當企業評估云的安全水平時，往往聚焦在云安全服務及云服務的安全特性上，而忽略了云安全中更重要的部分——云基礎設施安全。如果把云安全比作“冰山”，那它們屬于“冰山”上的可見部分。而“冰山”水下 90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

這也是企業選擇或者評估云服務安全性時最容易困惑或忽視的問題：云服務水面以下是棉花還是秤砣？一旦歲月不夠靜好，云服務會如“浮云”般抽風還是如“冰山”般破浪前行？隱藏在云安全冰山水位線以下的 90%，如何演化，如何評估？安全牛近日與華為云的相關負責人進行了一輪溝通，華為云的一個安全理念頗為有趣，叫“從冰山下到普惠安全”，可以給想上云或換云的廠商一些有益的借鑒。

一、從冰山下的安全做起

華為云認為，安全得從最底座做起，也就是不僅關注冰山下的“安全服務和特性”，更要關注冰山下的各種基礎的安全能力的建設，才能給云用戶提供扎實的安全防護。冰山下的安全能力都由哪些能力組成的呢？

1

冰山下的能力一：云平臺安全合規

“安全合規”是指組織要滿足所在國家和區域的法律法規中對安全的相關要求以及行業相關標準的要求。它有兩方面的意義:一方面，滿足這些要求，就滿足了基本的安全規范，是保障組織的網絡安全的基礎；另一方面，不滿足這些要求，則可能面臨法律風險或者進入不了行業門檻。所以，企業能否持續獲得權威的安全合規認證，是衡量企業在網絡安全投入以及安全能力的重要指標之一。

為給用戶提供一個從云平臺到云服務都安全可信的環境，華為云將最嚴格的國際安全標準作為目標，不斷對齊并優化自身的安全能力，努力搭建出世界一流的安全合規認證體系。僅 2019 年，華為云就獲得和重新審核通過了這些合規認證：

? ISO 22301，是全球首個公認的、衡量企業服務連續性能力是否滿足社會責任和客戶承諾的唯一標準。

? ISO 27001，是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。

? ISO 27017，是針對云計算信息安全的國際認證，提供了云服務特有的安全實踐指南和控制措施，以解決云上的信息安全威脅和風險。

? CSA STAR，是針對云安全水平的權威認證，旨在應對與云安全相關的特定問題，協助云計算服務商展現其服務成熟度的解決方案。

? 業界首家信息安全服務資質（云計算安全一級），由中國信息安全測評中心推出，旨在對云服務商的安全服務資格狀況、技術實力和云計算安全服務實施質量等方面進行綜合客觀評定的認證。

? 全球唯一獲得 TL 9000 認證的云服務商。TL 9000 有機整合了 ISO 9000 及眾多行業標準，形成的一套完整統一的質量管理體系，分質量體系要求和質量體系指標。

? 獲得云服務用戶數據保護能力增強級認證，體現了華為云在用戶數據保護上的強大實力。

? 通過 SOC2 隱私性審計，成為中國第一家通過該審計的 IaaS 云服務商。

? 2019 年 11 月，在由國際隱私專業協會（IAPP）主辦，比利時布魯塞爾舉行的歐洲數據峰會上，華為云獲得由 BSI（英國標準協會）全球認證部進行認證并頒發，全球首批 ISO/IEC 27701:2019 隱私信息管理體系認證證書。ISO/IEC 27701 標準，旨在幫助組織機構保護和控制所處理的個人信息。標準將隱私保護的原則、理念和方法，融入到網絡安全和隱私保護體系中，給企業提供了最佳實踐和指導建議。

? ISO/IEC 29151 標準，旨在防止個人隱私數據被濫用、泄露、更改、破壞等，為企業保護用戶個人隱私數據提供了大量的最佳實踐。

? BS 10012 標準，是全球首部個人隱私保護的標準。因為按歐盟通用數據保護條例（GDPR）進行了更新，所以該標準既要求企業滿足國際通用的個人信息保護標準，又要求企業符合 GDPR 的要求。

