【hcie-cloud】【25】华为云Stack安全解决放案

这篇具有很好参考价值的文章主要介绍了【hcie-cloud】【25】华为云Stack安全解决放案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

  • 安全是企业业务上云时最高关注点,同时法律法规以及行业政策也对企业业务的安全性有着严格要求,因此云平台的安全性以及平台能够提供的安全能力至关重要,本章将介绍华为云Stack的安全解决方案和相关安全服务,助力企业在云上构建安全合规的业务系统。
  • 学完本课程后,您将能够:
    • 了解云计算面临的安全挑战
    • 了解HCS整体安全架构及安全解决方案
    • 了解HCS核心安全服务及其能力
    • 了解典型的安全应用实践案例

云计算安全简介

云安全领域主要安全风险及对应措施

云计算面临的主要安全挑战

  • 云基础设施
    隔离难度大

    • 云计算资源既要共享,又要隔离
    • 网络边界模糊
    • 传统安全设备不支持虚拟化环境
    • 虚拟化流量检测困难
  • 应用集成场景
    平台开放风险

    • 数据接入风险:应用集成数据接入不可信,数据来源不可靠等
    • API安全风险:应用集成对外暴露API,易受攻击。
  • EI场景

    • 场景复杂、隐私泄露
    • EI数据量大、类型多、业务场景复杂,常规安全方案能力不足
    • 数据生命周期的隐私保护和关键敏感数据保护问题
  • 安全管理
    策略复杂,关联困难

    • 安全策略部署复杂
    • 安全事件多,误报率高,关联分析难度大
    • 运维工作场景复杂,安全威胁暴露面增加
  • 安全合规
    政策升级,要求增加

    • 《网络安全法》推出
    • 《等级保护》重构基础要求,新增云安全扩展要求
    • 《中华人民共和国密码法》正式实施

云计算安全风险分析

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • 云服务TOP11风险
    (CSA 2021年发布)

    • 1·数据泄露
    • 2·配置错误和变更控制不足
    • 3·缺乏云安全架构和策略
    • 4·身份,凭据,访问和密钥管理的不足
    • 5·账户劫持
    • 6·内部威胁
    • 7·不安全接口和API
    • 8·控制面薄弱
    • 9·元结构和应用结构失效
    • 10·有限的云使用可见性
    • 11·滥用及违法使用云服务
  • 云服务TOP10风险
    (OWASP 2021年更新)

    • 1·失效的访问控制
    • 2·加密机制失效
    • 3·注入
    • 4·不安全设计
    • 5·安全配置错误
    • 6·自带缺陷和过时的组件
    • 7·身份识别和身份验证错误
    • 8·软件和数据完整性故障
    • 9·安全日志和监控故障
    • 10·服务端请求伪造

业务上云涉及到的安全场景

  • 场景一:合规安全
    目标:法律合规下业务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户的通信内容、个人数据及隐私、客观信息流动。

    • 2016年6月1日执行的《网络安全法》
      【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全
  • 场景二:信息安全
    目标:标准合规下云的运营者不会泄露用户的数据及隐私

    • ISO27001 等
    • 运营运维管理流程强相关、通过技术手段加强管控监督、通过第三方认证和审计加强公信力
  • 场景三:安全解决方案
    目标:为业务系统提供安全防护能力,保障业务的安全性及连续性

    • 安全攻防技术
    • 合规审计技术
    • 安全架构设计
    • 大数据分析技术
  • 场景四:安全运营
    目标:保障业务系统不被外部威胁攻破、响应安事件,协助用户解决安全相关问题

    • 安全监控
    • 事件响应
    • 漏洞管理

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

国内/国际安全法规

多国立法进行网络安全保护实施

  • 中国
    网络安全法

  • 美国
    加利福尼亚州消费者隐私保护法案(CCPA)、金融服务现代化法案(GLBA)、健康保险携带和责任法案(HIPPA)、儿童在线隐私保护法(COPPA)、澄清域外合法使用数据法

  • 欧盟
    欧盟通用数据保护条例(GDPR)

  • 加拿大
    个人信息保护与电子资料法(PIPEDA)、信息自由与隐私保护(FOIPPA)、个人信息保护法案(PIPA)

  • 澳大利亚
    澳大利亚隐私法案(Australia Privacy Act)

