當企業評估雲的安全水平時,往往聚焦在雲安全服務及雲服務的安全特性上,而忽略了雲安全中更重要的部分——雲基礎設施安全。如果把雲安全比作“冰山”,那它們屬於“冰山”上的可見部分。而“冰山”水下90%部分的安全能力,往往不為人所知,但正是這“冰山”下的部分,承載著整個公有云的安全性。
這也是企業選擇或者評估雲服務安全性時最容易困惑或忽視的問題:雲服務水面以下是棉花還是秤砣?一旦歲月不夠靜好,雲服務會如“浮雲”般抽風還是如“冰山”般破浪前行?隱藏在雲安全冰山水位線以下的90%,如何演化,如何評估?近日華為雲推出的一個安全理念頗為有趣,叫“從冰山下到普惠安全”,可以給想上雲或換雲的廠商一些有益的借鑑。
一、從冰山下的安全做起
華為雲認為,安全得從最底座做起,也就是不僅關注冰山下的“安全服務和特性”,更要關注冰山下的各種基礎的安全能力的建設,才能給雲用戶提供紮實的安全防護。冰山下的安全能力都由哪些能力組成的呢?
冰山下的能力一:雲平臺安全合規
“安全合規”是指組織要滿足所在國家和區域的法律法規中對安全的相關要求以及行業相關標準的要求。它有兩方面的意義:一方面,滿足這些要求,就滿足了基本的安全規範,是保障組織的網絡安全的基礎;另一方面,不滿足這些要求,則可能面臨法律風險或者進入不了行業門檻。所以,企業能否持續獲得權威的安全合規認證,是衡量企業在網絡安全投入以及安全能力的重要指標之一。
為給用戶提供一個從雲平臺到雲服務都安全可信的環境,華為雲將最嚴格的國際安全標準作為目標,不斷對齊並優化自身的安全能力,努力搭建出世界一流的安全合規認證體系。僅2019年,華為雲就獲得和重新審核通過了這些合規認證:
• ISO 22301,是全球首個公認的、衡量企業服務連續性能力是否滿足社會責任和客戶承諾的唯一標準。
• ISO 27001,是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。
• ISO 27017,是針對雲計算信息安全的國際認證,提供了雲服務特有的安全實踐指南和控制措施,以解決雲上的信息安全威脅和風險。
• CSA STAR,是針對雲安全水平的權威認證,旨在應對與雲安全相關的特定問題,協助雲計算服務商展現其服務成熟度的解決方案。
• 業界首家信息安全服務資質(雲計算安全一級),由中國信息安全測評中心推出,旨在對雲服務商的安全服務資格狀況、技術實力和雲計算安全服務實施質量等方面進行綜合客觀評定的認證。
• 全球唯一獲得TL 9000認證的雲服務商。TL 9000有機整合了ISO 9000及眾多行業標準,形成的一套完整統一的質量管理體系,分質量體系要求和質量體系指標。
• 獲得雲服務用戶數據保護能力增強級認證,體現了華為雲在用戶數據保護上的強大實力。
• 通過SOC2隱私性審計,成為中國第一家通過該審計的IaaS雲服務商。
• 2019年11月,在由國際隱私專業協會(IAPP)主辦,比利時布魯塞爾舉行的歐洲數據峰會上,華為雲獲得由BSI(英國標準協會)全球認證部進行認證並頒發,全球首批 ISO/IEC 27701:2019隱私信息管理體系認證證書。ISO/IEC 27701標準,旨在幫助組織機構保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法,融入到網絡安全和隱私保護體系中,給企業提供了最佳實踐和指導建議。
• ISO/IEC 29151標準,旨在防止個人隱私數據被濫用、洩露、更改、破壞等,為企業保護用戶個人隱私數據提供了大量的最佳實踐。
• BS 10012標準,是全球首部個人隱私保護的標準。因為按歐盟通用數據保護條例(GDPR)進行了更新,所以該標準既要求企業滿足國際通用的個人信息保護標準,又要求企業符合GDPR的要求。
截止目前,華為雲在全球獲得了50多個權威認證,這也是華為雲在安全合規能力上的一種體現。
圖為:華為雲獲得的部分全球性合規認證
冰山下的能力二:基礎設施安全
作為華為雲平臺的操作系統,華為統一虛擬化平臺通過將服務器物理資源,如CPU、內存、I/O等,轉變為一組可統一管理、靈活調度和動態分配的邏輯資源。並基於這些邏輯資源,在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執行環境。
華為雲對主機操作系統進行了最小化裁剪,並對服務做安全加固,同時對接入主機操作系統的管理員執行嚴格的權限訪問控制(包括雙因子認證),以及全面的日誌審計。