截止目前，華為云在全球獲得了 50 多個權威認證，這也是華為云在安全合規能力上的一種體現。

華為云獲得的部分全球性合規認證

2

冰山下的能力二：基礎設施安全

基礎設施安全是華為多維全棧的云安全防護體系的核心。包括物理與環境安全、網絡安全、平臺安全、API 應用安全以及數據安全五部分。

物理與環境安全這里暫且不做過多介紹。

網絡安全

華為云的思路是通過劃分多個安全區域進行物理和邏輯隔離，以及內網邊界防護兩個角度實現。

在每個安全區域內，根據所承載業務的隔離要求劃分不同網絡平面，以保證不同業務的網絡通信流量得到合理且安全的分流。

內網邊界防護主要有三個能力，抗 D、下一代防火墻 &入侵防御，WAF。

產品背后高級邊界防護的實現，華為自研的彈性計算服務（ECS）和虛擬私有云服務（VPC）可謂功不可沒。華為云使用 ECS 為租戶提供包括操作系統安全、虛擬機安全（如鏡像加固、網絡與平臺隔離、IP/MAC 仿冒控制、安全組）等安全能力。而通過 VPC，用戶可以自主配置和管理隔離的虛擬網絡環境，并通過多項和安全相關的網絡功能提升云中資源的安全性。

平臺安全

作為華為云平臺的操作系統，華為統一虛擬化平臺通過將服務器物理資源，如 CPU、內存、I/O 等，轉變為一組可統一管理、靈活調度和動態分配的邏輯資源。并基于這些邏輯資源，在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執行環境。

華為云對主機操作系統進行了最小化裁剪，并對服務做安全加固，同時對接入主機操作系統的管理員執行嚴格的權限訪問控制（包括雙因子認證），以及全面的日志審計。

API 應用安全

API 的防護是通過華為自研的 API 網關實現。

API 網關主要在身份認證及鑒權（集成華為云 IAM）、傳輸（TLS 1.2）、邊界（結合網絡安全的邊界防護能力，并提供 API 接口注冊、訪問控制列表規則限制、防重放、防爆破等功能）、API 調用控制（秒級）四個場景進行安全防護。

數據安全

遵循數據安全生命周期管理的業界標準，在身份認證、訪問控制、數據隔離、傳輸安全、存儲安全、數據刪除與銷毀、數據防泄漏等方面進行控制，保障租戶對其數據的隱私權、所有權和控制權。

3

冰山下的能力三：優秀實踐化為標準

華為云為用戶提供安全可信的云服務的同時，也不斷把優秀安全實踐變為行業標準。華為云參與制定了多個云計算、云安全相關的國家標準。2018 年 8 月，由四川大學牽頭、華為云等參與制定的兩項云安全國家標準獲得“中國標準創新貢獻獎”，華為云是國內唯一獲得該獎項的云服務商。這兩項標準，也是我國首批發布的云安全國家標準。

4

冰山下的能力四：安全保障體系

華為云構建了 7×24 小時不間斷的安全保障體系，涵蓋 DDoS 攻擊、輿情監控、平臺安全運維、租戶安全事件響應等，確保云上業務的可用、可靠和快速恢復。

該體系協助租戶處理各類入侵事件等每月數百次；發送各類安全預警千余次；成功抵御 10Gbps 以上大流量攻擊 2 萬多次，并對違規業務 IP 以及違規的賬戶進行實時清理。

5

冰山下的能力五：面向租戶的安全服務

華為云擁有縱跨 IaaS、PaaS 和 SaaS 類多項直接面向租戶的云服務。其中，安全服務也是尤為重要的內容。

面向租戶的安全服務，可以粗略分為華為自研的安全能力，以及來自華為云生態合作伙伴。后者即華為云嚴選商城的安全產品及服務。據了解，截止到今年 7 月，華為云已與 50 家國內外安全伙伴展開合作，在華為云上提供 160 余項安全產品和服務，覆蓋網絡安全、主機安全、應用安全、數據安全、安全管理等領域。

以保障用戶網絡安全和隱私保護為核心，華為云打造出覆蓋網絡安全、應用安全、數據安全、主機安全和安全管理五大領域的二十多款安全產品，包括 Web 應用防火墻、DDoS 高防、敏感數據保護服務等，幫助用戶抵御網絡攻擊、滿足合規要求。

