1、華為云安全白皮書華為云安全白皮書文檔版本文檔版本3.2發布日期發布日期2020-08-14華為技術有限公司華為技術有限公司導讀導讀過去幾年中，華為云與所有云服務供應商（CSP Cloud Service Provider）和客戶一樣，面臨著層出不窮的云安全挑戰，不斷探索，收獲頗多。2017年初，華為云部（Cloud Business Unit, aka Cloud BU）正式成立，重新啟程，開啟華為云新時代。華為云迎難而上，視挑戰為機遇，恪守業務邊界，攜手生態伙伴，共同打造安全、可信的云服務，為客戶業務賦能增值、保駕護航。華為云通過結合業界先進的云安全理念、世界領先的 CSP 優秀安全實踐、華

2、為長年積累的網絡安全經驗和優勢以及在云安全領域的技術積累與運營實踐，摸索出了一整套行之有效的云安全戰略和實踐。華為云已經構建起多維立體、縱深防御和合規遵從的基礎設施架構，用以支撐并不斷完善涵蓋了 IaaS、 PaaS 和 SaaS 等具有優良安全功能的常用云服務。在這背后，是華為云高度自治的扁平化組織，具備高度安全意識和能力的研發運維運營團隊，先進的云服務 DevOps/DevSecOps1 流程，以及日益繁榮的云安全生態圈。華為云將一如既往，本著租戶業務優先的原則，攜手生態伙伴，不斷發布高質量的云服務增值安全功能、高級云安全服務和安全咨詢服務，切實保護租戶利益，幫助租戶持續擴大業務，提升華為

3、云市場競爭力，實現用戶、合作伙伴、華為云三者的長期共贏。藉此，華為云隆重推出華為云安全白皮書（簡稱“白皮書”），將華為云對云安全的豐富經驗，分享給用戶，分享給業界，以求相互了解，相互借鑒，共同推動云行業、云安全行業的開放與發展。本白皮書面向各行業、各地區的廣大讀者群：從租戶、生態伙伴和社區到互聯網用戶從大中小型企業客戶到個人用戶從決策層、管理層到 IT、安全和隱私保護等云服務相關的技術崗位人員，以及其他相關崗位人員 (主要包括營銷、采購/合同、合規審計等云服務相關人員)。說明說明1.DevOps 和 DevSecOps 目前尚沒有很好的統一中文譯名。DevOps 是隨著云服務發展而由高科技公司

4、的實踐派而非理論派創造并逐漸成熟的從研發到運營的全線工程流程和工具鏈實踐。由于 DevOps 需要支撐云服務和其他線上功能的持續集成持續部署 （CI/CD Continuous Integration/Continuous Deployment），傳統的瀑布流程和敏捷流程下的安全周期管理（SDL Security DevelopmentLifecycle）已大部分不適應新的節奏。安全必須無縫嵌入并實現高度自動化，這也就自然而然地形成了名為 DevSecOps 的全新安全周期管理。通過華為對國內外業界主流云服務和其他線上服務公司的調研，一個不爭的事實是這些公司已經越來越普遍地大范圍采用 DevO

5、ps/DevSecOps 工程流程和工具鏈實踐。并且，采用DevOps/DevSecOps 的結果也顯示了傳統 IT 安全人員源于直覺的擔憂是杞人憂華為云安全白皮書導讀文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司ii天。將安全無縫嵌入的DevOps/DevSecOps 非但不會削弱安全，反而通過高度自動化對安全有高效的提升。華為云安全白皮書導讀文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司iii目目 錄錄導讀導讀.ii1 云安全戰略云安全戰略.12 責任共擔模型責任共擔模型.42.1 華為云的安全責任. 52.2 租戶的安全責任.63 安全合規與隱私保

6、護安全合規與隱私保護. 73.1 安全合規與標準遵從.73.2 隱私保護.84 安全組織和人員安全組織和人員.104.1 安全組織. 104.2 安全與隱私保護人員. 104.3 內部審計人員.114.4 人力資源管理.114.4.1 安全意識教育. 114.4.2 網絡安全能力提升. 124.4.3 重點崗位管理. 124.5 安全違規問責.125 基礎設施安全基礎設施安全.145.1 物理與環境安全. 145.1.1 物理安全.145.1.2 環境安全.155.2 網絡安全. 155.2.1 安全區域劃分與隔離. 165.2.2 業務平面劃分與隔離. 175.2.3 高級邊界防護. 175

7、.3 平臺安全. 185.3.1 CPU 隔離.185.3.2 內存隔離.185.3.3 I/O 隔離.195.4 API 應用安全. 195.5 數據安全. 20華為云安全白皮書目 錄文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司iv5.5.1 訪問隔離.205.5.2 傳輸安全.205.5.3 存儲安全.215.5.4 數據刪除與銷毀.226 租戶服務與租戶安全租戶服務與租戶安全. 246.1 計算服務. 246.1.1 彈性計算服務（ECS）. 246.1.2 鏡像服務（IMS）. 256.1.3 彈性伸縮服務 (AS).256.1.4 專屬主機服務 (DeH). 2

8、66.1.5 裸金屬服務（BMS）.266.2 網絡服務. 266.2.1 虛擬私有云服務 (VPC).266.2.2 彈性負載均衡服務（ELB）.296.2.3 云解析服務（DNS）.306.3 存儲服務. 306.3.1 云硬盤服務（EVS）. 306.3.2 云備份服務（CBR）.316.3.3 內容分發網絡（CDN）. 316.3.4 對象存儲服務（OBS）. 316.3.5 數據快遞服務（DES）.336.4 數據庫服務.346.4.1 關系型數據庫服務（RDS）.346.4.2 文檔型數據庫服務（DDS）. 356.4.3 分布式緩存服務（DCS）.366.5 數據分析服務.366

9、.5.1 MapReduce 服務（MRS）. 366.6 應用服務. 376.6.1 消息通知服務（SMN）.376.6.2 分布式消息服務（DMS）.376.6.3 云桌面服務（Workspace）. 386.7 管理服務. 396.7.1 云監控服務（CES）. 396.7.2 云審計服務（CTS）. 396.7.3 企業項目管理服務（EPS）.406.7.4 標簽管理服務（TMS）.406.7.5 資源模板服務（RTS）.416.8 安全服務. 416.8.1 統一身份認證服務（IAM）.416.8.2 數據加密服務（DEW）.426.8.3 防 DDoS 攻擊服務（Anti-DDoS

10、 Service）. 446.8.4 企業主機安全服務（HSS）.44華為云安全白皮書目 錄文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司v6.8.5 容器安全服務（CGS）. 456.8.6 云 Web 應用防火墻服務（WAF）. 456.8.7 數據庫安全服務（DBSS）.467 工程安全工程安全.497.1 DevOps 和 DevSecOps 流程. 497.1.1 雙軌制（Dual Path）機制. 507.2 安全設計. 507.3 安全編碼和測試. 507.4 第三方軟件安全管理. 517.5 配置與變更管理. 517.6 上線安全審批.518 運維運營安全運

11、維運營安全.538.1 O&M 賬號運營安全.538.1.1 賬號認證.538.1.2 權限管理.538.1.3 接入安全.548.2 漏洞管理. 548.2.1 漏洞感知.548.2.2 漏洞響應和處理.558.2.3 漏洞披露.558.3 安全日志和事件管理. 558.3.1 日志管理和審計.558.3.2 快速發現與快速定界. 568.3.3 快速隔離與快速恢復. 568.4 業務連續與災難恢復. 568.4.1 基礎設施高可用.578.4.2 可用區之間災備復制. 578.4.3 業務連續性計劃和測試.579 安全生態安全生態.58華為云安全白皮書目 錄文檔版本 3.2(2020-08

12、-14)版權所有 華為技術有限公司vi1 云安全戰略云安全戰略隨著電信網絡和信息技術，尤其是云服務相關技術的不斷演進與發展，網絡安全和云安全面臨的威脅和挑戰將日益嚴重。網絡安全和云安全已經成為多維度的全球性挑戰，只有通過全球范圍內技術廠商，供應商，客戶，標準、政策與法律制定者之間的合作，才能在應對該挑戰上取得積極顯著的成效。我們必須共享知識和經驗，務實合作，共同努力，減少技術被濫用所導致的不可預期風險。作為全球領先的信息和通信技術（ICT Information and CommunicationTechnology）解決方案供應商，華為技術有限公司（以下簡稱“華為”）充分理解網絡安全和云安全

13、的重要性，并充分理解各國政府及客戶對此的擔憂與高度關注。針對層出不窮的云安全挑戰和無孔不入的云安全威脅與攻擊1，華為對安全問題的憂患意識也日益緊迫，高度重視在網絡安全和云安全技術能力、合規及生態上的投入，并采取切實有效的措施，加速開發云安全技術和服務，提升公司云產品和云服務的安全性，提升云安全合規和生態建設，幫助客戶規避和減少云安全風險，以贏得各利益相關方的信賴。華為認為，構建一個開放、透明、可視的多維全棧云安全框架，將有助于整個云服務產業健康持續發展，并將促進云技術創新。華為云秉承華為公司創始人、CEO 任正非先生提出的“將公司對網絡和業務安全性保將公司對網絡和業務安全性保障的責任置于公司的

14、商業利益之上障的責任置于公司的商業利益之上”。在安全至上的企業文化氛圍中，華為云不斷汲取公司安全養分，腳踏實地，不斷前行。華為云安全的歷史可追溯到2000年華為安全測試實驗室成立。從那時起，近20年來，華為持續不懈地構建自身安全能力，這些能力積累，滲透到了云安全服務研發的每個毛細血管中，構筑了華為云多維立體、全棧防護的安全體系：2003年，推出業界首款基于網絡處理器（NP NetworkProcessor）的防火墻；2008年，與賽門鐵克（Symantec）合資成立華賽公司（Huawei-Symantec）安全產品線，專注安全領域；2011年，成立安全能力中心，專攻研發安全能力；2012年，華

15、為網絡安全產品國內市場占有率第一；2015年，云安全解決方案及服務全面上線；2016年，云安全全球化布局，密鑰管理服務（KMS）和防DDoS 攻擊服務（Anti-DDoS）在德國、西班牙上線；2017年，推出 DDoS 高流量防護（高防）、數據庫防火墻等系列高增值安全服務；2018年，推出專屬加密服務（DHSM）。網絡安全和隱私保護是華為的最高綱領網絡安全和隱私保護是華為的最高綱領。華為云在此承諾：華為云以數據保護為核華為云以數據保護為核心，以云安全能力為基石，以法律法規業界標準遵從為城墻，以安全生態圈為護城心，以云安全能力為基石，以法律法規業界標準遵從為城墻，以安全生態圈為護城河，依托華為獨

16、有的軟、硬件優勢，打造業界領先的競爭力，構建起面向不同區域、河，依托華為獨有的軟、硬件優勢，打造業界領先的競爭力，構建起面向不同區域、不同行業的完善云服務安全保障體系，并將其作為華為云的重要發展戰略之一。不同行業的完善云服務安全保障體系，并將其作為華為云的重要發展戰略之一。華為云在遵從所有適用的國家和地區的安全法規政策、國際網絡安全和云安全標準，參考行業最佳實踐的基礎上，從組織、流程、規范、技術、合規、生態和等方面建立并管理完善、高可信、可持續的安全保障體系，并與有關政府、客戶及行業伙伴以開放透明的方式，共同應對云安全挑戰，全面滿足云服務用戶的安全需求。華為云安全白皮書1 云安全戰略文檔版本

17、3.2(2020-08-14)版權所有 華為技術有限公司1圖圖 1-1 華為云安全防護框架在組織方面在組織方面，全球網絡安全與隱私保護委員會（GSPC Global Security &Privacy Committee）作為華為公司的最高網絡安全管理機構，負責決策和批準公司總體網絡安全戰略。全球網絡安全與用戶隱私保護官（GSPO Global Security& Privacy Officer）是 GSPC 的重要成員，負責領導團隊制定安全戰略，統一規劃、管理和監督研發、供應鏈、市場與銷售、工程交付及技術服務等相關體系的安全組織和業務，確保網絡安全保障體系在各體系、各區域、全流程的實施，積極

18、推動與政府、客戶、合作伙伴、員工等各利益相關方的溝通。華為云建立并完善其適合云服務持續集成、持續部署的扁平化組織。在業務流程方面在業務流程方面，安全保障活動融入研發、供應鏈、市場與銷售、工程交付及技術服務等各主業務流程中。安全作為質量管理體系的基本要求，通過管理制度和技術規范來確保其有效實施。華為通過內部審計和接受各國政府安全部門、第三方獨立機構的安全認證和審計等來監督和改進各項業務流程。2004年起，華為的安全管理體系通過了BS7799-2/ ISO27001 認證。華為云在公司級的業務流程基礎上，大膽地將已在華為全面采用的安全周期管理（SDL Security DevelopmentLif

19、ecycle）集成于當前適合云服務的 DevOps 工程流程和技術能力，形成有華為特色的 DevSecOps 方法論和工具鏈，既支撐云業務的敏捷上線，又確保研發部署的全線安全質量。在人員管理方面在人員管理方面，華為云嚴格執行華為長期以來行之有效的人事和人員管理機制。華為全體員工、合作伙伴及外部顧問都必須遵從公司相關安全政策，接受安全培訓，使安全理念融入整個組織之中。華為對積極執行網絡安全保障政策的員工給予獎勵，對違反的員工給予處罰，違反相關法律法規的員工，還將依法承擔法律責任。在云安全技術能力方面在云安全技術能力方面，依托華為自身強大的安全研發能力，以數據保護為核心，開發并采用世界領先的云安全

20、技術，致力于實現高可靠、智能化的云安全防護和自動化的云安全運維運營體系。同時，通過對現網安全態勢的大數據分析，有目的地識別出華為云存在的重要安全風險、威脅和攻擊，并采取防范、削減和解決措施；通過多維、立體、完善的云安全防御、監控、分析和響應等技術體系支撐云服務運維運營安全，實現對云安全風險、威脅和攻擊的快速發現、快速隔離和快速恢復，讓租戶受益于華為云先進技術帶來的便捷、安全與業務增值。在云安全合規方面在云安全合規方面，面向提供云服務的地區，華為云積極與監管機構對話，理解他們的擔憂和要求，貢獻華為云的知識和經驗，不斷鞏固華為在云技術、云服務和云安全方面與相關法律法規的契合度。同時，華為也將法律法

21、規的分析結果共享給租戶，避免信息缺失導致的違規風險，通過合同明確雙方的安全職責。華為一方面通過跨行業、跨區域的云安全認證滿足監管機構要求，另一方面通過獲得華為云安全白皮書1 云安全戰略文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司2重點行業、重點區域所要求的安全認證，建立并鞏固華為云業務的客戶信賴度，最終在法律法規制定者、管理者、租戶三者間共建安全的云環境。在云安全生態方面在云安全生態方面，華為云認識到單靠一個公司、一個組織的力量不足以應對日益復雜的云安全威脅與風險。因此，華為云誠邀全球所有安全伙伴，攜手共建云安全商業和技術生態體系，共同向租戶提供安全保障與服務。華為云的云

22、市場（Marketplace）歡迎具備技術競爭力的安全技術企業、組織和個人發布云安全服務；同時，華為云誠邀云業務商業合作伙伴，利用自身對云服務云安全行業的獨到經驗和見解，組合安全服務，形成行業級云安全解決方案。華為云愿意與所有志同道合的伙伴分享云安全市場。同時，華為積極、持續地參與著國內外云安全組織和電信標準組織的安全標準制定，努力保障全球客戶的安全，為行業的健康發展作出應有的貢獻?？傊?，華為愿意以開放透明的心態，與各國政府、客戶、行業組織和行業伙伴開展各種形式的安全交流與合作，共同應對全球云安全的威脅與挑戰！說明說明1.云安全聯盟（CSA Cloud Security Alliance）對云

23、安全挑戰、威脅與攻擊進行了系統而持續的梳理，請參考云安全聯盟之云安全威脅排行榜云安全聯盟之云安全威脅排行榜。華為云安全白皮書1 云安全戰略文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司32 責任共擔模型責任共擔模型從傳統數據中心的視角，云安全包括保護云服務本身在基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）各類云服務以及云服務數據中心內部運維運營所需的技術資源，以確保各類應用和服務能夠持續、高效、安全、穩定地運行。云服務與傳統數據中心存在明顯差異，前者對云安全整體設計和實踐更側重于為租戶提供完善的、多維度的、按需要任意定制、組合的各種安全和隱私保

24、護功能和配置，涵蓋基礎設施、平臺、應用及數據安全等各個層面。同時，不同的云安全服務又進一步為租戶提供了各類可自主配置的高級安全選項。這些云安全服務需要通過深度嵌入各層云服務的安全特性、安全配置和安全管控來實現，并通過可整合多點匯總分析的、日趨自動化的云安全運維運營能力來支撐。我們在下面幾章將講述華為作為云服務供應商（CSP），如何實現如此復雜的云安全系統工程以及研發和運維運營的優秀安全實踐。本章首先介紹華為云按業界常規做法定義的華為云服務安全責任共擔模型，如下圖：圖圖 2-1 華為云安全責任共擔模型其中綠色部分為華為云負責，藍色部分責任由租戶承擔。華為云負責云服務自身的安全，提供安全的云；租戶

25、負責云服務內部的安全，安全的使用云。數據安全：指華為云中租戶的業務數據自身的安全管理，包括數據完整性認證、加密、訪問控制等。應用安全：指在華為云中的支撐運維運營，以及支撐用戶業務等應用系統的安全管理，包括應用的設計、開發、發布、配置和使用等。華為云安全白皮書2 責任共擔模型文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司4平臺安全：指在華為云中的微服務、管理、中間件等平臺類的安全管理，包括平臺的設計、開發、發布、配置和使用等?；A服務安全：指華為云提供的計算、網絡、存儲等方面的安全管理，包括云計算、云存儲、云數據庫等服務的底層管理（如虛擬化控制層）和使用管理（如虛擬主機），以

26、及虛擬網絡、負載均衡、安全網關、VPN、專線鏈路等。物理基礎設施安全：華為云的區域、可用區和終端節點涉及機房、環境的安全管理，以及物理服務器和網絡設備等設施的管理。華為云的主要責任是研發并運維運營華為云數據中心的物理基礎設施，華為云提供的各項基礎服務、平臺服務和應用服務，也包括各項服務內置的安全功能。同時，華為云還負責構建物理層、基礎設施層、平臺層、應用層、數據層和IAM層的多維立體安全防護體系，并保障其運維運營安全。租戶的主要責任是在租用的華為云基礎設施與服務之上定制配置并且運維運營其所需的虛擬網絡、平臺、應用、數據、管理、安全等各項服務，包括對華為云服務的定制配置和對租戶自行部署的平臺、應

27、用、用戶身份管理等服務的運維運營。同時，租戶還負責其在虛擬網絡層、平臺層、應用層、數據層和 IAM 層的各項安全防護措施的定制配置，運維運營安全，以及用戶身份的有效管理。2.1 華為云的安全責任華為云的安全責任華為云的安全責任在于保障其所提供的 IaaS、PaaS 和 SaaS 各類各項云服務自身的安全，涵蓋華為云數據中心的物理環境設施和運行其上的基礎服務、平臺服務、應用服務等。這不但包括華為云基礎設施和各項云服務技術的安全功能和性能本身，也包括運維運營安全，以及更廣義的安全合規遵從（第3.1章節有專門介紹，在此不贅述）。華為云一方面確保各項云技術的安全開發、配置和部署；另一方面，華為云負責所

28、提供云服務的運維運營安全，例如，對安全事件實現快速發現、快速隔離、快速響應，確保云服務的快速恢復。同時采用適合云服務的漏洞管理機制，對云服務安全漏洞及時應急響應，保證適合 CSP 運維周期的快速發布和不影響租戶服務的持續部署，包括不斷優化云產品默認安全配置、補丁裝載前置于研發階段和靈活簡化安全補丁部署周期等措施。另外，華為云的安全責任還表現在開發有強大市場競爭力、為華為云租戶業務增值的云安全服務。華為云將其基礎設施的安全與隱私保護視為運維運營安全的重中之重?；A設施主要包括支撐云服務的物理環境，華為自研的軟硬件，以及運維運營包括計算、存儲、網絡、數據庫、平臺、應用、身份管理和高級安全服務等各項

29、云服務的系統設施。同時，華為云深度集成第三方安全技術或服務，并負責對其進行安全運維。華為云還負責其支撐的各項云服務的自身安全配置和版本維護。華為云對租戶數據提供機密性、完整性、可用性、持久性、認證、授權、以及不可否認性等方面的全面數據保護功能，并對相關功能的安全性負責。但是，華為云只是租戶數據托管者，租戶對其數據擁有所有權和控制權。華為云絕不允許運維運營人員在未經授權的情況下訪問租戶數據。華為云關注內外部合規要求的變化，負責遵從華為云服務所必需的安全法律法規，開展所服務行業的安全標準評估，并且向租戶分享我們的合規實踐，保持應有的透明度。華為云攜手云安全商業合作伙伴向租戶提供咨詢服務，協助租戶對

30、虛擬網絡，虛擬機（包括虛擬主機和訪客虛擬機）的安全配置，系統和數據庫安全補丁管理，虛擬網絡的防火墻、API 網關（API GW API Gateway）和高級安全服務的定制配置，DoS/DDoS 攻擊防范，租戶安全事件的應急響應以及災難恢復。華為云安全白皮書2 責任共擔模型文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司52.2 租戶的安全責任租戶的安全責任華為云租戶的安全責任在于對使用的 IaaS、PaaS 和 SaaS 類各項云服務內部的安全以及對租戶定制配置進行安全有效的管理，包括但不限于虛擬網絡、虛擬主機和訪客虛擬機的操作系統，虛擬防火墻、API 網關和高級安全服務，

31、各項云服務，租戶數據，以及身份賬號和密鑰管理等方面的安全配置。租戶的安全責任細節由最終所使用的云服務來決定，具體到租戶負責執行什么默認和定制的安全配置。對于華為云的各項云服務，華為云只提供租戶執行特定安全任務所需的資源、功能和性能，而租戶需負責各項租戶可控資源的安全配置工作。租戶負責部署配置其虛擬網絡的防火墻，網關和高級安全服務等的策略配置，租戶空間的虛擬網絡、虛擬主機和訪客虛擬機等云服務所必需的安全配置和管理任務（包括更新和安全補?。?、容器安全管理、大數據分析等平臺服務的租戶配置，以及其他各項租戶租用的云服務內部的安全配置等。租戶也負責對其自行部署在華為云的任何應用程序軟件或實用程序進行安全

32、管理。在配置云服務時，租戶負責各項安全配置在部署到生產環境前做好充分測試，以免對其應用和業務造成負面影響。對大多數云服務的安全性而言，租戶只需配置賬戶對資源的訪問控制并妥當保管賬戶憑證。少數云服務需要執行其他任務，才能達到應有的安全性，例如使用數據庫服務時，在華為云執行數據庫整體安全配置的同時，租戶還需設置用戶賬戶和訪問控制規則。各項監控管理服務和高級安全服務具有較多安全配置選項，租戶可尋求華為云和其合作伙伴的技術支持，以確保安全性。無論使用哪一項華為云服務，租戶始終是其數據的所有者和控制者。租戶負責各項具體的數據安全配置，對其保密性、完整性、可用性以及數據訪問的身份驗證和鑒權進行有效保障。在

