|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 云计算安全需求分析与安全保护工程 > 云计算安全综合应用案例分析 >
|
|
相关知识点:22个
|
|
|
|
|
本节内容来自华为云网站公布的资料和《华为云数据安全白皮书》。华为云提供云计算、云存储、云网络、云安全、云数据库、云管理与部署应用等IT基础设施云服务,让客户像用水用电一样使用ICT服务。为保护云安全,华为云构建了芯片、平台、系统、应用、数据、开发、生态、隐私等安全防护技术体系,具体技术措施描述如下。
|
|
|
|
|
|
华为公司推出支持国密算法的可信服务器和可信云平台解决方案。基于可信计算模块芯片,华为云具备对云平台主机进行完整性度量及提供更多安全特性的能力,降低云主机的软硬件被篡改的风险,满足更高的安全需求。华为云基于Intel SGX技术,构建芯片级、轻量型的密钥管理和数据加密能力。一方面,摆脱对传统硬件存储模块(HSM)的依赖;另一方面,通过芯片级的安全环境进行高性能加解密运算,有效降低明文内存泄露风险,确保使用中的数据安全。
|
|
|
|
|
|
华为云统一虚拟化平台(UVP),直接运行于物理服务器之上,通过对服务器物理资源的抽象,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。UVP基于硬件辅助虚拟化技术提供虚拟化能力,为虚拟机提供高效的运行环境,并且保证虚拟机运行在合法的空间内,避免虚拟机对UVP或其他虚拟机发起非授权访问。
|
|
|
|
|
|
华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
|
|
|
|
|
|
各应用通过华为公司自研的API网关向客户提供标准化集成接口,具备严格的身份认证及鉴权、传输加密保护、细粒度流量控制等安全能力,防范数据被窃取和嗅探。并且,华为云通过深度学习、运行时应用保护、去中心化认证等技术的运用,进一步打造用户行为画像、业务风险控制等高级安全能力,实时监控和拦截异常行为,保护应用服务安全稳定运行。
|
|
|
|
|
|
华为云构建全数据生命周期的安全防护能力。通过自动化敏感数据发现、动态数据脱敏、高性能低成本数据加密、快速异常操作审计、数据安全销毁等多项技术的研究与应用,实现数据在创建、存储、使用、共享、归档、销毁等多个环节的管控,保障云上数据安全。具体的数据安全机制主要有数据隔离、数据加密、数据冗余。
|
|
|
|
. 数据隔离。华为云各服务产品和组件实现了隔离机制,避免客户间有意或无意的非授权访问、篡改等行为,降低数据泄露风险。以数据存储为例,华为云的块存储、对象存储、文件存储等服务均将客户数据隔离作为重要特性,服务设计的实现因服务而异。如块存储,数据隔离以卷(云硬盘)为单位进行,每个卷都关联了一个客户标识,挂载该卷的虚拟机也必须具有同样的客户标识,才能完成卷的挂载,确保客户数据隔离。
|
|
|
|
. 数据加密。华为云的多个服务采用与数据加密服务(DEW)集成的设计,方便客户管理密钥,客户可以通过简单的加密设置,实现数据的存储加密。DEW已经支持对象存储、云硬盘、云镜像、云数据库和弹性文件存储等多个服务,并且数量还在不断增加,极大地方便了数据加密操作。华为云服务为客户提供控制台和API两种访问方式,均采用加密传输协议构建安全的传输通道,有效地降低数据在网络传输过程中被网络嗅探的风险。
|
|
|
|
. 数据冗余。华为云数据存储采用多副本备份和纠删码设计,通过冗余和校验机制来判断数据的损坏并快速进行修复,确保即使一定数量的物理设备发生故障也不会影响业务的运行,使华为云存储服务的可靠性达到业界先进水平。例如对象存储服务的数据持久性高达99.9999999999%(12个9)。
|
|
|
|
|
|
华为云通过完善的制度和流程以及自动化的平台和工具,对软硬件全生命周期进行端到端的管理,全生命周期包括安全设计、安全编码和测试、安全验收和发布、漏洞管理等环节,具体措施内容阐述如下。
|
|
|
|
|
|
华为云及相关云服务遵从安全及隐私设计原则和规范、法律法规要求,根据业务场景、数据流图、组网模型进行威胁分析。威胁分析首先基于引导分析威胁库、消减库、安全设计方案库,然后给出对应的安全设计方案。所有的威胁消减措施将转换为安全需求、安全功能,并根据公司的测试用例库完成安全测试用例的设计,确保落地,以保障产品、服务的安全。
|
|
|
|
|
|
华为云严格遵从华为公司对内发布的多种编程语言的安全编码规范。开发人员在上岗编码前均须通过对应规范的学习和考试。同时使用静态代码扫描工具例行检查,其结果数据进入云服务工具链,以评估编码的质量。所有云服务在发布前,均须完成静态代码扫描的告警清零,有效降低上线时编码相关的安全问题。华为云将安全设计阶段识别出的安全需求、攻击者视角的渗透测试用例、业界标准等作为检查项,开发配套的安全测试工具,在云服务发布前进行多轮安全测试,确保发布的云服务满足安全要求。
|
|
|
|
|
|
云平台版本、重要云服务上线前,需要通过华为公司全球网络安全与用户隐私保护官和首席法务官的严格审查,针对所服务区域的安全隐私要求的合规性进行分析、判断,确保华为云以及华为开发的云服务满足各区域法律法规和客户安全需求。
|
|
|
|
|
|
华为云构建了完善的漏洞管理体系,实现漏洞感知、漏洞处置、漏洞披露等全流程的跟踪与管理,确保云平台各服务产品和组件的漏洞得到及时的发现与修复,降低漏洞被恶意利用所带来的风险。
|
|
|
|
|
|
华为云基于严进宽用的原则,保障开源及第三方软件的安全引入和使用。华为云对引入的开源及第三方软件制订了明确的安全要求和完善的流程控制方案,在选型分析、安全测试、代码安全、风险扫描、法务审核、软件申请和软件退出等环节,均实施严格的管控。例如在选型分析环节,增加开源软件选型阶段的网络安全评估要求,严管选型。在使用中,须将第三方软件作为服务或解决方案的一部分开展相应活动,并重点评估开源及第三方软件和自研软件的结合点,或解决方案中使用独立的第三方软件是否会引入新的安全问题。华为云将网络安全能力前置到社区,在出现开源漏洞问题时,依托华为云对开源社区的影响力,第一时间发现漏洞并修复。漏洞响应时,须将开源及第三方软件作为服务和解决方案的一部分开展测试,验证开源及第三方软件已知漏洞是否修复,并在服务的Release notes里体现开源及第三方软件的漏洞修复列表。
|
|
|
|
|
|
华为云各服务产品的设计遵循《隐私保护设计规范》,该规范建立了隐私基线、维护隐私的完整性和指导隐私风险分析,制定对应措施并作为需求落入服务产品开发设计流程。
|
|
|
|
此外,针对云用户的安全需求,华为云提供DDoS高防、Anti-DDoS流量清洗、数据库安全服务DBSS、数据加密服务、企业主机安全、容器安全服务、安全专家服务、SSL证书管理、云堡垒机、漏洞扫描服务、Web应用防火墙WAF等安全服务。
|
|
|
