华为云安全体系采用 “一个中心 + 七层防线” 的架构,以安全云脑为中心,提供覆盖物理、身份、网络、应用、主机、数据和运维层面的纵深协同防御。其具体介绍:
- 物理安全防线:华为云建设和运营的数据中心实施五层安全防护,包括机房容灾、人员管理、运维审计、数据销毁和物理隔离、CCTV 和门禁等防护措施。对于部署在企业自建机房的专属云,企业需自己做好物理安全防护。
- 身份认证防线:基于零信任理念做好身份认证和权限管理,授权遵从最小授权原则,用户认证默认启用多因素认证,管理好特权账号,对用户在云平台上的任何操作进行记录和审计。
- 网络防线:核心是做好网络边界防护和内网东西向的访问控制。网络边界防护方面,客户可基于华为云提供的云防火墙、VPC 的安全组和 ACL 实施网络边界访问控制,CFW 内置网络入侵检测、入侵防御功能,网络边界策略严格按白名单开通,禁止对外开放高危端口和协议。东西向网络防护方面,对不同业务按密级实施分层分级管理,将不同密级业务部署在不同 VPC 中,通过 VPC 实施大的网络安全域隔离,通过 CFW 实施东西向 VPC 网络之间访问控制,并通过 VPC 的安全组和 ACL 在 VPC 内进一步实施网络微分段隔离。
- 应用防线:面向互联网发布的应用默认部署 WAF 防护。重视在软件安全工程上的投入,提高应用的内生安全能力,优先关注面向外部网络暴露的应用,同时识别内部核心关键应用,对这些应用优先实施针对性的安全加固。
- 主机防线:主机上全面覆盖主机安全产品,帮助做好主机的漏洞管理、安全配置管理等基础性工作。
- 数据防线:做好数据资产的主动发现和分类分级,围绕数据全生命周期开展数据安全治理工作,对重要数据使用过程中考虑脱敏、加密、审计等措施,对重要数据做好备份。基于身份控制策略、网络控制策略和资源控制策略构筑坚固的数据安全边界,保障敏感数据不泄露。
- 运维防线:限制只能从安全的网络环境发起运维活动,并为运维人员建立专门的运维访问通道,如让运维人员使用专门的运维服务、堡垒机接入运维,尽量减少黑屏运维操作,降低运维活动过程中的不确定性,确保运维的活动可审计可追溯。
- 一个中心:安全防护三分在于技术,七分在于运营。通过一个统一的安全运营平台 —— 安全云脑,将各种安全产品能力有机整合起来,将安全防护效果最大化。安全云脑集全面态势感知、深度智能分析与高效自动化处置能力于一身,为用户提供云上风险可视、攻击可视、响应可视和待办工单可视的统一展示平台,具备全局关联分析、预置 200 多个安全检测模型、智能算法及高效的告警降噪能力,还预置 30 多个安全剧本,99% 告警可自动化闭环,并支持第三方共享安全剧本、自定义剧本,能一键实现策略下发、一键止血,完成一站式响应处置。
华为云还通过采用 “云上云下一体化” 模式,将云端与本地资源进行深度融合,实现企业内外部安全防护的无缝对接,打造出统一、高效的安全管理平台。同时,华为云安全体系从组织结构、业务流程、人员管理、技术能力、安全合规、生态构建等多方面综合梳理构建,以合规安全为底座,遵从所在国家和区域的相关法律法规,通过跨行业、跨区域的云安全认证满足监管机构要求。在安全运营方面,依托全球三大安全运营中心进行常态化安全运营,超 70% 的安全事件可在分钟内闭环,超 99% 的事件可在 5 分钟内闭环。
