华为云安全
18年1月 2月
Intel CPU内核高危漏洞 爆发
3月
Facebook超过 5000万用户信息被 泄露
2
目录
1 2 3 4 5 企业上云的安全顾虑 华为云:做最安全的公有云 华为云安全服务:提供全栈的安全防护 安全解决方案:构建纵深的云安全体系 安全案例
3
云上客户的安全诉求
CSA Top 威胁
数据隔离机制
华为云平台 API 安全
API 防护机制
Tenant
API 注册:
只有在API 网关上注册的API接口,才能被租户访问。
API Gateway
ACL 规则限制:
允许租户自行配置特定的租户信息和网段信息
防重放攻击:
DMZ区
当API网关接受过期请求时,将会执行拒绝措施防止重放攻击。
防暴力破解:
6月 8月
美国民主党被黑客入 侵,电子邮件及文档 被披露
8月 9月
电缆厂商Leoni AG遭BEC, 被骗4460万美元
9月 10月
主机托管公司OVH,遭 到达1Tbps的DDoS攻击
国内某知名视频网 站1亿账户信息在网 络黑市出售
HBO发生大规模数据泄露事 件,至少1.5TB的数据被黑客 掌握
雅虎30亿账户泄露
精准攻击防御
• 独有“V-ISA”信誉体系,七层报
文过滤, 唯一实现“100%防御, 业务零影响” 可精确防御100+种DDoS攻击, 防御类型业界最多 最强单设备性能1.96Tbps,逐包 检测,攻击秒级响应
接入高防
VIP1
高防中心
②
用户
攻击协同防御
①
=IP1 =VIP1
流量回源
③
极速可靠访问
• 优质骨干网接入,全国回源延 迟小于50ms • • 高防清洗调度平台线路可用监 • •
专业运营团队
17年专业DDoS防护经验,平均 每周防护1000+次以上攻击 运营商领域多年深厚积累,调度 响应快,骨干网络运维经验丰富
9
华为云平台虚拟化安全
vCPU 隔离
VM虚拟机
VM虚拟机
VM虚拟机
VM虚拟机
虚拟化平台基于业界通用的硬件辅助虚拟化技术
(Intel VT-x)实现。基于硬件虚拟化的CPU 隔离 主要是指虚拟化平台与虚拟机之间的隔离,虚拟机
vNIC
OS
vCPU vMemory vNIC vCPU
OS
vMemory vNIC vCPU
程序编程接口
• 系统漏洞 • 账户劫持 • 恶意的内部人员
务
• 拒绝服务(DoS) • 共享的技术漏洞
•
法律遵从、合
规
• 操作可审计、追
溯
4
目录
1 2 3 4 5 企业上云的安全顾虑 华为云:做最安全的公有云 华为云安全服务:提供全栈的安全防护 安全解决方案:构建纵深的云安全体系 安全案例
5
华为云全栈防护体系
华为云安全
重大安全事件简介
达美航空数百航班被取消, 上千航班被延误,无数乘客 滞留 知名安全研究人员 Brian Krebs 的安全博 客网站被DDoS攻击, 攻击带宽达665Gbps 域名服务商Dyn遭遇 DDoS攻击,美国西海 岸大规模断网
孟加拉银行被黑客 转走8100万美元
16年1月 3月
比利时银行Crelan 遭BEC攻击,损失 7千万欧元
OS
vMemory vNIC vCPU
OS
vMemory
内部的权限分配和虚拟机与虚拟机之间的隔离。 内存隔离
vCPU vMemory vNIC
vCPU vMemory vNIC
vCPU vMemory vNIC
vCPU vMemory vNIC
虚拟化平台负责为虚拟机提供内存资源,保证每个 虚拟机只能访问到其自身的内存。虚拟化平台管理 虚拟机内存与真实物理内存之间的映射关系,保证 虚拟机内存与物理内存之间形成一一映射关系。 I/O 隔离 虚拟化平台还给虚拟机提供了虚拟I/O 设备,包括
Memcached DDoS爆发, CloudFlare遭遇1.35TB 攻击
17年1月 4月
暗网抛售多家中国互 联网巨头数据,数据 条数达到10亿以上
5月 8月
WannaCry全球爆发, 至少150个国家、30万 名用户中招
9月 10月
美国最大征信机构之 一Equifax,1.43亿消 费者信息泄露
Web扫描
数据库审计 数据库防火墙
数据脱敏 数据专属加密
中间件(含DB)扫描
主机扫描 业务逻辑扫描 弱密码扫描 编码扫描
EVS/VBS/IMS/OBS/RDS加密 密钥管理 密钥对登陆
数 据 加 密
安全管理
密钥管理 国际标准算法 第三方HSM 强合规性
态势感知 主机安全体检
