从“浮云”到“冰山”：华为云安全的绝世“五功”

当企业评估云的安全水平时，往往聚焦在云安全服务及云服务的安全特性上，而忽略了云安全中更重要的部分——云基础设施安全。如果把云安全比作“冰山”，那它们属于“冰山”上的可见部分。而“冰山”水下 90%部分的安全能力，往往不为人所知，但正是这“冰山”下的部分，承载着整个公有云的安全性。

这也是企业选择或者评估云服务安全性时最容易困惑或忽视的问题：云服务水面以下是棉花还是秤砣？一旦岁月不够静好，云服务会如“浮云”般抽风还是如“冰山”般破浪前行？隐藏在云安全冰山水位线以下的 90%，如何演化，如何评估？安全牛近日与华为云的相关负责人进行了一轮沟通，华为云的一个安全理念颇为有趣，叫“从冰山下到普惠安全”，可以给想上云或换云的厂商一些有益的借鉴。

一、从冰山下的安全做起

华为云认为，安全得从最底座做起，也就是不仅关注冰山下的“安全服务和特性”，更要关注冰山下的各种基础的安全能力的建设，才能给云用户提供扎实的安全防护。冰山下的安全能力都由哪些能力组成的呢？

 1 

冰山下的能力一：云平台安全合规

“安全合规”是指组织要满足所在国家和区域的法律法规中对安全的相关要求以及行业相关标准的要求。它有两方面的意义:一方面，满足这些要求，就满足了基本的安全规范，是保障组织的网络安全的基础；另一方面，不满足这些要求，则可能面临法律风险或者进入不了行业门槛。所以，企业能否持续获得权威的安全合规认证，是衡量企业在网络安全投入以及安全能力的重要指标之一。

为给用户提供一个从云平台到云服务都安全可信的环境，华为云将最严格的国际安全标准作为目标，不断对齐并优化自身的安全能力，努力搭建出世界一流的安全合规认证体系。仅 2019 年，华为云就获得和重新审核通过了这些合规认证：

• ISO 22301，是全球首个公认的、衡量企业服务连续性能力是否满足社会责任和客户承诺的唯一标准。

• ISO 27001，是目前国际上被广泛接受和应用的信息安全管理体系认证标准。

• ISO 27017，是针对云计算信息安全的国际认证，提供了云服务特有的安全实践指南和控制措施，以解决云上的信息安全威胁和风险。

• CSA STAR，是针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。

• 业界首家信息安全服务资质（云计算安全一级），由中国信息安全测评中心推出，旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证。

• 全球唯一获得 TL 9000 认证的云服务商。TL 9000 有机整合了 ISO 9000 及众多行业标准，形成的一套完整统一的质量管理体系，分质量体系要求和质量体系指标。

• 获得云服务用户数据保护能力增强级认证，体现了华为云在用户数据保护上的强大实力。

• 通过 SOC2 隐私性审计，成为中国第一家通过该审计的 IaaS 云服务商。

• 2019 年 11 月，在由国际隐私专业协会（IAPP）主办，比利时布鲁塞尔举行的欧洲数据峰会上，华为云获得由 BSI（英国标准协会）全球认证部进行认证并颁发，全球首批 ISO/IEC 27701:2019 隐私信息管理体系认证证书。ISO/IEC 27701 标准，旨在帮助组织机构保护和控制所处理的个人信息。标准将隐私保护的原则、理念和方法，融入到网络安全和隐私保护体系中，给企业提供了最佳实践和指导建议。

• ISO/IEC 29151 标准，旨在防止个人隐私数据被滥用、泄露、更改、破坏等，为企业保护用户个人隐私数据提供了大量的最佳实践。

• BS 10012 标准，是全球首部个人隐私保护的标准。因为按欧盟通用数据保护条例（GDPR）进行了更新，所以该标准既要求企业满足国际通用的个人信息保护标准，又要求企业符合 GDPR 的要求。

