前言
- 安全是企业业务上云时最高关注点,同时法律法规以及行业政策也对企业业务的安全性有着严格要求,因此云平台的安全性以及平台能够提供的安全能力至关重要,本章将介绍华为云Stack的安全解决方案和相关安全服务,助力企业在云上构建安全合规的业务系统。
- 学完本课程后,您将能够:
- 了解云计算面临的安全挑战
- 了解HCS整体安全架构及安全解决方案
- 了解HCS核心安全服务及其能力
- 了解典型的安全应用实践案例
云计算安全简介
云安全领域主要安全风险及对应措施
云计算面临的主要安全挑战
-
云基础设施
隔离难度大- 云计算资源既要共享,又要隔离
- 网络边界模糊
- 传统安全设备不支持虚拟化环境
- 虚拟化流量检测困难
-
应用集成场景
平台开放风险- 数据接入风险:应用集成数据接入不可信,数据来源不可靠等
- API安全风险:应用集成对外暴露API,易受攻击。
-
EI场景
- 场景复杂、隐私泄露
- EI数据量大、类型多、业务场景复杂,常规安全方案能力不足
- 数据生命周期的隐私保护和关键敏感数据保护问题
-
安全管理
策略复杂,关联困难- 安全策略部署复杂
- 安全事件多,误报率高,关联分析难度大
- 运维工作场景复杂,安全威胁暴露面增加
-
安全合规
政策升级,要求增加- 《网络安全法》推出
- 《等级保护》重构基础要求,新增云安全扩展要求
- 《中华人民共和国密码法》正式实施
云计算安全风险分析
-
云服务TOP11风险
(CSA 2021年发布)- 1·数据泄露
- 2·配置错误和变更控制不足
- 3·缺乏云安全架构和策略
- 4·身份,凭据,访问和密钥管理的不足
- 5·账户劫持
- 6·内部威胁
- 7·不安全接口和API
- 8·控制面薄弱
- 9·元结构和应用结构失效
- 10·有限的云使用可见性
- 11·滥用及违法使用云服务
-
云服务TOP10风险
(OWASP 2021年更新)- 1·失效的访问控制
- 2·加密机制失效
- 3·注入
- 4·不安全设计
- 5·安全配置错误
- 6·自带缺陷和过时的组件
- 7·身份识别和身份验证错误
- 8·软件和数据完整性故障
- 9·安全日志和监控故障
- 10·服务端请求伪造
业务上云涉及到的安全场景
-
场景一:合规安全
目标:法律合规下业务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户的通信内容、个人数据及隐私、客观信息流动。- 2016年6月1日执行的《网络安全法》
- 2016年6月1日执行的《网络安全法》
-
场景二:信息安全
目标:标准合规下云的运营者不会泄露用户的数据及隐私- ISO27001 等
- 运营运维管理流程强相关、通过技术手段加强管控监督、通过第三方认证和审计加强公信力
-
场景三:安全解决方案
目标:为业务系统提供安全防护能力,保障业务的安全性及连续性- 安全攻防技术
- 合规审计技术
- 安全架构设计
- 大数据分析技术
-
场景四:安全运营
目标:保障业务系统不被外部威胁攻破、响应安事件,协助用户解决安全相关问题- 安全监控
- 事件响应
- 漏洞管理
国内/国际安全法规
多国立法进行网络安全保护实施
-
中国
网络安全法 -
美国
加利福尼亚州消费者隐私保护法案(CCPA)、金融服务现代化法案(GLBA)、健康保险携带和责任法案(HIPPA)、儿童在线隐私保护法(COPPA)、澄清域外合法使用数据法 -
欧盟
欧盟通用数据保护条例(GDPR) -
加拿大
个人信息保护与电子资料法(PIPEDA)、信息自由与隐私保护(FOIPPA)、个人信息保护法案(PIPA) -
澳大利亚
澳大利亚隐私法案(Australia Privacy Act) -
新加坡
《个人信息保护法案 》(PDPA) -
韩国
个人信息保护法(Personal Information Protection Act) -
阿根廷
个人数据保护法(Personal Data Protection Law)、信息保密法(Confidentiality of Information Law) -
日本
网络安全基本法 -