33、使用統一身份認證服務（IAM）和數據加密服務（DEW）時，租戶負責妥善保管其自行配置的服務登錄賬戶、密碼和密鑰，并負責執行密碼密鑰設定、更新和重設規則的業界優秀實踐。租戶負責設置個人賬戶和多因子驗證 (MFA)，規范使用安全傳輸協議與華為云資源通信，并且設置用戶活動日志記錄用于監測和審計。租戶負責對其自行部署于華為云上、不屬于華為云提供的各項應用和服務所必需的安全法律法規，并自行開展所服務行業的安全標準評估。華為云安全白皮書2 責任共擔模型文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司63 安全合規與隱私保護安全合規與隱私保護華為云一貫高度重視并持續增加在提高客戶信任方面的

34、投入。而安全合規與標準遵從正是獲得并維護客戶信任的必由之路，同時也是防范“內鬼”破壞的重要手段。通過業界通用的安全合規與標準遵從的認證，既能提升華為云的整體安全能力和業務水平，也能幫助客戶減少對合規和數據安全的擔憂。同時，華為云始終秉持“以客戶為中心”的核心價值觀，充分理解客戶個人數據安全的重要性，尊重和保護客戶隱私權利，并將“尊重和保護隱私，讓人們放心地享受萬物互聯的智能世界”作為隱私保護的愿景。華為云鄭重對待并積極承擔相應責任，把網絡安全和隱私保護作為最高綱領，保證網絡安全和隱私保護需求優先獲得資源支持。3.1 安全合規與標準遵從安全合規與標準遵從華為云一如既往地確保其基礎設施和云服務通過

35、業界認可的獨立第三方安全權威組織的測評以及安全認證機構的審核，并且只向客戶提供運行于安全合規的基礎設施之上的云服務。這些安全測評和認證向客戶展示華為云在基礎設施和云服務的技術研發和運維運營中對流程、組織、技術等多方面制定的安全策略和安全風險管控措施，使得客戶能夠深入了解華為云對用戶數據保護和云上業務安全保障的有效管控能力。以華為云通過的云安全聯盟 CSA STAR金牌認證為例（CSA Cloud Security Alliance，STAR Security， Trust & Assurance Registry），該認證在ISO/IEC 27001 的基礎上，增加了云安全控制矩陣（CCM C

36、loud Control Matrix）和其他安全要求，涵蓋了風險治理、數據安全、應用安全、基礎設施安全、開發和設計、身份和訪問管理、數據中心安全、變更管理、配置管理、業務連續性管理、運營恢復能力、人力資源、供應鏈管理等方面的16個控制領域。同時，基于華為云服務的安全責任共擔模型，華為云通過主動構建并不斷提升包括物理環境、網絡、平臺等各層基礎設施的安全合規能力，保障云租戶所部署業務的安全與合規。目前，華為云的安全測評及認證有：GB 50174電子信息機房設計規范A類TIA 942數據中心機房通信基礎設施標準T3+ 標準CSA STAR 金牌認證ISO/IEC 27001ISO/IEC 2701

37、7CC EAL3+ （通用準則評估保證級 3+）1華為云安全白皮書3 安全合規與隱私保護文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司7PCI DSS（支付卡行業數據安全標準）2BSIMM（軟件安全構建成熟度模型）中國公安部信息安全等級保護三級/四級3中國數據中心聯盟（DCA Data Center Alliance）可信云服務認證、金牌運維，其中云主機獲取最高級五星+認證中國國家互聯網信息辦公室網絡安全審查ITSS云計算服務能力評估一級（增強級）SOC1 Type2 / SOC2 Type2SOC 3ISO 27018ISO 20000ISO 22301MTCS Leve

38、l 3（新加坡多層云安全認證最高評級）ISO 29151ISO 27701BS 10012OSPARNIST CSF另外，華為云主動識別并遵從業界優秀安全實踐。例如，華為云參考互聯網安全中心（CIS Center of Internet Security）安全基線并將其融入華為云服務 DevSecOps 流程。CIS 安全基線是一套用于網絡系統安全配置和操作的業界優秀實踐，覆蓋技術（軟件、硬件）、流程（系統和網絡管理）、人員（最終用戶和管理行為），標志著華為云在安全合規與標準遵從上一如既往地與業界看齊。說明說明1.華為云操作系統已獲得 CC EAL3+ 認證證書，并在申請 CC EAL4+ 認

39、證。2.PCI DSS (Payment Card Industry Data Security Standard) 即支付卡行業數據安全標準，對使用主要支付卡品牌執行信用卡和現金卡收付功能的組織提供信息安全標準。3.華為云部分節點通過四級評測3.2 隱私保護隱私保護華為云秉承公司以網絡安全和隱私保護為最高綱領，以國內外隱私保護的法律法規為基石，依托于華為公司的隱私保護體系，借鑒業界廣泛認可的優秀實踐，已形成適合華為云的隱私保護體系。華為云投入大量的專業人員和資源支撐新技術的研究和應用以及保障隱私保護體系的有效運轉，確保華為云的隱私保護處于行業領先的位置，實現華為云隱私保護的目標：遵守嚴格的服

40、務邊界，保護客戶個人數據安全，助力客戶實現隱私保護。華為云建立完善、規范和統一隱私保護體系確保云平臺的隱私保護得以實現，并幫助客戶實施隱私保護。華為云制定隱私保護七大原則（合法、正當、透明，目的限制，數據最小化，準確性，存儲期限最小化，完整性與保密性，可歸責），同時采用業界認可和先進的理念PbD1（Privacy by Design）作為指導，結合華為云實際情況形成華華為云安全白皮書3 安全合規與隱私保護文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司8為云隱私保護理念。隱私保護理念廣泛應用在華為云的組織和人員管理、云平臺個人數據安全管理以及為客戶提供的隱私服務等各個方面。同

41、時，華為云使用PIA2（Privacy Impact Assessment）識別隱私風險并采取恰當的方式消除或降低風險。華為云尊重用戶的隱私權利，在官網明顯處提供清晰的隱私政策聲明以及客戶反饋通道，幫助客戶了解華為云隱私保護的信息。華為云研究團隊同時致力研發各類隱私增強技術（PET Privacy EnhancingTechnology），積累隱私保護工程技術能力，以滿足客戶不同需要實施隱私保護。華為云現已擁有的一系列PET，包括等價類匿名、差分隱私、防跟蹤技術、區塊鏈私人支付以及隱私保存計算等。更多關于華為云隱私保護的政策和表述，可以在華為云的官方網站找到。說明說明1.最早作為針對產品研發周

42、期隱私保護的方法。經過近幾年的發展，逐漸演變成隱私保護的管理理念。PbD提倡全面、提前、主動將隱私保護融入業務和各項活動中，幫助組織在隱私保護中取得主動地位。2.隱私影響評估作為業界通用的隱私評估與設計工具被廣泛使用和認可。PIA幫助組織識別并減少業務的隱私風險，識別和最小化潛在隱私風險的過程華為云安全白皮書3 安全合規與隱私保護文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司94 安全組織和人員安全組織和人員為了讓所有員工不斷提升安全意識，更好地保障客戶利益和產品與服務信譽，華為在公司內部倡導“人人懂安全”的理念和實踐，創造了一個無時不在，無處不在，充滿活力和競爭力的安全文

43、化。這種文化的影響貫穿在華為云招聘選才、員工入職、上崗培訓、持續培訓、內部調動和離職等各個環節。每位華為云的員工都積極參與建立并保持華為云安全，并按公司及華為云規定實施各項安全活動。4.1 安全組織安全組織華為把網絡安全作為公司重要戰略之一，通過自上而下的治理結構來實現。在組織方面，GSPC作為最高網絡安全管理機構，決策和批準公司總體網絡安全戰略。GSPO及其辦公室負責制定和執行華為端到端網絡安全保障體系。GSPO 直接向公司 CEO 匯報。秉承華為網絡安全戰略和規范，華為云安全團隊對本領域安全工作進行自主規劃和管理。全面實現云服務業務和云安全業務的研發運維運營組織合一，組織結構趨于扁平化，以

44、便適應云服務必需的 DevOps/DevSecOps 流程。扁平化的組織結構和適應云服務的流程一方面滿足云服務快速持續集成、交付與部署的進度要求，另一方面保證云服務達到必需的安全質量標準，有效控制安全風險。依托云服務安全工程能力、云安全服務與解決方案的設計和開發、云服務安全運維運營等職能，構建華為云服務的安全合規遵從和安全運維運營能力，切實保障華為云租戶利益?；谠瓢踩珜θA為云的特殊重要性，云安全團隊直接向華為云總裁匯報。4.2 安全與隱私保護人員安全與隱私保護人員華為的安全技術團隊包括全球各地業界優秀的信息安全、產品安全、應用安全、系統安全、網絡安全、云服務安全、運維運營安全、隱私保護等方面

45、的專家專才。華為云安全團隊的主要職責如下：開發并執行云服務 DevOps/DevSecOps 流程和云安全審計流程，開發推廣全流程安全工具鏈；積極實施安全質量保證和安全評估，開展內部和第三方滲透測試和安全評估，監控、排查并解決安全威脅；構建、開發、運維運營華為云基礎設施安全防護體系，商務和 IT 應用以及對數據和知識產權的安全管控和隱私保護；構建、開發、運維運營華為云的 IaaS、PaaS 和 SaaS 各類各項服務的安全功能和整體云安全解決方案；華為云安全白皮書4 安全組織和人員文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司10遵從各行業、各區域、各國政府的數據隱私保護法

46、律法規要求，倡導云技術、云服務的隱私保護最佳實踐，推動發布符合隱私保護標準的云技術、云服務；制定和發展可持續云安全技術及業務生態。4.3 內部審計人員內部審計人員華為內部審計團隊直接向董事會和公司高層管理者匯報，嚴格的審計活動在推動網絡安全流程和標準落地，保障結果交付上起著關鍵的作用。華為建立了專門的安全審計團隊，審查全球安全法律法規及公司內部安全要求的遵從情況。審計團隊每年投入10+人力對全球范圍運營的華為云至少開展1次，為期2個月的審計，重點關注華為云在法律和流程遵從、業務目標達成、決策信息的可靠性、安全運維和安全運營上的風險。審計結果向董事會和公司高層管理者匯報，保證發現的問題得到解決并

47、最終閉環。4.4 人力資源管理人力資源管理華為云安全的人力資源管理框架和公司的整體人力資源管理框架一致，都是建立在法律基礎之上。云安全對 HR 的訴求主要是保證我們的員工背景和資歷適合華為云業務的需要。員工行為符合所有法律、政策、流程以及華為商業行為準則的要求。員工有履行其職責必備的知識、技能和經驗。整體模型如下：（此模型較為簡明，故不贅述）圖圖 4-1 華為云安全融入人力資源流程4.4.1 安全意識教育安全意識教育為了提升全員的網絡安全意識，規避網絡安全違規風險，保證業務的正常運營，華為從意識教育普及、宣傳活動開展、BCG及承諾書簽署三個方面開展安全意識教育：意識教育普及意識教育普及：定期開

48、展網絡安全意識教育學習，要求員工持續學習網絡安全知識，了解相關的政策和制度，知道哪些行為是可以接受，哪些是不能接受的，意識到即使主觀上沒有惡意，也要對自己的行為負責，并承諾按要求執行；宣傳活動開展宣傳活動開展：面向全員開展形式多樣的網絡安全宣傳活動，包括網絡安全社區運營、網絡安全典型案例宣傳、網絡安全活動周、網絡安全動畫宣傳片等；華為云安全白皮書4 安全組織和人員文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司11BCG 及承諾書簽署及承諾書簽署：將網絡安全納入華為員工商業行為準則（BCG Business Conduct Guide），通過公司統一開展的年度例行 BCG 學

49、習、考試和簽署活動來傳遞公司對全員在網絡安全領域的要求，提高員工網絡安全意識。簽署網絡安全承諾書，承諾遵守公司各項網絡安全政策和制度要求。4.4.2 網絡安全能力提升網絡安全能力提升參考業界優秀實踐，華為建立了完備的網絡安全培訓體系。在員工入職、在崗、晉升等環節納入多種形式的安全技能培訓，提升員工安全技能，確保員工有能力向客戶交付安全、合規的產品、解決方案與服務。網絡安全基礎培訓網絡安全基礎培訓：華為根據不同角色、崗位制定相應的安全基礎能力培訓計劃。新員工轉正前必須通過有關網絡安全與隱私保護的上崗培訓和考試；在崗員工需根據不同業務角色，選擇相應課程進行學習與考試。管理者需參加網絡安全必須的培訓

50、和研討。精準培訓精準培訓：通過大數據分析識別產品研發過程中的典型安全問題和問題關聯責任人，并向其精準推送安全典型培訓方案（包括案例、培訓課程、練習題等），持續改進安全質量。實戰演練實戰演練：引進業界優秀實踐，開發網絡安全實戰演練平臺，開展紅藍對抗，提供場景化的實戰演練環境供員工練習和交流，提升員工的安全技能。安全能力任職牽引安全能力任職牽引：為了讓員工更加自覺、有效地進行網絡安全學習，華為將網絡安全要求融入到任職資格標準中。員工在任職晉升過程中需要學習相應的網絡安全課程，通過相應的網絡安全技能考試，提升自身網絡安全能力。4.4.3 重點崗位管理重點崗位管理為了內部有序管理，消減人員管理風險對業

51、務連續性和安全性帶來的潛在影響，華為云對運維工程師等重點崗位實施專項管理。具體如下：上崗安全審查上崗安全審查：針對新上崗人員，開展上崗人員安全審查，確保上崗人員背景和資歷符合云安全業務要求。在崗安全培訓賦能在崗安全培訓賦能：圍繞網絡安全意識、客戶網絡服務的業務規范、用戶數據及隱私保護要求進行網絡安全學習和考試，并根據業務變化定期刷新學習和考試大綱。上崗資格管理上崗資格管理：重點崗位員工必須通過網絡安全上崗證的考試，并取得證書。通過證書管理平臺對已通過安全上崗證考試的員工發放有效期不超過兩年的電子證書，證書到期前提醒員工重新參加考試。離崗安全審查離崗安全審查：按照調動、離職安全審查清單，對內部調

52、離、離職人員進行離崗安全審查，包括離崗權限賬號的清理或修改等。4.5 安全違規問責安全違規問責華為建立了嚴密的安全責任體系，貫徹違規問責機制。一方面，華為云恪守責任共擔模型，履行華為云的各項責任，對華為云一方造成的安全違規，華為云對租戶直接負責，最大限度控制對租戶業務的影響。另一方面，華為云要求每個員工都對自己工作中的行為和結果負責，不僅要對技術和服務負責，也要承擔法律的責任。華為云員工深知，安全問題一旦發生，可能會對租戶、公司帶來極大影響。因此不管故意還是無意，華為云都會以行為和結果為主要依據對員工進行問責。根據華為云員工安全違規的性質，以及造成的后果確定問責處理等級，分級處理。對觸犯法律法

53、規的，移送司華為云安全白皮書4 安全組織和人員文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司12法機關處理。直接管理者和間接管理者存在管理不力或知情不作為的，須承擔管理責任。違規事件處理根據違規個人態度與調查配合情況予以加重或減輕處理。華為云安全白皮書4 安全組織和人員文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司135 基礎設施安全基礎設施安全華為云將基礎設施安全視為構筑多維全棧的云安全防護體系的核心組成部分，沒有安全合規與標準遵從的基礎設施安全，云服務安全猶如在流沙上建樓，為租戶業務賦能增值、為租戶安全保駕護航即刻化作空談。對于云服務租戶而言，CSP

54、 基礎設施的透明度和開放度較低，直接影響 CSP 的云安全可信度。第三方評測機構的安全合規和標準遵從認證，能夠反映CSP在基礎設施安全和云服務安全方面做出的不懈努力。通過華為云構筑安全的基礎設施底座，租戶可以更放心地上云并利用安全的華為云服務更聚焦在業務發展上。本章介紹華為云安全防護體系中的物理環境、網絡、平臺、應用程序接口（API Application Programming Interface）和數據等主要方面的安全設計和實踐。5.1 物理與環境安全物理與環境安全華為云已制定并實施完善的物理和環境安全防護策略、規程和措施，滿足 GB 50174電子信息機房設計規范A類和 TIA 942數

55、據中心機房通信基礎設施標準中的T3+ 標準。數據中心不但有妥善的選址，在設計施工和運營時，合理劃分了機房物理區域，合理布置了信息系統的組件，以防范物理和環境潛在危險（如火災、電磁泄露等）和非授權訪問，而且提供了足夠的物理空間、電源容量、網絡容量、制冷容量，以滿足基礎設施快速擴容的需求。同時，華為云運維運營團隊嚴格執行訪問控制、安保措施、例行監控審計、應急響應等措施，以確保華為云數據中心的物理和環境安全。5.1.1 物理安全物理安全機房選址機房選址：華為云數據中心機房選址一定程度上決定面臨的自然災害以及可能的環境威脅。華為云數據中心選址一律避開自然災害不利或危險的地區，減少周邊環境對數據中心產生

56、的干擾，如400米內無實驗室、化工廠等危險區域。同時，選址上保證了數據中心正常運營需要的配套資源，如市電、水、通信線路等。訪問控制訪問控制：華為云數據中心嚴格管理人員及設備進出，在數據中心園區及建筑的門口設置了全天候（一天 24 小時、一周 7 天，即 7*24 小時）保安人員進行登記盤查，限制并監控來訪人員授權活動范圍。門禁控制系統在不同的區域采取不同安全策略的門禁控制系統，嚴格審核人員出入權限。數據中心的重要配件，由倉儲系統中的專門電子加密保險箱存放，且由專人進行保險箱的開關；數據中心的任何配件，都必須提供授權工單方能領取，且領取時須在倉儲管理系統中登記。由專人定期對所有物理訪問設備和倉儲

57、系統物資進行綜合盤點追蹤。機房管理員不但開展例行安檢，而且不定期審計數據中心訪問記錄，確保非授權人員不可訪問數據中心。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司14安保措施安保措施：華為云數據中心采用當前通用的機房安保技術監測，并消除物理隱患。對機房外圍、出入口、走廊、電梯、機房等進行 7*24 小時閉路電視監控，并與紅外感應、門禁等聯動。保安人員對數據中心定時巡查，并設置在線巡更系統。對非法闖入和其他安保事件及時進行聲光報警。5.1.2 環境安全環境安全電力保障電力保障：華為云數據中心采用多級保護方案保障業務 7*24 小時持續運行，日

58、常電力供應采用來自不同變電站的雙路市電供電。配備柴油發電機，在市電斷電時可啟動柴油機供電，以備不時之需。并配備了不間斷電源（UPS UninterruptedPower Supply），提供短期備用電力供應。在機房供電線路上配置了穩壓器和過壓防護設備。在供電設備及線路上還設置冗余或并行的電力電纜線路為計算機系統供電。溫濕度控制溫濕度控制：通過精密空調、集中加濕器自動調節，華為云數據中心機房溫濕度保持在設備運行所允許的范圍內，使設備元器件處于良好運行狀態。機柜冷熱通道有合理的布置，利用架空地板下空間作為靜壓箱來給機柜送風，并設置了冷通道密閉，以防止局部熱點。消防能力消防能力：華為云數據中心建筑防

59、火等級均按一級設計施工，使用了 A 級防火材料，滿足國家消防規范。采用了阻燃、耐火電纜，在管內或線槽鋪設，并設置了漏電檢測裝置。部署了自動報警和自動滅火系統，能夠迅速準確發現并通報火情。自動報警系統與供電、監控、通風設備聯動，即使意外情況造成無人值守，也能開啟自動滅火系統，得以控制火情。例行監控例行監控：華為云數據中心的電力、溫濕度、消防等環境運行狀態通過日常巡檢制度得到例行監控，安全隱患能被及時發現并修復，確保設備穩定運行。供水排水供水排水：華為云數據中心的供水和排水系統均有合理規劃，保證了總閥門正?？捎?，確保關鍵人員知曉閥門位置，以免信息系統受到漏水事故破壞。機房建筑和樓層均有抬高場地，在

60、外圍設置了綠化地排水溝，加速排水，以降低場地積水倒灌風險。建筑滿足防水一級標準，保證了雨水不能通過屋頂、墻壁向機房滲透。數據中心也配備了及時排水的設施，供水災時使用。防靜電防靜電：華為云數據中心機房鋪設了防靜電地板，導線連接地板支架與接地網，機器接地以導走靜電。在機房大樓頂部設置了避雷帶，供電線路安裝了多級避雷器，導走電流。5.2 網絡安全網絡安全華為云數據中心節點眾多、功能區域復雜。為了簡化網絡安全設計，阻止網絡攻擊在華為云中的擴散，最小化攻擊影響，華為云參考 ITU E.408 安全區域的劃分原則并結合業界網絡安全的優秀實踐，對華為云網絡進行安全區域、業務層面的劃分和隔離。安全區域內部的節

61、點具有相同的安全等級。華為云從網絡架構設計、設備選型配置到運行維護諸方面綜合考慮，對承載網絡采用各種針對物理和虛擬網絡的多層安全隔離，接入控制和邊界防護技術，同時嚴格執行相應的管控措施，確保華為云安全。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司155.2.1 安全區域劃分與隔離安全區域劃分與隔離圖圖 5-1 華為云平臺安全域劃分及網絡邊界保護華為云根據業務功能和網絡安全風險將數據中心劃分為多個安全區域，實現物理和邏輯控制并用的隔離手段，提升網絡面對入侵和內鬼的分區自我保護和容錯恢復能力1。在這里介紹以下五個重要安全區域：DMZ 區區：華為

62、云 DMZ 區主要部署了面向外網和租戶的前置部件，如負載均衡器、代理服務器等，以及服務部件，如服務控制臺、API 網關等。租戶對 DMZ 區的訪問行為不可信，所以需要對 DMZ 單獨隔離，防止外部請求接觸云服務后端部件。此區域部件面臨極高安全風險，除部署了防火墻、防 DDoS 措施外，還部署了應用防火墻（WAF）及入侵檢測與攔截設備（IDS/IPS）以保護基礎網路、平臺及應用。公共服務區（公共服務區（Public Service）：該區域主要部署 IaaS/PaaS/SaaS 服務化組件如級聯層 OpenStack、IaaS/PaaS/SaaS 服務控制部件，以及一些基礎設施服務部件如 DNS

63、、NTP、補丁服務等。此區域內的部件根據業務需要受限開放給租戶，且租戶訪問此區域部件和服務必須經過 DMZ 區。華為云管理員可以從內網區訪問該區域進行操作和管理。資源交付區（資源交付區（POD Point of Delivery）：）：此區域提供租戶所需的基礎設施資源，包括計算、存儲、網絡資源，如租戶虛擬機、磁盤、虛擬網絡。租戶之間通過多層安全控制手段實現資源隔離，租戶不能訪問其它租戶的資源；平臺側管理平面、數據存儲平面隔離，且與租戶數據平面隔離。該區域還可以支撐對進出互聯網的租戶流量做 DDoS 防護及入侵檢測與防御，保障租戶業務。數據存儲區（數據存儲區（OBS Object-Based S