截止目前，华为云在全球获得了 50 多个权威认证，这也是华为云在安全合规能力上的一种体现。

华为云获得的部分全球性合规认证

 2 

冰山下的能力二：基础设施安全

基础设施安全是华为多维全栈的云安全防护体系的核心。包括物理与环境安全、网络安全、平台安全、API 应用安全以及数据安全五部分。

物理与环境安全这里暂且不做过多介绍。

• 网络安全

华为云的思路是通过划分多个安全区域进行物理和逻辑隔离，以及内网边界防护两个角度实现。

在每个安全区域内，根据所承载业务的隔离要求划分不同网络平面，以保证不同业务的网络通信流量得到合理且安全的分流。

内网边界防护主要有三个能力，抗 D、下一代防火墙 &入侵防御，WAF。

产品背后高级边界防护的实现，华为自研的弹性计算服务（ECS）和虚拟私有云服务（VPC）可谓功不可没。华为云使用 ECS 为租户提供包括操作系统安全、虚拟机安全（如镜像加固、网络与平台隔离、IP/MAC 仿冒控制、安全组）等安全能力。而通过 VPC，用户可以自主配置和管理隔离的虚拟网络环境，并通过多项和安全相关的网络功能提升云中资源的安全性。

• 平台安全

作为华为云平台的操作系统，华为统一虚拟化平台通过将服务器物理资源，如 CPU、内存、I/O 等，转变为一组可统一管理、灵活调度和动态分配的逻辑资源。并基于这些逻辑资源，在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。

华为云对主机操作系统进行了最小化裁剪，并对服务做安全加固，同时对接入主机操作系统的管理员执行严格的权限访问控制（包括双因子认证），以及全面的日志审计。

• API 应用安全

API 的防护是通过华为自研的 API 网关实现。

API 网关主要在身份认证及鉴权（集成华为云 IAM）、传输（TLS 1.2）、边界（结合网络安全的边界防护能力，并提供 API 接口注册、访问控制列表规则限制、防重放、防爆破等功能）、API 调用控制（秒级）四个场景进行安全防护。

• 数据安全

遵循数据安全生命周期管理的业界标准，在身份认证、访问控制、数据隔离、传输安全、存储安全、数据删除与销毁、数据防泄漏等方面进行控制，保障租户对其数据的隐私权、所有权和控制权。

 3 

冰山下的能力三：优秀实践化为标准

华为云为用户提供安全可信的云服务的同时，也不断把优秀安全实践变为行业标准。华为云参与制定了多个云计算、云安全相关的国家标准。2018 年 8 月，由四川大学牵头、华为云等参与制定的两项云安全国家标准获得“中国标准创新贡献奖”，华为云是国内唯一获得该奖项的云服务商。这两项标准，也是我国首批发布的云安全国家标准。

 4 

冰山下的能力四：安全保障体系

华为云构建了 7×24 小时不间断的安全保障体系，涵盖 DDoS 攻击、舆情监控、平台安全运维、租户安全事件响应等，确保云上业务的可用、可靠和快速恢复。

该体系协助租户处理各类入侵事件等每月数百次；发送各类安全预警千余次；成功抵御 10Gbps 以上大流量攻击 2 万多次，并对违规业务 IP 以及违规的账户进行实时清理。

 5 

冰山下的能力五：面向租户的安全服务

华为云拥有纵跨 IaaS、PaaS 和 SaaS 类多项直接面向租户的云服务。其中，安全服务也是尤为重要的内容。

面向租户的安全服务，可以粗略分为华为自研的安全能力，以及来自华为云生态合作伙伴。后者即华为云严选商城的安全产品及服务。据了解，截止到今年 7 月，华为云已与 50 家国内外安全伙伴展开合作，在华为云上提供 160 余项安全产品和服务，覆盖网络安全、主机安全、应用安全、数据安全、安全管理等领域。

以保障用户网络安全和隐私保护为核心，华为云打造出覆盖网络安全、应用安全、数据安全、主机安全和安全管理五大领域的二十多款安全产品，包括 Web 应用防火墙、DDoS 高防、敏感数据保护服务等，帮助用户抵御网络攻击、满足合规要求。

