當企業(yè)評估云的安全水平時，往往聚焦在云安全服務及云服務的安全特性上，而忽略了云安全中更重要的部分——云基礎設施安全。如果把云安全比作“冰山”，那它們屬于“冰山”上的可見部分。而“冰山”水下 90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

這也是企業(yè)選擇或者評估云服務安全性時最容易困惑或忽視的問題：云服務水面以下是棉花還是秤砣？一旦歲月不夠靜好，云服務會如“浮云”般抽風還是如“冰山”般破浪前行？隱藏在云安全冰山水位線以下的 90%，如何演化，如何評估？安全牛近日與華為云的相關負責人進行了一輪溝通，華為云的一個安全理念頗為有趣，叫“從冰山下到普惠安全”，可以給想上云或換云的廠商一些有益的借鑒。

一、從冰山下的安全做起

華為云認為，安全得從最底座做起，也就是不僅關注冰山下的“安全服務和特性”，更要關注冰山下的各種基礎的安全能力的建設，才能給云用戶提供扎實的安全防護。冰山下的安全能力都由哪些能力組成的呢？

1

冰山下的能力一：云平臺安全合規(guī)

“安全合規(guī)”是指組織要滿足所在國家和區(qū)域的法律法規(guī)中對安全的相關要求以及行業(yè)相關標準的要求。它有兩方面的意義:一方面，滿足這些要求，就滿足了基本的安全規(guī)范，是保障組織的網(wǎng)絡安全的基礎；另一方面，不滿足這些要求，則可能面臨法律風險或者進入不了行業(yè)門檻。所以，企業(yè)能否持續(xù)獲得權威的安全合規(guī)認證，是衡量企業(yè)在網(wǎng)絡安全投入以及安全能力的重要指標之一。

為給用戶提供一個從云平臺到云服務都安全可信的環(huán)境，華為云將最嚴格的國際安全標準作為目標，不斷對齊并優(yōu)化自身的安全能力，努力搭建出世界一流的安全合規(guī)認證體系。僅 2019 年，華為云就獲得和重新審核通過了這些合規(guī)認證：

? ISO 22301，是全球首個公認的、衡量企業(yè)服務連續(xù)性能力是否滿足社會責任和客戶承諾的唯一標準。

? ISO 27001，是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。

? ISO 27017，是針對云計算信息安全的國際認證，提供了云服務特有的安全實踐指南和控制措施，以解決云上的信息安全威脅和風險。

? CSA STAR，是針對云安全水平的權威認證，旨在應對與云安全相關的特定問題，協(xié)助云計算服務商展現(xiàn)其服務成熟度的解決方案。

? 業(yè)界首家信息安全服務資質(zhì)（云計算安全一級），由中國信息安全測評中心推出，旨在對云服務商的安全服務資格狀況、技術實力和云計算安全服務實施質(zhì)量等方面進行綜合客觀評定的認證。

? 全球唯一獲得 TL 9000 認證的云服務商。TL 9000 有機整合了 ISO 9000 及眾多行業(yè)標準，形成的一套完整統(tǒng)一的質(zhì)量管理體系，分質(zhì)量體系要求和質(zhì)量體系指標。

? 獲得云服務用戶數(shù)據(jù)保護能力增強級認證，體現(xiàn)了華為云在用戶數(shù)據(jù)保護上的強大實力。

? 通過 SOC2 隱私性審計，成為中國第一家通過該審計的 IaaS 云服務商。

? 2019 年 11 月，在由國際隱私專業(yè)協(xié)會（IAPP）主辦，比利時布魯塞爾舉行的歐洲數(shù)據(jù)峰會上，華為云獲得由 BSI（英國標準協(xié)會）全球認證部進行認證并頒發(fā)，全球首批 ISO/IEC 27701:2019 隱私信息管理體系認證證書。ISO/IEC 27701 標準，旨在幫助組織機構(gòu)保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法，融入到網(wǎng)絡安全和隱私保護體系中，給企業(yè)提供了最佳實踐和指導建議。

? ISO/IEC 29151 標準，旨在防止個人隱私數(shù)據(jù)被濫用、泄露、更改、破壞等，為企業(yè)保護用戶個人隱私數(shù)據(jù)提供了大量的最佳實踐。

? BS 10012 標準，是全球首部個人隱私保護的標準。因為按歐盟通用數(shù)據(jù)保護條例（GDPR）進行了更新，所以該標準既要求企業(yè)滿足國際通用的個人信息保護標準，又要求企業(yè)符合 GDPR 的要求。

截止目前，華為云在全球獲得了 50 多個權威認證，這也是華為云在安全合規(guī)能力上的一種體現(xiàn)。

華為云獲得的部分全球性合規(guī)認證

2

冰山下的能力二：基礎設施安全

基礎設施安全是華為多維全棧的云安全防護體系的核心。包括物理與環(huán)境安全、網(wǎng)絡安全、平臺安全、API 應用安全以及數(shù)據(jù)安全五部分。

