公有云的“安全关” 华为云安全概述

　　如果给企业上云顾虑划个等级，安全问题肯定摆在首要位置，其次才是供应商锁定、成本和管理能力等问题。从云计算诞生那天起，与不断演进的技术能力相对应的总是出于各种目的的攻击行为，云安全的议题从未打上休止符。

　　企业在灵活性与安全性之间摇摆，好的一面是公有云的安全能力稳步提升，不止一家公有云厂商向雷锋网表示，技术已经不是云安全问题的核心。

　　在公有云发展的大潮中，安全能力更是重中之重，用华为云的话来形容：“华为将云服务和云业务安全性保障的责任置于公司的商业利益之上”。不妨从实际行业案例看，华为云是如何把安全能力贯彻到用户需求之中。

　　云安全是基础

　　互联网电商是首批上云领域之一，相关数据显示，与传统IT模式相比，根据业务类型和规模不同，云计算的成本只有原来的1/3到1/10。与此同时，电商业务涉及线上支付、用户隐私等关键数据，电商上云面临更加复杂的网络安全环境。

　　雷锋网了解到，电商行业平台主要有四大痛点：

　　1）业务浪涌风险高：促销、秒杀、爆款等电商业务场景，瞬间访问量达到平常的几十至数百倍，导致服务器负载高，系统响应慢；瞬间的访问流量暴增，导致带宽占满、数据库瘫痪等，以致整个系统服务不可用；

　　2）用户体验差：电商业务涉及大量的静态数据，如产品图片，产品视频等，这些数据按照传统的方式放在服务器中，加载速度慢、耗时费钱，不同网络用户访问电商网站出现网页打开慢、网络延时等问题；

　　3）商业决策缺乏数据支撑：由于缺乏大数据平台及分析工具，无法对已有用户、商品、交易数据进行有效分析，导致电商网站存在推广投入高，用户二次下单率低等问题；

　　4）安全性难以保证：电商在站外引流、注册登录、浏览比较、获取优惠、下单、支付、交付及评价等环节存在撞库爆破、薅羊毛、黄牛倒卖、网页篡改、DDoS攻击、账号泄露、木马植入等一系列风险。

　　日前华为云助力某车企电商平台正式上线，基于车企客户最新技术并结合华为自身多年电商经验，打造成为汽车行业内领先的电商平台。该项目结合华为云的服务，如EI的驾驶证识别、内容审核、Elastic Search，CDN，PaaS产品的redis集群版、数据库，DDoS高仿、WAF、数据库审计等产品，与企业电商业务深度融合，大大节省了ISV的开发时间。

　　熟悉华为的用户可能知道，华为商城（VMALL）原有IT采用自建私有云方式，但随着业务量的提升和业务范围的扩大，原有私有云基础设施平台出现了资源、性能、业务瓶颈，华为云提供了一栈式的电商平台解决方案，华为商城整体迁移到华为云，成为国内首个All in Cloud的电商平台。华为云的能力属性和行业电商平台的项目痛点吻合。

　　电商行业的诉求大致相同，华为云能提供包括五个核心层面的能力和服务：

　　1) 数据安全：上不做应用，下不碰数据，保证客户数据安全；

　　2) 快速部署：提供一站式的开发和部署环境，帮助移电商快速上线，抢占市场先机；

　　3) 灵活弹性：弹性伸缩服务，负载均衡服务，从容应对用户的爆发式增长；

　　4) 安全防护：华为云在网络、主机、应用、数据、安全管理5大领域深耕，推出11款安全服务，包括DDoS高防、Web应用防火墙、数据库安全服务、云堡垒机等。这些服务，构筑起了一个完整的防护体系。用户可以利用这些服务从零开始构筑自己的防护系统，也可以选择在薄弱环节，像搭积木一样用其中的一两款安全产品来弥补当前的不足。

　　5) 大数据能力雄厚：基于全球Hadoop社区贡献排名第四的深厚业务积累，提供业界先进的大数据处理平台和技术。

　　雷锋网获悉，通过与华为云的合作，行业客户电商平台实现业务快速上线，云服务即买即用，业务上线的速度提升，解决传统架构不能满足的并发和抢购问题；同时华为云使用DDoS高仿、WEB应用防火墙、数据库安全服务、云堡垒机等安全产品，最大程度满足客户等保合规要求等；华为云的服务能力也相对突出，各种产品与服务稳定，故障响应及时。