在网络安全领域，如何为业务筑起一堵网络安全屏障，让正常业务流量不受恶意攻击流量的影响？过去一年，华为云通过优化带宽资源，采用分布式边缘计算防护节点，端到端响应时延下降到 20ms，易用性上增强了一键式自适应防护能力，平均每天抵御一次 100Gbps 以上超大流量攻击，在金融、政府、大企业、游戏、互联网等行业积累了一定的口碑。

在应用安全领域，华为云 Web 应用防火墙服务，每天拦截数十亿次攻击，已累计为数千个客户提供防护。在安全防护的同时，发布了 IPv6 双栈、全量日志、专家服务等功能；通过重构集群、跨 Region、跨可用区三重架构，将 WAF 的 SLA 提升至 99.99%以上；漏洞扫描服务，累计为数万个企业发现数百万个漏洞，引导用户修复了十余万个漏洞。

在数据安全领域，以保护用户数据为核心，华为云构建了从数据访问、识别分类、防泄漏、审计追溯的完整的数据安全体系。2019 年，华为云新发布了敏感数据保护服务（SDG），支持 GDPR 定义的敏感数据检测；支持结构化和非结构化数据脱敏；支持基于规格和自然语义处理的识别，中文识别率达 95%，英文识别率达 98%；数据库安全服务，作为国内唯一集数据库防火墙、数据脱敏、数据库审计一体的数据库安全产品，在零售、汽车、教育等多个行业广泛使用；数据加密服务作为数据保护的最后一环，嵌入 20 余种云服务中，实现一键加密；API 一年上亿次调用。基于鲲鹏的国密加密方案，可以实现透明无感知加密，由于采用自研 ARM 芯片加速，性能损耗控制在 5%左右。

在主机安全领域，华为云提供主机、容器及程序文件的全方位安全防护方案，保证主机安全可信。过去一年，企业主机安全服务防护了华为云 60%以上、终端云 99%以上的主机，累计检测并修复上百万漏洞与不安全配置，隔离查杀数万病毒木马；云上动态网页防篡改方案，防止网站被篡改，被篡改后自动恢复，充分满足《公安部 82 号令》的要求；容器安全服务，具备安全和应用生命周期管理能力，安全能力覆盖面很广，CI/CD 流水线及微服务使得云原生开发非常高效。助力华为云容器服务获得 Forrester 测评 TOP2 的优异成绩。

在安全管理领域，态势感知服务作为企业的安全运营中心，已经为包括华为云、终端云在内的数百家大型企业、上万用户提供统一的威胁检测和风险处置平台，通过大数据分析与 AI 技术，及时发现云上的各种安全威胁，并联动相关服务进行下一步处置；基于最新的安全等保 2.0 标准，华为云携手全国优质的等保测评伙伴，为客户提供全流程等保测评服务，已帮助 300 多个企业的系统通过了等保测评；华为云 SSL 证书管理服务，联合全球知名数字证书服务机构，提供从证书申请、管理、推送部署等一站式证书的全生命周期管理的服务；除此以外，华为云堡垒机服务持续进行安全加固，并上线自动化运维、数据库运维等增强功能，通过命令/脚本批量执行、文件自动分发、任务编排等加强角色与资源之间的权限管理能力，提高云上企业的运维工作效率。

二、普惠安全

安全专业度高、安全人才难求是企业普遍面临的情况。如何消除企业上云安全技能匮乏的困境？在华为云看来，降低安全能力的使用门槛，把多年积累的安全专家的能力和经验内置到云服务的每个细节中，是一个很好的方法。

2020 年，在已构造出的完整安全体系基础上，华为云推出了“普惠安全”计划：每一个用户，都可以申请免费或者试用版本的安全服务套餐，以往在专业版本才有的功能进一步下沉到基础版，每个服务都力争在可视化、自动化上向前迈进，通过模板、配置库、处理建议等方面的设计，让企业 IT 人员“用得起”、“看得见”、“会处理”，让企业上云更简单。