物理與環(huán)境安全這里暫且不做過多介紹。

網(wǎng)絡安全

華為云的思路是通過劃分多個安全區(qū)域進行物理和邏輯隔離，以及內(nèi)網(wǎng)邊界防護兩個角度實現(xiàn)。

在每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務的隔離要求劃分不同網(wǎng)絡平面，以保證不同業(yè)務的網(wǎng)絡通信流量得到合理且安全的分流。

內(nèi)網(wǎng)邊界防護主要有三個能力，抗 D、下一代防火墻 &入侵防御，WAF。

產(chǎn)品背后高級邊界防護的實現(xiàn)，華為自研的彈性計算服務（ECS）和虛擬私有云服務（VPC）可謂功不可沒。華為云使用 ECS 為租戶提供包括操作系統(tǒng)安全、虛擬機安全（如鏡像加固、網(wǎng)絡與平臺隔離、IP/MAC 仿冒控制、安全組）等安全能力。而通過 VPC，用戶可以自主配置和管理隔離的虛擬網(wǎng)絡環(huán)境，并通過多項和安全相關的網(wǎng)絡功能提升云中資源的安全性。

平臺安全

作為華為云平臺的操作系統(tǒng)，華為統(tǒng)一虛擬化平臺通過將服務器物理資源，如 CPU、內(nèi)存、I/O 等，轉(zhuǎn)變?yōu)橐唤M可統(tǒng)一管理、靈活調(diào)度和動態(tài)分配的邏輯資源。并基于這些邏輯資源，在單個物理服務器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境。

華為云對主機操作系統(tǒng)進行了最小化裁剪，并對服務做安全加固，同時對接入主機操作系統(tǒng)的管理員執(zhí)行嚴格的權限訪問控制（包括雙因子認證），以及全面的日志審計。

API 應用安全

API 的防護是通過華為自研的 API 網(wǎng)關實現(xiàn)。

API 網(wǎng)關主要在身份認證及鑒權（集成華為云 IAM）、傳輸（TLS 1.2）、邊界（結(jié)合網(wǎng)絡安全的邊界防護能力，并提供 API 接口注冊、訪問控制列表規(guī)則限制、防重放、防爆破等功能）、API 調(diào)用控制（秒級）四個場景進行安全防護。

數(shù)據(jù)安全

遵循數(shù)據(jù)安全生命周期管理的業(yè)界標準，在身份認證、訪問控制、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除與銷毀、數(shù)據(jù)防泄漏等方面進行控制，保障租戶對其數(shù)據(jù)的隱私權、所有權和控制權。

3

冰山下的能力三：優(yōu)秀實踐化為標準

華為云為用戶提供安全可信的云服務的同時，也不斷把優(yōu)秀安全實踐變?yōu)樾袠I(yè)標準。華為云參與制定了多個云計算、云安全相關的國家標準。2018 年 8 月，由四川大學牽頭、華為云等參與制定的兩項云安全國家標準獲得“中國標準創(chuàng)新貢獻獎”，華為云是國內(nèi)唯一獲得該獎項的云服務商。這兩項標準，也是我國首批發(fā)布的云安全國家標準。

4

冰山下的能力四：安全保障體系

華為云構(gòu)建了 7×24 小時不間斷的安全保障體系，涵蓋 DDoS 攻擊、輿情監(jiān)控、平臺安全運維、租戶安全事件響應等，確保云上業(yè)務的可用、可靠和快速恢復。

該體系協(xié)助租戶處理各類入侵事件等每月數(shù)百次；發(fā)送各類安全預警千余次；成功抵御 10Gbps 以上大流量攻擊 2 萬多次，并對違規(guī)業(yè)務 IP 以及違規(guī)的賬戶進行實時清理。

5

冰山下的能力五：面向租戶的安全服務

華為云擁有縱跨 IaaS、PaaS 和 SaaS 類多項直接面向租戶的云服務。其中，安全服務也是尤為重要的內(nèi)容。

面向租戶的安全服務，可以粗略分為華為自研的安全能力，以及來自華為云生態(tài)合作伙伴。后者即華為云嚴選商城的安全產(chǎn)品及服務。據(jù)了解，截止到今年 7 月，華為云已與 50 家國內(nèi)外安全伙伴展開合作，在華為云上提供 160 余項安全產(chǎn)品和服務，覆蓋網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理等領域。

以保障用戶網(wǎng)絡安全和隱私保護為核心，華為云打造出覆蓋網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、主機安全和安全管理五大領域的二十多款安全產(chǎn)品，包括 Web 應用防火墻、DDoS 高防、敏感數(shù)據(jù)保護服務等，幫助用戶抵御網(wǎng)絡攻擊、滿足合規(guī)要求。

