华为云安全白皮书V3.2.pdf

资源描述

华为云安全白皮书V3.2.pdf

《华为云安全白皮书V3.2.pdf》由会员分享，可在线阅读，更多相关《华为云安全白皮书V3.2.pdf（66页珍藏版）》请在冰点文库上搜索。

华为云安全白皮书V3.2.pdf

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司华为技术有限公司地址：

深圳市龙岗区坂田华为总部办公楼邮编：

518129网址：

https:

/客户服务邮箱：

客户服务电话：

2017年初，华为云部（CloudBusinessUnit,akaCloudBU）正式成立，重新启程，开启华为云新时代。

华为云迎难而上，视挑战为机遇，恪守业务边界，携手生态伙伴，共同打造安全、可信的云服务，为客户业务赋能增值、保驾护航。

华为云通过结合业界先进的云安全理念、世界领先的CSP优秀安全实践、华为长年积累的网络安全经验和优势以及在云安全领域的技术积累与运营实践，摸索出了一整套行之有效的云安全战略和实践。

华为云已经构建起多维立体、纵深防御和合规遵从的基础设施架构，用以支撑并不断完善涵盖了IaaS、PaaS和SaaS等具有优良安全功能的常用云服务。

在这背后，是华为云高度自治的扁平化组织，具备高度安全意识和能力的研发运维运营团队，先进的云服务DevOps/DevSecOps1流程，以及日益繁荣的云安全生态圈。

华为云将一如既往，本着租户业务优先的原则，携手生态伙伴，不断发布高质量的云服务增值安全功能、高级云安全服务和安全咨询服务，切实保护租户利益，帮助租户持续扩大业务，提升华为云市场竞争力，实现用户、合作伙伴、华为云三者的长期共赢。

藉此，华为云隆重推出华为云安全白皮书（简称“白皮书”），将华为云对云安全的丰富经验，分享给用户，分享给业界，以求相互了解，相互借鉴，共同推动云行业、云安全行业的开放与发展。

本白皮书面向各行业、各地区的广大读者群：

从租户、生态伙伴和社区到互联网用户从大中小型企业客户到个人用户从决策层、管理层到IT、安全和隐私保护等云服务相关的技术岗位人员，以及其他相关岗位人员（主要包括营销、采购/合同、合规审计等云服务相关人员）。

说明说明1.DevOps和DevSecOps目前尚没有很好的统一中文译名。

DevOps是随着云服务发展而由高科技公司的实践派而非理论派创造并逐渐成熟的从研发到运营的全线工程流程和工具链实践。

由于DevOps需要支撑云服务和其他线上功能的持续集成持续部署（CI/CDContinuousIntegration/ContinuousDeployment），传统的瀑布流程和敏捷流程下的安全周期管理（SDLSecurityDevelopmentLifecycle）已大部分不适应新的节奏。

