华为云安全

华为云安全2重大安全事件简介10月8月域名服务商Dyn遭遇DDoS攻击，美国西海岸大规模断网8月3月孟加拉银行被黑客转走8100万美元6月美国民主党被黑客入侵，电子邮件及文档被披露达美航空数百航班被取消，上千航班被延误，无数乘客滞留电缆厂商LeoniAG遭BEC，被骗4460万美元9月知名安全研究人员BrianKrebs的安全博客网站被DDoS攻击，攻击带宽达665Gbps9月主机托管公司OVH，遭到达1Tbps的DDoS攻击比利时银行Crelan遭BEC攻击，损失7千万欧元16年1月2月9月MemcachedDDoS爆发，CloudFlare遭遇1.35TB攻击8月4月国内某知名视频网站1亿账户信息在网络黑市出售5月WannaCry全球爆发，至少150个国家、30万名用户中招HBO发生大规模数据泄露事件，至少1.5TB的数据被黑客掌握美国最大征信机构之一Equifax，1.43亿消费者信息泄露10月雅虎30亿账户泄露18年1月IntelCPU内核高危漏洞爆发暗网抛售多家中国互联网巨头数据，数据条数达到10亿以上17年1月3月Facebook超过5000万用户信息被泄露3目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例4云上客户的安全诉求企业上云的关键安全诉求CSATop威胁•高级持续性威胁•数据丢失•尽职调查不足•滥用和恶意使用云服务•拒绝服务（DoS）•共享的技术漏洞•数据泄露•身份、凭证和访问管理不足•不安全的接口和应用程序编程接口•系统漏洞•账户劫持•恶意的内部人员业务连续不中断:•防网络攻击•防黑客入侵•法律遵从、合规运维全程可管控：•配置安全策略•风险识别和处置•操作可审计、追溯数据保密不扩散：•防外部窃取•内部非授权员工不可见•云服务商不可见5目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例6防火墙VPNWAFIPSAnti-DDoS基础设施安全边界防御安全数据安全主机安全虚拟网络安全IaaSPaaSSaaS云服务安全自研服务合作生态运营安全运营牌照租户生命周期服务生命周期责任边界合同管理可信云认证信息安全等保ISO27001CSASTAR分析响应检测运维安全感知租户安全云平台安全……运营管理交易管理合规安全（标准和认证）安全服务PCISOC华为云全栈防护体系7华为云平台网络安全防护能力安全日志收集安全威胁与事件响应WAFVPNHostGuard主机防御CMDBFirewallAnti-DDOS漏洞扫描应用日志堡垒机信安系统IPS银河系统（安全大数据与人工智能）安全运维人员SOCWAF/IPS网络监控7X24安全威胁与事件检测、分析与响应统一平台华北Region华东RegionAnti-DDOS信安系统网络监控IPSWAF其他..华南RegionAnti-DDOS信安系统网络监控IPSWAF其他..内控审计人员外部第三方审计8华为云平台网络安全•安全区域划分与隔离–DMZ–公共服务区PublicService–资源交付区POD（PointofDelivery）–数据存储区OBS（ObjectBasedStorage）–运维管理区OM（OperationsManagement）•业务平面划分与隔离–租户数据平面–业务控制平面–平台运维平面–BMC管理平面(BaseboardManagementController)–数据存储平面•网络边界防护–Anti-DDoS–IDS/IPS–WAFO&MDMZPODOBSPublicServiceInternetAdminLAN(Intranet)WAFNGFW&IPSAnti-DDoS9InternetInspectionCenterAnti-DDoSCleanCenterManagementCenterFWIPS/IDSVPNCloudBotnetHackerWormAnti-DDoSFirewallIPS/IDSWAFIPsec/SSLVPN华为云平台网络边界安全防护WAF10华为云平台虚拟化安全vCPU隔离虚拟化平台基于业界通用的硬件辅助虚拟化技术（IntelVT-x）实现。基于硬件虚拟化的CPU隔离主要是指虚拟化平台与虚拟机之间的隔离，虚拟机内部的权限分配和虚拟机与虚拟机之间的隔离。内存隔离虚拟化平台负责为虚拟机提供内存资源，保证每个虚拟机只能访问到其自身的内存。虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系，保证虚拟机内存与物理内存之间形成一一映射关系。I/O隔离虚拟化平台还给虚拟机提供了虚拟I/O设备，包括磁盘、网卡、鼠标、键盘等。虚拟化平台为每个虚拟机提供独立的设备，避免多个虚拟机共享设备造成的信息泄露。CPUMemoryNIC物理资源层vNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUVM虚拟机vCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOS虚拟化资源池VM虚拟机VM虚拟机VM虚拟机11华为云平台数据安全平台层数据访问隔离IAM权限访问控制数据隔离机制传输加密DataCenterVPNTLS数据存储加密KMSVBSIMSEVSOBS数据删除机制内存删除将内存重新分配给用户之前，会对分配的内存进行清零操作，即写“零”处理物理磁盘报废处理当物理磁盘报废时，华为云通过对存储介质进行消磁、折弯或破碎等方式清除数据，并对数据清除操作保存完整记录磁盘数据删除华为云对销户虚拟卷采用清零措施，确保数据不可恢复Cloud数据存储加密使用KMS密钥进行加密12华为云平台API安全身份认证&鉴权认证方式支持以下2种:•Token认证•AK/SK认证传输保护•TLS1.2•PerfectForwardSecrecy(PFS)API流量控制网关提供针对API级别和租户级别的分钟级流控配置。