俄罗斯
信息、信息技术与信息保护法(Information, Information Technologies and Information Protection Act) -
南非
电子通讯及传输法案(Electronic Communications and Transactions Act) -
印度
个人数据保护法案
国内安全法规解读:国家对云安全监管的政策日益加强
法律法规的落地 - 等级保护规范2.0
- 等保有三大关键点:1、承载网络安全法;2、新的安全架构要求;3、扩展针对云计算、大数据等场景的安全要求
- 另外在要求及分类中也有一定变化:如第二行相关内容
- 等保2.0总结如最底下一行。
等保标准扩展:商用密码应用
- GB/T 39786-2021 : http://std.samr.gov.cn//gb/search/gbDetailed?id=BD89DE8E07393D08E05397BE0A0A4FAD
等保定级简介
- 主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。
- 第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。
保护等级 | 公民、法人的合法权益 | 社会秩序和公共利益 | 国家安全 |
---|---|---|---|
第一级 | 损害 | 否 | 否 |
第二级 | 严重损害 | 损害 | 否 |
第三级 | / | 严重损害 | 损害 |
第四级 | / | 特别严重损害 | 严重损害 |
第五级 | / | / | 特别严重损害 |
等保二级和三级简介
国际安全法规解读:GDPR
- GDPR是基于风险的、有业务竞争力的全球隐私管理框架
GDPR生效时间- 1995年,欧盟制定了《数据保护指令》保护欧盟公民的个人数据
- 2012年宣布“数据保护规则改革”计划,并提出《统一数据保护法》(General Data Protection Regulation,“GDPR”)草案
- 2016年4月14日正式通过,2016年5月25日生效,企业有2年的宽限期来实现GDPR合规遵从GDPR违反处罚条款GDPR的违规判罚分为两级:
- 第一级处罚金额为1000万欧元,或前一年全球年度营业额的2%,如违反数据控制者或处理者的法律责任
- 第二级处罚金额为2000万欧元或全球年度营业额的4%,如违反个人数据基本处理原则,数据主体权利或非法跨境数据转移
华为云Stack安全解决方案概览
华为云冰山安全,守护客户无忧上云用云
安全责任共担模型:华为与客户责任边界
华为云Stack安全架构
- 通用安全方案
- 等保2.0:构筑平台安全+租户安全生态体系,全面覆盖应用+数据安全体系
- 密评:租户服务+平台管理全面支持国密算法,率先通过国密测评
-专业安全服务+安全生态: - 提供合规咨询、安全实施、安全运营等全面的专业安全服务能力
- 基于N2ONE平台,构筑第三方安全服务化能力
华为云Stack基础底座安全能力全景(IaaS/ManageOne)
- ①底座内生安全能力
- 虚拟化是云化的基础操作系统,VM与Hypervisor的紧耦合,虚拟化内核提供资源隔离、镜像安全、MAC/ARP防欺骗等基础安全能力
- 同时底层平台还可提供认证鉴权、访问SSL加密、API调用控制等安全能力
- ② 基础服务安全能力
- 计算服务:针对虚机进行安全加固,镜像访问权限控制,提供VHA等高可用能力
- 网络服务:提供VPC的网络隔离,支持网络ACL/安全组等基础网络访问控制,提供VPN、VPCEP等安全访问通道
- 存储服务:提供存储加密、访问鉴权、数据备份等安全能力
- ③运营运维安全能力
- 运营:主要关注租户面隔离、鉴权、流程的整体运营能力
- 运维:基于不同管理员角色,区分不同权限;统一对证书、密码进行统一管理;对操作日志、审计日志进行留存分析
- 管理:针对VDC、项目、产品进行管理,定义不同角色权限,对相关用户操作日志进行审计。
华为云Stack平台安全防护解决方案