安全必须无缝嵌入并实现高度自动化，这也就自然而然地形成了名为DevSecOps的全新安全周期管理。

通过华为对国内外业界主流云服务和其他线上服务公司的调研，一个不争的事实是这些公司已经越来越普遍地大范围采用DevOps/DevSecOps工程流程和工具链实践。

将安全无缝嵌入的DevOps/DevSecOps非但不会削弱安全，反而通过高度自动化对安全有高效的提升。

华为云安全白皮书导读文档版本3.2（2020-08-14）版权所有华为技术有限公司iii目目录录导读导读.ii1云安全战略云安全战略.12责任共担模型责任共担模型.42.1华为云的安全责任.52.2租户的安全责任.63安全合规与隐私保护安全合规与隐私保护.73.1安全合规与标准遵从.73.2隐私保护.84安全组织和人员安全组织和人员.104.1安全组织.104.2安全与隐私保护人员.104.3内部审计人员.114.4人力资源管理.114.4.1安全意识教育.114.4.2网络安全能力提升.124.4.3重点岗位管理.124.5安全违规问责.125基础设施安全基础设施安全.145.1物理与环境安全.145.1.1物理安全.145.1.2环境安全.155.2网络安全.155.2.1安全区域划分与隔离.165.2.2业务平面划分与隔离.175.2.3高级边界防护.175.3平台安全.185.3.1CPU隔离.185.3.2内存隔离.185.3.3I/O隔离.195.4API应用安全.195.5数据安全.20华为云安全白皮书目录文档版本3.2（2020-08-14）版权所有华为技术有限公司iv5.5.1访问隔离.205.5.2传输安全.205.5.3存储安全.215.5.4数据删除与销毁.226租户服务与租户安全租户服务与租户安全.246.1计算服务.246.1.1弹性计算服务（ECS）.246.1.2镜像服务（IMS）.256.1.3弹性伸缩服务（AS）.256.1.4专属主机服务（DeH）.266.1.5裸金属服务（BMS）.266.2网络服务.266.2.1虚拟私有云服务（VPC）.266.2.2弹性负载均衡服务（ELB）.296.2.3云解析服务（DNS）.306.3存储服务.306.3.1云硬盘服务（EVS）.306.3.2云备份服务（CBR）.316.3.3内容分发网络（CDN）.316.3.4对象存储服务（OBS）.316.3.5数据快递服务（DES）.336.4数据库服务.346.4.1关系型数据库服务（RDS）.346.4.2文档型数据库服务（DDS）.356.4.3分布式缓存服务（DCS）.366.5数据分析服务.366.5.1MapReduce服务（MRS）.366.6应用服务.376.6.1消息通知服务（SMN）.376.6.2分布式消息服务（DMS）.376.6.3云桌面服务（Workspace）.386.7管理服务.396.7.1云监控服务（CES）.396.7.2云审计服务（CTS）.396.7.3企业项目管理服务（EPS）.406.7.4标签管理服务（TMS）.406.7.5资源模板服务（RTS）.416.8安全服务.416.8.1统一身份认证服务（IAM）.416.8.2数据加密服务（DEW）.426.8.3防DDoS攻击服务（Anti-DDoSService）.446.8.4企业主机安全服务（HSS）.44华为云安全白皮书目录文档版本3.2（2020-08-14）版权所有华为技术有限公司v6.8.5容器安全服务（CGS）.456.8.6云Web应用防火墙服务（WAF）.456.8.7数据库安全服务（DBSS）.467工程安全工程安全.497.1DevOps和DevSecOps流程.497.1.1双轨制（DualPath）机制.507.2安全设计.507.3安全编码和测试.507.4第三方软件安全管理.517.5配置与变更管理.517.6上线安全审批.518运维运营安全运维运营安全.538.1O&M账号运营安全.538.1.1账号认证.538.1.2权限管理.538.1.3接入安全.548.2漏洞管理.548.2.1漏洞感知.548.2.2漏洞响应和处理.558.2.3漏洞披露.558.3安全日志和事件管理.558.3.1日志管理和审计.558.3.2快速发现与快速定界.568.3.3快速隔离与快速恢复.568.4业务连续与灾难恢复.568.4.1基础设施高可用.578.4.2可用区之间灾备复制.578.4.3业务连续性计划和测试.579安全生态安全生态.58华为云安全白皮书目录文档版本3.2（2020-08-14）版权所有华为技术有限公司vi1云安全战略云安全战略随着电信网络和信息技术，尤其是云服务相关技术的不断演进与发展，网络安全和云安全面临的威胁和挑战将日益严重。

网络安全和云安全已经成为多维度的全球性挑战，只有通过全球范围内技术厂商，供应商，客户，标准、政策与法律制定者之间的合作，才能在应对该挑战上取得积极显著的成效。

我们必须共享知识和经验，务实合作，共同努力，减少技术被滥用所导致的不可预期风险。

作为全球领先的信息和通信技术（ICTInformationandCommunicationTechnology）解决方案供应商，华为技术有限公司（以下简称“华为”）充分理解网络安全和云安全的重要性，并充分理解各国政府及客户对此的担忧与高度关注。

针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击1，华为对安全问题的忧患意识也日益紧迫，高度重视在网络安全和云安全技术能力、合规及生态上的投入，并采取切实有效的措施，加速开发云安全技术和服务，提升公司云产品和云服务的安全性，提升云安全合规和生态建设，帮助客户规避和减少云安全风险，以赢得各利益相关方的信赖。