  • 新加坡
    《个人信息保护法案 》(PDPA)

  • 韩国
    个人信息保护法(Personal Information Protection Act)

  • 阿根廷
    个人数据保护法(Personal Data Protection Law)、信息保密法(Confidentiality of Information Law)

  • 日本
    网络安全基本法

  • 俄罗斯
    信息、信息技术与信息保护法(Information, Information Technologies and Information Protection Act)

  • 南非
    电子通讯及传输法案(Electronic Communications and Transactions Act)

  • 印度
    个人数据保护法案

国内安全法规解读:国家对云安全监管的政策日益加强

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

法律法规的落地 - 等级保护规范2.0

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • 等保有三大关键点:1、承载网络安全法;2、新的安全架构要求;3、扩展针对云计算、大数据等场景的安全要求
  • 另外在要求及分类中也有一定变化:如第二行相关内容
  • 等保2.0总结如最底下一行。

等保标准扩展:商用密码应用

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • GB/T 39786-2021 : http://std.samr.gov.cn//gb/search/gbDetailed?id=BD89DE8E07393D08E05397BE0A0A4FAD

等保定级简介

  • 主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。
    • 第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
    • 第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
    • 第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
    • 第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
    • 第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。
保护等级 公民、法人的合法权益 社会秩序和公共利益 国家安全
第一级 损害
第二级 严重损害 损害
第三级 / 严重损害 损害
第四级 / 特别严重损害 严重损害
第五级 / / 特别严重损害

等保二级和三级简介

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

国际安全法规解读:GDPR

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • GDPR是基于风险的、有业务竞争力的全球隐私管理框架
    GDPR生效时间
    • 1995年,欧盟制定了《数据保护指令》保护欧盟公民的个人数据
    • 2012年宣布“数据保护规则改革”计划,并提出《统一数据保护法》(General Data Protection Regulation,“GDPR”)草案
    • 2016年4月14日正式通过,2016年5月25日生效,企业有2年的宽限期来实现GDPR合规遵从GDPR违反处罚条款GDPR的违规判罚分为两级:
      • 第一级处罚金额为1000万欧元,或前一年全球年度营业额的2%,如违反数据控制者或处理者的法律责任
      • 第二级处罚金额为2000万欧元或全球年度营业额的4%,如违反个人数据基本处理原则,数据主体权利或非法跨境数据转移

华为云Stack安全解决方案概览

华为云冰山安全,守护客户无忧上云用云

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

安全责任共担模型:华为与客户责任边界

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

华为云Stack安全架构

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • 通用安全方案
    • 等保2.0:构筑平台安全+租户安全生态体系,全面覆盖应用+数据安全体系
    • 密评:租户服务+平台管理全面支持国密算法,率先通过国密测评
      -专业安全服务+安全生态:
    • 提供合规咨询、安全实施、安全运营等全面的专业安全服务能力
    • 基于N2ONE平台,构筑第三方安全服务化能力

华为云Stack基础底座安全能力全景(IaaS/ManageOne)

  • ①底座内生安全能力
    • 虚拟化是云化的基础操作系统,VM与Hypervisor的紧耦合,虚拟化内核提供资源隔离、镜像安全、MAC/ARP防欺骗等基础安全能力
    • 同时底层平台还可提供认证鉴权、访问SSL加密、API调用控制等安全能力
  • ② 基础服务安全能力
    • 计算服务:针对虚机进行安全加固,镜像访问权限控制,提供VHA等高可用能力
    • 网络服务:提供VPC的网络隔离,支持网络ACL/安全组等基础网络访问控制,提供VPN、VPCEP等安全访问通道
    • 存储服务:提供存储加密、访问鉴权、数据备份等安全能力
  • ③运营运维安全能力
    • 运营:主要关注租户面隔离、鉴权、流程的整体运营能力
    • 运维:基于不同管理员角色,区分不同权限;统一对证书、密码进行统一管理;对操作日志、审计日志进行留存分析
    • 管理:针对VDC、项目、产品进行管理,定义不同角色权限,对相关用户操作日志进行审计。

华为云Stack平台安全防护解决方案

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

华为云Stack平台安全防护解决方案说明

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • 安全部署原则:
    • 1、出口安全服务/设备物理旁路部署(提升边界网络可用性)
    • 2、硬件安全服务/设备旁挂核心交换机
    • 3、软件安全服务部署在管理区或下沉POD区