64、torage）：此區域部署對象存儲系統，提供對象存儲服務，存儲租戶隱私數據，所以進行了分區隔離。在該區域邊界由租戶在華為云提供的安全組件上配置執行租戶所需的訪問控制規則，在任意租戶空間訪問該區域時就不需要繞道 DMZ。但從外網訪問，因為安全風險高，所以必須通過 DMZ 的服務控制臺或網關才能訪問該區。運維管理區（運維管理區（OM Operations Management）：該區域主要部署操作運維部件，華為云運維人員必須先通過虛擬專用網絡（VPN Virtual PrivateNetwork）接入該區域，再通過堡壘機訪問被管理節點。管理員可從此區域訪問所有區域的運維接口。此區域不向其他區域開放

65、接口。除了上述網絡分區，同時也對不同區域的安全級別進行了劃分，根據不同的業務功能，確定不同的攻擊面以及不同的安全風險，比如說直接暴露在互聯網的區域，安全華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司16風險最高，而與互聯網幾乎沒有交互并且不向其他區域開放接口的 OM 區，攻擊面最小，安全風險相對容易控制。說明說明1.華為云數據中心不同傳統 IT 數據中心，因此在實現區域隔離上與傳統手段不盡相同，不再是簡單地使用防火墻實現，也會運用革新技術，如軟件定義邊界（SDP Software Defined Perimeter）。并且，不止定義網絡層區域

66、邊界，采用多層邊界劃分與隔離協防，從網絡層、平臺層、應用層一直到用戶身份層，都有信任邊界和相應的訪問控制。這里介紹的網絡層安全區域只是多維全棧防護體系的一部分。5.2.2 業務平面劃分與隔離業務平面劃分與隔離為保證租戶業務不影響管理操作，確保設備、資源和流量不會脫離有效監管，華為云將其網絡的通信平面基于不同業務職能、不同安全風險等級和不同權限需要劃分為租戶數據平面、業務控制平面、平臺運維平面、BMC（Baseboard ManagementController）管理平面、數據存儲平面等，以保證關乎不同業務的網絡通信流量得到合理且安全的分流，便于實現職責分離。租戶數據平面租戶數據平面：作為租戶提

67、供業務通道和虛擬機之間通信平面，租戶對其用戶提供業務應用。業務控制平面業務控制平面：支撐云服務 API 的安全交互。平臺運維平面平臺運維平面：實現基礎設施和平臺（網絡設備、服務器、存儲）的后臺運維管理。BMC 管理平面管理平面：作為云平臺基礎設施服務器的硬件后端管理平面，用于應急維護。數據存儲平面數據存儲平面：僅供 POD 區內計算節點與存儲節點間的數據安全傳輸與存儲。在每個安全區域內，根據所承載業務的隔離要求劃分不同網絡平面，如 POD 區有租戶數據平面、平臺運維平面、業務控制平面、BMC 管理平面，而運維區只有平臺運維平面和 BMC 管理平面。安全區域與業務平面并用形成更多層面的、既有物理

68、又有邏輯控制的多維度隔離，而這還只是華為云全棧防護的一部分。5.2.3 高級邊界防護高級邊界防護華為云高效的多維全棧防護體系也包括多種邊界防護措施，這不僅僅有上述主要通過傳統網絡技術和防火墻實現的安全區域和業務平面的劃分與隔離，還包括了得益于華為自研的各項高級邊界防護功能。華為云已將各項高級防護功能按需適配到華為云外網邊界和內網的區域間的信任邊界。對華為自研的幾項主要高級邊界防護功能1，簡介如下：DDoS 異常和超大流量清洗異常和超大流量清洗：在每個云數據中心邊界部署華為專業的 Anti-DDoS設備來完成對異常和超大流量攻擊的檢測及清洗。Anti-DDoS 設備還可以為租戶提供精細化的 DD

69、oS 防護服務，租戶可以根據業務的應用類型，配置流量閾值參數，并查看攻擊和防御狀態。網絡入侵檢測與攔截網絡入侵檢測與攔截 （IDS/IPS Intrusion Detection System / IntrusionPrevention System）：為了感知來自互聯網以及租戶虛擬網絡之間東西向的攻擊，并針對攻擊實施阻斷，華為云在網絡邊界部署了 IPS 設備，包括但不限于外網邊界、安全區域邊界和租戶空間邊界等。IPS 具備網絡實時流量分析和阻斷能力，能防護異常協議攻擊、暴力攻擊、端口/漏洞掃描、病毒/木馬、針對漏洞的攻擊等各種入侵行為?；诰W絡流量，IPS 可以提供信息幫助定位和調查網絡異常

70、，華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司17分配定向流量的限制策略，并采用相應的自定義檢測規則，保障生產環境內的應用程序和網絡基礎設施安全。Web 安全防護安全防護：華為云部署了 Web 應用防火墻應對 Web 攻擊，如 Web 應用層的 DDoS 攻擊、SQL 注入、跨站腳本攻擊（XSS - Cross-Site Scripting）、跨站請求偽造（CSRF Cross-Site Request Forgery）、組件漏洞攻擊、身份偽造等，以保護部署在 DMZ 區、面向外網的 Web 應用服務和系統。說明說明1.作為高級邊界防護的主

71、要技術之一，防火墻技術已經成熟，得到廣泛使用，并且在白皮書第6章 6.1.1 彈性計算服務（ECS）和 6.2.1 虛擬私有云服務（VPC）中有具體介紹，在此不做贅述。5.3 平臺安全平臺安全作為華為云平臺操作系統，華為統一虛擬化平臺（UVP - Unified VirtualizationPlatform）通過對服務器物理資源的抽象，將 CPU、內存、I/O 等物理資源轉化為一組統一管理、可靈活調度、可動態分配的邏輯資源，并基于這些邏輯資源，在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執行環境。在中國可信云認證中，華為云平臺的云主機獲得最高級的五星+認證。為保證平臺安全，華為云對主機

72、操作系統進行最小化裁剪并對服務做安全加固。同時，對接入主機操作系統的華為云管理員執行嚴格的權限訪問控制 (PAM PrivilegeAccess Management)，對其所執行的各項運維運營操作實行全面的日志審計。華為云管理員必須經過雙因子認證后，才能通過堡壘機接入管理平面，所有操作都會記錄日志并及時傳送到集中日志審計系統。UVP 直接運行于物理服務器之上，提供虛擬化能力，為虛擬機提供運行環境。UVP 需要保證虛擬機運行在合法的空間內，避免某個虛擬機對 UVP 或其他虛擬機發起攻擊。UVP 通過 CPU 隔離、內存隔離和 I/O 隔離等技術手段實現虛擬主機操作系統與訪客虛擬機操作系統之間的

73、隔離，并通過 Hypervisor 讓虛擬主機操作系統與訪客虛擬機操作系統使用不同的權限運行，來保證平臺系統資源的安全。以下分別從 CPU、內存和 I/O 隔離三個方面介紹 UVP 的資源安全隔離實現機制。5.3.1 CPU 隔離隔離CPU 隔離主要是指虛擬化平臺與虛擬機之間的隔離，虛擬機內部的權限分配和虛擬機與虛擬機之間的隔離。CPU 隔離是通過 Root 和 Non-Root 兩種運行模式的切換、各運行模式下的運行權限分配以及以 VCPU （Virtual CPU） 的形式呈現的虛擬計算資源的分配與切換等方式來實現的。通過 CPU 隔離機制，UVP 可以控制虛擬機對物理設備以及虛擬化運行環

74、境的訪問權限，從而實現虛擬化平臺與虛擬機之間以及不同虛擬機之間在信息和資源上的隔離，也就是說，一個虛擬機無法獲取到其他虛擬機或虛擬化平臺的信息和資源。5.3.2 內存隔離內存隔離虛擬化平臺還負責為虛擬機提供內存資源，保證每個虛擬機只能訪問到其自身的內存。為實現這個目標，虛擬化平臺管理虛擬機內存與真實物理內存之間的映射關系。保證虛擬機內存與物理內存之間形成一一映射關系。虛擬機對內存的訪問都會經過虛擬化層的地址轉換，保證每個虛擬機只能訪問到分配給它的物理內存，無法訪問屬于其他虛擬機或虛擬化平臺自身使用的內存。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術

75、有限公司185.3.3 I/O 隔離隔離虛擬化平臺還給虛擬機提供了虛擬 I/O 設備，包括磁盤、網卡、鼠標、鍵盤等。虛擬化平臺為每個虛擬機提供獨立的設備，避免多個虛擬機共享設備造成的信息泄露。每個虛擬磁盤對應虛擬化平臺上的一個鏡像文件或邏輯卷，虛擬化平臺控制只有一個虛擬機的一個虛擬磁盤設備跟一個鏡像文件關聯。實現了虛擬機使用的虛擬設備與虛擬化平臺 I/O 管理對象之間一一對應的關系，保證虛擬機之間無法相互訪問 I/O 設備，實現 I/O 路徑的隔離。5.4 API 應用安全應用安全華為云各服務可通過公開的 API 進行配置管理，對接企業已有的 IT 管理和審計系統?？紤]到 API 對云服務承載

76、的重要功能和其在 HTTP 應用層面臨的安全威脅，業界普遍把 API 視為云服務至關重要的安全邊界，采用多重機制和措施進行重點保護。調用華為云開放的 API 是通過華為自研的 API 網關實現的。API 網關支持以下機制和場景使API 得到有效保護：身份認證及鑒權身份認證及鑒權：華為云對每個 API 請求通過與華為云 IAM 的集成進行身份驗證，確保只有經過身份驗證的用戶才能訪問和管理云監控信息，且傳輸通道通過TLS 加密。租戶通過 API 命令接口來管理虛擬機，API 命令的權限管理直接關系到虛擬機的安全性。華為云 API 網關對用戶命令支持二級權限管理。用戶發出命令時，不僅需要通過 IAM

77、 的身份登錄和鑒權，而且命令也需要經過 API 網關的檢查鑒權。用戶有權限執行該命令時，命令才可以通過 API 網關并下發到平臺層或應用層執行。平臺層或應用層接到命令后，會再次對用戶的權限進行檢查判斷，只有用戶確實擁有當前 API 命令的執行權限，命令才允許執行。所有的訪問請求可以通過兩種方式認證：令牌令牌 (token) 認證認證：認證請求會包含一個認證的 token，該 token 由租戶通過使用 IAM 注冊的用戶名及密碼調用 IAM 接口獲取。訪問密鑰訪問密鑰 ID /訪問密鑰（訪問密鑰（AK/SK Access Key ID / Secret Access Key）認）認證證：認證請

78、求會包含 AK/SK 的鑒權信息，API 網關的 AK/SK 鑒權機制要求客戶端在獲取 AK/SK 信息后，通過 API 網關發布的官方 SDK 進行簽名，將包含簽名信息的請求發送到 API 網關，API 網關將對簽名信息進行認證校驗。傳輸保護傳輸保護：API 調用需使用 TLS 加密以保證傳輸的機密性。目前 API 網關所有對外網開放的 API 均使用 TLS 1.2 版本加密協議，并且支持 PFS（Perfect ForwardSecrecy）安全特性。邊界防護邊界防護：API 網關結合 Anti-DDoS、入侵防御系統（IPS）和 Web 應用防火墻（WAF）等多層高級邊界防護機制針對不

79、同的威脅和攻擊進行有效防范。通過負載均衡器對 TLS 加密傳輸進行解密，多層高級邊界防護機制可對 API 網關流量明文進行監控，對攻擊執行阻斷。在高級邊界防護的基礎上，API 網關作為云服務特有的安全邊界還提供以下多種防護措施：API 注冊注冊：只有在 API 網關上注冊的 API 接口，才能被租戶訪問。ACL 規則限制規則限制：該功能允許租戶自行配置特定的租戶信息和網段信息。租戶可根據訪問控制列表（ACL Access Control List）配置信息，API 網關能有限開放 API 給特定租戶訪問，或者有限開放 API 從特定網段訪問，同時 ACL規則默認限定管理域賬號（op_servi

80、ce）防止從外部網絡調用管理域接口。防重放攻擊防重放攻擊：當 API 網關接受過期請求時，將會執行拒絕措施防止重放攻擊。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司19防暴力破解防暴力破解：當接受某個 AK/SK 請求時，API 網關的防暴力破解機制一旦監測到失敗請求次數已超出 API 網關所設定允許次數，會拒絕該請求并執行限時鎖定。API 流量控制流量控制：API 網關實現對用戶調用 API 的頻率的適當流量控制，確?；贏PI 的訪問的高可用性和連續性。API 網關提供針對 API 級別和租戶級別的秒級流控配置。每個開放的 API 在

81、API 網關需要配置對應的流控信息，在單位時間內，每個 API 基于所有華為云租戶調用該 API 次數的配額、每個華為云租戶調用該 API 次數的配額分別進行流控。5.5 數據安全數據安全數據安全指對用戶數據信息資產的機密性、完整性、可用性、持久性、以及可追溯性等方面的全面保護。華為云高度重視用戶的數據信息資產，把數據保護作為華為云安全策略的核心。華為云將繼續遵循數據安全生命周期管理的業界先進標準，在身份認證、權限管理、訪問控制、數據隔離、傳輸安全、存儲安全、數據刪除、物理銷毀等方面，采用優秀技術、實踐和流程，為用戶提供最切實有效的數據保護能力，保證租戶對其數據的隱私權、所有權和控制權不受侵犯

82、。5.5.1 訪問隔離訪問隔離身份認證和訪問控制身份認證和訪問控制：華為云的訪問控制能力是通過統一身份認證服務（IAM Identity and Access Management）提供的。IAM 是面向企業租戶的安全管理服務，通過 IAM，租戶可以集中管理用戶、安全憑證（例如訪問密鑰），以及控制用戶管理權限和用戶可訪問的云資源權限。使用 IAM，租戶管理員可以管理用戶賬號，并且可以控制這些用戶賬號對租戶名下資源具有的操作權限。當租戶企業存在多用戶協同操作資源時，使用 IAM 可以避免與其他用戶共享賬號密鑰，按需為用戶分配最小權限，也可以通過設置登錄驗證策略、密碼策略、訪問控制列表來確保用戶賬

83、戶的安全，從而降低租戶的企業信息安全風險。數據隔離數據隔離：華為云對云端數據的隔離是通過虛擬私有云（VPC Virtual PrivateCloud）實施的，VPC 采用網絡隔離技術，實現不同租戶間在三層網絡的完全隔離，租戶可以完全掌控自己的虛擬網絡構建與配置：一方面，結合 VPN或云專線，將 VPC 與租戶內網的傳統數據中心互聯，實現租戶應用和數據從租戶內網向云上的平滑遷移；另一方面，利用 VPC 的 ACL、安全組功能，按需配置安全與訪問規則，滿足租戶更細粒度的網絡隔離需要。5.5.2 傳輸安全傳輸安全對于華為云平臺客戶端到服務端、服務端之間的數據通過公共信息通道進行傳輸的場景，傳輸中數據

84、的保護通過如下方式提供：虛擬專用網絡（虛擬專用網絡（VPN）：VPN用于在遠端網絡和 VPC 之間建立一條符合行業標準的安全加密通信隧道，將已有數據中心無縫擴展到華為云上，為租戶提供端到端的數據傳輸機密性保障。通過 VPN 在傳統數據中心與 VPC 之間建立通信隧道，租戶可方便地使用華為云的云服務器、塊存儲等資源，通過將應用程序轉移到云中、啟動額外的 Web 服務器來增加網絡的計算容量，實現了企業的混合云架構的同時，也降低了企業核心數據非法擴散的風險。目前，華為云采用硬件實現的 IKE（密鑰交換協議）和 IPSec VPN 結合的方法對數據傳輸通道進行加密，確保傳輸安全。應用層應用層 TLS

85、與證書管理與證書管理：華為云服務提供 REST 和 Highway 方式進行數據傳輸：REST 網絡通道是將服務以標準 RESTful 的形式向外發布，調用端直接使用華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司20HTTP 客戶端，通過標準 RESTful 形式對 API 進行調用，實現數據傳輸；Highway 通道是高性能私有協議通道，在有特殊性能需求場景時可選用。上述兩種數據傳輸方式均支持使用傳輸層安全協議（TLS Transport Layer Security）1.2 版本進行加密傳輸，同時也支持基于 X.509 證書的目標網站身份

86、認證。證書管理服務（SSL Certificate Service）則是華為云聯合全球知名數字證書服務機構，為租戶提供的一站式 X.509 證書的全生命周期管理服務，實現目標網站的可信身份認證與安全數據傳輸。5.5.3 存儲安全存儲安全密鑰保護與管理密鑰保護與管理密鑰管理服務（KMS Key Management Service）是一種安全、可靠、簡單易用的密鑰托管服務，幫助用戶集中管理密鑰，保護密鑰安全。它通過使用硬件安全模塊（HSM Hardware Security Module），為租戶創建和管理密鑰，防止密鑰明文暴漏在 HSM 之外，從而防止密鑰泄露。HSM 是一種安全產生、存儲、管

87、理及使用密鑰并提供加密處理服務的硬件設備。為保護租戶密鑰安全，減少密鑰外泄風險，華為云提供不同廠商、不同規格（標準加密算法、國密算法等）、不同強度的云 HSM 供租戶選擇，滿足不同租戶的實際需求，例如通過 FIPS140-2 國際權威認證的第三方 HSM。KMS對密鑰的所有操作都會進行訪問控制及日志跟蹤，滿足審計和合規性要求。目前已對接KMS 服務的華為云服務包括：云硬盤（Elastic Volume Service，簡稱 EVS）、對象存儲（Object Storage Service，簡稱 OBS）、云硬盤備份（Volume Backup Service，簡稱 VBS）及鏡像服務（Imag

88、e Management Service，簡稱 IMS）等。專屬加密專屬加密專屬加密滿足租戶更高合規性要求的加密場景，采用通過國家密碼局認證或FIPS140-2 第 3 級驗證的硬件加密機，對租戶業務進行專屬加密，默認雙機架構以提高可靠性。數據機密性及可靠性保證數據機密性及可靠性保證華為云針對各存儲服務提供數據保護功能和建議，具體見下表：表表 5-1 華為云存儲服務機密性與可靠性概覽存儲存儲類型類型服務描述服務描述機密性保證機密性保證可靠性保證可靠性保證EVS云硬盤是一種基于分布式架構的、可彈性擴展的虛擬塊存儲服務。KMS 提供密鑰。用戶主密鑰（CMK - CustomerMaster Key

89、）由 KMS 生成、管理和銷毀，用于加密和解密數據加密密鑰。華為云提供整卷加密功能。三副本冗余，數據持久性高達99.9999999%。通過VBS實現云硬盤的備份與恢復，且支持通過云硬盤備份創建新的云硬盤。VBS云硬盤備份為EVS創建備份，利用備份數據回滾EVS數據。加密盤的備份數據自動加密，保證數據安全。備份數據跨數據中心保存，數據持久性高達99.999999999%。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司21存儲存儲類型類型服務描述服務描述機密性保證機密性保證可靠性保證可靠性保證OBS對象存儲服務是一種基于對象的海量存儲服務，為用戶

90、提供海量、低成本、高可靠、高安全的數據存儲能力。對于服務器端加密，OBS提供兩種密鑰管理方式： 用戶提供密鑰用戶提供密鑰（SSE1-C方式）：OBS使用用戶提供的密鑰和密鑰的MD5值進行服務端加密。 KMS 托管密鑰托管密鑰（SSE-KMS 方式）：由 KMS提供密鑰。用戶向區域中的桶上傳對象時，OBS 將自動創建用于加密和解密數據的CMK。數據持久性高達99.9999999999%，服務可用性達99.995%。數據檢查：存儲前和存儲后通過Hash校驗數據一致性，確保存入數據是上傳數據。分片冗余：數據分片后多份冗余存儲在不同磁盤，后臺自行檢測一致性并及時修復受損數據。RDS關系型數據庫服務（R

91、elationalDatabaseService，簡稱RDS）是一種基于云計算平臺的即開即用、穩定可靠、彈性伸縮、便捷管理的在線關系型數據庫服務。通過靜態加密、表空間加密、同態加密對數據進行加密。華為云關系型數據庫服務支持對存儲到數據庫中的數據加密后存儲，加密密鑰由KMS進行管理。關系型數據庫服務采用熱備架構，故障系統1分鐘自動切換。每天自動備份數據，上傳到OBS桶，備份文件保留732天，支持一鍵式恢復。IMS鏡像服務提供靈活的自助服務和完善的鏡像管理能力，用戶可以從豐富的公共鏡像庫中選擇或創建私有鏡像，快速創建或批量復制彈性云服務器。由 KMS 提供密鑰。CMK由 KMS生成、管理和銷毀，用

92、于加密和解密數據加密密鑰。華為云提供兩種方式創建加密鏡像：通過加密彈性云服務器創建和通過外部鏡像文件創建。使用多份冗余存儲私用鏡像，數據持久性高達99.999999999%。 說明說明1.SSE Server-Side Encryption. C 在 SSE-C 中是指客戶（customer）。5.5.4 數據刪除與銷毀數據刪除與銷毀在用戶確認刪除數據后，華為云會徹底刪除用戶數據，確保數據不泄露：內存刪除內存刪除：華為云在云操作系統將內存重新分配給用戶之前，會對分配的內存進行清零操作，即寫“零”處理，防止通過物理內存恢復刪除數據造成的數據泄露。華為云安全白皮書5 基礎設施安全文檔版本 3.2(

93、2020-08-14)版權所有 華為技術有限公司22加密數據防泄露加密數據防泄露：華為云建議租戶對要上云的重要數據進行加密存儲，數據需要刪除時，通過直接刪除相關數據加密密鑰，防止數據在被徹底刪除前被恢復為明文后造成泄露。存儲數據刪除存儲數據刪除：當租戶刪除數據時，數據和對應的元數據在系統中一并刪除，底層存儲區域被回收以供系統重新覆蓋寫入，數據無法再被讀取。但是針對客戶誤刪除的操作場景，通過EVS服務的回收站功能、OBS服務的多版本控制功能，用戶可以最終決定數據的恢復或徹底刪除。磁盤數據刪除磁盤數據刪除：華為云對刪除虛擬卷采用清零措施，確保數據不可恢復，有效防止被惡意租戶使用數據恢復軟件讀出磁盤

94、數據，杜絕信息泄漏風險。物理磁盤報廢物理磁盤報廢：當物理磁盤報廢時，華為云通過對存儲介質進行消磁、折彎或破碎等方式清除數據，并對數據清除操作保存完整記錄，滿足行業標準，確保用戶隱私和數據不受未授權訪問。華為云安全白皮書5 基礎設施安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司236 租戶服務與租戶安全租戶服務與租戶安全華為云擁有縱跨 IaaS、PaaS 和 SaaS 類多項直接面向租戶的云服務。本章精選了對于方便租戶上云，為租戶業務賦能增值，為租戶安全保駕護航均尤為重要的服務，涉及計算、網絡、存儲、數據庫、數據分析、應用、管理和安全等方面。每項云服務的介紹包括其基本技術

95、特性、安全功能以及給租戶安全帶來的益處。同時，考慮到絕大多數租戶對一些大眾化的安全服務已有多年理論和實踐積累，例如虛擬專用網絡服務（VPN），因此未收入此章，具體內容可登錄華為云網站（http:/ 計算服務計算服務6.1.1 彈性計算服務（彈性計算服務（ECS）彈性計算服務（ECS Elastic Compute Service）是華為云為租戶提供的一種可隨時自助獲取，按需租用虛擬計算資源的云服務。租戶購買的云服務器實例是一個虛擬的計算環境，包含了 CPU、內存、操作系統、磁盤、帶寬等最基礎的服務器組件。一個實例就是一臺虛擬機。對自己創建的實例，租戶擁有管理員權限，可以進行多項基本操作，如掛載

