1、 企業上云安全白皮書企業上云安全白皮書 文檔版本文檔版本 1.0 發布日期發布日期 2021-8-31 華為技術有限公司華為技術有限公司 企業上云安全白皮書 目 錄 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 ii 目目 錄錄 目目 錄錄 . ii 1 導讀導讀 . 1 1.1 背景 . 1 1.2 發布目的及目標讀者 . 1 1.3 責任共擔模型 . 2 2 企業上云遷移流程企業上云遷移流程. 3 3 企業上云安全建設指南企業上云安全建設指南 . 5 3.1 制定安全策略 . 5 3.2 制定安全計劃 . 7 3.2.1 基本定義 . 7 3.2.2 企業上云安全策

2、略指導 . 8 3.2.3 企業上云安全策略產品實踐 . 17 3.3 準備遷移環境 . 22 3.4 實施遷移 . 23 3.5 持續安全運營 . 24 4 結語結語 . 27 5 版本歷史版本歷史 . 28 企業上云安全白皮書 1 導讀 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 1 1 導讀導讀 1.1 背景 隨著公有云技術的成熟，越來越多的企業選擇將業務從傳統的 IDC、私有云遷移到公有云，降低 IT 成本，聚焦業務創新；同時隨著公有云市場競爭的日益激烈，很多前期已經上公有云的企業，也會在多個公有云提供商之間切換業務或選擇多云部署以降低成本和風險。 在云服務模

3、式下，如何保障云上安全，成為大多數企業和客戶的首要關注問題。云服務提供商致力于保障其所提供的 IaaS、PaaS 和 SaaS 各類各項云服務自身的安全及基礎設施安全。但企業的云安全保障不能完全依賴于云服務提供商，企業需要基于業務需求合理使用和配置云服務能力以自建安全能力和安全防護體系，從而構建完整的云上安全體系。 云上安全體系的構建不僅依托于云服務提供商的安全能力，同時也需要客戶在上云遷移階段就采取一定的變革。上云安全變革涉及到企業應用整體安全治理體系的變化、企業安全組織架構的適配、企業安全文化和思維方式的塑造、持續的安全運營運維優化等。企業不僅需要上云遷移方法論，還需要一套覆蓋安全治理、安

4、全遷移方案實施等全面的方法論及技術體系來支撐，幫助上云之路更加順暢。 華為公司作為世界領先的 ICT 服務提供商，30 年來一直秉承技術上深耕細作、不斷創新，服務上全心全意、持續提升的態度，致力于為行業、企業和個人提供先進、穩定、可靠、安全的產品和服務。作為華為公司的戰略業務，華為云從成立伊始就繼承了華為公司國際化的屬性：滿足全球各地區、各行業適用的法律法規及客戶需求，構建可信的云服務。與此同時，為了幫助客戶保護其云上資產，華為云希望協助更多企業構建云上安全防護體系，實現同客戶長期雙贏的重要實踐。華為云基于多年在企業上云實踐中的經驗，吸收業界的優秀經驗，總結提煉了上云安全建設步驟，用于指導和幫

5、助客戶企業上云安全工作的開展。 1.2 發布目的及目標讀者 本文主要面向計劃或正在進行上云遷移的企業的決策層、管理層、IT、安全和隱私保護等云服務相關技術崗位人員，旨在指導企業在上云遷移全過程中從規劃、設計、實施、運營等多個方面實現上云安全，并構建自身的云上安全體系。同時讓企業了解華 企業上云安全白皮書 1 導讀 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 2 為云為客戶提供了多種專業服務和云產品助力其實現上云安全，并指導客戶正確配置云服務。 1.3 責任共擔模型 在云服務模式下，華為云與客戶共同承擔云環境的安全保護責任，為明確雙方的責任，確定責任邊界，華為云制定了責

6、任共擔模型，如下圖所示： 圖圖 1-1 安全責任共擔模型 其中紅色部分為華為云負責，灰色部分責任由租戶承擔。華為云負責云服務自身的安全，提供安全的云；租戶負責云服務內部的安全，安全的使用云。 華為云的主要責任是研發并運維運營華為云數據中心的物理基礎設施，華為云提供的各項基礎服務、平臺服務和應用服務，也包括各項服務內置的安全功能。同時，華為云還負責構建物理層、基礎設施層、平臺層、應用層、數據層和 IAM 層的多維立體安全防護體系，并保障其運維運營安全。 租戶的主要責任是在租用的華為云基礎設施與服務之上定制配置并且運維運營其所需的虛擬網絡、平臺、應用、數據、管理、安全等各項服務，包括對華為云服務的