　　华为云在面向行业客户提供的诸多安全产品是安全能力的一个体现，安全能力也是华为云提供的基础能力，在产品背后，华为云有一整套安全防护体系。

　　华为云的安全

　　华为云安全包括基础设施安全（物理和环境安全、云平台安全、网络安全、数据安全），服务安全（权限管理机制、外部防御攻击、网络隔离、数据安全），以及运维运营安全（安全事件管理、运维账号认证、运维权限管理、漏洞管理、集中日志管理、运维接入安全）。

　　华为云对每个环节都做了细致的规定，比如运维人员接入公有云管理网络对系统进行集中管理时需使用员工身份账号，使用多因子认证，包括USB key、Smart Card等，不仅是纯技术层面，华为云业已将工作人员疏忽纳入云安全考虑。

　　华为云安全的历史可追溯到2000年华为安全测试实验室的成立，华为云BU成立于2017年3月份，但是安全能力的积淀随华为生长而成。华为云BU成立的六个月后，华为云安全白皮书3.0版本正式发布，不同于1.0的内部版本和2.0的初步安全实践，3.0版本涵盖了华为长年积累的网络安全经验和优势，以及在云安全领域的技术积累与运营实践，华为云摸索出了一整套行之有效的云安全战略和实践。

　　今年9月份，华为云进一步发布了数据安全白皮书，针对如何保障企业云上数据安全，华为云 “不碰数据”确立了华为云数据中立原则。

　　此外，华为云还将AI能力用于安全防护，今年华为全联接大会期间，华为云发布了米兰达（Miranda）安全AI平台，该平台集合了华为长年的AI积累的模型和算法，经过人工专家训练之后，能发现人工发现不了的安全威胁，实现换代式的安全技术突破。

　　在华为云自身的安全体系外，安全合规标准保证了云计算厂商能为用户提供符合国内外安全合规的云服务。雷锋网(公众号：雷锋网)了解到，11月27日，工业和信息化部网络安全管理局发布了《关于相关企业网络与信息安全检查结果的公示》，某云巨头被点名，一是未对正式上线运行的系统进行定级备案；二是未建立互联网信息安全管理系统同步配套和运维管理制度。

　　如前所述，如果说技术问题不是云安全问题的核心，那么，公有云厂商自我设立行为边界就显得尤为重要。华为云是国内最早提出“三不”原则的云厂商，不做应用，不碰数据，不做股权投资，已经成为华为云的安全代名词。

　　在今年举办的2018中国工业互联网大会，华为公司副总裁、云BU总裁郑叶来更进一步阐述了对工业领域的云安全理念：明确数据主权，目的要纯粹；明确知识产权和保护商业机密，让人要放心；实事求是的宣传功效，解决客户实际问题；坚持开放的平台，积极汲取产业界先进的工具和能力。

　　2018年，华为云通过各类权威安全合规认证超过十个，平均一个月拿下一个。雷锋网了解到，云服务的安全合规认证主要分为三类：

　　1、基本认证类，满足通用安全标准，相当于一个普适的安全要求，所有行业都可以通过它来提升平台的安全性，如华为云持有的云安全CSA STAR金牌认证、ISO27001、公安部安全等保四级等。

　　2、区域认证类，满足所在特定区域的安全要求，如华为云已在德国获得的Trusted Cloud、IT- Grundschutz认证等。

　　3、行业/服务增强认证类，即针对特定行业，进行更强的安全认证，满足这部分行业客户的安全要求，如华为云通过的PCI-DSS认证，可提升金融、支付业务的安全性；工信部可信云认证，用以提升服务安全性等。

　　云安全形势复杂，不可能有一家厂商能独立解决所有问题，比如Spectre和Meltdown等底层基础架构漏洞，这就要求公有云厂商构建强大的安全合作伙伴生态。

　　雷锋网获悉，在安全技术合作方面，华为云与40多家国内外安全伙伴展开深入合作，在公有云上提供数百个安全产品及服务；在安全商业服务方面，华为拥有全球400多家解决方案伙伴，包括 Accenture、SAP、Infosys、ESI等合作，帮助客户设计行业安全解决方案及商业模式，加速行业数字化转型。仅2018年，国内云市场入驻的安全厂商新增了100多家，引入了Spirent、Mcafee、Rapid7、RSA等国际知名安全公司为华为云用户提供服务，包括云安全测试、云风险管理等多个方面。

　　“华为云以数据保护为核心，以云安全能力为基石，以法律法规业界标准遵从为城墙，以安全生态圈为护城河，依托华为独有的软、硬件优势，打造业界领先的竞争力，构建起面向不同区域、不同行业的完善云服务安全保障体系，并将其作为华为云的重要发展战略之一”，华为云如是表态。

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

原文链接：https://www.leiphone.com/news/201812/EkHCG1yZJEE8eRtJ.html