云堡垒机 网站安全体检
证书管理 应急响应
安全监测 安全加固
17
网络安全 主机安全 应用安全 数据安全 安全管理
DDoS高防服务:T级攻击下,业务无损防御
DDoS高防服务是针对游戏、金融、电商等用户遭 受的大流量DDoS攻击,推出的付费增值服务
• •
海量攻击防护
T级清洗能力,7大清洗节点, 弹性防护按天付费 全球云清洗资源调度,端云协同, 近源清洗 • 云清联盟全球情报共享,DDoS • •
O&M
Public Service
OBS
8
华为云平台网络边界安全防护
Botnet Worm
Hacker
Internet
Anti-DDoS
Inspection Center
Management Center Clean Center
VPN
FW IPS/IDS WAF Cloud
Anti-DDoS Firewall IPS/IDS WAF IPsec / SSL VPN
Internet
•
业务平面划分与隔离
– – – – –
租户数据平面 业务控制平面 平台运维平面 BMC管理平面(Baseboard Management Controller) 数据存储平面
Anti-DDZ
POD
•
网络边界防护
– Anti-DDoS – IDS/IPS – WAF
访问控制
变更管理
审计
《IT系统安全日志管理要求》
人员管理
• • • • •
问责
面向全球构建合规,满足全球用户合规需求
31+
分解为31+大类 安全规范
1
6
第三方
多次要求第三方机构 对云平台进行安全测试
OTC
华为云
50+
分解为50+ 安全技术基线
TUV Trusted Cloud
CSA-STAR ISO27001
运营安全
运营管理
运营牌照 租户生命周期 服务生命周期 数据安全 检测 分析 感知
IPS Anti-DDoS
租户安全
安全服务
云服务安全
SaaS
运维安全
自研服务
合作生态
PaaS IaaS
交易管理 责任边界 合同管理
基 础 设 施 安 全
云平台安全
主机安全 虚拟网络安全
边界防御安全
防火墙
VPN
WAF
响应
合规安全(标准和认证)
14
技术及关键控制点
未经客户书面授权,不得以任何形式访问客户的任何数据 运维人员只有使用华为公司的设备,通过双因子认证才能访问运维网 络,并且仅能通过运维堡垒机访问目标系统 运维人员全过程不接触目标系统的特权账号和密码,由堡垒机进行自 动托管,并在每次会话结束后自动更新密码 运维数据只能通过专用通道传输,通道内的数据保留60天无法删除, 并由信息安全管理专员对传输的数据独立稽查 运维人员权限每半年审视一次,岗位调动时原有权限通过IAM系统即 时清理 运维堡垒机与工单系统联动,只有处于Open状态的事件或者变更,才 能触发堡垒机获得授权登录目标系统 所有系统必须开启安全日志,每笔日志记录内容至少需要包含日期、 时间、访问尝试类型、访问发起的IP及ID、被访问对象等 安全日志集中存储保存的时间不低于半年 华为云运维人员上岗前必须签署信息安全承诺书 所有员工必须每年必须完成一次《网络安全与用户隐私保护》考试 对于有权限接触数据的关键岗位人员,上岗前需要经过额外的安全背 景审查 外包人员除遵守上述要求外,在IT账号上对外包人员进行标识,技术上 限制外包人员无法获得关键权限 按照违规行为分为四个问责级别,最严重违规将解除劳动合同,追究 法律责任
2
5
95%
各服务安全需求满足度 从80%提升到95%
等保
网络安全审查
ISO
ESARIS
Trusted Cloud
IDC/ISP
ITSS
Trusted Cloud
可信云
1000+
分解为1000+条 测试用例
3
4
200+
每年持续投入200+人 进行安全改进
15
目录
1 2 3 4 5 企业上云的安全顾虑 华为云:做最安全的公有云 华为云安全服务:提供全栈的安全防护 安全解决方案:构建纵深的云安全体系 安全案例
• 数据泄露
• 身份、凭证和访问管 理不足 • 不安全的接口和应用
企业上云的关键安全诉求
业务连续不中断: • • 防网络攻击 防黑客入侵 运维全程可管控: • 配置安全策略 • 风险识别和处置 数据保密不扩散: • 防外部窃取 • 内部非授权员工 不可见 • 云服务商不可见
• 高级持续性威胁
• 数据丢失 • 尽职调查不足 • 滥用和恶意使用云服