- API應用安全
API的防護是通過華為自研的API網關實現。
API網關主要在身份認證及鑑權(集成華為雲IAM)、傳輸(TLS 1.2)、邊界(結合網絡安全的邊界防護能力,並提供API接口註冊、訪問控制列表規則限制、防重放、防爆破等功能)、API調用控制(秒級)四個場景進行安全防護。
- 數據安全
遵循數據安全生命週期管理的業界標準,在身份認證、訪問控制、數據隔離、傳輸安全、存儲安全、數據刪除與銷燬、數據防洩漏等方面進行控制,保障租戶對其數據的隱私權、所有權和控制權。
冰山下的能力三:優秀實踐化為標準
華為云為用戶提供安全可信的雲服務的同時,也不斷把優秀安全實踐變為行業標準。華為雲參與制定了多個雲計算、雲安全相關的國家標準。2018年8月,由四川大學牽頭、華為雲等參與制定的兩項雲安全國家標準獲得“中國標準創新貢獻獎”,華為雲是國內唯一獲得該獎項的雲服務商。這兩項標準,也是我國首批發布的雲安全國家標準。
華為雲還發布了8部安全白皮書,在海內外引起了較大反響:
▸今年7月,發佈了國內首部隱私保護白皮書:《華為雲隱私保護白皮書》;(延伸閱讀:華為國內首發雲隱私保護白皮書,你的數據你做主)
▸今年9月,發佈了業界首部可信白皮書:《華為雲可信白皮書》;
▸針對新加坡個人數據保護法(PDPA),發佈《華為雲新加坡PDPA合規性說明》;
▸針對馬來西亞個人數據保護(PDPA),發佈《華為雲馬來西亞PDPA合規性說明》;
▸針對巴西通用數據保護法(LGPD),發佈《華為雲巴西LGPD合規性說明》;
▸針對香港金融管理局監管要求(HKMA),發佈《華為雲香港金融行業監管要求合規性說明》;
▸針對新加坡金融監管要求(ABS&MAS),發佈《華為雲新加坡金融行業監管要求合規性說明》;
▸針對醫療行業標準HIPAA,發佈《華為雲HIPAA合規性說明》。
冰山下的能力四:安全保障體系
華為雲構建了7×24小時不間斷的安全保障體系,涵蓋DDoS攻擊、輿情監控、平臺安全運維、租戶安全事件響應等,確保雲上業務的可用、可靠和快速恢復。
該體系協助租戶處理各類入侵事件等每月數百次;發送各類安全預警千餘次;成功抵禦10Gbps以上大流量攻擊2萬多次,並對違規業務IP以及違規的賬戶進行實時清理。
冰山下的能力五:面向租戶的安全服務
華為雲擁有縱跨IaaS、PaaS和SaaS類多項直接面向租戶的雲服務。其中,安全服務也是尤為重要的內容。
面向租戶的安全服務,可以粗略分為華為自研的安全能力,以及來自華為雲生態合作伙伴。後者即華為雲嚴選商城的安全產品及服務。據瞭解,截止到今年7月,華為雲已與50家國內外安全夥伴展開合作,在華為雲上提供160餘項安全產品和服務,覆蓋網絡安全、主機安全、應用安全、數據安全、安全管理等領域。
以保障用戶網絡安全和隱私保護為核心,華為雲打造出覆蓋網絡安全、應用安全、數據安全、主機安全和安全管理五大領域的二十多款安全產品,包括Web應用防火牆、DDoS高防、敏感數據保護服務等,幫助用戶抵禦網絡攻擊、滿足合規要求。
在網絡安全領域,如何為業務築起一堵網絡安全屏障,讓正常業務流量不受惡意攻擊流量的影響?過去一年,華為雲通過優化帶寬資源,採用分佈式邊緣計算防護節點,端到端響應時延下降到20ms,易用性上增強了一鍵式自適應防護能力,平均每天抵禦一次100Gbps以上超大流量攻擊,在金融、政府、大企業、遊戲、互聯網等行業積累了一定的口碑。
在應用安全領域,華為雲Web應用防火牆服務,每天攔截數十億次攻擊,已累計為數千個客戶提供防護。在安全防護的同時,發佈了IPv6雙棧、全量日誌、專家服務等功能;通過重構集群、跨Region、跨可用區三重架構,將WAF的SLA提升至99.99%以上;漏洞掃描服務,累計為數萬個企業發現數百萬個漏洞,引導用戶修復了十餘萬個漏洞。
在數據安全領域,以保護用戶數據為核心,華為雲構建了從數據訪問、識別分類、防洩漏、審計追溯的完整的數據安全體系。2019年,華為雲新發布了敏感數據保護服務(SDG),支持GDPR定義的敏感數據檢測;支持結構化和非結構化數據脫敏;支持基於規格和自然語義處理的識別,中文識別率達95%,英文識別率達98%;數據庫安全服務,作為國內唯一集數據庫防火牆、數據脫敏、數據庫審計一體的數據庫安全產品,在零售、汽車、教育等多個行業廣泛使用;數據加密服務作為數據保護的最後一環,嵌入20餘種雲服務中,實現一鍵加密;API一年上億次調用。基於鯤鵬的國密加密方案,可以實現透明無感知加密,由於採用自研ARM芯片加速,性能損耗控制在5%左右。