华为云Stack等保安全解决方案

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

华为云Stack密码测评解决方案

  • 华为云平台由设备硬件、云服务,本地运管,远程运维、公共组件、密码设备和租户应用层组成,本地硬件为云平台所需服务器,存储,网络设备,云平台密评改造不涉及租户应用层。

    • 为满足GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,对华为云密码运算公共组件、设备用于支撑以下方面改造 :
    • 1.本地凭据、敏感数据存储加密
    • 2.外部链路https安全传输
    • 3.登录口令Hash保护
    • 4.访问控制信息、日志等完整性保护
    • 5.服务接入身份鉴别
    • 6.密钥、证书管理
    • 当前国密使能的云服务有:弹性负载均衡、WAF、VPN、云堡垒机。
  • 2020年1月1日起施行《中华人民共和国密码法》, 相关标准包括GB/T 39786-2021《信息系统密码应用基本要求》、《信息系统密码测评要求》(简称“密评”)等相继发布实施。“密评”成为当前政务系统、关键基础设施等过等保2.0 三级以上测评的必要条件。因此为满足混合云的合规性, 华为严格基于《信息系统密码应用基本要求》对华为云平台进行整改,以在政务云、XC云等场景协助客户顺利通过“密评”。

  • 具体方案层面,基于自研公共密码组件,集成满足二级密码模块要求的三方密码设备,对云服务、云管平台、远程运维等进程多方面改造,在云平台内落地商用SM密码,构建完善的密码防护体系,同步提升云平台自身内生安全防护,保障交付中国区重点行业客户的云平台安全、合规。云平台内主要改造点如下:

    • 1·平台内存储的本地凭据、敏感数据存储加密;
    • 2·服务接入、运维接入、VNC接入等外部链路传输安全加密,支持商密SM2双证书体系;
    • 3·服务、云管、OS等登录口令加密保护;
    • 4·镜像、日志等重要数据完整性保护;
    • 5·服务、云管接入支持基于证书的身份鉴别,支持商密SM2双证书体系;
    • 6·支持统一的密钥、证书管理;
  • 同时,关键云服务ELB、KMS、DEW等支持商密能力,使能租户业务应用商密改造。

华为云Stack数据安全解决方案

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • 数据安全方案以“数据”为中心,围绕数据全生命周期(采集、传输、存储、使用、交换、销毁),结合应用场景(交换共享场景、静态存储场景、分析处理场景),实施纵深防御,满足“合规认证、数据保护、隐私安全”的安全目标需求;
    • 1、数据安全保护要关注数据全生命周期的安全,任何一个环节出现问题,都可能会影响安全目标需求的达成;
    • 2、数据安全需要在环境安全的基础上构建,首先要保障数据存储、处理、传输环境的安全,才能保护好数据的安全;
    • 3、身份验证、权限管理、证书管理、密钥安全是保护安全的关键基础,网络攻击通常利用账号权限不合理、密钥泄露、弱口令等漏洞,盗取数据资产;4、数据资产的发现、分类、分级是做好数据保护的前提,通过合适的分类分级,更好地实现安全与效率的平衡,做到核心数据资产严保护,非核心数据资产高效率;
    • 5、数据平台(数据库、对象存储、大数据平台、虚拟盘、文件服务等)承载大量静态数据,合理使用平台的安全能力(加密功能、网络隔离、端口绑定等)是静态数据保护的关键;
    • 6、数据使用过程中往往需要明文数据,是数据泄露的主要风险环节,充分利用脱敏、标记、加密、水印、网络隔离等安全能力可以有效降低风险,结合特定场景使用机密计算、安全多方计算可以进一步提升数据分析处理安全;
    • 7、围绕数据生命周期过程的安全管理是保障持续安全的必要手段,通过资产管理、审计、异常分析、分析告警,实现实现数据全生命周期的安全可视、可控、可审计、可追溯,实现数据全生命周期的动态安全;