华为认为，构建一个开放、透明、可视的多维全栈云安全框架，将有助于整个云服务产业健康持续发展，并将促进云技术创新。

华为云秉承华为公司创始人、CEO任正非先生提出的“将公司对网络和业务安全性保将公司对网络和业务安全性保障的责任置于公司的商业利益之上障的责任置于公司的商业利益之上”。

在安全至上的企业文化氛围中，华为云不断汲取公司安全养分，脚踏实地，不断前行。

华为云安全的历史可追溯到2000年华为安全测试实验室成立。

从那时起，近20年来，华为持续不懈地构建自身安全能力，这些能力积累，渗透到了云安全服务研发的每个毛细血管中，构筑了华为云多维立体、全栈防护的安全体系：

2003年，推出业界首款基于网络处理器（NPNetworkProcessor）的防火墙；2008年，与赛门铁克（Symantec）合资成立华赛公司（Huawei-Symantec）安全产品线，专注安全领域；2011年，成立安全能力中心，专攻研发安全能力；2012年，华为网络安全产品国内市场占有率第一；2015年，云安全解决方案及服务全面上线；2016年，云安全全球化布局，密钥管理服务（KMS）和防DDoS攻击服务（Anti-DDoS）在德国、西班牙上线；2017年，推出DDoS高流量防护（高防）、数据库防火墙等系列高增值安全服务；2018年，推出专属加密服务（DHSM）。

网络安全和隐私保护是华为的最高纲领网络安全和隐私保护是华为的最高纲领。

华为云在此承诺：

华为云以数据保护为核华为云以数据保护为核心，以云安全能力为基石，以法律法规业界标准遵从为城墙，以安全生态圈为护城心，以云安全能力为基石，以法律法规业界标准遵从为城墙，以安全生态圈为护城河，依托华为独有的软、硬件优势，打造业界领先的竞争力，构建起面向不同区域、河，依托华为独有的软、硬件优势，打造业界领先的竞争力，构建起面向不同区域、不同行业的完善云服务安全保障体系，并将其作为华为云的重要发展战略之一。

不同行业的完善云服务安全保障体系，并将其作为华为云的重要发展战略之一。

华为云在遵从所有适用的国家和地区的安全法规政策、国际网络安全和云安全标准，参考行业最佳实践的基础上，从组织、流程、规范、技术、合规、生态和等方面建立并管理完善、高可信、可持续的安全保障体系，并与有关政府、客户及行业伙伴以开放透明的方式，共同应对云安全挑战，全面满足云服务用户的安全需求。

全球网络安全与用户隐私保护官（GSPOGlobalSecurity&PrivacyOfficer）是GSPC的重要成员，负责领导团队制定安全战略，统一规划、管理和监督研发、供应链、市场与销售、工程交付及技术服务等相关体系的安全组织和业务，确保网络安全保障体系在各体系、各区域、全流程的实施，积极推动与政府、客户、合作伙伴、员工等各利益相关方的沟通。

华为云建立并完善其适合云服务持续集成、持续部署的扁平化组织。

在业务流程方面在业务流程方面，安全保障活动融入研发、供应链、市场与销售、工程交付及技术服务等各主业务流程中。

安全作为质量管理体系的基本要求，通过管理制度和技术规范来确保其有效实施。

华为通过内部审计和接受各国政府安全部门、第三方独立机构的安全认证和审计等来监督和改进各项业务流程。

2004年起，华为的安全管理体系通过了BS7799-2/ISO27001认证。

华为云在公司级的业务流程基础上，大胆地将已在华为全面采用的安全周期管理（SDLSecurityDevelopmentLifecycle）集成于当前适合云服务的DevOps工程流程和技术能力，形成有华为特色的DevSecOps方法论和工具链，既支撑云业务的敏捷上线，又确保研发部署的全线安全质量。