7、定制配置和對租戶自行部署的平臺、應用、用戶身份管理等服務的運維運營。同時，租戶還負責其在虛擬網絡層、平臺層、應用層、數據層和 IAM 層的各項安全防護措施的定制配置，運維運營安全，以及用戶身份的有效管理。 企業上云安全白皮書 2 企業上云遷移流程 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 3 2 企業上云遷移流程企業上云遷移流程 華為云基于華為自身上云的成功實踐和服務海量客戶的經驗，總結出一套行之有效的上云遷移流程，以指導企業上云。具體流程如下： 圖圖 2-1 華為云上云遷移流程 華為云配套提供了與該流程對應的企業上云全服務。該服務是華為云基于客戶需求，通過分析客戶

8、特定的遷移內容，結合客戶現網環境，綜合考慮遷移風險、應急回退預案等因素后完成云遷移方案設計，由具有豐富經驗的技術專家進行實施，直至業務應用平臺完成切換，業務系統正常運行。具體的服務流程如下： 圖圖 2-2 企業上云全服務 企業上云安全白皮書 2 企業上云遷移流程 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 4 華為云上云遷移服務的優勢： 原廠的專家團隊：分布全球的服務團隊，具備豐富的互聯網、政企等行業服務經驗，提供本地化的上云遷移服務。 完善的工具平臺：基于從數據層、中間件層到應用層完整的遷移工具體系、豐富的原子化方案庫、規范的交付管理平臺。 成熟的交付流程：30 多

9、年 ICT 領域成熟的服務流程、高級別割接保障經驗和大型項目管理經驗，確保每一次上云遷移交付都安全可信。 靈活的產品方案：支持進行靈活的產品組合銷售，針對客戶系統和應用特點，為用戶量身定制云遷移方案，將實施過程中對應用的影響降到最低。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 5 3 企業上云安全建設指南企業上云安全建設指南 華為云以企業上云遷移流程為基準，基于多年在企業業務上云實踐中的經驗，吸收業界的優秀經驗，識別上云遷移流程中建立安全體系的關鍵節點，并總結了實踐步驟，幫助客戶在上云過程中實現上云安全建設。企業上云安全

10、步驟在上云遷移流程中各個階段實施： 圖圖 3-1 企業上云安全建設實施階段 本節以企業上云遷移流程為基準，向企業提供上云安全建設步驟指南，指導企業構建云上安全體系。本節將從上云安全建設 5 個步驟為企業提供詳細指導。 圖圖 3-2 上云安全建設步驟 3.1 制定安全策略 企業的安全最終目標不會隨著采用云服務而改變，但實現這些目標的方式將會改變。明確的云安全戰略可幫助所有團隊建立安全和可持續的企業云環境。企業的管理層和安全團隊需要根據企業總體安全戰略和業務戰略制定云安全戰略，并且需要在計劃采用云服務時盡早考慮安全性。 企業的安全團隊需盡早規劃和思考如何使用云技術和云服務來實現安全工具和流程的現代

11、化，并通過實施合理的云安全策略，實現云上業務系統的安全性、穩定性和可靠 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 6 性。云安全策略是公司在云運營過程中的一些正式準則，這些準則能夠對云資產安全的決策進行指導。企業需要結合自身的業務需求和安全需求制定對應的安全策略，同時需要考慮資產敏感度、上云潛在風險和風險容忍度、法律法規或標準的要求等內外部因素。 華為云建議可以從以下 11 個領域制定安全策略： 圖圖 3-3 安全策略領域 安全管理組織安全管理組織：指定負責云上各個關鍵職能人員/團隊，比如安全運營、系統安全管理等，并定義

12、其職責。 身份與訪問管理：身份與訪問管理：定義組織人員身份類型和身份驗證方法，僅授予身份所需的權限，并持續審核和監控賬號和權限的使用。 網絡安全：網絡安全：對業務所在網絡進行安全分區管理，并進行相應隔離；在網絡邊界實施防護和監控機制；確保通信線路和設備的冗余以滿足業務需求。 數據安全：數據安全：根據數據保護相關法律法規、標準中定義的分類分級要求對數據進行分類分級管理，并在數據生命周期各個階段實施相對應的保護措施。 威脅與漏洞管理：威脅與漏洞管理：對云上業務定期執行漏洞掃描和分析，并及時對漏洞修補。 日志與監控：日志與監控：對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監控和審核；

13、監控安全狀態，并記錄網絡攻擊行為。 安全響應與恢復：安全響應與恢復：為安全事件管理提供資源支持，自動對安全事件進行上報和通知，預部署事件響應工具；定期開展安全事件演練與經驗總結。 備份與恢復：備份與恢復：定義數據備份策略和保護措施，并對備份進行監控與審核。 開發安開發安全：全：對開發代碼進行安全檢查；系統上線前執行安全測試；保護研發資產的安全。 證書與密鑰管理：證書與密鑰管理：定義組織允許使用的加密算法和密碼技術產品；對密鑰和證書進行集中管理，并在密鑰和證書的生命周期各個階段實施安全控制。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技