API注册:只有在API网关上注册的API接口，才能被租户访问。ACL规则限制：允许租户自行配置特定的租户信息和网段信息防重放攻击:当API网关接受过期请求时，将会执行拒绝措施防止重放攻击。防暴力破解:当接受某个AK/SK请求时，API网关的防暴力破解机制一旦监测到失败请求次数已超出API网关所设定允许次数，会拒绝该请求并执行限时锁定。APIGatewayTenantPublicServicesZoneDMZ区ServiceAServiceBServiceCAPI防护机制13安全运维：运维体系存储云平台云服务计算服务器安全运维体系风险管理智能分析安全信息与事件管理特权账号14华为云平台内控管理能力华为公司建立了严格的内控管理制度，从流程和技术两个方面，约束了华为云平台运维管理人员的行为规范，并通过月度遵从性测试、半年度内控成熟度评估、内部独立审计等，确保华为云内外合规，信守对客户“不碰数据”的承诺。公司流程技术及关键控制点访问控制《华为云客户网络接入授权管理规定》《办公计算机、网络、应用系统、存储介质及办公外设安全管理规定》《系统账号/权限管理流程》•未经客户书面授权，不得以任何形式访问客户的任何数据•运维人员只有使用华为公司的设备，通过双因子认证才能访问运维网络，并且仅能通过运维堡垒机访问目标系统•运维人员全过程不接触目标系统的特权账号和密码，由堡垒机进行自动托管，并在每次会话结束后自动更新密码•运维数据只能通过专用通道传输，通道内的数据保留60天无法删除，并由信息安全管理专员对传输的数据独立稽查•运维人员权限每半年审视一次，岗位调动时原有权限通过IAM系统即时清理变更管理《华为云变更管理流程》《华为云事件管理流程》•运维堡垒机与工单系统联动，只有处于Open状态的事件或者变更，才能触发堡垒机获得授权登录目标系统审计《IT系统安全日志管理要求》•所有系统必须开启安全日志，每笔日志记录内容至少需要包含日期、时间、访问尝试类型、访问发起的IP及ID、被访问对象等•安全日志集中存储保存的时间不低于半年人员管理《华为云现网运维人员安全管理规定与行为规范》《关于网络安全与用户隐私保护关键岗位的管理要求》《外部人员信息安全管理指南》•华为云运维人员上岗前必须签署信息安全承诺书•所有员工必须每年必须完成一次《网络安全与用户隐私保护》考试•对于有权限接触数据的关键岗位人员，上岗前需要经过额外的安全背景审查•外包人员除遵守上述要求外，在IT账号上对外包人员进行标识，技术上限制外包人员无法获得关键权限问责《网络安全违规问责制度》•按照违规行为分为四个问责级别，最严重违规将解除劳动合同，追究法律责任15面向全球构建合规，满足全球用户合规需求TUVTrustedCloudCSA-STARISO27001IDC/ISPTrustedCloudISOESARISITSSTrustedCloudOTC华为云95%各服务安全需求满足度从80%提升到95%31+分解为31+大类安全规范1000+分解为1000+条测试用例50+分解为50+安全技术基线200+每年持续投入200+人进行安全改进第三方多次要求第三方机构对云平台进行安全测试123654等保可信云网络安全审查16目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例17木马上传非授权访问SQL注入XSS跨站恶意插件自动学习应用安全数据库安全自动发现动态脱敏全面控防精准审计强合规性国际标准算法第三方HSM密钥管理数据加密Anti-DDoSDDoS高防漏洞管理资产管理基线检查Web应用防火墙主机扫描密钥管理密钥对登陆数据脱敏数据专属加密EVS/VBS/IMS/OBS/RDS加密化理念为实践更懂企业云安全需求，长期服务企业的安全品质云防火墙端云协同防护安全管理主机安全体检态势感知安全监测证书管理云堡垒机入侵检测应急响应网站安全体检安全加固中间件（含DB）扫描Web扫描弱密码扫描业务逻辑扫描编码扫描数据库审计数据库防火墙网页防篡改18DDoS高防服务是针对游戏、金融、电商等用户遭受的大流量DDoS攻击，推出的付费增值服务源站被防护服务器高防中心接入高防VIP1IP1DNS服务=IP1=VIP1①②③流量回源用户DDoS高防服务：T级攻击下，业务无损防御•T级清洗能力，7大清洗节点，弹性防护按天付费•全球云清洗资源调度，端云协同，近源清洗•云清联盟全球情报共享，DDoS攻击协同防御海量攻击防护•独有“V-ISA”信誉体系，七层报文过滤，唯一实现“100%防御，业务零影响”•可精确防御100+种DDoS攻击，防御类型业界最多•最强单设备性能1.96Tbps，逐包检测，攻击秒级响应精准攻击防御•优质骨干网接入，全国回源延迟小于50ms•高防清洗调度平台线路可用监控，异地调度•支持同线路不同区域、不同线路IP切换，高防业务稳定可靠极速可靠访问•17年专业DDoS防护经验，平均每周防护1000+次以上攻击•运营商领域多年深厚积累，调度响应快，骨干网络运维经验丰富专业运营团队网络安全主机安全应用安全数据安全安全管理19企业主机安全（HSS）：云服务器贴身安全管家主机安全Agent主机安全管理中心Console资产管理云上/云下主机漏洞管理基线检查入侵检测统一安全管理•资产、配置、漏洞精准检测•安全风险可视化，态势可感知•安全资产变动实时通知安全风险管理智能入侵检测企业安全合规•100%账户暴力破解防护•先进WebShell检测库与沙箱•基于AI的高级恶意程序检测•独家支持网页防篡改•业界标杆的10+配置基线检查•满足等保合规测评要求•满足PCI-DSS文件完整性要求*支持华为云、非华为云、私有云、数据中心部署网络安全主机安全应用安全数据安全安全管理20Web应用防火墙：Web服务的“最佳搭档”•技术创新独创双引擎检测（