华为云Stack远程连线运维总体安全方案

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

华为云Stack远程连线运维安全方案说明

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全

  • ❶ 网络安全:防火墙隔离运维DMZ,端口按需开放、禁止高危端口和协议;通信都采用双向认证安全协议;客户云管理平面与数据平面隔离;通信收编到堡垒机和云梯
  • ❷ 运维操作安全:堡垒机集中运维授权管理,最小授权+最短授权访问;操作审计、录屏、可追溯;安全要求融入运维管理流程,通过流程管控运维安全风险
  • ❸ 应用安全:服务工具统一认证及授权,支持分权分域
  • ❹ 安全运维及审计:主机安全检测、漏洞扫描,日志审计及基于操作日志分析内部恶意行为
     云梯接入网关:反向建连,客户侧无监听端口,收编运维通信和协议; 运维API白名单化,提供API调用的数据审计;客户侧运维通道开关

华为云Stack主机容器安全能力全景

【hcie-cloud】【25】华为云Stack安全解决放案,HCIA(P、E)-cloud笔记,华为云,安全文章来源地址https://www.toymoban.com/news/detail-825400.html

  • ①安全镜像构建,包括基础镜像安全,镜像漏洞扫描,镜像签名等
  • ②账号认证审计,包括IAM认证,集群审计,事件监控等
  • ③部署及配置加固,包括镜像认证,RBAC配置,NetworkPolicy配置,PSP策略管理,安全实践指导书等
  • ④IaaS底座安全服务,包括VPC网络,防火墙等
  • ⑤容器基础安全服务,包括数据加密,证书管理,密钥管理,容器安全工具
  • ⑥容器网络防火墙,支持配置容器安全组,容器网络监控,网络通信加密等
  • ⑦容器安全运行时,支持运行时漏洞扫描,容器逃逸检测,安全容器沙箱,机密计算TEE,容器数据加密等
  • ⑧运行OS加固
  • ⑨服务网格加固,认证,安全等,流量控制

华为云Stack主机容器安全能力说明

  • 构建安全
    • ①安全镜像构建,包括基础镜像安全,镜像漏洞扫描,镜像签名等
  • 部署安全
    • ②账号认证审计,包括IAM认证,集群审计,事件监控等
    • ③部署及配置加固,包括镜像认证,RBAC配置,NetworkPolicy配置,PSP策略管理,安全实践指导书等
  • 运行时安全
  • ④IaaS底座安全服务,包括VPC网络,防火墙等
    • ⑤容器基础安全服务,包括数据加密,证书管理,密钥管理,容器安全工具
    • ⑥容器网络防火墙,支持配置容器安全组,容器网络监控,网络通信加密等
    • ⑦容器安全运行时,支持运行时漏洞扫描,容器逃逸检测,安全容器沙箱,机密计算TEE,容器数据加密等
    • ⑧运行OS加固
    • ⑨服务网格加固,认证,安全等,流量控制

学习推荐与缩略词

  • 学习推荐
    华为support网站:https://support.huawei.com
  • 缩略语
缩略语 英文全称 解释
EI Enterprise Intelligence 企业智能,华为云上针对人工智能类服务的统称。
UTM Unified Threat Management 统一威胁管理,具备入侵检测、防病毒、防火墙等功能的设备。
IPS Intrusion Prevention System 入侵防御系统,能够对入侵行为进行监测和阻断。
AV Anti-virus 防病毒系统,能够对病毒进行监测和查杀。
EIP Elastic IP 弹性IP,指对外连接使用的IP地址,可以是互联网Internet或者客户内部网络地址
VPN Virtual Private Network 一种系统配置,在此通过连接到可能包括专用网络容量的不同的网络开关,用户能够建立起一个专用网络。
VPC Virtual Private Cloud 虚拟私有云,在逻辑上进行资源隔离的一种网络技术手段,不同的VPC默认网络不通,相互隔离。
VRF Virtual Routing Forward 虚拟路由转发,在网络设备上进行路由隔离的一种技术手段。
VDC Virtual Data Center 虚拟数据中心,在HCS中用来模拟匹配用户组织架构,便于进行管理和资源分配。

到了这里,关于【hcie-cloud】【25】华为云Stack安全解决放案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为HCIE学习之open stack开篇(笔记)

    云计算是一种服务模式,而虚拟化是一种具体的技术。 Openstack是一个云操作系统,它通过各种组件对下层的各种资源进行整合、管理、调度。 如cinder,我们在界面上点击创建硬盘,然后通过cinder-api等一系列cinder组件的传递最后传递到driver,通过driver控制存储创建一个lun 相当

    2024年01月18日
    浏览(41)
  • 华为认证 | HCIE的数通和安全,哪个方向好?