14、術有限公司 7 隱私保護與合規：隱私保護與合規：識別隱私保護相關法律法規，對業務所涉個人數據進行識別并進行隱私風險評估；減少敏感數據在系統中的暴露風險；持續滿足合規要求。 若企業已建立較為成熟的安全體系，則可以現有的安全領域為基準制定云安全策略。企業同樣可以參考業界廣泛接受的安全管理體系劃分安全領域，比如 ISO 270011、CSA CCM2、NIST CSF3。 說明說明 1. ISO 27001：ISO 27001 是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風險管理為核心，通過定期評估風險和對應的控制措施來有效保證組織信息安全管理體系的持續運行。 2. CSA CC

15、M ：Cloud Security Alliance Cloud Control Matrix，即云安全聯盟云控制矩陣，框架由 16 個領域的 133 個控制目標組成，涵蓋了云技術的所有關鍵方面。 3. NIST CSF：NIST Cyber Security Framework，NIST 網絡安全框架由標準、指南和管理網絡安全相關風險的最佳實踐三部分組成，其核心內容可以概括為經典的IPDRR 能力模型。 3.2 制定安全計劃 3.2.1 基本定義 企業需要通過制定安全計劃以定義各個安全策略的實現方式（包括但不限于標準、安全程序、安全控制措施、安全規范指南） 、時間表和責任人/團隊。云安全計劃

16、是上云計劃中的組成部分，且企業應盡早將云安全計劃納入上云計劃中，確保及時發現上云過程中的潛在風險并制定風險處理策略，該過程可能會導致上云計劃的其他部分的調整。 安全計劃應圍繞組織已確定的安全策略進行制定，該階段通常需要輸出以下文件： 表表 1-1 安全計劃輸出件安全計劃輸出件 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 8 安全計劃安全計劃 說明說明 組織職能計劃&安全技能計劃 基于定義的安全角色和職責，確定各個角色所需的技能，并考慮通過何種方式幫助其獲得技能，同時制定安全技能培訓計劃。 云上架構安全計劃 根據已確定的安全

17、策略，制定云上安全架構設計方案和方案實施計劃，設計方案包括但不限于安全策略配置方案、云環境安全基準設計、計劃使用的云產品清單。 安全操作規范 建立企業的云安全運營運維規范、云安全操作指導手冊等規范文件，指導安全團隊、云運營團隊、安全運維團隊、IT 團隊等相關利益者成功過渡到云環境，并避免因人員操作導致的安全風險。通過建立流程，以確保每個安全策略都得到正確配置并在治理良好的環境中運行。 災備計劃 根據企業與云廠商的責任劃分，對災備體系中各自的責任、分工、流程進行調整，制定業務連續性計劃及災難恢復計劃。 考慮到企業業務目標、項目限制和其他因素可能會導致企業平衡安全風險與其他風險，因此最初的安全策略

18、配置方案可以從最低的安全標準開始，但應盡量對所有安全策略進行配置。企業可隨著時間的推移再逐漸提高安全標準，以確保持續降低風險。 3.2.2 企業上云安全策略指導 企業上云安全策略指導可為實現企業的安全策略提供明確的操作指導，企業可參考安全策略指導選擇能夠踐行其安全策略的云產品并對其實施最佳配置。該指導能夠幫助企業在華為云上提高安全性并降低風險、依托華為云建立完整的安全體系并實現云上安全。 3.2.2.1 安全管理組織 企業需建立云安全團隊，記錄、傳達云安全團隊中的角色和職責，幫助對應的人員了解其職責，并確保他們掌握對應的技能來承擔責任。云安全團隊通常包括云安全領導小組、云安全架構小組、云安全風

19、險管理小組、云安全合規管理小組、云安全運營小組，如下圖所示： 圖圖 3-4 云安全管理組織架構 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 9 各個小組具體職責如下表所示，企業可根據自身情況，參考該架構建立云安全團隊： 表表 3-1 云安全團隊職責說明云安全團隊職責說明 小組小組 職責職責 云安全領導小組 負責制定整體的云安全方針，協調各方資源建立、實施、檢查、改進云安全管理體系，保證云安全管理體系的持續適宜性和有效性。 云安全架構小組 負責設計、構建并持續維護云環境的安全架構，以保證設計與總體業務 IT 標準保持一致，并

20、與其他利益相關方合作，使云架構與服務層、內部 SLA 和業務目標保持一致。 云安全風險管理小組 負責整體把控云安全態勢，并根據內外部因素變化持續改進安全策略，對系統存在的安全風險進行管控，及時采取控制措施并報告管理層。 云安全合規管理小組 負責審視云服務提供商的合規狀態，并利用云服務的功能獲取日志記錄、配置數據等輸出企業合規證據和合規報告，以應對內外部的審查。 云安全運營小組 負責對云環境進行日常安全維護與管理，持續監測應用程序和基礎設施的安全狀態，及時識別、通報和處理安全事件。 3.2.2.2 身份與訪問管理 對資產的訪問實施權限管理：對資產的訪問實施權限管理：需要根據工作職責限定人員對于關