96、磁盤、添加網卡、創建鏡像、部署環境等。華為云 ECS 提供了多層次的安全防護和保障，包括主機操作系統安全、虛擬機隔離、安全組等。通過從虛擬機到主機再到整個組網的整體安全設計，為用戶打造安全可靠、靈活高效的應用環境。主機安全主機安全：主機操作系統使用華為統一虛擬化平臺（UVP），對 CPU，內存和I/O 資源隔離管理。UVP 安全性能已在第5章 5.3 平臺安全一節詳細介紹，在此不再贅述。虛擬機安全虛擬機安全鏡像加固鏡像加固：華為云通過鏡像工廠，由專業安全團隊對虛擬機操作系統公共鏡像進行安全加固，并及時修復系統安全漏洞，最終生成安全更新了的公共鏡像，并通過鏡像服務（IMS）持續提供給租戶。同時提

97、供相關加固和補丁信息以供用戶對鏡像進行測試、排除故障及其他運維活動時參考。由客戶根據相關應用運行及安全運維策略，選擇直接使用最新的公共鏡像重新創建虛擬機或自行創建已安裝安全補丁的私有鏡像。網絡與平臺隔離網絡與平臺隔離：主機內由 Hypervisor 提供的虛擬交換機（vSwitch）通過設置VLAN、VXLAN、ACL 等屬性確保虛擬機在網絡層的邏輯隔離。多臺主機之間的網絡依然使用傳統的物理網絡設備（路由器、交換機等）進行物理華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司24隔離。同時，UVP 支撐的 CPU、內存、I/O 隔離進一步實

98、現虛擬機在平臺層的邏輯隔離。IP/MAC 仿冒控制仿冒控制：為了避免由于租戶任意修改虛擬機 IP 或 MAC 引起的網絡混亂，通過 DHCP snooping 技術，增加 IP 與 MAC 之間的綁定關系，然后通過 IP 源側防護 (IP Source Guard) 與動態 ARP 檢測（DAI DynamicARP Inspection）對非綁定關系的報文進行過濾，可以防止用戶虛擬機 IP 和MAC 地址的仿冒。安全組安全組：UVP 還提供安全組功能，用于多臺虛擬機之間的分組隔離。多臺虛擬機之間如果要相互訪問，可以建立安全組。同一個安全組內的多臺虛擬機默認可相互訪問，處于不同安全組的任何兩臺

99、虛擬機默認禁止相互通信。但可定制配置為允許通信。第6章6.2.1 虛擬私有云服務（VPC）一節對安全組做詳盡的介紹，請參考。遠程訪問認證：遠程訪問認證：租戶可通過 SSH 遠程訪問虛擬機操作系統來進行系統維護。但是，開放的 SSH 接口也是虛擬機的一個較高安全風險。為保證遠程訪問控制安全，租戶可選擇使用賬號口令或公/私鑰對完成遠程訪問的接入認證，建議租戶默認使用更為安全的公/私鑰對認證方式。資源管理認證：資源管理認證：租戶通過 API 來管理華為云 ECS 計算資源。租戶發出 API 接入請求后，必須先完成基于 IAM 的身份認證和鑒權，才能接入 API 對計算資源進行管理。VNC安全：安全：

100、租戶通過VNC（Virtual Network Computing）方式遠程訪問虛擬機，使用賬號口令進行身份認證，采用TLS 1.2 版本進行加密傳輸，確保數據傳輸安全。6.1.2 鏡像服務（鏡像服務（IMS）鏡像是一個包含了軟件及必要配置的云服務器或裸金屬服務器模版，至少包含操作系統，還可以包含各種預裝的應用軟件（例如，數據庫軟件）。鏡像分為公共鏡像、私有鏡像、共享鏡像和市場鏡像。公共鏡像是華為云為操作系統提供的標準鏡像；私有鏡像是用戶自行創建的鏡像；共享鏡像是用戶自己定義并分享給其他用戶的鏡像，由用戶社區在自愿基礎上維護；市場鏡像是提供預裝操作系統、應用環境和各類軟件的優質第三方鏡像。華為

101、云鏡像服務（IMS Image Management Service）提供簡單方便的鏡像自助管理功能?？蛻艨赏ㄟ^服務控制臺或 API 對自己的鏡像進行管理。華為云負責公共鏡像的定期更新與維護，向用戶提供安裝安全補丁的公共鏡像和相關安全加固和補丁信息，以便用戶在部署測試、故障排除等運維活動時參考。用戶可以直接使用公共鏡像，或者通過已有的云服務器或使用外部鏡像文件自行創建私有鏡像，也可以參與創建和維護共享鏡像。用戶能靈活選擇上述任何鏡像申請彈性云服務器。IMS 基于華為云統一身份認證服務（IAM）來進行認證，支持鏡像的傳輸和存儲加密以及完整性檢測。IMS 的所有數據都存儲于信任子網內的鏡像倉庫，并

102、且采用對象存儲分桶機制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS提供了安全的加密算法和功能，讓用戶選擇對鏡像進行加密存儲。在基于鏡像創建虛擬機時，系統會自動檢查鏡像完整性，以確保創建的虛擬機包含完整的鏡像內容。IMS 對租戶的所有操作進行權限判斷，只有符合權限要求才允許執行，并對所有關鍵操作進行審計記錄。審計日志實現持久化，租戶可以對其進行長期而且精確的回溯。6.1.3 彈性伸縮服務彈性伸縮服務 (AS)彈性伸縮服務（AS Auto-Scaling）是根據租戶的業務需求，通過用戶預先定義的策略自動按需調整資源的服務。AS 在運行中無需人工干預，就可使資源使用量符合業務當前的需求。

103、在業務增長時實現應用系統自動擴容，業務下降時實現應用系統自動減華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司25容。從而既能幫助租戶節約資源和人力成本，又能保證其業務平穩健康運行。AS 對執行資源調配和管控策略的自動化特性有助于避免資源爭奪類攻擊或租戶管理人員在調配資源時人為操作失誤所造成的安全風險。AS 支持自動地將加入的實例添加到負載均衡監聽器，訪問流量將通過負載均衡監聽器自動分發到伸縮組內的所有實例，相比直接訪問單個后端服務器和服務具有更高的防DDoS 攻擊的能力。AS 可以實時檢測實例的運行狀況，并啟動新實例以替換運行狀況不佳的

104、實例。同時支持配置使用多個可用區（AZ Availability Zone），在多個可用分區中平均分配實例，保證伸縮組中部署應用的容災能力，提升系統可用性。6.1.4 專屬主機服務專屬主機服務 (DeH)專屬主機服務（DeH Dedicated Host Service）是在華為云 ECS 的基礎上，提供的一種靈活的以主機為單位出租的彈性計算服務，它繼承了 ECS 服務的所有功能以及安全特性。DeH 由于以主機為單位出租，在安全上有物理層主機隔離的優勢：單個租戶擁有整個主機，可以避免其他租戶對系統資源的搶占，防止惡意租戶通過 Hypervisor 可能出現的漏洞對系統實施攻擊。6.1.5 裸金

105、屬服務（裸金屬服務（BMS）裸金屬服務（BMS Bare Metal Service）是華為云為租戶提供的一種可隨時自助獲取，按需租用物理層計算資源的云服務。租戶購買的裸金屬服務器，即 BMS 實例，是一個物理的計算環境，包含了 CPU、內存、操作系統、磁盤、帶寬等最基礎的服務器組件，是 BMS 提供給每個租戶的操作實體。一個實例就是一臺物理機。對自己創建的實例，租戶擁有管理員權限，可以執行多項基本操作，如開關機器，掛載磁盤、部署環境等。BMS 提供了與華為云 ECS 類似的多層安全防護，包括主機系統和網絡安全、遠程訪問認證、管理控制安全等技術手段，具體內容可參考第6章 6.1.1 彈性計算服

106、務（ECS）一節。更重要的是，BMS 獨享物理機隔離的安全優勢。通過從主機到整個組網的安全設計為租戶提供可靠的安全保障，進而幫助用戶打造一個在獨立物理計算環境中運行的，安全可靠、靈活高效的應用環境。6.2 網絡服務網絡服務6.2.1 虛擬私有云服務虛擬私有云服務 (VPC)虛擬私有云服務（VPC Virtual Private Cloud）為彈性云服務器構建隔離的、用戶自主配置和管理的虛擬網絡環境，提升用戶云中資源的安全性，簡化用戶的網絡部署。VPC 的優勢如下：可以完全掌控自己的虛擬網絡，包括創建自己的網絡?？梢酝ㄟ^在 VPC 中申請彈性 IP 地址1，將彈性云服務器連接到公網?？梢允褂?V

107、PN 將 VPC 與傳統數據中心互聯，實現應用向云上的平滑遷移。兩個 VPC 可以通過對等連接功能互聯?？梢酝ㄟ^ VPC 方便地創建、管理自己的網絡，配置 DHCP，執行安全快捷的網絡變更?？梢酝ㄟ^ VPC 多項網絡安全防護功能提高網絡安全性。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司26VPC 基本架構如下圖：（請見下頁）圖圖 6-1 華為云 VPC 架構簡圖VPC 提供了以下與租戶網絡安全強相關的網絡功能：子網子網：子網是用來管理彈性云服務器網絡平面的一個網絡，可提供 IP 地址管理、DNS 服務。同一個 VPC 的所有子網內的

108、彈性云服務器默認均可以相互通信，處于不同 VPC 中的任意兩臺彈性云服務器默認禁止通信。VPN：VPN 用于遠端用戶和 VPC 之間建立一條安全加密的通信管道，使遠端用戶通過 VPN 直接使用 VPC 中的業務資源。默認情況下，在 VPC 中的彈性云服務器無法與租戶自己的數據中心或私有網絡進行通信，如需通信，租戶可啟用 VPN功能，配置 VPN 相關參數。云專線云專線：云專線服務是在租戶自營的內網本地數據中心與華為云間建立連接的專線網絡連接服務。租戶可以利用云專線建立華為云與租戶的數據中心、辦公室或主機托管區域的專線連接，降低網絡時延，獲得比互聯網線路更快速、更安全的網絡體驗。VPC 還提供了

109、多項不同 Open System Interconnection（OSI）層的網絡安全防護功能，租戶可以根據其在華為云上的網絡安全需求定制配置。其中，對整個華為云和每個租戶的 VPC 的網絡安全都至關重要的非網絡ACL和安全組這兩款安全功能莫屬，先著重介紹：網絡網絡ACL：網絡ACL是對一個或多個子網的訪問制定、維護并執行訪問控制策略的系統，根據與子網關聯的入站/出站規則，判斷數據包是否被允許流入/流出關聯子網。安全組安全組：在 VPC 中，安全組是一組對彈性云服務器的訪問規則的集合，為同一個VPC 內具有相同安全保護需求并且相互信任的彈性云服務器提供訪問策略。用戶可以自行創建并定義安全組內與

110、組間彈性云服務器的訪問規則，將 VPC 中的彈性云服務器劃分成不同的安全域，以提升彈性云服務器訪問的安全性。每個安全組可以設定一組訪問規則。安全組規則包括：協議、出/入方向、源 IP 地址段/子網或安全組、允許訪問的端口范圍。支持配置 TCP、UDP、ICMP 三種協議。當虛擬機加入安全組后，即受到該訪問規則組的保護。用戶創建虛擬機時，通過選定要加入的安全組，來對虛擬機進行安全隔離和訪問控制。同一個安全組內的多臺虛擬機可以分布在物理位置分散的多臺物理機上。同一個安全組內的多臺虛擬機默認可相華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司2

111、7互訪問，處于不同安全組的任何兩臺虛擬機默認禁止相互通信，但可定制配置為允許通信。當安全組被成功創建，沒有自定義規則的安全組即具備默認的訪問規則。默認規則是在出方向上的數據報文全部放行，安全組內的云服務器無需添加規則即可互相訪問。當默認訪問規則可以滿足需求時，則無需再為該安全組添加規則。顯而易見，網絡ACL和安全組功能都是為了提升華為云 VPC 的網絡安全性。因此，了解二者區別會對租戶建立有效的 VPC 網絡安全策略大有助益。網絡ACL和安全組的區別總結如下，僅供參考。表表 6-1 安全組和網絡 ACL 區別列表安全組安全組網絡網絡ACL彈性云服務器實例級別操作（第一層防護）子網級別操作（第二

112、層防護）支持允許策略支持允許和拒絕策略多個規則沖突，取其并集生效多個規則沖突，靠前的規則優先生效創建彈性云服務器實例默認必須選擇安全組，默認安全組自動應用到彈性云服務器實例創建子網沒有網絡ACL選項，必須創建網絡ACL、添加關聯子網、添加出入規則，并啟用，才可應用到關聯子網及子網下的彈性云服務器實例支持報文三元組（即協議、端口和對端地址）過濾支持報文五元組（即協議、源端口、目的端口、源地址和目的地址）過濾 另外，為增強VPC網絡隔離防護，平臺內也提供了其他網絡安全功能，總結如下：虛擬局域網（虛擬局域網（VLAN）隔離）隔離：VLAN 在 OSI 的第二層通過虛擬網橋支持 VLANtagging

113、 功能實現虛擬交換并確保虛擬機之間的安全隔離。IP 和和 MAC 綁定綁定：防止虛擬機用戶通過修改虛擬網卡的 IP、MAC 地址發起 IP、MAC 仿冒攻擊，避免網絡混亂，增強虛擬機網絡的安全性。具體技術能力包括通過 DHCP snooping 生成 IP-MAC 的綁定關系，然后通過 IP 源側防護 (IP SourceGuard) 與動態 ARP 檢測對非綁定關系的報文進行過濾。DHCP Server 隔離隔離：禁止用戶虛擬機啟動 DHCP Server 服務，防止用戶無意識或惡意啟動 DHCP Server 服務，影響正常的虛擬機 IP 地址分配過程。防防 DoS/DDoS 攻擊攻擊：系

114、統通過限制虛擬端口的連接跟蹤數來抵御來自云平臺外部或平臺內部其他虛擬機的大流量攻擊2。說明說明1.彈性IP 是基于互聯網上的靜態 IP 地址，將彈性 IP 地址和子網中關聯的彈性云服務器綁定和解綁，可以實現 VPC 中的彈性云服務器通過固定的公網 IP 地址與互聯網互通。2.大流量攻擊會產生大量連接跟蹤表項，如果不做限制，會耗盡連接跟蹤表資源，導致不能接受新的連接請求，最終造成業務及管理流量中斷。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司286.2.2 彈性負載均衡服務（彈性負載均衡服務（ELB）彈性負載均衡（ELB Elastic

115、 Load Balance）將訪問流量自動分發到多臺彈性云服務器，擴展應用系統對外的服務能力，實現更高水平的應用程序容錯性能。相比傳統硬件負載均衡器，彈性負載均衡具有如下優勢：冗余設計，自動移除異常節點，并將流量在正常節點之間重新路由，確保業務的可用性。根據應用的流量，自動擴展處理能力，并可與彈性伸縮服務無縫集成，自動滿足變化的流量需求。支持最高1億并發連接，滿足用戶的大流量需求；支持用戶使用 OSI 四層（TCP協議、UDP 協議）或七層（HTTP 協議、HTTPS 協議）的負載分發。ELB 組網基本設計如下圖：圖圖 6-2 華為云 ELB 組網圖彈性負載均衡服務提供如下安全防護：隱藏內部真

116、正的服務器地址和端口號隱藏內部真正的服務器地址和端口號：ELB 僅對外暴露單個地址和相應服務端口，不暴露真實的后端地址和服務端口，防止網絡信息泄露，減少攻擊面。根據流量狀態，自動擴展處理能力根據流量狀態，自動擴展處理能力：ELB 可以配合彈性伸縮服務提供更加靈活的擴展收縮能力，相比直接訪問單個后端和服務具有更高的防 DDoS 攻擊能力。內網內網 ELB 支持安全組配置：支持安全組配置：建立內網 ELB 安全組可以確保租戶實例只接收來自負載均衡器的流量。租戶也可以定義允許的端口和協議，確保兩個方向通過 ELB 的流量。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)

117、版權所有 華為技術有限公司29支持源地址透傳支持源地址透傳：ELB 在監聽 HTTP 和 HTTPS 服務時支持源地址透傳功能，租戶可基于源地址進行溯源、連接統計、流量統計或者源地址白名單等進一步的安全訴求，通過客戶應用實現，更快速發現攻擊并有效響應。支持支持 SSL/TLS 卸載及證書管理卸載及證書管理：ELB 支持 SSL/TLS 卸載。SSL/TLS 卸載將報文加解密的工作由租戶的后端服務器轉移到 ELB，可以有效降低租戶后端服務器的性能壓力。對于進入 ELB 的加密流量，由 ELB 負責將報文解密，然后分發到租戶的后端服務器；對于流出 ELB 的流量，由 ELB 對報文進行加密后發送。

118、使用SSL/TLS 卸載功能時，需要租戶上傳所需證書及私密鑰，由 ELB 進行管理。支持加密協議和加密套件可配置支持加密協議和加密套件可配置：租戶使用 HTTPS 作為 ELB 的安全通信協議時，可以按需選擇加密協議和相關配置。默認選擇的加密協議是 TLS 1.2 版本。ELB 同時支持加密套件可選；對于有更多加密算法項選擇的租戶，ELB 提供擴展的加密套件；對有高安全需求的租戶，提供嚴格的加密算法。6.2.3 云解析服務（云解析服務（DNS）云解析服務（DNS Domain Name Service）提供高可用、高擴展的權威 DNS 服務和 DNS 管理服務，把人們常用的域名或應用資源轉換成

119、用于計算機連接的 IP 地址，從而將最終用戶路由到相應的應用資源上。通過 DNS 可以把域名解析到 ECS、OBS、RDS 等其他服務地址，便于通過域名直接訪問不同服務資源。用戶可以從 DNS 中獲得其獨有的內網域名解析服務，可以基于 VPC任意定制域名和解析，解決了內部業務的域名注冊和管理問題，降低了業務部署和維護的復雜度，同時也為業務高可用設計提供了可能。華為云 DNS 基于華為云高可用性和可靠性的基礎架構構建，其服務器的分布式特性有助于提高可用性，確保將最終用戶路由到應用程序。在單個業務節點發生故障時，可通過修改 DNS 解析記錄進行故障轉移，保障租戶業務的可用性。華為云 DNS 具有以

120、下主要安全防護功能：支持添加 IP 到域名映射的反向解析記錄，通過反向解析可以降低垃圾郵件數量。通過例行更新，縮短生存期（TTL Time to Live）和頻繁清除 DNS 緩存等措施防止 DNS 緩存中毒攻擊。提供 Anti-DDoS 功能，對訪問流量進行特征模擬，清洗攻擊流量，限流和屏蔽惡意 IP 訪問，保障服務安全穩定運行。DNS 提供的七層防護算法，逐層對攻擊流量進行清洗過濾，實現了對流量層攻擊和應用層攻擊的全面防護。例如，Anti-DDoS 功能可以阻斷 DNS 放大攻擊。提供HttpDNS能力，允許客戶端使用基于HTTP/HTTPS協議的API繞過傳統LocalDNS Serve

121、r進行域名解析；可有效避免域名解析結果被劫持。租戶可以通過使用華為云 IAM 為租戶成員分配云解析服務及操作權限，使用訪問密鑰，以 API 的方式訪問華為云資源。6.3 存儲服務存儲服務6.3.1 云硬盤服務（云硬盤服務（EVS）云硬盤服務（EVS Elastic Volume Service）是華為云提供的分布式存儲服務，主要為ECS、BMS等計算服務提供硬盤。EVS基于IAM服務進行訪問控制，采用HTTPS+口令認證、會話管理、基于接口的權限控制、審計日志等措施來保證web操作的安全性；通過訪問控制、網絡平面隔離、自華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-1

122、4)版權所有 華為技術有限公司30動告警等措施保證后臺存儲系統安全性和穩定性；通過對操作系統、數據庫、web應用組件等進行安全配置加固、開源組件及時補丁或升級，保障系統運行安全。EVS使用多副本的數據冗余保護機制，采用副本同步寫、讀修復等措施保證數據一致性，當檢測到硬件故障能夠自動后臺修復，數據快速自動重建，數據持久性可達99.9999999%。EVS提供加密盤選項，用戶自主管理秘鑰，滿足用戶不同安全場景的需求。6.3.2 云備份服務（云備份服務（CBR）云備份（CBR Cloud Backup and Recovery）提供對云硬盤（Elastic VolumeService）、彈性云服務器

123、（Elastic Cloud Server）和裸金屬服務器（Bare MetalServer）的備份保護服務（下文將云硬盤稱為磁盤，彈性云服務器和裸金屬服務器統稱為服務器），支持基于快照技術的備份服務，并支持利用備份數據恢復服務器和磁盤的數據。同時云備份支持同步線下備份軟件BCManager中的備份數據，可以在云上對備份數據進行管理，并支持將備份數據恢復至云上其他服務器中。架構設計上，CBR以微服務架構為基礎，對業務進行抽象建模。做到業務數據與業務邏輯解耦，平臺共有能力與產品能力解耦，各個微服務之間業務解耦。微服務設計遵循前后端分離，無狀態服務，接口通信等設計原則。與外部交互，服務間交互充分考

124、慮返回錯誤、重啟、無響應、阻塞等異常情況，對故障進行隔離保證服務的可用性，當故障恢復后能夠自動恢復服務。CBR基于IAM服務進行訪問控制；通過HTTPS協議，對外接口基于HTTPS的RESTful架構，對CBR的訪問通道進行安全保護；采用網絡時間同步協議NTP（NetWork TimeProtocol）確保系統內各網元時間的一致性，對操作系統、數據庫、web應用組件等進行安全配置加固，保障系統運行安全。CBR支持對備份數據的完整性校驗。在備份和恢復過程中，采用CRC32C校驗備份數據的正確性，確保數據無損壞或被篡改。支持對加密卷的備份和恢復。通過華為云KMS服務獲取密鑰，將生產存儲中的加密卷加

125、密備份到備份存儲中，同時可以將加密備份數據恢復至原卷或新卷中。不同租戶的備份數據存儲在不同的桶中，相互隔離，最大限度保障用戶數據的安全。6.3.3 內容分發網絡（內容分發網絡（CDN）內容分發網絡（CDN Content Delivery Network）是構建在現有互聯網基礎之上的一層智能虛擬網絡，通過在網絡各處部署節點服務器，實現將源站內容分發至所有CDN節點，提供媒體內容的預注入、回源、存儲和緩存、分片、播放等功能，以及網頁、文件的緩存和下載功能，使用戶可以就近獲得所需的內容。CDN采用口令認證、訪問控制、最小授權、會話管理、輸入校驗、加密等安全手段確保整體系統安全性：通過對網絡設備進行

126、安全加固、網絡平面隔離、安全區域劃分及網絡訪問控制實現網絡層面的安全；通過操作系統安全加固、防病毒等手段實現操作系統主機層面安全；通過數據庫安全加固、數據庫安全設計等手段確保數據庫安全；通過對Web容器實施加固，對Web應用進行安全設計，使業務系統能夠有效應對安全威脅；通過接口協議安全、敏感數據傳輸安全及敏感數據存儲安全確保非Web應用安全；通過支持防盜鏈、防篡改等安全功能，保障CDN的內容安全；提供完善的通信矩陣和安全管理文檔，指導安全運維人員部署和實施。6.3.4 對象存儲服務（對象存儲服務（OBS）對象存儲服務（OBS Object Storage Service）是一個基于對象的海量存