华为云Stack平台安全防护解决方案说明
- 安全部署原则:
- 1、出口安全服务/设备物理旁路部署(提升边界网络可用性)
- 2、硬件安全服务/设备旁挂核心交换机
- 3、软件安全服务部署在管理区或下沉POD区
华为云Stack等保安全解决方案
华为云Stack密码测评解决方案
-
华为云平台由设备硬件、云服务,本地运管,远程运维、公共组件、密码设备和租户应用层组成,本地硬件为云平台所需服务器,存储,网络设备,云平台密评改造不涉及租户应用层。
- 为满足GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,对华为云密码运算公共组件、设备用于支撑以下方面改造 :
- 1.本地凭据、敏感数据存储加密
- 2.外部链路https安全传输
- 3.登录口令Hash保护
- 4.访问控制信息、日志等完整性保护
- 5.服务接入身份鉴别
- 6.密钥、证书管理
- 当前国密使能的云服务有:弹性负载均衡、WAF、VPN、云堡垒机。
-
2020年1月1日起施行《中华人民共和国密码法》, 相关标准包括GB/T 39786-2021《信息系统密码应用基本要求》、《信息系统密码测评要求》(简称“密评”)等相继发布实施。“密评”成为当前政务系统、关键基础设施等过等保2.0 三级以上测评的必要条件。因此为满足混合云的合规性, 华为严格基于《信息系统密码应用基本要求》对华为云平台进行整改,以在政务云、XC云等场景协助客户顺利通过“密评”。
-
具体方案层面,基于自研公共密码组件,集成满足二级密码模块要求的三方密码设备,对云服务、云管平台、远程运维等进程多方面改造,在云平台内落地商用SM密码,构建完善的密码防护体系,同步提升云平台自身内生安全防护,保障交付中国区重点行业客户的云平台安全、合规。云平台内主要改造点如下:
- 1·平台内存储的本地凭据、敏感数据存储加密;
- 2·服务接入、运维接入、VNC接入等外部链路传输安全加密,支持商密SM2双证书体系;
- 3·服务、云管、OS等登录口令加密保护;
- 4·镜像、日志等重要数据完整性保护;
- 5·服务、云管接入支持基于证书的身份鉴别,支持商密SM2双证书体系;
- 6·支持统一的密钥、证书管理;
-
同时,关键云服务ELB、KMS、DEW等支持商密能力,使能租户业务应用商密改造。
华为云Stack数据安全解决方案
- 数据安全方案以“数据”为中心,围绕数据全生命周期(采集、传输、存储、使用、交换、销毁),结合应用场景(交换共享场景、静态存储场景、分析处理场景),实施纵深防御,满足“合规认证、数据保护、隐私安全”的安全目标需求;
- 1、数据安全保护要关注数据全生命周期的安全,任何一个环节出现问题,都可能会影响安全目标需求的达成;
- 2、数据安全需要在环境安全的基础上构建,首先要保障数据存储、处理、传输环境的安全,才能保护好数据的安全;
- 3、身份验证、权限管理、证书管理、密钥安全是保护安全的关键基础,网络攻击通常利用账号权限不合理、密钥泄露、弱口令等漏洞,盗取数据资产;4、数据资产的发现、分类、分级是做好数据保护的前提,通过合适的分类分级,更好地实现安全与效率的平衡,做到核心数据资产严保护,非核心数据资产高效率;
- 5、数据平台(数据库、对象存储、大数据平台、虚拟盘、文件服务等)承载大量静态数据,合理使用平台的安全能力(加密功能、网络隔离、端口绑定等)是静态数据保护的关键;
- 6、数据使用过程中往往需要明文数据,是数据泄露的主要风险环节,充分利用脱敏、标记、加密、水印、网络隔离等安全能力可以有效降低风险,结合特定场景使用机密计算、安全多方计算可以进一步提升数据分析处理安全;
- 7、围绕数据生命周期过程的安全管理是保障持续安全的必要手段,通过资产管理、审计、异常分析、分析告警,实现实现数据全生命周期的安全可视、可控、可审计、可追溯,实现数据全生命周期的动态安全;
华为云Stack远程连线运维总体安全方案
华为云Stack远程连线运维安全方案说明
文章来源:https://www.toymoban.com/news/detail-825400.html