21、鍵業務系統的訪問權限，并通過適當的系統和流程保證權限的正確設置，以免非必要人員或非授權人員訪問到關鍵系統和核心敏感數據。權限管理應遵循按需分配、最小授權、職責分離原則。 使用統一身份認證服務 IAM 限制賬戶對關鍵系統的訪問權限。租戶管理員可以通過 IAM 管理用戶賬號，并且可以控制這些用戶賬號對租戶名下資源具有的訪問和操作權限，實現精細的權限管理。 使用云堡壘機 CBH 限制對運維賬號的使用和訪問。運維用戶可通過 CBH 統一運維登錄入口，基于協議正向代理技術和遠程訪問隔離技術，實現對服務器、云主 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所

22、有 華為技術有限公司 10 機、數據庫、應用系統等云上資源的集中管理和運維審計。CBH 可用于集中管控運維賬號訪問系統和資源的權限，對系統和資源的訪問權限進行細粒度設置。 使用應用信任中心 ATC 對應用設置細粒度的訪問控制策略。ATC 是圍繞零信任理念打造的安全服務，實現應用維度威脅全景拓撲，可依據用戶身份、訪問行為、應用健康度進行細粒度的動態授權控制。用戶可可快速創建基于用戶身份和基于時間、地點等屬性的控制策略，限制惡意用戶權限。 制定強身份驗證機制對用戶的訪問進行認證：制定強身份驗證機制對用戶的訪問進行認證：應制定有效的賬戶密碼規則，以確保不會使用容易被破解的密碼，并定期更改密碼。較高風

23、險的活動應采用更嚴格的認證方法，通常應采取多因子認證機制對用戶進行身份認證。 使用統一身份認證服務 IAM 多種身份驗證機制。IAM 支持客戶的安全管理員根據需求來設置不同強度的密碼策略和更改周期，防止用戶使用簡單密碼或長期使用固定密碼而導致賬號泄露。此外，IAM 還支持客戶的安全管理員設置登錄策略，避免用戶密碼被暴力破解或者由于其訪問釣魚頁面等而導致賬號信息泄露。IAM 同時支持多因子認證機制。 使用云堡壘機 CBH 加強系統用戶身份認證管理。CBH 采用多因子認證和遠程認證技術。引用多因子認證技術，包括手機短信、手機令牌、USBKey、動態令牌等方式，安全認證登錄用戶身份，降低用戶賬號密碼

24、風險。CBH 可以對接第三方認證服務或平臺，包括 Windows AD 域、RADIUS、LDAP、Azure AD 遠程認證，支持遠程認證用戶身份，防止身份泄露。 使用彈性云服務器 ECS 的密鑰對保證遠程登錄安全。彈性云服務器 ECS 支持用戶在登錄時使用密鑰方式進行身份驗證，以保證彈性云服務器安全。用戶可通過ECS 管理控制臺創建密鑰對，公鑰自動保存在系統中，私鑰由用戶保存在本地，每次 SSH 登錄到彈性云服務器時，將需要提供相應的私鑰。 禁止使用供應商提供的默認系統密碼：禁止使用供應商提供的默認系統密碼：供應商提供的默認密碼或默認設置可能被非法使用以威脅云環境、系統、軟件的安全，因此須

25、要在日常使用中注意更改默認密碼。 使用統一身份認證服務 IAM 強制要求新用戶修改默認密碼。使用 IAM 創建新用戶時，可通過郵件發送一次性登陸鏈接給新用戶，新用戶使用鏈接進行登陸時需要設置密碼，另外在管理員自定義新用戶的密碼時可選擇強制用戶在激活后修改默認密碼。 使用企業主機安全服務 HSS 檢測系統賬號口令。HSS 提供基線檢查功能，主動檢測主機中的口令復雜度策略，給出修改建議，幫助客戶提升口令安全性。同時檢測賬戶口令是否屬于常用的弱口令，針對弱口令提示用戶修改，防止賬戶口令被輕易猜解。 啟用并配置登錄失敗處理功能：啟用并配置登錄失敗處理功能：應配置結束會話、限制非法登陸次數、限制同時登陸

26、和登錄連接超時自動退出等相關措施。 使用統一身份認證服務 IAM 配置登錄失敗處理措施。IAM 支持配置會話超時策略，如果用戶未對界面操作超過設置的時長，會話將會失效，需要重新登錄。另外，IAM 支持配置賬號鎖定策略和賬號停用策略，當用戶在限定時間內達到登錄失敗次數后其賬戶會被鎖定一定時間，而當用戶在設置的有效期內未能成功登錄后其賬戶會被停用。 定期審計賬號的使用：定期審計賬號的使用：應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 11 使用企業主機安全服務 HSS 進