在主機安全領域,華為雲提供主機、容器及程序文件的全方位安全防護方案,保證主機安全可信。過去一年,企業主機安全服務防護了華為雲60%以上、終端雲99%以上的主機,累計檢測並修復上百萬漏洞與不安全配置,隔離查殺數萬病毒木馬;雲上動態網頁防篡改方案,防止網站被篡改,被篡改後自動恢復,充分滿足《公安部82號令》的要求;容器安全服務,具備安全和應用生命週期管理能力,安全能力覆蓋面很廣,CI/CD流水線及微服務使得雲原生開發非常高效。助力華為雲容器服務獲得Forrester測評TOP2的優異成績。
在安全管理領域,態勢感知服務作為企業的安全運營中心,已經為包括華為雲、終端雲在內的數百家大型企業、上萬用戶提供統一的威脅檢測和風險處置平臺,通過大數據分析與AI技術,及時發現雲上的各種安全威脅,並聯動相關服務進行下一步處置;基於最新的安全等保2.0標準,華為雲攜手全國優質的等保測評夥伴,為客戶提供全流程等保測評服務,已幫助300多個企業的系統通過了等保測評;華為雲SSL證書管理服務,聯合全球知名數字證書服務機構,提供從證書申請、管理、推送部署等一站式證書的全生命週期管理的服務;除此以外,華為雲堡壘機服務持續進行安全加固,並上線自動化運維、數據庫運維等增強功能,通過命令/腳本批量執行、文件自動分發、任務編排等加強角色與資源之間的權限管理能力,提高雲上企業的運維工作效率。
二、普惠安全
安全專業度高、安全人才難求是企業普遍面臨的情況。如何消除企業上雲安全技能匱乏的困境?在華為雲看來,降低安全能力的使用門檻,把多年積累的安全專家的能力和經驗內置到雲服務的每個細節中,是一個很好的方法。
2020年,在已構造出的完整安全體系基礎上,華為雲推出了“普惠安全”計劃:每一個用戶,都可以申請免費或者試用版本的安全服務套餐,以往在專業版本才有的功能進一步下沉到基礎版,每個服務都力爭在可視化、自動化上向前邁進,通過模板、配置庫、處理建議等方面的設計,讓企業IT人員“用得起”、“看得見”、“會處理”,讓企業上雲更簡單。
具體都有哪些“普惠安全”行動將推出呢?
1、態勢感知服務:作為“安全大腦”,基礎版升級為安全服務的默認後臺,在提供基礎安全防護的同時提供安全服務的統一查看與配置入口。
2、Anti-DDoS流量清洗服務:在大陸地區繼續提供5Gbps內免費的版本,幫助用戶防止常見的流量攻擊。目前該服務已為10萬多用戶提供防護,全年防禦來自198個國家的500多萬次攻擊。
3、開放華為雲通過ISO系列認證、GDPR等合規資質的實踐經驗,為用戶申請類似認證和合規遵從時提供建議。
4、企業主機安全服務:提供百萬臺主機免費預裝,讓每個租戶每臺雲主機上線前都可選擇加裝安全防護套件,降低被挖礦、暴力破解、勒索等風險。
5、密鑰管理將免費為用戶服務,幫助用戶儘快培養起對核心數據加密的使用習慣。
E觀點
業務上雲是企業數字化轉型的一個重要支點,但隨之而來的就是面臨新的供應鏈安全和數據安全問題。因此企業對雲服務安全能力的全面準確評估至關重要,而云安全也正在融入併成為雲服務的核心競爭力。但是,對於冰山水位線以下90%的雲基礎設施安全能力,企業目前還缺乏系統的、標準化的、高效的評估方法和安全服務水平協議,這就需要雲計算的領導型廠商,不僅僅是要做市場份額的人氣UP主,更是要肩負起引領和推動市場健康發展的思想領袖的責任。
華為作為國內ICT領域的大廠,無論是對傳統的網絡安全,還是雲上的安全,都有強大的自研能力支持以及廣泛的合作生態。以華為的體量,在雲安全“引擎蓋以下”的戰略投入是非常可觀的。這也是華為(以及華為雲)在安全領域的重要優勢。華為提出的雲安全“冰山下”五大能力和“普惠安全”計劃,一方面降低了企業“上雲”的門檻和安全顧慮,同時也為雲服務市場和生態競爭樹立了一個新的安全標杆。
E安全注:本文系E安全由國外公開媒體蒐集並獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。聯繫方式:① 負責人微信號②郵箱[email protected]
@E安全,最專業的前沿網絡安全媒體和產業服務平臺,每日提供優質全球網絡安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登陸E安全門戶網站戶網站戶網站戶網站www.easyaq.com , 查看更多精彩內容。
閱讀更多 E安全 的文章