127、儲服務，為租戶提供海量、安全、高可靠、低成本的數據存儲能力，包括：創建、修改、刪桶、上傳、下載、刪除對象等。OBS 為用戶提供超大存儲容量，可存放任意類型的文件，華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司31適合普通用戶、網站、企業和開發者使用。由于 OBS 是一項面向互聯網的服務，其提供的基于 HTTPS 協議的 Web 服務接口，讓用戶能在任意可連接至互聯網的電腦上，通過 OBS 管理控制臺或客戶端隨時隨地訪問和管理存儲在 OBS 中的數據。OBS 通過多種訪問控制手段，如桶 ACL、桶策略、用戶身份認證等安全手段，對租戶請求的

128、訪問權限進行限制；同時，對租戶數據，OBS 提供了一系列的安全手段，如通過訪問日志功能進行審計，通過跨域資源共享限定訪問來源及請求類型，通過防盜鏈確保鏈接來源可靠，通過服務端加密確保數據安全等，保障安全存儲、安全訪問租戶數據。訪問控制：訪問控制：OBS 支持通過 ACL、桶策略、用戶簽名驗證等方式對用戶的 OBS 請求進行訪問控制。訪問控制列表（訪問控制列表（ACL）：OBS 提供基于帳戶的 ACL，可授予指定帳戶相應的訪問權限。ACL 可以限制所有用戶或特定用戶對單個桶或對象的訪問權限，例如只讀權限、寫入權限、完全控制權限。用戶也可以設置其他訪問策略，例如對某對象設置公開訪問策略，賦予所有人

129、只讀權限。所有的桶和對象在默認情況下，只允許桶的創建者訪問桶內的對象，其他人無法訪問該桶及桶內的對象。桶策略桶策略：桶的所有者可以通過編寫桶策略（Bucket Policy），限定桶的訪問權限。桶策略可基于各種條件，如 OBS 操作、申請人、資源、請求的其他要素（如 IP 地址）提供對桶和對象的集中訪問控制等。附加到某個桶上的權限適用于該桶內所有對象。在帳戶制定策略上，可以按下面維度授予用戶權限：特定的桶特定的用戶ACL 只能對單個對象進行權限的添加，而桶策略可對一個桶內的所有對象進行權限的添加和禁止。帳戶可通過同一請求對某桶內任意數量的對象進行權限設置。此外，帳戶還可以對資源名稱及其他值添加

130、通配符（類似于正則表達式運算符），從而實現對一組對象的訪問控制。設置桶策略后，OBS 將根據桶策略判斷是接受還是拒絕對桶訪問的請求。用戶簽名驗證用戶簽名驗證： 帳戶訪問 OBS 時必須提供一對訪問密鑰，即 AK/SK。AK 和SK 支持 IAM 的認證機制。OBS 通過用戶帳戶中的 AK 和 SK 進行認證鑒權，確保通過授權的帳戶才能訪問指定的 OBS 資源。當向 OBS 發送訪問請求時，發送的消息頭會包含由 SK、請求時間、請求類型等信息生成的鑒權信息。并且，在進行鑒權之前，OBS 需要對桶名、對象名單獨進行 URLEncode 編碼，再生成鑒權信息。只有經過簽名鑒權驗證通過的帳戶，才能訪問

131、指定的 OBS 資源。OBS 接口層面全面兼容亞馬遜的 S3（Simple Storage Service）接口。租戶可以使用亞馬遜資源名稱（ARN Amazon Resource Name），亞馬遜簽名第2版和第4版（Amazon Signature V2 / V4）1兩種版本的簽名認證流程以及認證接口，來完成從亞馬遜的 S3 讀取并遷移其數據到華為云上，確保租戶數據遷移安全可靠。數據可靠性和持久性：數據可靠性和持久性：OBS 通過支持對象數據的高可靠性，并通過業務節點的高可靠性網絡和節點的多冗余設計，使系統設計可用性達99.995%，完全滿足對象存儲服務高可用的需求。OBS 通過提供對象數

132、據多份冗余和保證多份對象的數據一致性自動修復技術，來提供對象數據的高可靠性，系統設計數據持久性高達99.9999999999%。OBS 支持保存一個對象的多個版本，使用戶更方便地檢索和還原各個版本，在意外操作或應用程序故障時快速恢復數據。多版本控制為用戶意外覆蓋或刪除對象華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司32場景提供了恢復手段。默認情況下，OBS 中新創建的桶不會開啟多版本功能，向同一個桶上傳同名的對象時，新上傳的對象將覆蓋原有對象。訪問日志記錄訪問日志記錄：OBS 支持對桶的訪問請求，并保存訪問日志記錄，用于進行請求分析或

133、日志審計。通過訪問日志記錄，桶的所有者可以深入分析訪問該桶的租戶請求性質、類型或趨勢。當租戶開啟一個桶的日志管理功能后，OBS 會自動對該桶的訪問請求進行日志記錄，并生成日志文件，寫入用戶指定的桶（即目標桶）中。由于日志存儲在 OBS 中也會占用租戶的 OBS 存儲空間，意味著將產生額外的存儲費用，因此默認情況下 OBS 不會開啟該功能。若出于分析或審計等目的，租戶可開啟該功能?？缬蛸Y源共享（跨域資源共享（CORS Cross-Origin Resource Sharing）：）：OBS 支持 CORS 規范，允許跨域請求訪問 OBS 中的資源。CORS 是由 W3C（World Wide W

134、ebConsortium）標準化組織提出的一種網絡瀏覽器的規范機制，定義了一個域中加載的客戶端 Web 應用程序與另一個域中的資源交互方式。OBS 支持靜態網站托管，條件是只有在目標桶設置了合理的 CORS 配置時，OBS 中保存的靜態網站才被響應另一個跨域網站的請求，不會由于同源安全策略（SOP Same OriginPolicy）的存在，而導致不同域之間的網站腳本和內容無法進行交互。防盜鏈：防盜鏈：為了防止租戶在 OBS 的數據被他人盜鏈，OBS 支持基于 HTTP 表頭（header）中參照位址（referer）的防盜鏈方法，OBS 同時支持白名單和黑名單的訪問設置。在 HTTP 協議中

135、，通過表頭字段，網站可以檢測目標網頁訪問的來源網頁。有了跟蹤來源，就可以通過技術手段進行處理，一旦檢測到來源不是本站，即進行阻止或返回指定頁面。防盜鏈還可以檢測到請求來源是否與白名單或黑名單匹配，若與白名單匹配成功則允許請求訪問，否則阻止或返回指定頁面。服務端加密：服務端加密：用戶可根據自身需求，采用不同的密鑰管理方式來使用服務端加密功能。用戶上傳對象時，服務端會把數據加密成密文后進行存儲。用戶下載加密對象時，存儲的密文會先在服務端解密為明文，再提供給用戶。目前，服務端加密功能支持兩種方式：KMS 托管密鑰的服務端加密（SSE-KMS）和客戶提供加密密鑰的服務端加密（SSE-C）。SSE-KM

136、S 是指 OBS 使用 KMS 提供的密鑰進行服務端加密。用戶首先需要在KMS 中創建密鑰（或使用 KMS 提供的默認密鑰），然后在上傳對象時使用該密鑰進行服務端加密。SSE-C 是指 OBS 使用用戶提供的密鑰和密鑰的哈希值進行服務端加密。用戶在上傳對象的接口中攜帶密鑰，OBS 使用該密鑰進行服務端加密。OBS 不存儲用戶提供的加密密鑰，因此若沒有該密鑰，用戶則無法解密獲取該對象。說明說明1.亞馬遜簽名認證第4版與第2版相比，除使用更加安全的 HMAC-SHA256 算法外，還會將用戶數據納入簽名計算，并且計算簽名時納入簽名計算的頭域也可以由用戶自行指定，由此極大提升了請求鑒權的安全性。因此

137、，華為云建議租戶使用第4版與亞馬遜對接實現遷移。6.3.5 數據快遞服務（數據快遞服務（DES）數據快遞服務（DES Data Express Service）是一種線下海量數據傳輸服務，它使用物理存儲介質（例如：eSATA 硬盤驅動器）向華為云傳輸大量數據。使用數據快遞服務可解決海量數據傳輸的難題，如高昂的網絡成本、較長傳輸時間等。在開通 DES 服務后，登錄管理控制臺創建服務單，將數據按 DES 要求加密存放入待郵寄磁盤中后，即可將磁盤郵寄快遞至華為云數據中心。為了保護數據安全，在郵寄前，建議用戶對磁盤數據進行加密。DES 支持第三方加密工具使用業界通用的 AES-256 加密算法對數據進

138、行客戶端加密。DES 支持的客戶端是華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司33Windows、Mac OS X、Linux 等操作系統。工具不需要生成任何文件即可在硬盤上建立虛擬磁盤。用戶可以按照盤符進行訪問，所有虛擬磁盤上的文件都被自動加密，必須使用密碼來進行訪問。華為云數據中心收到磁盤后，會將磁盤掛載至服務器并通知用戶盡快啟動上傳任務。此時用戶可再次登錄管理控制臺填寫 AK/SK 和用戶加密磁盤的密鑰，啟動數據上傳。數據傳輸完成后用戶還可以查看數據傳輸報表，確認無誤后華為云數據中心將回郵磁盤。華為云人員全程不接觸租戶密鑰及租

139、戶數據，確保數據傳輸安全。6.4 數據庫服務數據庫服務6.4.1 關系型數據庫服務（關系型數據庫服務（RDS）關系型數據庫服務（RDS Relational Database Service）是華為云提供的一款允許租戶快速發放不同類型數據庫，并可根據業務需要對計算資源和存儲資源進行彈性擴容的數據庫服務。其提供自動備份、數據庫快照、數據庫恢復等功能，以防止數據丟失。參數組功能，則允許租戶根據業務需要進行數據庫調優。RDS 還提供多個特性來保障租戶數據庫的可靠性和安全性，例如VPC、安全組、權限設置、SSL連接、自動備份、數據庫快照、時間點恢復（PITR Point In TimeRecovery

140、）、跨可用區部署等。網絡隔離網絡隔離：VPC 允許租戶通過配置 VPC 入站 IP 范圍來控制連接數據庫的 IP 地址段。RDS 實例運行在租戶獨立的 VPC 內。租戶可以創建一個跨可用區的子網組，之后可以根據業務需要，將部署 RDS 的高可用實例選擇此子網完成，RDS 在創建完實例后會為租戶分配此子網的 IP 地址，用于連接數據庫。RDS 實例部署在租戶VPC 后，租戶可通過 VPN 使其它 VPC 能夠訪問實例所在 VPC，也可以在 VPC 內部創建 ECS，通過私有 IP 連接數據庫。租戶可以綜合運用子網和安全組的配置，來完成 RDS 實例的隔離，提升 RDS 實例的安全性。訪問控制訪問

141、控制：租戶創建 RDS 實例時，RDS 會為租戶同步創建一個數據庫主帳戶，主帳戶的密碼由租戶指定。此主帳戶允許租戶操作自己創建的 RDS 實例數據庫。租戶可以使用數據庫主帳戶連接 RDS 實例數據庫，并根據需要創建數據庫實例和數據庫子帳戶，并根據自身業務規劃，將數據庫對象賦予數據庫子帳戶，以達到權限分離的目的。租戶創建數據庫實例時，可以選擇安全組，將 RDS 實例業務網卡部署在對應的安全組中。租戶可以通過 VPC 對 RDS 實例所在的安全組入站、出站規則進行限制，從而控制可以連接數據庫的網絡范圍。數據庫安全組僅允許數據庫監聽端口接受連接。配置安全組不需要重啟 RDS 實例。傳輸加密傳輸加密：

142、RDS 實例支持數據庫客戶端與服務端 TLS 加密傳輸。 RDS 在發放實例時，指定的 CA 會為每個實例生成唯一的服務證書?？蛻舳丝梢允褂脧姆湛刂婆_上下載的 CA 根證書，并在連接數據庫時提供該證書，對數據庫服務端進行認證并達到加密傳輸的目的。存儲加密存儲加密：支持對存儲到數據庫中的數據加密后存儲，加密密鑰由 KMS 管理。自動備份和快照自動備份和快照：RDS 提供兩種備份恢復方法，即自動備份和數據庫快照。自動備份默認開啟，備份存儲期限最多35天，同時開啟自動備份后允許對數據庫執行時間點恢復。RDS 自動備份會進行全量數據備份，且每5分鐘會增量備份事務日志，這就允許租戶將數據恢復到最后一次

143、增量備份前任何一秒的狀態?？煺帐亲鈶羰謩佑|發的數據庫全量備份，這些備份數據存儲在華為 OBS 桶中，當租戶刪除實例時，會同步刪除 OBS 桶中的快照。租戶也可以從已有的快照恢復到新實例中。數據復制數據復制：RDS 支持部署高可用實例。租戶可選擇在單可用區或多可用區中部署高可用實例。當租戶選擇高可用實例時，RDS 會主動建立和維護數據庫同步復華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司34制，在主實例故障的情況下，RDS 會自動將從實例升為主實例，從而達到高可用的目的。如果租戶使用 MySQL 數據庫時，業務中讀取數據比例大的話，可以對

144、RDS 單實例創建只讀實例，RDS 維護主實例和只讀實例間的數據同步關系，租戶可以根據業務需要連接不同的實例進行讀寫分離。數據刪除數據刪除：租戶刪除 RDS 實例時，存儲在此實例中的數據以及在OBS中相應的備份數據都會被自動刪除，實例中的數據無法被查看及恢復。6.4.2 文檔型數據庫服務（文檔型數據庫服務（DDS）文檔型數據庫服務（DDS Document Database Service）是華為云提供的一款允許租戶快速發放不同類型數據庫，并可根據業務需要對計算資源和存儲資源進行彈性擴容的數據庫服務。其提供自動備份、數據庫快照、數據庫恢復、時間點恢復等功能，以防止數據丟失。參數組功能，則允許租

145、戶根據業務需要進行數據庫調優。DDS 還提供多個特性來保障租戶數據庫的可靠性和安全性，例如VPC、安全組、權限設置、SSL連接、自動備份、數據庫快照、時間點恢復、跨可用區部署等。網絡隔離網絡隔離：VPC 允許租戶通過配置 VPC 入站 IP 范圍來控制連接數據庫的 IP 地址段。DDS 實例運行在租戶獨立的 VPC 內。租戶可以創建一個跨可用區的子網組，之后可以根據業務需要，將部署 DDS 的高可用實例選擇此子網完成，DDS 在創建完實例后會為租戶分配此子網的 IP 地址，用于連接數據庫。DDS 實例部署在租戶 VPC 后，租戶可通過 VPN 使其它 VPC 能夠訪問實例所在 VPC，也可以在

146、VPC 內部創建 ECS，通過私有 IP 連接數據庫。租戶可以綜合運用子網和安全組的配置，來完成 DDS 實例的隔離，提升 DDS 實例的安全性訪問控制訪問控制：租戶創建 DDS 實例時，DDS 會為租戶同步創建一個數據庫主帳戶，主帳戶的密碼由租戶指定。此主帳戶允許租戶操作自己創建的 DDS 實例數據庫。租戶可以使用數據庫主帳戶連接 DDS 實例數據庫，并根據需要創建數據庫實例和數據庫子帳戶，并根據自身業務規劃，將數據庫對象賦予數據庫子帳戶，以達到權限分離的目的。租戶創建數據庫實例時，可以選擇安全組，將 DDS 實例業務網卡部署在對應的安全組中。租戶可以通過 VPC 對 DDS 實例所在的安全

147、組入站、出站規則進行限制，從而控制可以連接數據庫的網絡范圍。數據庫安全組僅允許數據庫監聽端口接受連接。配置安全組不需要重啟 DDS 實例。傳輸加密傳輸加密：DDS 實例支持數據庫客戶端與服務端 TLS 加密傳輸。DDS 在發放實例時，指定的 CA 會為每個實例生成唯一的服務證書?？蛻舳丝梢允褂脧姆湛刂婆_上下載的 CA 根證書，并在連接數據庫時提供該證書，對數據庫服務端進行認證并達到加密傳輸的目的。存儲加密存儲加密：支持對存儲到數據庫中的數據加密后存儲，加密密鑰由 KMS 管理。自動備份和快照自動備份和快照：DDS 提供兩種備份恢復方法，即自動備份和數據庫快照。自動備份默認開啟，備份存儲期限最

148、多35天，同時開啟自動備份后允許對數據庫執行時間點恢復。DDS 自動備份會進行全量數據備份，且每5分鐘會增量備份事務日志，這就允許租戶將數據恢復到最后一次增量備份前任何一秒的狀態?？煺帐亲鈶羰謩佑|發的數據庫全量備份，這些備份數據存儲在華為 OBS 桶中，當租戶刪除實例時，會同步刪除 OBS 桶中的快照。租戶也可以從已有的快照恢復到新實例中。數據復制數據復制：DDS 支持集群、副本集高可用實例，也支持單節點實例。租戶可選擇在單可用區或多可用區中部署高可用實例。當租戶選擇高可用實例時，DDS 集群、副本集之間會自動同步數據，在集群/副本集的單節點故障時，DDS 會自動將業務路由到其他節點，從而達到

149、高可用的目的。數據刪除數據刪除：租戶刪除 DDS 實例時，存儲在此實例中的數據以及在OBS中相應的備份數據都會被自動刪除，實例中的數據無法被查看及恢復。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司356.4.3 分布式緩存服務（分布式緩存服務（DCS）分布式緩存服務（DCS Distributed Cache Service）是以 Redis 為基礎的分布式緩存中間件集群服務，在安全、性能、可靠性方面進行了增強。DCS 是基于內存的數據結構存儲系統，它可以用作數據庫、緩存或簡單消息隊列。它支持多種類型的數據結構，如字符串（string

150、s）、散列（hashes）、列表（lists）、集合（sets）、有序集合（sorted sets）、位圖（bitmaps），hyperloglogs 和地理空間（geospatial）索引半徑查詢等。DCS 內置了復制，Lua 腳本功能，支持最近最少使用（LRU LeastRecently Used）等緩存擠出策略，支持簡單事務和持久化功能。DCS 利用華為云統一的角色訪問控制（RBAC Role-Based Access Control）模型進行權限控制，每個租戶只能操作屬于自己的資源，如自己的緩存實例。不同 DCS 實例之間是物理隔離，不同的租戶實例之間通過 VPC 隔離。DCS 對所有

151、租戶的操作進行權限判斷，只有授權的操作才允許執行，并在審計日志中記錄所有關鍵操作。審計日志可保留到指定的時間，以便必要時進行審計回溯。DCS 管理面數據保存在信任子網里，通過多副本機制實現數據冗余，保證數據可靠性。6.5 數據分析服務數據分析服務6.5.1 MapReduce 服務（服務（MRS）MapReduce 服務（MRS MapReduce Service）在華為云上提供高可靠性、高擴展性、高容錯性、易運維的高效托管大數據分析集群服務。MRS 集群作為一個云上托管的數據管理和分析平臺，其集群內所有節點都分布在租戶同一個虛擬局域網絡中，同時集群內 OMS （Operation & Mai

152、ntenance Service）的主、備節點和其他節點間采用雙向互信。MRS 支持用戶使用瀏覽器、組件客戶端的方式登錄集群。MRS 提供了基于 CAS（Central Authentication Service）的單點登錄（SSO Single Sign-On），用戶在任意 Web 頁面登錄后，即可訪問大數據平臺其他組件的 Web 頁面，無需再次輸入用戶口令進行認證。用戶口令管理用戶口令管理：MRS 系統通過 IAM (Kerberos/LDAP) 進行用戶口令管理。其中Kerberos 負責用戶口令的加密處理并將加密用戶口令在保存 LDAP 數據庫。權限控制權限控制：MRS 提供 RBA

153、C 權限控制，用戶的角色決定了用戶的權限。通過指定用戶特定的角色，賦予其相應的權限。每種角色具有的權限，可根據其需要訪問的組件資源進行配置。數據加密數據加密：MRS 的 HBase支持按列簇加密存儲。在建表時，客戶可選擇對哪些數據進行加密存儲。數據完整性數據完整性：MRS 的用戶數據保存在 HDFS 上，HDFS 默認采用 CRC32C 校驗數據的正確性，也支持校驗速度慢于 CRC32C 的 CRC32 校驗方式。 HDFS 的數據節點（DN DataNode）負責存儲校驗數據，如果發現客戶端傳遞過來的數據有異常（不完整）就將異常上報至客戶端，讓客戶端重新寫入數據?？蛻舳藦?DN讀數據的時候會

154、檢查數據是否完整，如發現數據不完整，則會嘗試從其他的 DN節點上讀取數據。數據備份數據備份：MRS HBase集群支持將主集群數據異步實時備份至備集群。它對外提供了基礎的運維工具，包含主備集群關系維護、數據重建、數據校驗、數據同步進展查看等功能。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司366.6 應用服務應用服務6.6.1 消息通知服務（消息通知服務（SMN）消息通知服務（SMN Simple Message Notification）是一個簡單、靈活、海量、托管的消息推送服務。通過該服務，用戶可以高效且經濟的方式將消息推送給電子

155、郵箱、手機號碼、HTTPS 應用程序以及移動推送。通過 SMN，用戶可以單獨發送消息也可群發消息。用戶還可以輕松地集成其它云服務(例如 CES、OBS、AS 等)，并接受它們的事件通知。租戶可通過服務控制臺或 SMN API 來使用消息通知服務。SMN 采用基于租戶的權限模型、嚴格參數校驗、安全通訊協議、敏感信息保護、審計日志等安全措施，保護管理系統免受上述攻擊的危害。為保證業務靈活性，SMN 還提供非常靈活的授權訪問機制：訪問 SMN 服務的賬戶包括華為云賬戶、基于 IAM 服務創建并被授權 SMN 訪問權限的用戶，以及租戶授權的云服務等。華為云賬戶可以訪問 SMN 的所有操作；基于 IAM

156、 服務創建并被授權SMN 管理員訪問權限的用戶，可以訪問 SMN 的所有操作；基于 IAM 服務創建并被授權租戶訪問權限的用戶，只能做 SMN 服務的查詢類操作。SMN 服務只支持使用 HTTPS 協議訪問 SMN API 接口，默認支持 TLS 1.2 協議和 PFS安全特性。對所有租戶的接口調用都會做嚴格的參數校驗，以確保服務不會受惡意攻擊的影響。對于租戶的敏感數據，如通知的手機號碼、郵件地址等，使用可靠的加密算法加密存儲。同時，所有的接口調用都會進行審計記錄，并可進行精確回溯。6.6.2 分布式消息服務（分布式消息服務（DMS）分布式消息服務（DMS Distributed Messag

157、e Service）是基于高可用分布式集群技術構建的消息中間件服務，提供可靠且可擴展的托管消息隊列，用于收發消息和存儲消息。DMS 可應用在多個領域，包括異步通信解耦、企業解決方案、金融支付、電信、電子商務、快遞物流、廣告營銷、社交、即時通信、手游、視頻、物聯網、車聯網等?？梢詰糜谝韵聵I務場景：業務解耦業務解耦：將業務中依賴其他系統同時屬于非核心或不重要的部分使用消息通知即可，無需同步等待其他系統的處理結果。如電商網站在促銷期間的搶購訂單，搶到的手機訂單信息放入消息隊列，出庫、發貨等后續會從隊列里讀取任務信息然后執行。最終一致性最終一致性：在交易或支付系統中，不同的子系統/模塊的狀態需要最終