27、行主機賬號管理。HSS 支持檢測主機系統中的賬號，列出當前系統的賬號信息，幫助客戶進行賬號安全性管理，及時發現非法賬號。 使用云堡壘機 CBH 管理運維賬號。CBH 支持對運維賬號的管理，如刪除無用賬號，停用多余、過期運維賬號。 3.2.2.3 網絡安全 對網絡劃分區域：對網絡劃分區域：根據業務實際情況劃分不同網絡區域，明確定義每個域的邊界，并按照方便管理和控制的原則為各網絡區域分配地址。避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。 使用虛擬私有云 VPC 實現不同區域之間的網絡隔離。VPC 可為客戶構建出私有網絡環境?？蛻艨梢詣澐帧癉MZ” ， “

28、服務” ， “數據”等區域，并使用安全組隔離VPC 內的 IP 地址段、子網、安全組等子服務，客戶可使用 VPC 及安全組的相關網絡訪問控制策略保證網絡邊界訪問的安全性。 確保網絡訪問權限最小化：確保網絡訪問權限最小化：根據業務實際情況優化每個網絡區域的訪問控制列表，并保證訪問控制規則數量最小化。避免暴露多余的公網 IP，同時不應對外開放或未最小化開放高危端口、遠程管理端口。 使用虛擬私有云 VPC 控制訪問規則和開放端口。VPC 的安全組可為具有相同安全保護需求并相互信任的云服務器提供訪問策略?？蛻艨赏ㄟ^配置 VPC 的網絡 ACL和安全組規則，對進出子網和虛擬機的網絡流量進行嚴格的管控。

29、應保證網絡滿足業務高峰期需要：應保證網絡滿足業務高峰期需要：確保網絡設備的業務能力、網絡每個部分的帶寬滿足業務高峰期的需要。 使用彈性負載均衡 ELB 分發訪問流量。ELB 將訪問流量自動分發到多臺彈性云服務器，擴展應用系統對外的服務能力，實現更高水平的應用程序容錯性能。 使用 Anti-DDoS 流量清洗服務提升帶寬利用率。Anti-DDoS 為彈性公網 IP 提供四到七層的 DDoS 攻擊防護和攻擊實時告警通知，提升用戶帶寬利用率，確保用戶業務穩定運行。 控制內外部流量的訪問：控制內外部流量的訪問：使用防火墻控制內部和外部網絡之間的計算機訪問流量以及內部網絡中敏感區域的輸入及輸出流量，并對

30、所有網絡流量進行檢查，阻止與已制定安全標準不符的傳輸，以避免系統組件受到來自不可信網絡的非授權訪問。 使用云防火墻 CFW 實現入侵檢測與防御。CFW 集成華為全網威脅漏洞庫，并通過自帶的入侵防御引擎（IPS） ，對惡意流量進行實時檢測和防御。同時提供全場景流量日志、訪問日志、入侵攻擊日志記錄，并通過報表分析呈現，支持審計及高級威脅溯源分析。 使用虛擬私有云 VPC 控制公網對云服務器的訪問。VPC 可實現在流暢地訪問的同時隔離租戶，在此基礎上支持靈活配置 VPC 之間的互聯互通，并能實現敏感環境內組件不可通過互聯網直接公共訪問，同時 VPC 可通過訪問權限控制功能提供基于主機側和網絡側的多重

31、安全防護。 使用 NAT 網關為 VPC 內的彈性云服務器構建公網出入口。NAT 網關位于外部因特網與云上 VPC 之間，通過部署 NAT 網關可掩蓋內部網絡的 IP 地址，降低虛擬環境遭受攻擊的風險。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 12 使用 WEB 應用防火墻 WAF 過濾惡意攻擊流量。啟用 WAF 之后，網站所有的公網流量都會先經過 WAF，惡意攻擊流量在 WAF 上被檢測過濾，而正常流量返回給源站 IP，從而確保源站 IP 安全、穩定、可用。 3.2.2.4 數據安全 對敏感數據進行加密保存：對敏感數

32、據進行加密保存：根據法律要求和業務特性，對數據進行分類分級，并對不同級別的數據制定相應的標識與控制措施。針對敏感數據，采取加密、掩碼等方法進行保護，以降低這類數據被未授權的讀取及披露的風險。 使用數據安全中心 DSC 識別敏感數據。DSC 可根據敏感數據發現策略來精準識別數據庫中的敏感數據，并支持從海量數據中自動發現并分析敏感數據使用情況，基于數據識別引擎，對結構化數據和非結構化數據進行掃描、分類、分級，解決數據“盲點” 。 使用數據加密服務 DEW 對敏感數據進行加密。DEW 與 OBS、云硬盤（EVS） 、鏡像服務（IMS）等服務集成，可以通過密鑰管理服務（KMS）管理這些服務的密鑰，并對