在人员管理方面在人员管理方面，华为云严格执行华为长期以来行之有效的人事和人员管理机制。

华为全体员工、合作伙伴及外部顾问都必须遵从公司相关安全政策，接受安全培训，使安全理念融入整个组织之中。

华为对积极执行网络安全保障政策的员工给予奖励，对违反的员工给予处罚，违反相关法律法规的员工，还将依法承担法律责任。

在云安全技术能力方面在云安全技术能力方面，依托华为自身强大的安全研发能力，以数据保护为核心，开发并采用世界领先的云安全技术，致力于实现高可靠、智能化的云安全防护和自动化的云安全运维运营体系。

同时，通过对现网安全态势的大数据分析，有目的地识别出华为云存在的重要安全风险、威胁和攻击，并采取防范、削减和解决措施；通过多维、立体、完善的云安全防御、监控、分析和响应等技术体系支撑云服务运维运营安全，实现对云安全风险、威胁和攻击的快速发现、快速隔离和快速恢复，让租户受益于华为云先进技术带来的便捷、安全与业务增值。

在云安全合规方面在云安全合规方面，面向提供云服务的地区，华为云积极与监管机构对话，理解他们的担忧和要求，贡献华为云的知识和经验，不断巩固华为在云技术、云服务和云安全方面与相关法律法规的契合度。

同时，华为也将法律法规的分析结果共享给租户，避免信息缺失导致的违规风险，通过合同明确双方的安全职责。

在云安全生态方面在云安全生态方面，华为云认识到单靠一个公司、一个组织的力量不足以应对日益复杂的云安全威胁与风险。

因此，华为云诚邀全球所有安全伙伴，携手共建云安全商业和技术生态体系，共同向租户提供安全保障与服务。

华为云的云市场（Marketplace）欢迎具备技术竞争力的安全技术企业、组织和个人发布云安全服务；同时，华为云诚邀云业务商业合作伙伴，利用自身对云服务云安全行业的独到经验和见解，组合安全服务，形成行业级云安全解决方案。

华为云愿意与所有志同道合的伙伴分享云安全市场。

同时，华为积极、持续地参与着国内外云安全组织和电信标准组织的安全标准制定，努力保障全球客户的安全，为行业的健康发展作出应有的贡献。

总之，华为愿意以开放透明的心态，与各国政府、客户、行业组织和行业伙伴开展各种形式的安全交流与合作，共同应对全球云安全的威胁与挑战！

说明说明1.云安全联盟（CSACloudSecurityAlliance）对云安全挑战、威胁与攻击进行了系统而持续的梳理，请参考云安全联盟之云安全威胁排行榜云安全联盟之云安全威胁排行榜。

云服务与传统数据中心存在明显差异，前者对云安全整体设计和实践更侧重于为租户提供完善的、多维度的、按需要任意定制、组合的各种安全和隐私保护功能和配置，涵盖基础设施、平台、应用及数据安全等各个层面。

同时，不同的云安全服务又进一步为租户提供了各类可自主配置的高级安全选项。

这些云安全服务需要通过深度嵌入各层云服务的安全特性、安全配置和安全管控来实现，并通过可整合多点汇总分析的、日趋自动化的云安全运维运营能力来支撑。

我们在下面几章将讲述华为作为云服务供应商（CSP），如何实现如此复杂的云安全系统工程以及研发和运维运营的优秀安全实践。

本章首先介绍华为云按业界常规做法定义的华为云服务安全责任共担模型，如下图：

图图2-1华为云安全责任共担模型其中绿色部分为华为云负责，蓝色部分责任由租户承担。

华为云负责云服务自身的安全，提供安全的云；租户负责云服务内部的安全，安全的使用云。

数据安全：

指华为云中租户的业务数据自身的安全管理，包括数据完整性认证、加密、访问控制等。

应用安全：

指在华为云中的支撑运维运营，以及支撑用户业务等应用系统的安全管理，包括应用的设计、开发、发布、配置和使用等。

指在华为云中的微服务、管理、中间件等平台类的安全管理，包括平台的设计、开发、发布、配置和使用等。

基础服务安全：

指华为云提供的计算、网络、存储等方面的安全管理，包括云计算、云存储、云数据库等服务的底层管理（如虚拟化控制层）和使用管理（如虚拟主机），以及虚拟网络、负载均衡、安全网关、VPN、专线链路等。