158、保持一致，或都成功或都失敗。子系統/模塊之間傳遞的數據不丟失，保證業務的連續性。DMS 可以用于子系統/模塊間的高可靠數據傳遞，實現兩者之間的事務最終一致，降低實現難度和成本。錯峰流控錯峰流控：在電子商務系統或大型網站中，上下游系統處理能力存在差異，處理能力高的上游系統的突發流量可能會對處理能力低的某些下游系統造成沖擊，需要提高系統的可用性的同時降低系統實現的復雜性。電商大促銷等流量洪流突然來襲時，可以通過隊列服務堆積緩存訂單等信息，在下游系統有能力處理消息的時候再處理，避免下游訂閱系統因突發流量崩潰。消息隊列提供億級消息堆積能力，3天保留時長，消息消費系統可以錯峰進行消息處理。日志同步日志同

159、步：應用通過可靠異步方式將日志消息同步到消息服務，再通過其他組件對日志做實時或離線分析，也可用于關鍵日志信息收集進行應用監控。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司37DMS 的訪問認證和鑒權基于 IAM 來進行控制。通過身份驗證后，賬戶可以完全擁有訪問自己隊列資源的所有操作權限；同時，通過策略控制可以授予其他服務或 IAM 用戶訪問和操作指定隊列的權限。默認情況下，賬戶僅能訪問自己所創建的隊列。此外，DMS 服務只支持使用 HTTPS 協議訪問 DMS API 接口，默認支持 TLS 1.2 協議和 PFS 安全特性?；诎踩?/p>

160、性上的考慮，DMS 為用戶提供數據進行加密后存儲的可選項，即服務端加密（SSE）。用戶可以選擇采用 DMS 提供的通用密鑰進行服務端加密存儲，也可以使用 KMS 服務創建的密鑰進行加密存儲。另外，用戶在將消息數據發送至 DMS 之前也可以進行數據加密，可防止未授權人員訪問敏感數據。6.6.3 云桌面服務（云桌面服務（Workspace）云桌面服務（Workspace）是由華為云提供基于 Windows 的虛擬桌面基礎架構（VDI Virtual Desktop Infrastructure）與虛擬應用服務，用戶可通過瘦客戶端（硬件盒子）隨時隨地接入云桌面辦公。相較傳統 PC 應用，云桌面使用防

161、火墻對用戶使用界面和用戶數據界面進行隔離，數據存儲和處理集中化，有效防患數據泄露。云桌面的瘦客戶端不保存數據，只運行客戶端程序；客戶端和云桌面之間采用華為自研的具有高安全性的 HDP （Huawei Desktop Protocol）協議轉換消息，對于本地外設的 USB、多媒體、flash、鍵盤鼠標重新定向；界面只進行圖像重繪，不傳輸業務數據。用戶在一個用戶域內或通過網絡專線，可以隨時隨地通過瘦客戶端登錄自己的云桌面。與過去攜帶電腦、移動存儲設備相比，云桌面提高了工作效率，增加了靈活性。云桌面集中管理用戶使用的密碼復雜度策略、會話超時、桌面發布、外設使用、補丁升級等，大幅提高管理員的維護效率。

162、所有硬件采用虛擬化管理，客戶可以根據需要調整虛擬化資源的分配情況，有效延長桌面的使用壽命，并且有效降低硬件升級換代帶來的成本投入。云桌面具有以下安全功能：用戶身份識別用戶身份識別：系統為管理員和最終用戶提供唯一的身份標識。同時將身份標識與所有可審計事件相關聯。每次請求訪問虛擬桌面前，系統會進行用戶身份鑒別，身份鑒別機制使用的口令須達到一定的復雜度要求，例如長度要求、數字字母及特殊字符組合要求等。在設定的時限內，如用戶沒有任何操作，系統會自動斷開會話或重新鑒別用戶，系統提供默認的時限值。系統還提供鑒別失敗的處理功能，當用戶鑒別嘗試不成功次數在一定時間段內超過指定值后，系統會鎖定一段時間，以阻止用

163、戶在限定時間內更多的鑒別請求。訪問控制訪問控制：訪問控制的覆蓋范圍包括與資源訪問相關的主體、客體及它們之間的操作。訪問控制主體為用戶、業務系統等。授權用戶對受保護資源進行訪問的內容、操作權限不能超出預定義的范圍。用戶鑒權的相關數據以加密的方式存儲。傳輸安全傳輸安全：采用 HDP 協議進行桌面訪問，確保傳輸數據的保密性和完整性。支持對單個桌面的多重會話進行限制。支持網絡傳輸 TLS 1.2 協議建立加密通道。鏡像安全鏡像安全：支持對虛擬機鏡像文件進行完整性、機密性保護，并確保虛擬機的鏡像、快照的剩余信息得到完全清除。備份與恢復機制備份與恢復機制：提供 VDI 系統的管理數據備份機制，保障備份數據

164、可以恢復。安全監控安全監控：支持對用戶在線狀態、用戶使用狀態、虛擬機運行狀態、終端在線狀態等的實時監控。安全審計安全審計： 日志可記錄所有對系統產生影響的用戶活動、操作指令，用以支撐事后審計。審計日志包括登錄類型、操作類型、日志級別、事件時間、事件主體、IP 地址、事件描述和事件結果等字段，經過授權的用戶才能對系統日志進行審華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司38計。審計日志存儲在掉電非遺失性存儲介質中。當存儲空間將要耗盡時，提供轉儲機制，保證審計日志不丟失。保護審計日志不被未授權的訪問、修改和破壞。6.7 管理服務管理服務6

165、.7.1 云監控服務（云監控服務（CES）云監控服務（CES Cloud Eye Service）為用戶提供一個針對彈性云服務器、帶寬等資源的立體化監控平臺。CES 提供實時監控告警、通知以及個性化報表視圖，精準掌握業務資源狀態。需要強調的是，CES 的監控對象是基礎設施的資源使用數據，不監控或觸碰租戶數據。CES 目前可以監控下列云服務的相關指標：彈性計算服務（ECS）、云硬盤服務（EVS）、虛擬私有云服務（VPC）、關系型數據庫服務（RDS）、分布式緩存服務（DCS）、分布式消息服務（DMS）、彈性負載均衡（ELB）、彈性伸縮服務（AS）、網站應用防火墻（WAF）、主機漏洞檢測服務（HVD

166、）、云桌面服務（Workspace）、機器學習服務（MLS）、網頁防篡改服務（WTP）、數據倉庫服務（DWS）、人工智能服務（AIS）等1。用戶可以通過這些指標，設置告警規則和通知策略，以便及時了解各服務的實例資源運行狀況和性能。CES 服務器的分布式特性確保高可用性，資源使用監控及時有效，監控指標實時采樣，告警通知可按設置規則及時準確觸發。只有通過華為云 IAM 認證的租戶才能使用 CES 服務，使用方式包括服務控制臺、開放接口、命令行和 SDK 等。CES 的數據以租戶維度進行存儲隔離，只有認證通過的租戶才能訪問其對應的監控數據。說明說明1.下列華為云服務未收入此白皮書：主機漏洞檢測服務（

167、HVD Host VulnerabilityDetection service）、機器學習服務（MLS Machine Learning Service）、網頁防篡改服務（WTP Web Tampering Protection service）、數據倉庫服務（DWS Data Warehousing Service）、人工智能服務（AIS ArtificialIntelligence Service）。敬請登錄https:/ 了解更多詳情。6.7.2 云審計服務（云審計服務（CTS）云審計服務（CTS Cloud Trace Service）為租戶提供云服務資源的操作記錄，供用戶查詢、審計和

168、回溯使用。記錄的操作類型有三種：通過云賬戶登錄管理控制臺執行的操作，通過云服務支持的 API 執行的操作，以及華為云系統內部觸發的操作。CTS 是滿足用戶專業認證以及 IT 合規性認證的不可或缺的支撐性服務，其具有以下功能：資源變更審計資源變更審計：華為云上的資源和系統配置變更，可通過 CTS，實時、系統地記錄所有人員的操作，優越于傳統企業 IT 環境中需要人為手工執行事后審計的各項IT 變更。訪問安全審計系統性與實時性訪問安全審計系統性與實時性：CTS 實時、系統地記錄用戶在管理界面上的所有操作和用戶在華為云上的所有 API 操作，便于進行問題查詢、分析與定位。數據審計數據審計：借助 CTS

169、 中記錄的對象級 API 事件，用戶可以通過收集 OBS 對象上的活動數據來檢測數據泄露情況。低成本低成本：CTS 支持將操作記錄合并，周期性地生成事件文件，實時同步轉存至OBS 存儲桶，幫助用戶實現操作記錄高可用、低成本的長久保存。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司39CTS 作為華為云的管理服務之一，其安全設計是在華為云安全架構基礎上構建的。主要涉及安全組網、網絡邊界安全防護、應用安全防護以及數據安全防護四個層面，確保向租戶提供安全的云審計服務。這里重點介紹應用和數據安全層面，其他層面內容可參考第5章基礎設施安全相關章節

170、。應用安全應用安全：CTS 接收和處理合法用戶發起的合規事件查詢、追蹤器操作請求，以及已與 CTS 完成對接的服務發來的合規事件。所有請求采用 HTTPS 協議傳輸，敏感數據進行加密，在與外部服務進行交互時有端口控制、白名單控制、請求發起方身份及請求內容多重驗證等方式，保證應用安全。此外，CTS 的控制臺節點的 Web 安全進行了安全加固，防范各種攻擊。數據安全數據安全：CTS 所處理的用戶日志數據，在生成階段，會要求各服務內部進行脫敏，并會對各服務發送過來的日志數據進行檢視，確保數據本身不含敏感信息；在傳輸階段，通過身份認證、格式校驗、白名單校驗以及單向接收機制等手段，確保日志信息傳輸和保存

171、的準確、全面；在保存階段，采取多重備份，并根據華為網絡安全規范要求，對數據庫自身安全進行安全加固，杜絕仿冒、抵賴、篡改以及信息泄露等風險；最后，CTS 支持數據以加密的方式保存到 OBS 桶。6.7.3 企業項目管理服務（企業項目管理服務（EPS）企業項目管理服務（EPS Enterprise Project Service）是提供給企業客戶的與多層級組織和項目結構相匹配的云資源管理服務。主要包括企業項目管理、財務管理和人員管理。企業項目管理提供統一的云資源按企業項目管理，以及企業項目內的資源管理、成員管理。財務管理提供多個華為云賬號之間形成企業主子賬號關聯關系的能力，用戶可以根據自己的企業結

172、構創建組織、新建子賬號或關聯子賬號，并使其從屬于創建的組織，從而對這些子賬號的財務進行管理。企業項目的用戶歸屬于用戶組，人員管理對這些用戶和用戶組進行管理，包括為用戶設置憑證、創建、修改、刪除用戶和用戶組等。目前EPS已支持彈性云服務器( ECS )、彈性伸縮( AS )、鏡像服務( IMS )、云硬盤( EVS )、虛擬私有云( VPC )、彈性公網IP( EIP )、內容分發網絡( CDN )、關系型數據庫( RDS )、分布式緩存服務( DCS )、文檔數據庫服務( DDS )、云容器引擎服務( CCE )、DDoS高防服務( AAD )、裸金屬服務器( BMS )、專屬主機( DeH

173、)、微服務引擎( CSE )等服務的管理。租戶可通過服務控制臺或 EPS API 來使用。EPS 采用基于租戶的權限模型、嚴格參數校驗、安全通訊協議、敏感信息保護、審計日志等安全措施，保護管理系統免受上述攻擊的危害。為保證業務靈活性，EPS 還提供靈活的授權訪問機制：訪問 EPS 服務的賬戶包括華為云賬戶、基于 IAM 服務創建并被授權 EPS 訪問權限的用戶，以及租戶授權的云服務等。華為云賬戶可以訪問 EPS 的所有操作；基于 IAM 服務創建并被授權EPS 管理員訪問權限的用戶，可以訪問 EPS 的所有操作；基于 IAM 服務創建并被授權租戶訪問權限的用戶，只能做 EPS 服務的查詢類操作

174、。EPS 服務只支持使用 HTTPS 協議訪問 EPS API 接口，默認支持 TLS 1.2 協議和 PFS安全特性。對所有租戶的接口調用都會做嚴格的參數校驗，以確保服務不會受惡意攻擊的影響。同時，所有的接口調用都會進行審計記錄，并可進行精確回溯。6.7.4 標簽管理服務（標簽管理服務（TMS）標簽管理服務（TMS Tag Management Service）是一種快速便捷將標簽集中管理的可視化服務，提供跨區域、跨服務的集中標簽管理和資源分類功能：資源標簽管理：通過給賬戶下資源添加標簽，可以對資源進行自定義標記，實現資源的分類。標簽管理服務為用戶提供可視化表格操作資源標簽，并支持對標簽進行

175、批量編輯。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司40資源標簽搜索：用戶可以跨服務、跨區域對資源進行按標簽搜索，還可以多標簽組合搜索。預定義標簽管理：用戶可以創建或導入/導出預定義標簽。通過標簽的預定義操作，用戶可以從自身業務角度規劃標簽，實現標簽的高效管理。TMS不涉及用戶隱私數據的存儲，調用其他服務的接口，都是通過內部鑒權透傳方式，統一由IAM鑒權。租戶可通過服務控制臺或 TMS API 來使用。TMS 采用基于租戶的權限模型、嚴格參數校驗、安全通訊協議、敏感信息保護、審計日志等安全措施，保護管理系統免受上述攻擊的危害。TMS

176、還提供靈活的授權訪問機制：訪問 TMS服務的賬戶包括華為云賬戶、基于 IAM 服務創建并被授權 TMS訪問權限的用戶，以及租戶授權的云服務等。TMS服務只支持使用 HTTPS 協議訪問 API 接口，默認支持 TLS 1.2 協議和 PFS 安全特性。對所有租戶的接口調用都會做嚴格的參數校驗，以確保服務不會受惡意攻擊的影響。同時，所有的接口調用都會進行審計記錄，并可進行精確回溯。6.7.5 資源模板服務（資源模板服務（RTS）資源模板服務（RTS Resource Template Service）幫助用戶簡化云計算資源管理和自動化運維工作。用戶遵循資源模板服務定義的模板規范，編寫模板文件，并

177、在模板中定義云計算資源的集合以及資源間的依賴關系、資源配置等，資源模板服務通過編排引擎自動完成模板中所有資源的創建和配置，以達到自動化部署、簡化運維的目的。資源模板服務支持原生OpenStack Heat組件的大部分API接口以及HOT（HeatOrchestration Template）格式的模板。用戶可通過調用API接口或管理控制臺使用資源模板服務。管理控制臺是資源模板服務的可視化用戶界面，用戶可通過管理控制臺自動部署資源。RTS不涉及用戶隱私數據的存儲，調用其他服務的接口，都是用過內部鑒權透傳方式，統一由IAM鑒權。租戶可通過服務控制臺或 RTS API 來使用。RTS 采用基于租戶的

178、權限模型、嚴格參數校驗、安全通訊協議、敏感信息保護、審計日志等安全措施，保護管理系統免受上述攻擊的危害。RTS還提供靈活的授權訪問機制：訪問 RTS服務的賬戶包括華為云賬戶、基于 IAM 服務創建并被授權 RTS訪問權限的用戶，以及租戶授權的云服務等。RTS服務只支持使用 HTTPS 協議訪問 API 接口，默認支持 TLS 1.2 協議和 PFS 安全特性。對所有租戶的接口調用都會做嚴格的參數校驗，以確保服務不會受惡意攻擊的影響。同時，所有的接口調用都會進行審計記錄，并可進行精確回溯。6.8 安全服務安全服務6.8.1 統一身份認證服務（統一身份認證服務（IAM）統一身份認證服務（IAM I

179、dentity and Access Management）提供適合企業級組織結構的用戶賬號管理服務，為企業用戶分配不同的資源及操作權限。用戶通過使用訪問密鑰獲得基于 IAM 的認證和鑒權后，以調用 API 的方式訪問華為云資源。IAM 可以按層次和細粒度授權，保證同一企業租戶的不同用戶在使用云資源上得到有效管控，避免單個用戶誤操作等原因導致整個云服務的不可用，確保租戶業務的持續性。密碼認證密碼認證：密碼是租戶最初創建賬戶（注冊或創建企業用戶）時指定的。用戶在登錄華為云控制臺時，需要使用密碼。同時，該密碼也可以用于 API 方式訪問華為云資源。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3

180、.2(2020-08-14)版權所有 華為技術有限公司41密碼策略密碼策略：IAM 支持租戶的安全管理員根據需求，設置不同強度的密碼策略和更改周期，防止用戶使用簡單密碼或長期使用固定密碼，導致賬號泄露。登錄策略登錄策略：IAM 支持租戶的安全管理員設置登錄策略，避免用戶密碼被暴力破解或者因為訪問釣魚頁面等，導致賬號信息泄露。ACL：IAM 通過提供基于 IP 的 ACL 可以限制企業用戶只在安全的網絡環境下訪問華為云資源，避免企業用戶因接入不安全網絡環境導致的數據泄露。多因子認證（多因子認證（MFA）：多因子認證（MFA Multi-Factor Authentication）是用戶登錄控制臺

181、時，除密碼認證外，增加的另一層安全認證保護，以增強賬號安全性。用戶可選擇是否啟用。如啟用，用戶在密碼認證通過后，還將收到一次性短信認證碼進行二次認證。用戶修改密碼、手機等敏感信息時，IAM 默認啟用多因子認證，保證用戶賬號安全。訪問密鑰訪問密鑰：當企業管理員使用運維工具或 API 命令管理華為云上的資源時，訪問密鑰用于對 API 請求進行簽名，API 網關則校驗簽名信息。數字簽名和時間戳可以防止數據傳輸過程中請求被篡改，確保消息完整性，并防止潛在的重放攻擊。企業管理員可隨時通過“我的憑證”頁面創建和下載訪問密鑰，并且查看其狀態。出于安全考慮，密鑰一旦丟失或遺忘，則無法恢復或重新下載。此時，用戶

182、可創建新的密鑰，然后禁用或刪除舊的密鑰。為避免濫用，密鑰須妥善保存并定期更改，萬勿嵌入代碼中。聯邦認證聯邦認證：如果租戶有安全可靠的外部身份認證服務（如 LDAP 或 Kerberos）驗證用戶的身份并且該外部服務支持 SAML 2.0 協議（SAML Security AssertionMarkup Language），那么租戶可以將該服務作為身份提供商（IdP IdentityProvider），將華為云配置為服務提供商（SP Service Provider）。這樣企業租戶在不需要將其用戶信息同步到華為云的情況下，租戶就可以基于 SAML 協議登錄華為云服務控制臺，或者通過 API 方式

183、訪問云資源。租戶可以在有限時間內，通過聯邦認證把外部用戶映射成華為云的臨時用戶，并訪問租戶的華為云資源。出于安全考慮，需要創建合理的用戶組（權限集合），將該臨時用戶映射并限定在對應的用戶組權限內。如果租戶創建一個移動或基于 Web 的應用程序訪問華為云資源，則應用程序中不應嵌入長期安全認證憑據?？梢宰層脩舻卿浀剿钁贸绦?，然后使用其驗證過的身份信息，通過聯邦認證來獲取臨時安全憑據。權限管理權限管理：IAM 權限包括用戶管理權限和云資源權限。用戶管理權限可以管理用戶、用戶組及用戶組的權限，實現用戶及用戶組的創建、刪除、修改和為用戶授予相應的權限。云資源權限包括對云資源的創建、刪除、修改、設置等

184、操作的權限。為用戶組添加云資源權限，再將用戶加入用戶組，可以使用戶繼承用戶組的權限。通過用戶組來管理用戶權限可以使權限管理更有條理，避免權限管理的混亂。另外，IAM 結合 PAM 功能還可以更有效地細化管理特權賬戶。6.8.2 數據加密服務（數據加密服務（DEW）數據加密服務（DEW Data Encryption Workshop）是一個綜合的云上數據加密服務。它可以提供專屬加密、密鑰管理、密鑰對管理等功能。其密鑰由硬件安全模塊（HSM）保護，并與許多華為云服務集成。用戶也可以借此服務開發自己的加密應用。通過專屬加密服務（DHSM Dedicated HSM），用戶可以選擇基于國家密碼局認證

185、或FIPS 140-2 第 3 級驗證的硬件加密機，實現高性能、用戶獨享的加密能力，支持SM1SM4的國產密鑰加密算法，將硬件加密機托管到云上與用戶應用放置在同一個VPC內，加密機機框、電源、帶寬、接口資源全部歸該租戶獨占使用，在應用加解密時，通過API接口實現最高每秒鐘10000TPS以上的運算性能，從而滿足海量用戶并發使用的需求。加密的根密鑰產生，通過郵寄Ukey（物理介質）的方式，由用戶的安全管理員導入自己定義的密鑰材料，甚至可以多個用戶聯合生成密鑰因子，生成的根密鑰（Root Key）存儲在HSM里，該加密機為經過國家密碼局認證的第三方設備，包括華為云安全白皮書6 租戶服務與租戶安全文

186、檔版本 3.2(2020-08-14)版權所有 華為技術有限公司42加密機廠家、云服務提供商在內的任何人，都無法訪問到根密鑰。該根密鑰來加密用戶主密鑰，用戶主密鑰再來加密用戶數據密鑰。因此即使是云服務提供商，也無法得知用戶主密鑰和數據密鑰的明文內容。通過密鑰管理（KMS Key Management Service），用戶能夠方便地管理自己的密鑰，并能隨時使用數據加密密鑰（DEK Data Encryption Key）進行數據加密，確保關鍵業務數據的安全。DEK 使用保存在 KMS 中的用戶主密鑰（CMK CustomerMaster Key）進行加密，CMK 使用保存在HSM中的根密鑰（R

187、oot Key）進行加密，以密文的形式保存在密鑰存儲節點中，保證密鑰不會泄露。HSM 作為信任根，構成完整的信任鏈。HSM 擁有 FIPS 140-2（2級和3級）的主流國際安全認證，滿足用戶的數據合規性要求。KMS 實現了同云存儲服務，如云硬盤服務（EVS）、對象存儲服務（OBS）的對接，用戶配置存儲服務時，僅需選擇加密所需主密鑰，即可實現云端數據加密存儲。KMS為各個云服務提供加密特性，對用戶數據進行全方位的加密，滿足用戶對敏感數據的加密要求，讓用戶安心使用云服務，專注于核心業務的開發，而不是密鑰管理。為保障租戶密鑰的安全可靠，KMS 提供了多個安全特性：密鑰隨機生成密鑰隨機生成：KMS

188、中所有密鑰均由 HSM 的硬件真隨機數生成器生成，保證密鑰的隨機性。密鑰安全存儲密鑰安全存儲：KMS 的根密鑰保存在 HSM 中，從來不會出現在 HSM 之外，確保根密鑰不泄露。HSM 采用雙機部署，保證 HSM 的高可靠性和高可用性。CMK經過根密鑰加密后，以密文的形式保存在密鑰存儲節點中。密鑰存儲節點采用經過安全加固的 MySQL 數據庫保存經根密鑰加密后的 CMK。MySQL 數據庫以雙機主備模式部署，用戶密鑰在保存到主 MySQL 的同時，會備份到備 MySQL 中，一旦主 MySQL 發生故障無法提供服務，備 MySQL 仍可正常工作和訪問，保證服務不中斷。HSM 作為信任根，與上述