33、云服務中的數據進行加密，還可以通過 KMS API 完成本地數據的加密。 在公共網絡組件間的數據傳輸應進行加密在公共網絡組件間的數據傳輸應進行加密：通過公網傳輸數據時，應實施數據加密措施，需要結合配置正確的無線網絡及新版的加密及驗證協議以保護數據不被他人輕易獲取，保障數據在傳輸過程中的安全。 使用云專線 DC 建立本地數據中心與虛擬私有云 VPC 之間的專屬連接通道。DC可建立數據中心與 VPC 之間高速、低延時、穩定安全的專屬連接通道，保護數據中心與 VPC 之間的數據傳輸安全。 使用虛擬專用網絡 VPN 實現不同區域之間的數據傳輸安全。VPN 采用華為公司專業設備，基于 IKE 和 IPs

34、ec 協議在 Internet 網絡上虛擬出私有網絡，在本地數據中心和華為云 VPC 之間、華為云不同區域的 VPC 之間構建安全可靠的加密傳輸通道。 對數據的操作對數據的操作行為實施限制或監控機制：行為實施限制或監控機制：根據數據的分級分類，應對數據的修改、批量操作等行為實施限制措施或建立監控機制。 使用數據庫安全服務 DBSS 對數據庫行為審計。DBSS 提供旁路模式數據庫審計功能，用于監控用戶異常、正常、攻擊行為，可以對風險行為進行實時告警。同時，可以對數據庫的內部違規和不正當操作進行定位追責，保障數據資產安全。 使用云堡壘機服務 CBH 專業版識別并攔截數據庫高危命令。CBH 專業版支

35、持通過執行命令運維數據庫，包括數據刪除、修改、查看等運維操作。CBH 提供數據庫控制策略功能，用戶可設置預置命令執行策略，動態識別并攔截高危命令（包括刪庫、修改關鍵信息、查看敏感信息等） ，中斷數據庫運維會話。同時自動生成數據庫授權工單，發送給管理員進行二次審批授權。 3.2.2.5 威脅與漏洞管理 及時發現并修補及時發現并修補安全漏洞：安全漏洞：安全漏洞可能使他人非法獲得系統訪問特權，應通過可信渠道獲取最新的安全情報。安全漏洞可通過及時安裝安全補丁的方式修復漏洞，以防惡意個人或軟件非法利用從而破壞業務系統和數據。 使用漏洞掃描服務 VSS 自動發現網站或服務器的安全風險。VSS 集成了 We

36、b 漏洞掃描、操作系統漏洞掃描、資產內容合規檢測、配置基線掃描、弱密碼檢測五大 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 13 功能，可以自動發現網站或服務器暴露在網絡中的安全風險，提供多種維度的安全檢測服務。同時，華為云安全專家會第一時間針對緊急爆發的通用漏洞 CVE 進行分析并更新規則，提供快速、專業的 CVE 漏洞掃描。VSS 還支持掃描前端漏洞，如 SQL 注入、XSS、CSRF、URL 跳轉等。 使用數據庫安全服務 DBSS 和 Web 應用防火墻 WAF 識別 SQL 注入攻擊及漏洞。DBSS 提供基于智能算

37、法的 SQL 注入攻擊檢測、風險識別功能。WAF 通過對HTTP(S)請求進行檢測，識別并阻斷 SQL 注入，保護 Web 服務安全穩定。 使用威脅檢測服務 MTD 持續發現惡意活動和未經授權的行為。MTD 通過集成 AI智能引擎、威脅黑白名單、規則基線等檢測模型，識別各類云服務日志中的潛在威脅并輸出分析結果，從而提升用戶告警、事件檢測準確性，提升運維運營效率。 在關鍵節點處檢測和清除惡意代碼：在關鍵節點處檢測和清除惡意代碼：應在關鍵網絡節點處對惡意代碼進行檢查和清除，并維護惡意代碼防護機制的升級和更新。 使用 Web 應用防火墻 WAF 檢測惡意代碼。WAF 在防護引擎中預置豐富的攻擊特征簽

38、名庫，可檢測多種通用 Web 攻擊特征，并進行攻擊攔擊；攻擊特征簽名庫根據攻擊類型實時升級更新。 使用 Anti-DDoS 流量清洗服務實施 DDoS 攻擊防護。Anti-DDoS 提供網絡層和應用層的 DDoS 攻擊防護（如泛洪流量型攻擊防護、資源消耗型攻擊防護） ，并提供攻擊攔截實時告警，利用所擁有的海量 IP 黑名單庫和每日更新特征庫，保障業務穩定可靠。 部署部署 Web 應用防火墻檢查所有流量：應用防火墻檢查所有流量：在面向公眾的 Web 應用程序前部署可檢查和防范網頁式攻擊的自動化技術解決方案，不斷檢查所有流量。 使用云防火墻 CFW 對惡意流量進行實時檢測和防御。CFW 集成華為全