物理基础设施安全：

华为云的区域、可用区和终端节点涉及机房、环境的安全管理，以及物理服务器和网络设备等设施的管理。

华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。

同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和IAM层的多维立体安全防护体系，并保障其运维运营安全。

租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。

同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和IAM层的各项安全防护措施的定制配置，运维运营安全，以及用户身份的有效管理。

2.1华为云的安全责任华为云的安全责任华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。

这不但包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从（第3.1章节有专门介绍，在此不赘述）。

华为云一方面确保各项云技术的安全开发、配置和部署；另一方面，华为云负责所提供云服务的运维运营安全，例如，对安全事件实现快速发现、快速隔离、快速响应，确保云服务的快速恢复。

同时采用适合云服务的漏洞管理机制，对云服务安全漏洞及时应急响应，保证适合CSP运维周期的快速发布和不影响租户服务的持续部署，包括不断优化云产品默认安全配置、补丁装载前置于研发阶段和灵活简化安全补丁部署周期等措施。

另外，华为云的安全责任还表现在开发有强大市场竞争力、为华为云租户业务增值的云安全服务。

华为云将其基础设施的安全与隐私保护视为运维运营安全的重中之重。

基础设施主要包括支撑云服务的物理环境，华为自研的软硬件，以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云服务的系统设施。

同时，华为云深度集成第三方安全技术或服务，并负责对其进行安全运维。

华为云还负责其支撑的各项云服务的自身安全配置和版本维护。

华为云对租户数据提供机密性、完整性、可用性、持久性、认证、授权、以及不可否认性等方面的全面数据保护功能，并对相关功能的安全性负责。

但是，华为云只是租户数据托管者，租户对其数据拥有所有权和控制权。

华为云绝不允许运维运营人员在未经授权的情况下访问租户数据。

华为云关注内外部合规要求的变化，负责遵从华为云服务所必需的安全法律法规，开展所服务行业的安全标准评估，并且向租户分享我们的合规实践，保持应有的透明度。

华为云携手云安全商业合作伙伴向租户提供咨询服务，协助租户对虚拟网络，虚拟机（包括虚拟主机和访客虚拟机）的安全配置，系统和数据库安全补丁管理，虚拟网络的防火墙、API网关（APIGWAPIGateway）和高级安全服务的定制配置，DoS/DDoS攻击防范，租户安全事件的应急响应以及灾难恢复。

华为云安全白皮书2责任共担模型文档版本3.2（2020-08-14）版权所有华为技术有限公司52.2租户的安全责任租户的安全责任华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。

租户的安全责任细节由最终所使用的云服务来决定，具体到租户负责执行什么默认和定制的安全配置。

对于华为云的各项云服务，华为云只提供租户执行特定安全任务所需的资源、功能和性能，而租户需负责各项租户可控资源的安全配置工作。

租户负责部署配置其虚拟网络的防火墙，网关和高级安全服务等的策略配置，租户空间的虚拟网络、虚拟主机和访客虚拟机等云服务所必需的安全配置和管理任务（包括更新和安全补丁）、容器安全管理、大数据分析等平台服务的租户配置，以及其他各项租户租用的云服务内部的安全配置等。

租户也负责对其自行部署在华为云的任何应用程序软件或实用程序进行安全管理。

在配置云服务时，租户负责各项安全配置在部署到生产环境前做好充分测试，以免对其应用和业务造成负面影响。

对大多数云服务的安全性而言，租户只需配置账户对资源的访问控制并妥当保管账户凭证。

少数云服务需要执行其他任务，才能达到应有的安全性，例如使用数据库服务时，在华为云执行数据库整体安全配置的同时，租户还需设置用户账户和访问控制规则。

各项监控管理服务和高级安全服务具有较多安全配置选项，租户可寻求华为云和其合作伙伴的技术支持，以确保安全性。

无论使用哪一项华为云服务，租户始终是其数据的所有者和控制者。

租户负责各项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证和鉴权进行有效保障。

在使用统一身份认证服务（IAM

展开阅读全文