189、其他密鑰保護設備一起，構成完整的信任鏈。密鑰延遲刪除密鑰延遲刪除：KMS 提供對 CMK 的全生命周期管理，包括 CMK 的啟用、禁用、刪除。其中，KMS 提供的密鑰延遲刪除功能，租戶必須設置 CMK 延遲刪除時間（7天3年），在這個時間段內，租戶都可以取消刪除 CMK，避免誤刪。KMS 災備災備：KMS 提供完善的密鑰備份機制和災備功能，保證用戶的密鑰不會因為不可抗力而丟失，確保存儲在 KMS 的密鑰高可用。即使發生重大的災難事故，通過 KMS 服務倒換操作，實現服務的連續性。保存在 HSM 中的根密鑰，會備份在 HSM 專有備份工具中。保存 CMK 的密鑰存儲節點，定期頻繁進行增量和全量備

190、份，將密鑰備份到指定的存儲設備中。一旦發生特殊事件導致用戶密鑰丟失，KMS 可以通過備份數據將用戶密鑰恢復。主機信任鏈接主機信任鏈接：KMS 主機均使用標準的加密傳輸模式與 KMS 服務節點建立安全通信鏈接，保證 KMS 相關數據在節點間的傳輸安全。訪問控制訪問控制：KMS 基于 IAM 角色統一進行 RBAC 訪問控制。對于用戶，只有通過IAM 身份驗證及 KMS 鑒權，并設置了密鑰操作權限的用戶，才能操作 KMS 中存儲的 CMK。僅設置了只讀權限的用戶只能查詢 CMK 信息，不能對 CMK 進行操作。KMS 對 CMK 進行了租戶隔離，每一個租戶只能訪問與管理屬于自己的CMK，無法操作其

191、他租戶的 CMK。此外，系統管理員僅有設備管理權限，沒有任何訪問 CMK 的權限。操作日志審計操作日志審計：對密鑰的所有操作（例如創建用戶主密鑰、加密數據密鑰等），都會產生日志并記錄到云審計服務（CTS）中，便于后期審計 CMK 的操作活動等。此外，KMS 服務還通過華為云自身的一系列技術，如安全的基礎架構平臺、安全組網、邊界防護、區域劃分、虛擬網絡隔離、租戶 KMS 實例隔離、API 接口安全等，增強其安全能力，保障 KMS 服務自身的業務安全。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司436.8.3 防防 DDoS 攻擊服務（攻

192、擊服務（Anti-DDoS Service）防 DDoS 攻擊服務（Anti-DDoS Service）通過專業的防DDoS設備，精準有效地實現對流量型攻擊和應用層攻擊的全面防護；快速響應，為大中小型企業、互聯網初創公司等提供安全防護能力，保障企業門戶及網站安全，并極大地節約用戶投資。Anti-DDoS 服務提供精細化的抵御 DDoS 攻擊的功能，包括但不限于 Ping Flood、SYNFlood、UDP Flood、Challenge Collapsar（CC）、HTTP Flood、DNS Flood。用戶只需根據租用帶寬及業務模型自助配置防護閾值，系統檢測到攻擊后，就會實時通知用戶，并

193、進行有效防御。目前 Anti-DDoS 服務提供如下功能：自助設置防護策略自助設置防護策略：用戶可根據租用帶寬及業務模型自助選擇防護模板。流量檢測和清洗流量檢測和清洗：用戶開啟服務后，實時進行流量檢測，對于滿足閾值條件的攻擊流量，進行清洗。便捷管理便捷管理：配套提供高度管控、靈活使用的管理平臺，用戶可通過報表功能實時了解流量曲線，配置簡單、服務資源監控方便。報表監控報表監控：提供查看單個公網 IP 的監控功能，包括當前防護狀態、當前防護配置參數、24小時以前直到現在的流量情況、24小時以內的異常事件（清洗和黑洞）；提供安全報告查看功能。查看區間為一周，支持查詢前四周統計數據，包括防護流量、攻擊

194、次數、攻擊 Top 10 排名等。日志分析日志分析：提供 Anti-DDoS 設備日志接收、分析和上報等功能，通過界面將結果呈現給用戶。Anti-DDoS 服務還通過華為云自身的一系列技術，如安全的基礎架構平臺、安全組網及邊界防護、虛擬機網絡隔離、API 接口安全與日志審計等，增強其安全能力，保障Anti-DDoS 服務自身的業務安全。6.8.4 企業主機安全服務（企業主機安全服務（HSS）企業主機安全（HSS Host Security Service）是服務器的貼身安全管家，提供資產管理、漏洞管理、基線檢查、入侵檢測等功能，能夠幫助企業更方便地管理主機安全風險，實時發現并阻止黑客入侵行為，

195、以及滿足等保合規的要求。華為云企業主機安全服務提供以下主要功能：資產管理資產管理：提供賬號、端口、進程、Web目錄和軟件等安全資產信息的管理和分析。漏洞管理漏洞管理：檢測Windows/Linux操作系統與SSH、OpenSSL、Apache、Mysql等軟件存在的漏洞，并給出修復建議?；€檢查基線檢查：檢測系統口令復雜度策略、經典弱口令、風險賬號，以及常用系統與中間件的配置，識別不安全項目，預防安全風險。賬戶破解防護賬戶破解防護：檢測SSH、RDP、FTP、SQL Server、MySQL等賬戶遭受的口令破解攻擊，對識別出的攻擊源IP封鎖24小時，禁止其再次登錄，防止主機因賬戶破解被入侵。雙

196、因子認證雙因子認證：結合短信/郵箱驗證碼，對云服務器登錄行為進行二次認證，極大地增強云服務器賬戶安全性。關鍵文件變更檢測關鍵文件變更檢測：對于系統關鍵文件（例如：ls、ps、login、top等）進行監控，一旦文件被修改就進行告警，提醒用戶關鍵文件存在被篡改的可能。惡意程序檢測：惡意程序檢測：通過程序特征、行為檢測，結合AI圖像指紋算法以及云查殺，有效識別病毒、木馬、后門、蠕蟲和挖礦軟件等惡意程序，并提供一鍵隔離查殺能力。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司44網站后門檢測：網站后門檢測：檢測云服務器上Web目錄中的文件，判斷

197、是否為 WebShell 木馬文件，支持檢測常見的PHP、JSP等后門文件類型。網頁防篡改：網頁防篡改：保護網站的網頁、電子文檔、圖片等文件不被黑客篡改和破壞。華為云企業主機安全服務主要有以下優點：主機風險預防效果好：主機風險預防效果好：通過資產管理、漏洞管理和基線檢查功能，能夠發現與預防主機的漏洞、弱密碼及不安全配置，幫助用戶主機減少90%的被攻擊面。賬戶破解防護能力強：賬戶破解防護能力強：通過主機登錄雙因子認證功能，結合先進的防護算法，能夠有效預防暴力破解攻擊。惡意程序檢出率高：惡意程序檢出率高：通過行為分析與基于AI的圖像指紋算法，能夠有效檢測與查殺未知與變種的惡意程序，檢出率業界領先。

198、網頁防篡改效果佳網頁防篡改效果佳：網頁防篡改版本提供Web文件目錄鎖定、篡改檢測自動恢復和遠端備份恢復的三重防護能力，徹底杜絕黑客網頁篡改行為，是政府、教育行業與大企業官網的必備安全服務。等保測評必備服務等保測評必備服務：企業主機安全的入侵檢測功能滿足主機入侵防范，惡意代碼防范條款；漏洞管理功能滿足主機漏洞掃描條款；網頁防篡改功能滿足數據完整性條款。6.8.5 容器安全服務（容器安全服務（CGS）容器安全服務（CGS Container Guard Service）能夠掃描鏡像中的漏洞與配置信息，幫助企業解決傳統安全軟件無法感知容器環境的問題；同時提供容器進程白名單、文件只讀保護和容器逃逸檢測

199、功能，有效防止容器運行時安全風險事件的發生。華為云容器安全服務提供以下主要功能：鏡像漏洞管理：鏡像漏洞管理：可掃描華為云容器鏡像服務中的私有鏡像、官方鏡像以及節點中所有正在運行的鏡像，發現鏡像中的漏洞并給出修復建議，幫助用戶得到一個安全的鏡像。容器安全策略管理：容器安全策略管理：通過配置安全策略，幫助企業制定容器進程白名單和文件保護列表，從而提高容器運行時系統和應用的安全性。容器進程白名單：容器進程白名單：提供的進程白名單功能，能有效阻止異常進程、提權攻擊、違規操作等安全風險事件的發生。文件保護：文件保護：容器中關鍵的應用目錄（例如：bin，lib，usr等系統目錄）應該設置只讀保護以防止黑客

200、進行篡改和攻擊。容器安全服務提供的文件保護功能，可以將這些目錄限制為只讀目錄，有效阻止文件篡改等安全風險事件的發生。容器逃逸檢測：容器逃逸檢測：掃描所有正在運行的容器，發現容器中的異常（包括逃逸漏洞攻擊、逃逸文件訪問等）并給出解決方案。6.8.6 云云 Web 應用防火墻服務（應用防火墻服務（WAF）華為云 WAF 是結合了華為多年攻防經驗和一系列針對性優化算法的高級 Web 應用防火墻。采用正則規則和語義分析的雙引擎架構，對 SQL 注入、跨站攻擊、命令和代碼注入、目錄遍歷、掃描器、惡意 bot、webshell、CC 等攻擊實現實時的高性能防護。華為云 WAF 給用戶提供簡便的管理界面，用

201、戶可根據自身業務需要進行相關防護設置，亦可在集中的管理界面上查看防護日志并對誤報的事件進行處理。華為云 WAF 服務具有如下功能：華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司45常見常見 Web 攻擊海量過濾攻擊海量過濾：華為云 WAF 可識別 99% 的 Web 攻擊，包括 SQL 注入、XSS、命令注入、代碼注入、目錄遍歷、敏感文件獲取等常見（OWASP Top10）攻擊類型，并能檢測在網址、參數、頭字段等位置的惡意攻擊有效載荷。強大的編碼還原功能強大的編碼還原功能：能夠對url_encode，Unicode編碼，xml編碼，C-

202、OCT編碼，十六進制編碼，html轉義編碼，base64編碼，大小寫混淆，javascript、shell、php等拼接混淆進行還原等。CC 攻擊防護攻擊防護：CC攻擊（應用層 DDoS的一種）會占用大量業務資源，影響正常業務體驗。華為云 WAF 可基于 IP、cookie和Referer 信息對用戶進行標識，并通過靈活的配置閾值，執行訪問限速，對超過閾值的訪問者，可阻斷其請求，避免對業務造成壓力；也可發起驗證碼挑戰，進行人機識別，更精準地將攻擊者甄別出來，并進行阻斷。Webshell 防范防范：華為云WAF通過對HTTP(S)傳輸通道的內容檢測，對各種類型的Web shell 進行檢測和阻斷

203、，防止其給業務帶來后續危害。用戶可以一鍵啟用該功能，對業務進行防護。同時，華為云 WAF 服務使用簡便、易于管理：自定義精準控制自定義精準控制：用戶可以通過華為云 WAF 提供的接口，設置自定義的檢測規則。包括自定義的黑白 IP 名單、用戶代理黑名單及其他更復雜的檢測規則。隱私過濾隱私過濾：可避免在 WAF 的事件日志中出現涉及用戶隱私的用戶名密碼等信息。用戶可靈活自定義過濾規則，實現隱私過濾。集中管理集中管理：在后端對 WAF 節點集中管理，如策略下發、事件日志的查看處理等。6.8.7 數據庫安全服務（數據庫安全服務（DBSS）數據庫安全服務（DBSS Database Security S

204、ervice），包括數據庫安全審計和數據庫安全防護兩大功能模塊，提供數據庫審計、數據泄露保護、數據庫防火墻三大功能，可以全面保障云上數據庫安全和資產安全。1、數據庫安全審計、數據庫安全審計數據庫安全審計提供的旁路模式數據庫審計功能，可以對風險行為進行實時告警，并對攻擊行為進行阻斷。同時，通過生成滿足數據安全標準的合規報告，可以對數據庫的內部違規和不正當操作進行定位追責，有效檢測并阻斷外部入侵，保障數據資產安全。提供用戶行為發現審計、多維度分析、實時告警和報表功能：用戶行為發現審計：用戶行為發現審計：關聯應用層和數據庫層的訪問操作，支持協助用戶溯源到應用者的身份和行為。多維度線索分析：多維度線索

205、分析：風險線索：支持從高中低的風險等級、SQL注入、黑名單語句、違反授權策略等SQL行為進行分析。會話線索：支持根據時間、用戶、IP地址、客戶端等多角度進行分析。詳細語句線索：提供用戶、客戶端IP、訪問時間、操作對象、操作類型等多種檢索條件。異常操作、異常操作、SQL注入、黑白名單實時告警：注入、黑白名單實時告警：異常操作風險：支持通過客戶端IP、數據庫IP、數據庫用戶、風險等級等多種元素細粒度定義要求監控的風險訪問行為。SQL注入：提供系統性的SQL注入庫，以及基于正則表達式或語法抽象的SQL注入描述，發現數據庫異常行為立即告警。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(202

206、0-08-14)版權所有 華為技術有限公司46黑白名單：通過準確而抽象的方式，對系統中的特定訪問SQL語句進行描述，并在SQL語句出現時實時告警。異常操作風險：支持通過客戶端IP、數據庫IP、數據庫用戶、風險等級等多種元素細粒度定義要求監控的風險訪問行為。針對各種異常行為提供精細化報表：針對各種異常行為提供精細化報表：會話行為：提供登錄失敗報表、會話分析報表。SQL行為：提供新型SQL報表、SQL語句執行歷史報表、失敗SQL報表。風險行為：提供告警報表、通知報表、SQL注入報表、批量數據訪問行為報表。合規報表：提供滿足數據安全標準（例如Sarbanes-Oxley）的合規報告。華為云數據庫安全

207、審計具備如下優勢：部署簡單：部署簡單：采用數據庫旁路部署方式，操作簡單，快速上手。全量審計：全量審計：支持對華為云上的RDS、ECS/BMS自建的數據庫進行審計?？焖僮R別：快速識別：實現99%+的應用關聯審計、完整的SQL解析、精確的協議分析。高效分析：高效分析：每秒萬次入庫、海量存儲、億級數據秒級響應。多種合規：多種合規：滿足等保三級數據庫審計需求，滿足網絡安全法，SOX1等國內外法案。三權分立：三權分立：系統管理員，安全管理員，審計管理員權限分離，滿足審計安全需求。2、數據庫安全防護、數據庫安全防護數據庫安全防護主要提供如下功能：數據庫防火墻：數據庫防火墻：支持用戶自定義配置防火墻策略、自

208、動學習策略及基于異常檢測的IDS/IPS策略，當請求到達數據庫防火墻且違反策略時，DBSS會根據用戶需求選擇實時告警或阻斷。DBSS還可通過機器學習，建立用戶訪問行為基線，生成查詢模式組并可應用至數據庫防火墻策略中。權責分離機制：權責分離機制：通過細粒度的帳戶管理和權限控制，可以按照角色類型、表、視圖對象、列等進行權限控制。SQL注入檢測和防御：注入檢測和防御：DBSS內置了SQL注入特性庫、基于上下文的學習模型和評分機制，對SQL注入進行綜合診斷，并實時阻斷，從而確保用戶數據庫免受SQL注入攻擊。動態數據脫敏：動態數據脫敏：用戶可以設置脫敏規則來對指定數據庫表/列以及來自特定源IP、用戶和應

209、用的查詢進行脫敏。通過精確的脫敏引擎，對用戶的敏感數據實施實時脫敏，不會對應用產生性能損耗，也不會改變數據在數據庫中的存儲。敏感數據發現：敏感數據發現：DBSS內置PCI、HIPAA2、SOX、GDPR等合規知識庫，用戶也可以自定義敏感數據的規則知識庫，并通過配置相應敏感數據發現策略來發現數據庫中的敏感數據。一旦識別了敏感數據，可以一鍵自動生成脫敏規則和審計規則。數據庫防拖庫：數據庫防拖庫：用戶可以設置防拖庫規則來對未授權用戶、IP地址和應用在數據庫特定表中的數據操作進行檢測，當操作數據量超過規則設定的閾值后，DBSS將會向管理員發出告警，并將該事件記錄至防拖庫日志中，協助用戶避免數據泄露。數

210、據庫活動監控：數據庫活動監控：DBSS提供數據庫的庫級、表級和列級的視圖監控，可獨立監控和分析數據庫活動，并對未授權的活動進行監控和告警。提供多維度的數據庫審計線索，包括源IP、用戶身份、應用程序、訪問時間、請求的數據庫、原SQL語華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司47句、操作、成功與否、耗時和返回內容等，協助用戶溯源到攻擊者。審計記錄遠程保存，滿足用戶的審計合規要求。說明說明1.SOX 即 Sarbanes-Oxley Act，是于2002年美國國會通過的美國聯邦法律，為所有美國上市公司董事會，管理層和公共會計師事務所設定

211、了更新更廣的監管要求。2.HIPAA 即Health Insurance Portability and Accountability Act of 1996，是于1996年美國國會通過的美國聯邦法律，建立起了美國健康保險的便攜性和問責制度，為保護醫療信息提供數據隱私和安全規定。華為云安全白皮書6 租戶服務與租戶安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司487 工程安全工程安全在傳統 ICT 領域，華為持續向客戶交付安全、優質的產品和服務。在這個過程中積累了大量的產品安全開發能力、工具和經驗。華為進入云服務市場后，這些知識和經驗同樣也在幫助華為云構筑多維全棧的安全防

212、護體系和高可用、高可信的云服務。同時，云服務特有的持續集成，持續交付，持續部署需要全新思維、方法論、流程和工具鏈。通過結合華為在安全上的長期積累和華為云的現狀，華為云不僅積極推行快速迭代的全新 DevOps 流程，還將華為的安全生命周期（SDL）無縫嵌入，DevOps 逐步形成高度自動化的 DevSecOps 全新安全生命周期管理流程，以及確保全新流程順利而靈活執行的云安全工程能力和工具鏈。本章除了對 DevOps/DevSecOps 流程的介紹，還會重點描述華為云安全流程中尤為重要的安全設計、安全編碼和測試、第三方軟件管理、配置與變更管理、上線安全審批等方面的具體實踐。7.1 DevOps

213、和和 DevSecOps 流程流程由于華為云服務商業模式的變化，華為云已經建立起新的組織結構、管理體系并采用更適合云服務的 DevOps 模式進行開發、部署和運營。相較于適合傳統 ICT 業務的研發流程，DevOps 有如下典型變化：商業決策商業決策：從基于 Gate（DCP/TR）的決策向基于業務用例（business case）的定期審視轉變。產品開發和交付模式產品開發和交付模式：交付的對象為線上業務或服務，而 DevOps 的定位就是在華為云管理體系中負責云服務業務快速上線的新型研發和運維模式。營銷模式營銷模式：引進互聯網的營銷模式。產業鏈和生態產業鏈和生態：在新的運營模式下建立聯盟合作

214、、合作伙伴管理及價值分配機制。供應鏈供應鏈：對用戶提供服務，但資產還屬于華為。財務財務：系統需適應互聯網交易模式。運營驅動開發、小步快跑、頻繁部署是DevOps的關鍵特征。因此，在DevOps模式下，各項安全活動也融入新的流程活動中。華為云已經采用全新的持續集成、持續交付、持續部署、快速迭代 DevOps 流程。并且，華為云將高可靠、高穩定的安全研發和運維運營要求結合在 DevOps 流程中，形成適合華為云的 DevSecOps流程。DevSecOps 聚焦于實現以下兩個關鍵目標：安全質量安全質量：在 DevOps 模式下始終確保各項云服務達到其所需安全活動的質量標準。華為云安全白皮書7 工程

215、安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司49進度進度：保證云服務安全活動不影響 DevOps 的快速持續集成、發布與部署。7.1.1 雙軌制（雙軌制（Dual Path）機制）機制針對云服務需要快速持續集成、發布與部署，但部分研發運維中必需的安全活動很耗時的矛盾，華為云采用雙軌制平衡進度與質量。雙軌制的本質是將快速活動、慢速活動分軌道開展，避免慢速活動延遲云服務的快速持續交付與部署。圖圖 7-1 華為云 DevOps/DevSecOps 雙軌制流程雙軌制的活動定義：快道（快道（Fast Path）：完全自動化流水線，其中包含能夠快速自動化執行的各種安全活動，如增量

216、靜態掃描、動態掃描、攻擊面分析等。慢道（慢道（Slow Path）：半自動或手動流水線，包含不能完全自動化的安全活動，如需要人工執行的滲透測試，以及需要很長時間才能完成的自動化安全活動，如靜態掃描、長穩測試、滲透測試、業務連續性測試、模糊測試、動態程序分析、威脅和脆弱性分析、容量測試等。雙軌制的協作關系如下：快道是 DevOps 流程的主航道，對于已完全自動化的安全活動一旦達到安全質量門限，則開發和運維運營活動快速執行通過?？斓啦恍枰却郎细黜棸踩顒拥慕Y果。消除高風險的云服務安全活動優先自動化，放在快道上執行。慢道上安全活動的結果需要作為后續發布的決策依據，快道也必須遵從。例如，慢道發現

217、的嚴重安全隱患可叫?？斓?，并在嚴重問題得到優先解決之后才可重啟快道。7.2 安全設計安全設計華為云秉承華為一貫堅持的安全源自優秀設計的理念，這與采用 DevOps/DevSecOps流程沒有矛盾。華為云及相關云服務遵從安全及隱私設計原則和規范、法律法規要求，在安全需求分析和設計階段根據業務場景、數據流圖、組網模型進行威脅分析。威脅分析使用的引導分析威脅庫、消減庫、安全設計方案庫來源于包括傳統領域產品和新的云領域所有產品的安全積累和業界優秀實踐。當識別出威脅后，設計工程師會根據削減庫、安全設計方案庫制定消減措施，并完成對應的安全方案設計。所有的威脅消減措施最終都將轉換為安全需求、安全功能，并根據

218、公司的測試用例庫完成安全測試用例的設計，確保落地，最終保障產品、服務的安全。7.3 安全編碼和測試安全編碼和測試華為云嚴格遵從華為對內發布的安全編碼規范。華為云服務研發和測試人員在上崗前均通過了對應規范的學習和考試。同時引入了靜態代碼掃描工具每日檢查，其結果數華為云安全白皮書7 工程安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司50據進入云服務持續集成和持續部署（CI/CD Continuous Integration， ContinuousDeployment）工具鏈，通過質量門限進行控制，以評估云服務產品的質量。所有云產品、云服務在發布前，均需完成靜態代碼掃描的告警