39、網威脅漏洞庫，并通過自帶的入侵防御引擎（IPS） ，對惡意流量進行實時檢測和防御。同時支持無縫集成第三方廠家威脅檢測分析引擎，云上云下統一生態，客戶原線下安全策略資產無縫平移。 3.2.2.6 日志與監控 跟蹤并監控對網絡資源和關鍵數據的所有訪問：跟蹤并監控對網絡資源和關鍵數據的所有訪問：通過系統的活動記錄機制和用戶活動跟蹤功能可有效降低惡意活動對于數據的威脅程度。當系統出現錯誤或安全事件時，通過執行徹底地跟蹤、告警和分析，可以較快地確定導致威脅的原因。 使用云審計服務 CTS 記錄、查詢和追蹤云環境中的活動。CTS 可為客戶提供云服務資源的操作記錄，供用戶查詢、審計和回溯使用。 使用云監控服

40、務 CES 實施實時監控和告警?？蛻艨衫?CES 對用戶登錄日志進行實時監控，當遇到惡意登陸行為，可觸發告警并拒絕該 IP 地址的請求。 對用戶行為進行安全審計：對用戶行為進行安全審計：對重要的用戶行為和重要安全事件進行審計，審計覆蓋到每個用戶。對審計記錄進行保護并定期備份，避免受到未預期的刪除、修改或覆蓋。 使用云審計 CTS 記錄和存儲對云資源的操作記錄。CTS 支持對各種云資源（包括網絡設備、網絡節點）操作記錄的收集、存儲和查詢功能，且默認支持在服務界面中 7 天內的事件審計操作記錄的存儲和檢索，同時支持操作審計日志記錄轉儲至 OBS 以永久保存。 使用云堡壘機 CBH 執行運維和安全

41、審計。CBH 全程記錄用戶運維操作行為，監控和審計用戶對目標資源的所有操作，實現對安全事件的實時發現與預警。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 14 持續監控業務系統的性能并及時匯報異常情況持續監控業務系統的性能并及時匯報異常情況：監控性能的程序應包括預測功能，在問題未對系統性能造成影響時，應能及早識別及糾正。同時該程序應有助于工作量預測，以便識別趨勢，并提供容量計劃所需的信息。 使用云監控服務 CES 監控業務資源狀態。CES 為用戶提供一個針對彈性云服務器、帶寬等資源的立體化監控平臺。云監控服務提供實時監控告

42、警、通知以及個性化報表視圖，幫助用戶精準掌握業務資源狀態。用戶可以自主設置告警規則和通知策略，以便及時了解各服務的實例資源運行狀況和性能。 使用應用運維管理 AOM 監控云上應用及云資源狀態。AOM 提供覆蓋應用性能、應用狀態、基礎設施狀態、云資源使用情況的一站式立體運維平臺，可實現實時監控應用及云資源，采集各項指標、日志及事件等數據分析應用健康狀態，提供告警及數據可視化功能。 使用應用性能管理 APM 監控云應用性能和故障。APM 通過拓撲可視化展示應用間調用關系和依賴關系，并能夠針對應用的調用情況，對調用次數、響應時間和出錯次數進行全方面的監控。APM 還可以通過對服務端業務流實時分析，展

43、示事務的吞吐率、錯誤率、時延等關鍵指標，幫助用戶解決應用在分布式架構下的問題定位和性能瓶頸等問題。 記錄攻擊和異常行為并對其分析：記錄攻擊和異常行為并對其分析：應在關鍵網絡節點處檢測、防止或限制網絡攻擊行為；應采取技術措施對采集的安全日志進行持續監控和分析，實現對網絡攻擊特別是新型網絡攻擊行為和異常行為的識別和分析。 使用 Web 應用防火墻 WAF 和云日志服務 LTS 記錄并分析攻擊日志。WAF 通過對HTTP(S)請求進行檢測，識別并阻斷 SQL 注入、跨站腳本攻擊、網頁木馬上傳、命令/代碼注入等攻擊，啟用 WAF 全量日志功能后，客戶可以將攻擊日志、訪問日志記錄到華為云的云日志服務 L

44、TS 中，通過 LTS 記錄的 WAF 日志數據，快速高效地進行實時決策分析、設備運維管理以及業務趨勢分析。 使用態勢感知 SA 對攻擊進行統計和分析。態勢感知通過匯集全網流量數據和安全防護設備日志信息，能夠實時檢測和監控云上安全風險，實時呈現告警事件的統計信息，并可對各種威脅事件進行匯聚統計。利用大數據分析技術，態勢感知可以對攻擊事件、威脅告警和攻擊源頭進行分類統計和綜合分析，為用戶呈現出全局安全攻擊態勢。 集中管理日志：集中管理日志：對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監控和審核。 使用云日志服務 LTS 對日志統一管理和分析。LTS 可以采集主機和云服務的日志數據