在網(wǎng)絡安全領域，如何為業(yè)務筑起一堵網(wǎng)絡安全屏障，讓正常業(yè)務流量不受惡意攻擊流量的影響？過去一年，華為云通過優(yōu)化帶寬資源，采用分布式邊緣計算防護節(jié)點，端到端響應時延下降到 20ms，易用性上增強了一鍵式自適應防護能力，平均每天抵御一次 100Gbps 以上超大流量攻擊，在金融、政府、大企業(yè)、游戲、互聯(lián)網(wǎng)等行業(yè)積累了一定的口碑。

在應用安全領域，華為云 Web 應用防火墻服務，每天攔截數(shù)十億次攻擊，已累計為數(shù)千個客戶提供防護。在安全防護的同時，發(fā)布了 IPv6 雙棧、全量日志、專家服務等功能；通過重構(gòu)集群、跨 Region、跨可用區(qū)三重架構(gòu)，將 WAF 的 SLA 提升至 99.99%以上；漏洞掃描服務，累計為數(shù)萬個企業(yè)發(fā)現(xiàn)數(shù)百萬個漏洞，引導用戶修復了十余萬個漏洞。

在數(shù)據(jù)安全領域，以保護用戶數(shù)據(jù)為核心，華為云構(gòu)建了從數(shù)據(jù)訪問、識別分類、防泄漏、審計追溯的完整的數(shù)據(jù)安全體系。2019 年，華為云新發(fā)布了敏感數(shù)據(jù)保護服務（SDG），支持 GDPR 定義的敏感數(shù)據(jù)檢測；支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)脫敏；支持基于規(guī)格和自然語義處理的識別，中文識別率達 95%，英文識別率達 98%；數(shù)據(jù)庫安全服務，作為國內(nèi)唯一集數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計一體的數(shù)據(jù)庫安全產(chǎn)品，在零售、汽車、教育等多個行業(yè)廣泛使用；數(shù)據(jù)加密服務作為數(shù)據(jù)保護的最后一環(huán)，嵌入 20 余種云服務中，實現(xiàn)一鍵加密；API 一年上億次調(diào)用。基于鯤鵬的國密加密方案，可以實現(xiàn)透明無感知加密，由于采用自研 ARM 芯片加速，性能損耗控制在 5%左右。

在主機安全領域，華為云提供主機、容器及程序文件的全方位安全防護方案，保證主機安全可信。過去一年，企業(yè)主機安全服務防護了華為云 60%以上、終端云 99%以上的主機，累計檢測并修復上百萬漏洞與不安全配置，隔離查殺數(shù)萬病毒木馬；云上動態(tài)網(wǎng)頁防篡改方案，防止網(wǎng)站被篡改，被篡改后自動恢復，充分滿足《公安部 82 號令》的要求；容器安全服務，具備安全和應用生命周期管理能力，安全能力覆蓋面很廣，CI/CD 流水線及微服務使得云原生開發(fā)非常高效。助力華為云容器服務獲得 Forrester 測評 TOP2 的優(yōu)異成績。

在安全管理領域，態(tài)勢感知服務作為企業(yè)的安全運營中心，已經(jīng)為包括華為云、終端云在內(nèi)的數(shù)百家大型企業(yè)、上萬用戶提供統(tǒng)一的威脅檢測和風險處置平臺，通過大數(shù)據(jù)分析與 AI 技術，及時發(fā)現(xiàn)云上的各種安全威脅，并聯(lián)動相關服務進行下一步處置；基于最新的安全等保 2.0 標準，華為云攜手全國優(yōu)質(zhì)的等保測評伙伴，為客戶提供全流程等保測評服務，已幫助 300 多個企業(yè)的系統(tǒng)通過了等保測評；華為云 SSL 證書管理服務，聯(lián)合全球知名數(shù)字證書服務機構(gòu)，提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務；除此以外，華為云堡壘機服務持續(xù)進行安全加固，并上線自動化運維、數(shù)據(jù)庫運維等增強功能，通過命令/腳本批量執(zhí)行、文件自動分發(fā)、任務編排等加強角色與資源之間的權限管理能力，提高云上企業(yè)的運維工作效率。

二、普惠安全

安全專業(yè)度高、安全人才難求是企業(yè)普遍面臨的情況。如何消除企業(yè)上云安全技能匱乏的困境？在華為云看來，降低安全能力的使用門檻，把多年積累的安全專家的能力和經(jīng)驗內(nèi)置到云服務的每個細節(jié)中，是一個很好的方法。

2020 年，在已構(gòu)造出的完整安全體系基礎上，華為云推出了“普惠安全”計劃：每一個用戶，都可以申請免費或者試用版本的安全服務套餐，以往在專業(yè)版本才有的功能進一步下沉到基礎版，每個服務都力爭在可視化、自動化上向前邁進，通過模板、配置庫、處理建議等方面的設計，讓企業(yè) IT 人員“用得起”、“看得見”、“會處理”，讓企業(yè)上云更簡單。

審核編輯 黃宇