān)控（ECS（EVS（VPC（RDS（DMS（AS（AF（orkspace（MLS（DWSCES服務(wù)器的分布式特性確保高可用性，資源使用監(jiān)控及時(shí)有效，監(jiān)控指標(biāo)實(shí)時(shí)采SDK等。CES的數(shù)據(jù)以租戶維度進(jìn)行存儲(chǔ)隔離，只有認(rèn)證通過(guò)的租戶 下列華為云服務(wù)未收入此白皮書(shū)：機(jī)器學(xué)習(xí)服務(wù)（MLS–MachineLearningService）、數(shù)據(jù)倉(cāng)庫(kù)服務(wù)（DWS–DataWarehousingService）（AISArtificialIntelligenceService）。敬請(qǐng)登錄\h云審計(jì)服務(wù)云審計(jì)服務(wù)（CTSCloudTraceService）為租戶提供云服務(wù)資源的操作記錄，供用戶IT合規(guī)性認(rèn)證的不可或缺的支撐性服務(wù)，其具有以下功 審計(jì)日志轉(zhuǎn)儲(chǔ)：支持將審計(jì)日志周期性的轉(zhuǎn)儲(chǔ)至對(duì)象存儲(chǔ)服務(wù)（ObjectStorageLTS）下的LTS日志流，轉(zhuǎn)儲(chǔ)時(shí)會(huì)按照服務(wù)維度壓縮審計(jì)日志為事件文件。 事件文件加密：支持在轉(zhuǎn)儲(chǔ)過(guò)程中使用數(shù)據(jù)加密服務(wù)（DataEncryptionWorkshop，簡(jiǎn)稱DEW）中的密鑰對(duì)事件文件進(jìn)行加密。 關(guān)鍵操作通知：支持在發(fā)生特定操作時(shí)使用消息通知服務(wù)（SimpleMessageNotificationSMN）向用戶手機(jī)、郵箱發(fā)送消息。6章基礎(chǔ)設(shè)施安全相關(guān)章節(jié)。 應(yīng)用安全：CTS接收和處理合法用戶發(fā)起的合規(guī)事件查詢、追蹤器操作請(qǐng)求，以CTSHTTPS方身份及請(qǐng)求內(nèi)容多重驗(yàn)證等方式，保證應(yīng)用安全。此外，CTSWeb 數(shù)據(jù)安全：CTS所處理的用戶日志數(shù)據(jù)，在生成階段，會(huì)要求各服務(wù)內(nèi)部進(jìn)行脫泄露等風(fēng)險(xiǎn)；最后，CTSOBS桶。企業(yè)項(xiàng)目管理服務(wù)企業(yè)項(xiàng)目管理服務(wù)（EPS–EnterpriseProjectService）是提供給企業(yè)客戶的與多層級(jí)組EPS已支持彈性云服務(wù)器ECS、彈性伸縮AS、鏡像服務(wù)IMSEVS、虛擬私有云VPCIP(EIP、內(nèi)容分發(fā)網(wǎng)絡(luò)CDN、關(guān)系型數(shù)據(jù)庫(kù)(RDS)、分布式緩存服務(wù)(DCS)、文檔數(shù)據(jù)庫(kù)服務(wù)(DDS)、云容器引擎服務(wù)CCE、DS防護(hù)服務(wù)AD、彈性均衡負(fù)載(ELB)、裸金屬服務(wù)器S、專屬主機(jī)H、微服務(wù)引擎E、V實(shí)例、應(yīng)用(PrivteNumber)、消息通知服務(wù)(SMN)、應(yīng)用性能管理(APM)、推薦系統(tǒng)(RES)、軟件開(kāi)發(fā)平臺(tái)(DevCloud)、云解析服務(wù)(DNS)、圖引擎服務(wù)(GES)、數(shù)據(jù)接入服務(wù)(DIS)、區(qū)塊鏈服務(wù)(BCS)、云備份(CBR)、微服務(wù)引擎(CSE)、分布式數(shù)據(jù)庫(kù)中間件DDM)、b應(yīng)用防火墻、云搜索服務(wù)(CSS)、數(shù)據(jù)倉(cāng)庫(kù)服務(wù)DS)、MapRduce服務(wù)S)、彈性文件服務(wù)(SFS)、應(yīng)用運(yùn)維管理M)、數(shù)據(jù)湖探索(DLI)、云數(shù)據(jù)遷移(CDM)、對(duì)象存儲(chǔ)服務(wù)(OBS)、T網(wǎng)關(guān)MS)、AI開(kāi)發(fā)平臺(tái)(ModelArts)、表格存儲(chǔ)服務(wù)(CloudTabe)、云容器實(shí)例(CCI)、企業(yè)主機(jī)安全SS)、支持計(jì)劃(SupportPlan)、API網(wǎng)關(guān)G)、密鑰管理服務(wù)(KMS)、函數(shù)工作流(FuncionGraph)、數(shù)據(jù)與應(yīng)用集成平臺(tái)(ROMA)、云數(shù)據(jù)庫(kù)GssDB)、云監(jiān)控服務(wù)(CES)、云日志服務(wù)、云連接(CC)、數(shù)據(jù)復(fù)制服務(wù)(DRS)SPI來(lái)使用。