- ❶ 网络安全:防火墙隔离运维DMZ,端口按需开放、禁止高危端口和协议;通信都采用双向认证安全协议;客户云管理平面与数据平面隔离;通信收编到堡垒机和云梯
- ❷ 运维操作安全:堡垒机集中运维授权管理,最小授权+最短授权访问;操作审计、录屏、可追溯;安全要求融入运维管理流程,通过流程管控运维安全风险
- ❸ 应用安全:服务工具统一认证及授权,支持分权分域
- ❹ 安全运维及审计:主机安全检测、漏洞扫描,日志审计及基于操作日志分析内部恶意行为
云梯接入网关:反向建连,客户侧无监听端口,收编运维通信和协议; 运维API白名单化,提供API调用的数据审计;客户侧运维通道开关
华为云Stack主机容器安全能力全景
文章来源地址https://www.toymoban.com/news/detail-825400.html
- ①安全镜像构建,包括基础镜像安全,镜像漏洞扫描,镜像签名等
- ②账号认证审计,包括IAM认证,集群审计,事件监控等
- ③部署及配置加固,包括镜像认证,RBAC配置,NetworkPolicy配置,PSP策略管理,安全实践指导书等
- ④IaaS底座安全服务,包括VPC网络,防火墙等
- ⑤容器基础安全服务,包括数据加密,证书管理,密钥管理,容器安全工具
- ⑥容器网络防火墙,支持配置容器安全组,容器网络监控,网络通信加密等
- ⑦容器安全运行时,支持运行时漏洞扫描,容器逃逸检测,安全容器沙箱,机密计算TEE,容器数据加密等
- ⑧运行OS加固
- ⑨服务网格加固,认证,安全等,流量控制
华为云Stack主机容器安全能力说明
- 构建安全
- ①安全镜像构建,包括基础镜像安全,镜像漏洞扫描,镜像签名等
- 部署安全
- ②账号认证审计,包括IAM认证,集群审计,事件监控等
- ③部署及配置加固,包括镜像认证,RBAC配置,NetworkPolicy配置,PSP策略管理,安全实践指导书等
- 运行时安全
- ④IaaS底座安全服务,包括VPC网络,防火墙等
- ⑤容器基础安全服务,包括数据加密,证书管理,密钥管理,容器安全工具
- ⑥容器网络防火墙,支持配置容器安全组,容器网络监控,网络通信加密等
- ⑦容器安全运行时,支持运行时漏洞扫描,容器逃逸检测,安全容器沙箱,机密计算TEE,容器数据加密等
- ⑧运行OS加固
- ⑨服务网格加固,认证,安全等,流量控制
学习推荐与缩略词
- 学习推荐
华为support网站:https://support.huawei.com - 缩略语
缩略语 | 英文全称 | 解释 |
---|---|---|
EI | Enterprise Intelligence | 企业智能,华为云上针对人工智能类服务的统称。 |
UTM | Unified Threat Management | 统一威胁管理,具备入侵检测、防病毒、防火墙等功能的设备。 |
IPS | Intrusion Prevention System | 入侵防御系统,能够对入侵行为进行监测和阻断。 |
AV | Anti-virus | 防病毒系统,能够对病毒进行监测和查杀。 |
EIP | Elastic IP | 弹性IP,指对外连接使用的IP地址,可以是互联网Internet或者客户内部网络地址 |
VPN | Virtual Private Network | 一种系统配置,在此通过连接到可能包括专用网络容量的不同的网络开关,用户能够建立起一个专用网络。 |
VPC | Virtual Private Cloud | 虚拟私有云,在逻辑上进行资源隔离的一种网络技术手段,不同的VPC默认网络不通,相互隔离。 |
VRF | Virtual Routing Forward | 虚拟路由转发,在网络设备上进行路由隔离的一种技术手段。 |
VDC | Virtual Data Center | 虚拟数据中心,在HCS中用来模拟匹配用户组织架构,便于进行管理和资源分配。 |
到了这里,关于【hcie-cloud】【25】华为云Stack安全解决放案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!