219、清零，有效降低上線時編碼相關的安全問題。所有云服務發布前都經過了多輪安全測試，包括但不限于 Alpha 階段的認證、鑒權、會話安全等微服務級功能和接口安全測試，Beta 階段通過對 API 和協議的 fuzzing 測試驗證服務集成，Gamma 階段的數據庫安全等安全專項測試。測試用例覆蓋安全設計階段識別出的安全需求以及攻擊者視角的滲透測試用例等。同時，華為云將其深入理解的客戶安全需求和業界標準作為檢查項，開發配套相應的安全測試工具，如SecureCat 可以對業界主流的 OS 和 DB 的安全配置進行檢查。除了一次融入、多次使用的優點外，這樣做還能帶來另一個明顯的好處，即發布的云服務通過測試

220、后可同時滿足不同區域、客戶的安全要求。7.4 第三方軟件安全管理第三方軟件安全管理華為云基于嚴進寬用的原則，保障開源及第三方軟件的安全引入和使用。華為云對引入的開源及第三方軟件制定了明確的安全要求和完善的流程控制方案，在選型分析、安全測試、代碼安全、風險掃描、法務審核、軟件申請、軟件退出等環節，均實施嚴格的管控。例如在選型分析環節，增加開源軟件選型階段的網絡安全評估要求，嚴管選型。在使用中，須將第三方軟件作為服務或解決方案的一部分開展相應活動，并重點評估開源及第三方軟件和自研軟件的結合點，或解決方案中使用獨立的第三方軟件是否引入新的安全問題。華為云將網絡安全能力前置到社區，在出現開源漏洞問題時

221、，依托華為云對開源社區的影響力，第一時間發現漏洞并修復。漏洞響應時，須將開源及第三方軟件作為服務和解決方案的一部分開展測試，驗證開源及第三方軟件已知漏洞是否修復，并在服務的Release notes 里體現開源及第三方軟件的漏洞修復列表。7.5 配置與變更管理配置與變更管理華為云配置和變更管理對保障華為云安全起著重要作用。華為云設置配置經理對所有業務單元進行配置管理，包括提取配置模型(配置項類型、各類配置項屬性、配置項間的關系等)，記錄配置信息等。并通過專業的配置管理數據庫工具（CMDB Configuration Management Database）對配置項、配置項的屬性和配置項之間的關

222、系進行管理。華為云的各項變更都是影響云服務運行的因素。生產環境的各要素，如機房設施、網絡、系統平臺軟硬件和應用等的更改，包括設備增減、架構調整、系統軟件更新（含網絡系統，操作系統鏡像和應用容器）、配置改變等發生變更，都需要通過有序的活動進行變更管理。所有的變更申請生成后，由變更經理進行變更級別判斷后提交給華為云變更委員會，通過評審后方可按計劃對現網實施變更。所有的變更在申請前，都需通過類生產壞境測試、灰色發布、藍綠部署等方式進行充分驗證，確保變更委員會清晰地了解變更動作、時長、變更失敗的回退動作以及所有可能的影響。7.6 上線安全審批上線安全審批為確保華為云以及華為開發的云服務滿足各區域法律法

223、規、客戶安全需求，華為的全球網絡安全與用戶隱私保護官（GSPO）和首席法務官（CLO Chief Legal Officer）也參與到云服務的上線活動中。云平臺版本、重要云服務上線前，GSPO 和 CLO 的團隊和開發團隊合作，共同分析、判斷其相關版本或服務是否符合所服務區域的安全隱私合規要求。華為云安全白皮書7 工程安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司51同時，簡化的華為云上線安全審批流程確保中低安全風險的云服務可以快速上線。GSPO 和 CLO 制定并發布安全與隱私合規的自檢清單，該清單包含所有主要區域、行業的合規要求。云服務團隊在開發、部署、上線過程中需

224、進行自檢，對于中低風險的云服務，自檢通過后即可上線。自檢結果也同步提交給 GSPO 和 CLO 執行審計。對高風險的云服務，通過更多的投入、在短時間內執行更嚴格的上線檢測和審批，確保其及時并安全上線，保障租戶利益。華為云安全白皮書7 工程安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司528 運維運營安全運維運營安全在上一章介紹的 DevOps/DevSecOps 云服務流程中，運維運營與研發同等重要，相輔相成，混然一體。華為云對運維運營尤為重視，更聚焦運維運營安全并給與高度優先和重點投入。本章主要介紹華為云在運維安全、漏洞管理、安全事件管理和業務連續與災難恢復管理等方面

225、的具體實踐。8.1 O&M 賬號運營安全賬號運營安全運維工作對華為云至關重要，涉及到安全的方方面面。針對運維安全，華為云有專門的設計、規范和流程。運維安全包括統一帳號、權限和接入管理等。8.1.1 賬號認證賬號認證運維人員接入華為云管理網絡對系統進行集中管理時，需使用員工身份賬號，且要求使用雙因子認證，如 USB key、Smart Card 等。員工賬號用于登錄 VPN、堡壘機，實現用戶登錄的深度審計。特權賬號管理系統將日?；驊边\維的功能賬號或技術賬號綁定到運維團隊或個人。堡壘機上支持強日志審計，確保運維人員在目標主機上的操作行為都可以定位到個人。8.1.2 權限管理權限管理系統帳號/權限

226、管理分兩個維度：帳號生命周期管理和授權管理。帳號的生命周期管理帳號的生命周期管理：包括帳號的開銷戶管理、帳號責任人/使用人管理、口令管理、開銷戶監控管理等，帳號一旦建立，立即納入帳號管理員的日常維護管理工作。所有運維帳號，所有設備及應用的帳號均實現統一管理，并通過統一審計平臺集中監控，并且進行自動審計。以確保實現從創建用戶、授權、鑒權到權限回收的全流程管理。帳號授權流程帳號授權流程：如果帳號使用人要使用帳號，帳號管理員可啟動授權流程，通過口令或者提升帳號的權限等方式進行授權；帳號的申請人和審批人不能是同一個人。權限管理：權限管理：根據不同業務維度和相同業務不同職責，實行 RBAC 權限管理。登

227、錄權限分為：核心網絡、接入網絡、安全設備、業務系統、數據庫系統、硬件維護、監控維護等。不同崗位不同職責人員限定只能訪問本角色所管轄的設備，其他設備無權訪問。華為云運維人員在開展日常工作時，嚴格遵守下述權限管理相關規定：華為云安全白皮書8 運維運營安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司53不得嘗試繞開系統的安全審計措施，不得修改、刪除、銷毀系統日志。不得用個人存儲介質連接服務器。未經授權，不得私自使用任何存儲介質連接服務器。未經授權，不得改變生產環境中設施、設備、系統的用途，不得在其上從事與其原本功能定義不符的活動和操作。8.1.3 接入安全接入安全為了保證云服務

228、數據中心的持續穩定運行，華為云建立了一支強大的運維隊伍。通過在華為云數據中心部署的 VPN和堡壘機，實現運維管理平臺的統一運維管理和審計。數據中心外網運維人員和內網運維人員對網絡、服務器等設備的本地及遠程操作，全部集中管理，實現用戶對設備資源操作管理的統一接入、統一認證、統一授權、統一審計。外網遠程運維接入外網遠程運維接入：為實現對華為云的遠程管理，不論是從互聯網還是辦公網接入，都要首先訪問資源池堡壘機，再從堡壘機訪問相關資源。歸納為以下兩種遠程訪問路徑：路徑路徑 1：運維人員從互聯網訪問：運維人員從互聯網訪問。運維人員從互聯網執行運維時，需要先通過 SSL VPN 建立從互聯網進入云運維網絡

229、的連接，限定只可以訪問堡壘機，保證從互聯網接入訪問的權限最小化。路徑路徑 2：運維人員從華為內網訪問：運維人員從華為內網訪問。使用華為已有跳轉系統從其辦公內網接入華為云運維內網（通常用 MPLS VPN 連接兩種內網），進入運維內網后限定只能訪問堡壘機，實現訪問權限最小化。運維接入認證安全：改變使用者的認證方式，使用獨立的賬號體系來對使用者進行授權，使用戶名、密碼等信息更統一、簡單、安全、有效。設備密碼的自動更改方式，可以設定每周期（天、周、月）內自動改變設備密碼。設備密碼更改后，只有超級權限賬號才能查看密碼，對其余使用者的密碼區則為不可見狀態。密碼策略，類似于 Windows 的密碼策略，主

230、要是位數，復雜度的定義。8.2 漏洞管理漏洞管理華為產品安全事件響應團隊（PSIRT Product Security Incident Response Team） 已經建立成熟的漏洞1響應機制，針對云的自運營的特點，通過持續優化安全漏洞的管理流程和技術手段，以保證基礎設施、平臺、應用和云服務中的自研和第三方漏洞盡快修復，降低對租戶業務造成影響的風險。同時，華為 PSIRT 和華為云安全運維團隊已經建立了完善的漏洞感知、處置和對外披露的機制。華為云依托其建立的漏洞管理體系進行漏洞管理，能確?；A設施、平臺、應用各層系統和各項云服務以及運維工具等的自研漏洞和第三方漏洞都在 SLA 時間內完成響

231、應和修復，降低并最終避免漏洞被惡意利用而導致影響租戶業務的風險。說明說明1.“漏洞指系統設計、實施、運營和管理中，可被利用于違反系統安全策略的缺陷或弱點?！保≧FC4949）。8.2.1 漏洞感知漏洞感知華為PSIRT已建立完善的漏洞感知與收集渠道。在華為官網PSIRT公開了漏洞收集郵箱及漏洞獎勵計劃https:/ 運維運營安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司54漏洞協調組織、供應商、安全公司、組織、安全研究者和華為員工等提交華為產品或解決方案的漏洞。同時，華為PSIRT會主動監控業界知名漏洞庫、安全論壇、郵件列表、安全會議等渠道，以保證第一時間感知到包括云在

232、內的華為相關漏洞信息。通過建立包括云業務在內的所有產品和解決方案的公司級漏洞庫，以保證有效記錄、追蹤和閉環每個漏洞。同時，華為云設立了專有漏洞收集郵箱hws_，華為云自己的安全運維團隊通過自研及商業在線安全掃描工具，定期執行漏洞掃描任務（掃描不包括租戶實例），讓華為云環境下的漏洞“無處可躲”，實現漏洞的“可視化”。8.2.2 漏洞響應和處理漏洞響應和處理與華為傳統ICT業務相比，華為云擁有更完整的網絡配置信息和設備操作權。再結合華為云采用的DevOps/DevSecOps流程，使得華為云在漏洞修復上能做到更快速、更直接的持續集成、持續部署。華為云基于業界最佳實踐CVSS（Common Vuln

233、erability Scoring System）對漏洞進行嚴重級別的評估，并結合漏洞在華為云中被利用的風險評估結果決定處理優先等級。同時考慮到華為云直接面向最終用戶提供服務，面臨著更大的互聯網攻擊風險，因此在漏洞評估嚴重級別時增加了服務是否面向互聯網（ETIExposed to Internet）的判斷依據。綜合考量，最終制定漏洞修復的SLA要求。華為云已建立起從漏洞感知到現網修復的端到端漏洞響應工單系統，此系統會自動接收來自 PSIRT、在線掃描工具等眾多漏洞收集渠道提交的漏洞，并自動根據漏洞的嚴重程度確定處理優先級，從而明確對應的漏洞修復SLA要求。對于重大安全漏洞，安全運維團隊可通過自

234、研工具，對現網進行掃描，實現分鐘級的受影響服務和模塊的范圍界定；同時安全運維團隊會根據現網情況，采取必要的漏洞緩解措施，例如限制端口訪問、實施WAF 漏洞規則等方式對受影響的服務進行防護或隔離，以降低漏洞被利用的風險。對于需要通過版本、補丁修復的漏洞，通過灰度發布或藍綠部署等方式盡量減少對租戶業務造成影響。同時，華為云還持續更新操作系統及容器鏡像，通過鏡像和容器的滾動升級完成系統漏洞修復，不會對租戶業務造成影響。8.2.3 漏洞披露漏洞披露為保護最終用戶和租戶，華為云秉承負責任的披露原則，對于涉及云平臺、租戶服務等的漏洞，在確保不會因主動披露而導致更大攻擊風險的情況下，向最終用戶/租戶及時推送

235、漏洞規避和修復方案和建議，與租戶共同面對安全漏洞帶來的挑戰。8.3 安全日志和事件管理安全日志和事件管理云安全事件指由可疑網絡攻擊或者破壞，可能或已經造成云服務系統信息泄露、數據被篡改、系統入侵、服務不可用及其他已經核實即可能影響云服務品牌的的安全事件。這些攻擊行為主要包括基礎設施、平臺和應用攻擊（如后門攻擊、漏洞攻擊、網絡掃描竊聽、釣魚攻擊、DDoS 攻擊，OWASP Top 10等），信息破壞（如信息篡改、假冒、泄漏、竊取、丟失等）。鑒于安全事件處理的專業性、緊迫性和可回溯性，華為云擁有完善的安全日志管理要求、安全事件定級處置流程和7*24小時的專業安全事件響應團隊以及對應的安全專家資源池

236、來應對。華為云秉承快速發現、快速定界、快速隔離與快速恢復的安全事件響應原則。同時，根據安全事件對整網、客戶的危害刷新事件定級標準以及響應時限和解決時限等要求。8.3.1 日志管理和審計日志管理和審計華為云有集中、完整的日志大數據分析系統。該系統統一收集所有物理設備、網絡、平臺、應用、數據庫和安全系統的管理行為日志和各安全產品及組件的威脅檢測告警華為云安全白皮書8 運維運營安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司55日志，日志包含資源ID(如：源IP、主機ID、用戶ID等)、事件類型、日期時間、受影響的數據/組件/資源的ID（如目的IP、主機ID、服務ID等）、成功

237、或失敗等信息，以確保支撐網絡安全事件回溯和合規。該日志分析系統有強大的數據保存及查詢能力，確保所有日志保存時間超過180天，90天內可以實時查詢。華為云有專門的內審部門，定期對運維流程各項活動進行審計。華為云日志大數據分析系統具備海量日志快速收集、處理、實時分析的能力，支持與第三方安全信息和事件管理（SIEM Security Information and EventManagement）系統如 ArcSight、Splunk 對接。8.3.2 快速發現與快速定界快速發現與快速定界華為云建立了穩固、完善的邊界和多層立體的安全防護系統。例如，多層防火墻對網絡進行區域隔離；Anti-DDoS 快

238、速發現和防護 DDoS 攻擊；WAF 實時檢測和防御Web 攻擊；IDS/IPS 實時檢測和阻斷來自互聯網的網絡攻擊、監控主機異常行為等。針對公有云攻擊的手段多樣、流量巨大的特點，華為云使用態勢感知分析系統，關聯各種安全設備的告警日志，并統一進行分析，快速全面識別已經發生的攻擊，并預判尚未發生的威脅。區別傳統的運維流程（沒有自動化工具，安全事件主要靠人工經驗分析，效率低），大數據安全分析平臺從海量的原始告警日志中，實時檢測威脅行為，通過可視化界面展示，極大減少人工分析時間，將攻擊的發現和定界縮短至秒級。支持眾多威脅分析模型和算法，結合威脅情報和安全咨詢，精準識別攻擊，包括最常見的云攻擊威脅：暴

239、力破解、端口掃描、肉雞、Web 攻擊、Web 未授權訪問、APT 攻擊等。并且該系統實時評估華為云安全狀態，分析潛在風險，并結合威脅情報進行預警，做好預防工作。針對日常多樣化的攻擊告警事件，華為云有專業的安全事件管理系統對安全事件進行端到端的跟蹤閉環，整個處置過程可回溯。8.3.3 快速隔離與快速恢復快速隔離與快速恢復當華為云受到攻擊時，邊界安全設備成為快速隔離、快速恢復的第一道防線。例如，Anti-DDoS 逐層對攻擊流量進行清洗過濾，實時對流量型攻擊和應用層攻擊進行全面防護；WAF 實時檢測 Web 攻擊，對高危攻擊進行告警并立刻自動阻斷；IPS 同時防御對平臺和租戶的攻擊。大數據安全分析

240、平臺與各類安全設備聯動以及時發現并阻斷攻擊，是快速隔離、快速恢復的第二道防線。大數據安全分析平臺可以快速識別出入侵行為并且精準識別攻擊源，智能聯動安全設備進行自動阻斷，將阻斷時間縮短至秒級。華為云與電信運營商聯動，自動封堵大流量 DDoS 攻擊是快速隔離、快速恢復的第三道防線。當大流量 DDoS 攻擊影響到華為云實際吞吐量時，DDoS 自動封堵系統會自動聯動運營商封堵系統，在運營商骨干路由器丟棄攻擊流量，保證華為云的帶寬不受影響，保證租戶業務正常運行，整個過程不超過兩分鐘?；谠泼媾R環境下存在復雜的安全風險，華為云制定了各類的專項應急預案，每年會對重大的安全風險場景進行應急演練，以確保在發生此

241、類安全事件時，快速削減可能產生的安全風險，保障網絡韌性。8.4 業務連續與災難恢復業務連續與災難恢復華為云基礎設施具備高可用性，將系統故障給客戶帶來的影響降到最低。華為云安全白皮書8 運維運營安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司568.4.1 基礎設施高可用基礎設施高可用華為云依賴數據中心集群的二地三中心架構實現數據中心本身的容災和備份，數據中心按規則部署在全球各地，所有數據中心都處于正常運營狀態，無一閑置。同時，兩地互為災備中心，如一地出現故障，系統在滿足合規政策前提下自動將客戶應用和數據轉離受影響區域，保證業務的連續性。華為云還部署了全局負載均衡調度中心，

242、客戶的應用在數據中心實現 N+1 部署，即便在一數據中心故障的情況下，也可以將流量負載均衡到其他中心。華為云能夠在多個地域內或同一地域內多個可用區之間靈活替換計算實例和存儲數據。 每個可用區都是一個獨立故障維護域，也就是各可用區物理上是隔離的。另外，各可用區有各自獨立的 UPS 和現場備用發電設備，每個可用區域所連接的電網也不同，所有可用區域與多個一級傳輸供應商冗余相連，進一步排除單點故障的風險。用戶可充分利用這些地域和可用區，規劃應用系統在云上的部署和運行?；诙鄠€可用區進行應用的分布式部署，可保證在大多故障情況下（包括自然災害和系統故障）系統都能連續運行。8.4.2 可用區之間災備復制可用

243、區之間災備復制為了減小由硬件故障、自然災害或其他災難帶來的服務中斷，華為云為所有數據中心提供災難恢復計劃：華為云支持在一個數據中心的多個節點內復制存放用戶數據。單個節點一旦出現故障，用戶數據不會丟失，系統做到自動檢測和自愈。單個區域內不同可用區之間，通過高速光纖實現數據中心互聯（DCI DataCenter Interconnect），滿足跨可用區數據復制基本要求，用戶可根據業務需求選擇災備復制服務。8.4.3 業務連續性計劃和測試業務連續性計劃和測試華為云除了提供高可用基礎設施、冗余數據備份、可用區災備等外，還制定了業務連續性計劃，并定期對其進行測試。該計劃主要針對重大災難，如地震或公共健康

244、危機等，讓云服務能夠持續運行，保障客戶的業務和數據安全。華為云還制定了災難恢復計劃，并定期對其進行測試。例如，將一個地理位置或區域的云平臺基礎架構和云服務處于離線狀態，模擬一個災難，然后按照災難恢復計劃進行系統處理和轉移，以驗證故障位置的業務及營運功能，測試結果將被注釋并記錄歸檔，用以持續改進該計劃。華為云安全白皮書8 運維運營安全文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司579 安全生態安全生態面對網絡空間變化多端、發展快速、危害巨大的安全威脅，開放、協同的快速檢測、深度防御、及時恢復已經成為業界共識。公有云服務商為海量租戶提供服務，面對不同層次的安全需求，很難完全依

245、靠自身的技術和服務能力保護云租戶的數據和業務安全。因此，華為云聚集廣泛而全面的安全合作伙伴的力量，共同為租戶提供安全保障。華為云致力于構建開放、協作、共贏的安全生態體系，與業界領先的安全產品與服務供應商一起，基于責任共擔模式，為云租戶提供易部署、易管理、完善的安全解決方案，應對已知、未知的安全威脅，保障租戶的數據和業務安全。在安全技術合作方面，華為云致力于與業界優秀的安全產品與服務合作伙伴合作，為用戶提供主機安全、網絡安全、數據安全、應用安全、安全管理等各領域的產品和服務。華為云已與合作伙伴聯合推出了主機入侵檢測、Web 應用防火墻、主機漏洞檢測、網頁防篡改服務及滲透測試等服務，提升了華為云的

246、安全檢測、感知及防御能力。在安全咨詢服務方面，華為云尋求與各行業優秀廠商開展深度合作，為金融、政務、交通、制造等行業開發安全解決方案，同時，華為云與全球多家解決方案伙伴合作，幫助用戶設計行業安全解決方案及商業模式，加速行業數字化轉型。在云安全生態建設方面，華為云除開展安全技術與咨詢服務合作外，還在云安全標準、開源社區積極參與、主動貢獻，為云計算產業健康發展貢獻力量。此外，華為云還開放各種基礎能力及安全服務，為軟件及應用開發者提供安全服務。在市場機會方面，華為云將為安全生態合作伙伴提供豐富的市場機會和多種方式的技術支持。首先，華為云安全生態合作伙伴可以使用華為云 Marketplace 平臺展現

247、自己的產品、解決方案和服務，與華為云共享云上潛在客戶和銷售機會。借助于華為云 Marketplace 和華為云的技術能力，還可以提升銷售、交付和維護環節的效率，降低業務經營成本；其次，合作伙伴可以借助華為遍布全球的云服務資源網絡，將業務部署到全球。特別優秀的合作伙伴，還將有機會獲得華為云在全球業務拓展中的市場線索分享和解決方案推薦；再次，華為已經同政府、教育、醫療、交通、制造、能源及大企業等市場建立了廣泛、全面的合作關系，華為云將開放這些市場資源給合作伙伴，幫助合作伙伴創建新的安全產品和安全解決方案，在保障行業客戶數字化轉型的同時，實現客戶、合作伙伴和華為的共贏；最后，華為云安全合作伙伴將有機

248、會參加華為公司的各種線上及線下的品牌營銷活動，展示產品解決方案、傳播成功案例；隨著合作的深入，還將有機會與華為云進行聯合品牌營銷活動、面向客戶的聯合解決方案發布等。在技術支持方面，首先，華為云將賦能合作伙伴，幫助伙伴實現自己的云化戰略轉型，實現產品云化和服務上云；其次，華為云將向合作伙伴開放云服務技術接口，支持合作伙伴開發面向各行業客戶的安全方案，華為將幫助和支持這些方案華為云安全白皮書9 安全生態文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司58走向市場，為客戶帶來價值，并助力合作伙伴商業成功；再次，華為云也將逐步開放自己的安全技術能力和安全工程能力，輸出安全經驗，共享安全資源，通過培訓、認證、開發接口、技術文檔、安全標準、流程規范、安全測試等多種方式賦能給合作伙伴，從而幫助合作伙伴提升自身的安全能力；最后，華為云將在法律法規和客戶許可的前提下，促進合作伙伴間的安全情報共享和互通。當然，通過認證的合作伙伴還可獲得相應的免費測試資源支持、培訓支持、商務優惠政策等。面對未來智能社會的安全威脅，華為云將積極聯合全球安全伙伴打造一個開放、協作、共贏的安全生態圈。在持續提供云安全增值服務，提升用戶信任的同時，不遺余力地推動行業和社會進步。華為云安全白皮書9 安全生態文檔版本 3.2(2020-08-14)版權所有 華為技術有限公司59