45、，采集日志后，日志數據可以在云日志控制臺以簡單有序的方式展示、方便快捷的方式進行查詢，并且可以長期存儲。LTS 支持通過在一定時間段內日志中關鍵字出現的次數對日志數據關鍵字進行監控與告警，如果關鍵字達到閾值將會觸發告警，實時監控服務運行狀態。 3.2.2.7 安全響應與恢復 自動對安全事件告警自動對安全事件告警：根據事件響應需求定義各類事件告警類型、告警級別和通知對象，確保對應的人員及時對安全事件進行取證、調查和處理。 使用態勢感知 SA 自定義威脅告警通知。SA 通過“實時監控”云上威脅告警事件，并接入 Anti-DDoS、HSS、WAF 等服務上報的告警事件，提供告警通知和監控，記錄近 1

46、80 天告警事件詳情?？蛻艨梢栽O置每日定時告警通知和實時告警通知，通過接收消息通知及時了解威脅風險。 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 15 使用云監控 CES 獲取云服務狀態告警通知。CES 提供對監控指標的告警功能，當云服務的狀態變化觸發告警規則設置的閾值時，系統提供郵件和短信通知，用戶可以在第一時間知悉業務運行狀況，還可以通過 HTTP、HTTPS 將告警信息發送至告警服務器，便于用戶構建智能化的程序處理告警。 使用云審計 CTS 對關鍵操作進行告警。CTS 支持對某些特定關鍵操作通過消息通知服務（SMN）

47、實時向相關訂閱者發送通知，該功能由 CTS 觸發，SMN 完成通知發送，包括高危操作、成本敏感操作、業務敏感操作、越權操作等的感知和確認。 自動化事件遏制和恢復自動化事件遏制和恢復：根據過去事件的經驗，在事件發生后自動化啟動預定義變更流程及特定的補救措施。 使用態勢感知 SA 專業版實施預置的防護策略。SA 的安全編排服務支持在事件發生后，通過實施預置的安全編排策略，提前防御并處置威脅風險端口。SA 支持在用戶資產遭受端口安全攻擊時，能一鍵式下發預置的防護策略，并且一鍵識別用戶資產端口風險，推薦用戶進行安全服務配置，簡化安全運維，提升安全運維效率。 3.2.2.8 備份與恢復 在適當的時間范圍

48、內備份數據在適當的時間范圍內備份數據：在適當的時間范圍內使用適當的方法備份數據，以便在原始數據不可用或損壞時隨時可以使用備份數據。 使用對象存儲服務 OBS、云備份 CBR、云服務器備份 CSBS 進行數據備份歸檔。華為云提供多粒度的數據備份歸檔服務，可將云上的文檔、硬盤、服務器進行備份?？蛻粢部梢酝ㄟ^華為云備份歸檔解決方案，將客戶云下數據備份歸檔到華為云，避免在災難發生時不丟失數據。 使用云數據庫 RDS 對數據庫恢復。RDS 支持的恢復方式包括實例級恢復和庫表級恢復。實例級恢復支持使用已有的自動備份或手動備份，恢復整個實例的數據；庫表級恢復支持通過自動備份文件，將數據庫表恢復到指定的時間點

49、。 3.2.2.9 開發安全 對開發代碼安全檢查：對開發代碼安全檢查：在開發階段對開發代碼進行審查，識別可能導致安全問題的編碼缺陷和漏洞，提高代碼和最終開發軟件的安全性。 使用軟件開發平臺 DevCloud 對代碼進行檢查。DevCloud 代碼檢查（CodeCheck）支持在線進行多種語言的代碼靜態檢查、代碼架構檢查、代碼安全檢查、編碼問題檢查等，輔助客戶管控代碼質量。代碼檢查支持跨函數的深度檢查，并能準確定位到代碼缺陷所在行，提供影響說明、修改示例和建議，同時支持批量處理代碼缺陷。另外，代碼檢查提供華為典型檢查規則集，并支持用戶自定義檢查規則集。 使用數據安全中心 DSC 檢測密鑰泄露。D

50、SC 支持檢測 Github 代碼中是否包括Access Key 并判斷可能受影響的華為云賬戶，用戶可根據 AK 泄露事件推薦策略對事件進行處理，減少密鑰泄露的風險。 執行安全測試：執行安全測試：應執行安全測試，發現并消除已知的缺陷。在系統上線前，應對系統進行驗收測試，以驗證系統已排除已知的惡意代碼或漏洞碼。 使用軟件開發平臺 DevCloud 管理測試活動。DevCloud 云測（CloudTest）提供一站式測試解決方案，覆蓋功能測試、接口測試、性能測試，多維度評估產品質 企業上云安全白皮書 3 企業上云安全建設指南 文檔版本 1.0 (2021-8-31) 版權所有 華為技術有限公司 1