    HCIE认证 中比较热门的包括 数通、安全、云计算、存储 等方向。 而不同方向的 HCIE认证 在不同的行业和领域中都有其 独特的价值 。 因此,在选择 HCIE认证 方向时,需要根据 自身的职业规划和行业需求 来进行选择。 那么,哪个方向 最有价值 , 含金量最高 呢? 跟随小编来

    2024年01月19日
    浏览(41)
  • HUAWEI CLOUD Stack 私有云解决方案(HCS)

    注明: 本文介绍的版本为HUAWEI CLOUD Stack 6.5(也叫华为云Stack或HCS), 在华为6.5版本以前的名字是FusionCloud 6.3, 最近更新的8.0版本不会差别太大,只是适配了ARM架构, 所以本文依旧是学习华为私有云解决方案的最佳首选! 企业IT向云化和数据智能逐步演进 企业云化转型的典

    2024年02月09日
    浏览(42)
  • 华为HCIE云计算实验操作(1)

    下载华为docker的repo(没有wget记得装一下)  软件仓库地址替换 更新索引文件并安装 查看docker的版本 配置镜像站地址 实验中用到的镜像全部来自于华为云SWR、镜像站地址设置为个人账户下的SWR中的镜像加速器地址 在华为云官网上看到镜像加速站地址为: https://e063606273a345

    2024年01月23日
    浏览(40)
  • 华为认证 | 想学HCIE,你得先学啥?

    考 华为HCIE证书 是一个 不简单 的事情,没有真才实学是很难通过HCIE考试认证的,所以你要一步一个脚印的 踏实学习 。 那么 想学HCIE先学什么 呢? 1. 建立坚实的网络基础知识 HCIE考试内容非常 广泛 ,包括 网络规划、设计、实施、优化、故障排除 等方面。 因此,建议先 打

    2024年02月14日
    浏览(44)
  • 华为云计算HCIE学习笔记-FusionCompute

    两个组件: VRM(Manager)可安装在物理机上部署也可以安装在VM(虚拟机中)。 VRM最多可以管理1024台服务器,每台服务器都是Linux上的KVM虚拟化。 VRM做的是统一的虚拟资源的管理。 CNA(Compute Node Agent)在物理服务器上部署。KVM架构。 KVM是实现计算资源、网络资源、存储资源

    2023年04月08日
    浏览(40)
  • 华为认证 | HCIE-云计算 考试大纲

    上次更新了HCIP的Datacom考纲,好多小伙伴来询问 云计算HCIE的相关内容,先安排上! 还想看什么方向的考纲, 私信我 ,发送暗号 「考纲」 ,我直接给你发更详细的内容哈! 华为云计算HCIE 培训定位 国内外大中型云数据中心的规划、设计、操作、部署以及运维优化 。 设计内

    2024年01月16日
    浏览(49)
  • 华为云计算HCIE学习笔记-FusionStorage

    专业阵列介绍(不是FS): 一个交换机上连有几个CNA和一个VRM,CNA连接着SAN交换机,SAN交换机连着专业的Array阵列,它是由一个控制框和几个硬盘框组成的。控制框如果是双控制器的话(双活控制),那么它有两个控制器A和B,控制器后面都有几个接口,两个控制器分别有一个

    2024年02月01日
    浏览(46)
  • 华为认证 | 学HCIE,想培训需要注意啥?

    HCIE(华为认证网络专家) 是华为技术认证体系中的 最高级别 认证,对于网络工程师来说考试难度也比较高,一般来说,需要进行培训。 那么 HCIE考试培训需要注意啥 ? 在开始准备HCIE认证之前, 了解认证要求 是非常重要的。 仔细阅读培训机构提供的 HCIE认证说明 ,了解认

    2024年02月14日
    浏览(35)
  • 【真】华为云计算HCIE实验-FCD环境搭建

    选择时区(openstack需要) 选择磁盘 配置网络 配置root密码(略) Huawei12#$ 访问:https://192.168.23.230:7443 默认帐号:admin,默认密码:cnp200@HW 编辑fcd_config.ini 截图截这张

    2024年02月16日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包