在網絡安全領域，如何為業務筑起一堵網絡安全屏障，讓正常業務流量不受惡意攻擊流量的影響？過去一年，華為云通過優化帶寬資源，采用分布式邊緣計算防護節點，端到端響應時延下降到 20ms，易用性上增強了一鍵式自適應防護能力，平均每天抵御一次 100Gbps 以上超大流量攻擊，在金融、政府、大企業、游戲、互聯網等行業積累了一定的口碑。

在應用安全領域，華為云 Web 應用防火墻服務，每天攔截數十億次攻擊，已累計為數千個客戶提供防護。在安全防護的同時，發布了 IPv6 雙棧、全量日志、專家服務等功能；通過重構集群、跨 Region、跨可用區三重架構，將 WAF 的 SLA 提升至 99.99%以上；漏洞掃描服務，累計為數萬個企業發現數百萬個漏洞，引導用戶修復了十余萬個漏洞。

在數據安全領域，以保護用戶數據為核心，華為云構建了從數據訪問、識別分類、防泄漏、審計追溯的完整的數據安全體系。2019 年，華為云新發布了敏感數據保護服務（SDG），支持 GDPR 定義的敏感數據檢測；支持結構化和非結構化數據脫敏；支持基于規格和自然語義處理的識別，中文識別率達 95%，英文識別率達 98%；數據庫安全服務，作為國內唯一集數據庫防火墻、數據脫敏、數據庫審計一體的數據庫安全產品，在零售、汽車、教育等多個行業廣泛使用；數據加密服務作為數據保護的最后一環，嵌入 20 余種云服務中，實現一鍵加密；API 一年上億次調用。基于鯤鵬的國密加密方案，可以實現透明無感知加密，由于采用自研 ARM 芯片加速，性能損耗控制在 5%左右。

在主機安全領域，華為云提供主機、容器及程序文件的全方位安全防護方案，保證主機安全可信。過去一年，企業主機安全服務防護了華為云 60%以上、終端云 99%以上的主機，累計檢測并修復上百萬漏洞與不安全配置，隔離查殺數萬病毒木馬；云上動態網頁防篡改方案，防止網站被篡改，被篡改后自動恢復，充分滿足《公安部 82 號令》的要求；容器安全服務，具備安全和應用生命周期管理能力，安全能力覆蓋面很廣，CI/CD 流水線及微服務使得云原生開發非常高效。助力華為云容器服務獲得 Forrester 測評 TOP2 的優異成績。

在安全管理領域，態勢感知服務作為企業的安全運營中心，已經為包括華為云、終端云在內的數百家大型企業、上萬用戶提供統一的威脅檢測和風險處置平臺，通過大數據分析與 AI 技術，及時發現云上的各種安全威脅，并聯動相關服務進行下一步處置；基于最新的安全等保 2.0 標準，華為云攜手全國優質的等保測評伙伴，為客戶提供全流程等保測評服務，已幫助 300 多個企業的系統通過了等保測評；華為云 SSL 證書管理服務，聯合全球知名數字證書服務機構，提供從證書申請、管理、推送部署等一站式證書的全生命周期管理的服務；除此以外，華為云堡壘機服務持續進行安全加固，并上線自動化運維、數據庫運維等增強功能，通過命令/腳本批量執行、文件自動分發、任務編排等加強角色與資源之間的權限管理能力，提高云上企業的運維工作效率。

二、普惠安全

安全專業度高、安全人才難求是企業普遍面臨的情況。如何消除企業上云安全技能匱乏的困境？在華為云看來，降低安全能力的使用門檻，把多年積累的安全專家的能力和經驗內置到云服務的每個細節中，是一個很好的方法。

2020 年，在已構造出的完整安全體系基礎上，華為云推出了“普惠安全”計劃：每一個用戶，都可以申請免費或者試用版本的安全服務套餐，以往在專業版本才有的功能進一步下沉到基礎版，每個服務都力爭在可視化、自動化上向前邁進，通過模板、配置庫、處理建議等方面的設計，讓企業 IT 人員“用得起”、“看得見”、“會處理”，讓企業上云更簡單。

審核編輯 黃宇