PS采用基于租戶的權(quán)限模型、嚴(yán)格參數(shù)校驗(yàn)、安全通訊協(xié)議、敏感信息保護(hù)、審計(jì)日志等安全措施，保護(hù)管理;系統(tǒng)免受上述攻擊的危害。為保證業(yè)務(wù)靈活性，EPS還提供靈活PSMSS的所有MS管理員訪問(wèn)權(quán)限的用戶，可以訪問(wèn)SMEPSHTTPSEPSAPITLS1.2協(xié)議和PFS標(biāo)簽管理服務(wù)標(biāo)簽管理服務(wù)（TMSTagManagementService）是一種快速便捷將標(biāo)簽集中管理的 資源標(biāo)簽管理：通過(guò)給賬戶下資源添加標(biāo)簽，可以對(duì)資源進(jìn)行自定義標(biāo)記，實(shí)現(xiàn)資源的分類。標(biāo)簽管理服務(wù)為用戶提供可視化表格操作資源標(biāo)簽，并支持對(duì)標(biāo)簽 TMS不涉及用戶隱私數(shù)據(jù)的存儲(chǔ)，調(diào)用其他服務(wù)的接口，都是通過(guò)內(nèi)部鑒權(quán)透?jìng)鞣絀AMTMSAPI來(lái)使用。TMS采用基于租保護(hù)管理系統(tǒng)免受上述攻擊的危害。TMS還提供靈活的授權(quán)訪問(wèn)機(jī)制：訪問(wèn)TMS服IAMTMS訪問(wèn)權(quán)限的用戶，以及消息通知服務(wù)消息通知服務(wù)（SMNSimpleMessageNotification）是一個(gè)簡(jiǎn)單、靈活、海量、托管手機(jī)號(hào)碼、HTTPSSMN，用戶可以單獨(dú)發(fā)送消息SMNAPI來(lái)使用消息通知服務(wù)。SMN采用基于租戶的權(quán)限為保證業(yè)務(wù)靈活性，SMNSMN服務(wù)的賬戶包IAMSMN訪問(wèn)權(quán)限的用戶，以及租戶授權(quán)的云服務(wù)等。華為云賬戶可以訪問(wèn)SMN的所有操作；基于IAM服務(wù)創(chuàng)建并被授權(quán)SMNSMNIAM服務(wù)創(chuàng)建并被SMN服務(wù)的查詢類操作。SMNHTTPSSMNAPITLS1.2協(xié)議和PFS組織 組織管理:用戶(OU) 賬號(hào)管理： 可信服務(wù)： （OU數(shù)據(jù)加密服務(wù)數(shù)據(jù)加密服務(wù)（DataEnryptionWorkshop,DEW）可以提供專屬加密、密鑰管理、憑據(jù)管理、密鑰對(duì)管理等服務(wù)，安全可靠的為您解決了數(shù)據(jù)安全、密鑰安全、密鑰管理復(fù)雜等問(wèn)題。其密鑰由硬件安全模塊（HardwareSecurityModue，H）密鑰管理，即密鑰管理服務(wù)（KeyManagementServiceKMS憑據(jù)管理，即云憑據(jù)管理服務(wù)（CloudSecretManagementService，CSMS密鑰對(duì)管理，即密鑰對(duì)管理服務(wù)（KeyPairServiceKPS，是一種安全、可靠、KPS是利用HSM產(chǎn)生的硬件真隨機(jī)數(shù)來(lái)生成密鑰對(duì)，并提供了一套完善和可靠障了SSH密鑰對(duì)的私有性和安全性。 專屬加密（DedicatedHardwareSecurityModule，DedicatedHSM）是一種云上數(shù)據(jù)DedicatedHSM為您提供經(jīng)國(guó)家密碼管理局檢測(cè)認(rèn)證的加密硬件，幫助您保護(hù)彈性企業(yè)主機(jī)安全服務(wù)主機(jī)安全服務(wù)（HostSecurityService，HSS）是以工作負(fù)載為中心的安全產(chǎn)品，旨在解 主機(jī)資產(chǎn)指紋