【hcie-cloud】【29】华为云Stack数据安全服务

前言

• 大数据时代，数据已经是企业最核心的资产。相应的，数据的安全也成了企业发展的基础保障

• 数据安全一直是云业务发展最关切的点，关系到了业务上云的发展的战略

• 学完本课程后，您将能够：

  • 描述数据安全的要素和组成
  • 设计云上数据安全周期的解决方案

数据安全概述

数据产业发展和敏感数据上云趋势下对数据安全的需求

• 产业数字化已成为全球数字经济发展的主脉络。我国数字经济正处于快速发展阶段，尤其在抗击疫情的过程中，各 行各业加快了数字化转型的步伐。据《中国数字经济发展白皮书（2020）》 报告数据显示，2019年我国数字经济增加值规模占 GDP比重提升到36.2%，数字经济在国民经济中的地位进一步凸显
• 另一方面，越来越多的敏感数据放在了云上，据SANS调查显示，云上存储量最大的是与商业智能相关的数据 （48.2%），和知识产权类数据几乎持平（47.7%），其次是客户个人数据（42.7%）和财务数据（41.7%），另外存储量较大的还包括企业员工信息（37.7%）

重大隐私数据泄露事件

云端数据安全问题成为业务上云的主要障碍

• 如何保证黑客入侵拖库后无法获取敏感数据？
• 如何确保即使云服务商也无法获取客户的敏感数据？
• 如何满足加密合规要求，尤其政务、金融行业？

数据安全相关法律法规密集出台

• 中国数据安全相关立法在加速完善
  • 《数据安全管理办法》对利用网络开展收集、存储、传输和处理等数据活动及数据安全保护予以规范
  • 《数据安全法》涉及范围包括数据安全标准体系建设、数据安全检测评估和认证服务、数据分类分级保护、重要数据目录清单和管理、数据跨境流动监管等
  • 《个人信息保护法》参照GDPR将负责个人信息的保护，包括个人信息范围的界定、个人信息处理基本原则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等

数据安全法 - 欧盟的GDPR

GDPR在全世界范围内具有重大影响力，对诸多国家隐私保护立法产生巨大影响。

中国的数据安全法

• 一部法律
  • 数据安全法是国内第一部面向数据安全方面的上位法
• 两翼齐飞
  • 提出保障数据安全，以及保障数字经济发展的建设方针
• 三个概念
  • 定义数据是指任何以电子或者其他方式对信息的记录
  • 定义数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
  • 定义数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力
• 四大主题
  • 《数据安全法》包含数据安全与发展、数据安全制度、数据安全保护义务、数据安全法律责任四大主题内容。通过促进数据依法有效利用，充分发挥数据的作用，促进数字经济，更好服务我国经济社会发展
  • 建设过程包含建立健全数据分级分类管理、数据安全风险评估、数据安全监测预警、数据安全应急处置和数据安全审查等数据安全基本制度，让数据安全能够真正落地。通过严格规范数据处理活动，切实加强数据安全保护，让广大人民群众在数字化发展中获得更多幸福感、安全感

端到端考虑数据安全

• 全面掌控访问权限

  • 非法数据访问进不来

• 识别&分类

  • 敏感数据识别分类
  • 数据资产可视化

• 防泄漏

  • 优化数据防护策略
  • 机密数据拿不走

• 审计

  • 智能预警泄密行为
  • 非法行为可回溯

数据安全生命周期

• 数据安全全生命周期构建

  • 采集安全
  • 传输安全
  • 存储安全
  • 使用安全
  • 交换安全
  • 销毁安全

• 打造三大数据安全能力

  • 数据安全可视化
    • 数据安全生命周期可视
    • 数据分布可视
    • 数据风险可视
  • 数据安全统一管理
    • 数据分级分类管理
    • 数据加密管理
    • 数据交换管理
  • 数据可追溯
    • 数据水印
    • 覆盖结构化/非结构化数据

华为云Stack全生命周期数据安全防护体系

华为云Stack数据安全服务

数据加密服务DEW

数据加密服务DEW

• DEW（Data Encryption Workshop），即数据加密服务，基于国家密码局认证的云服务器密码机（Cloud-hosted Hardware Security Module，CloudHSM，即硬件加密机）构建密码服务资源池，实现云上密码资源的统一管控调度，为用户按需提供虚拟密码机（Virtual Security Module，VSM），对接业务应用实现数据加解密、签名验签、密钥创建、密钥安全存储等安全功能
• DEW解决了加密机入云、密码及IT资源统一调度、自动化管维的问题，满足政务、安平、金融等重要行业业务数据安全及安全管理合规的需求，可灵活支撑云上业务场景，提供云上、云下一致的加密体验。用户作为设备使用者完全控制密钥的产生、存储和访问授权

DEW功能

• 云服务器密码机（CloudHSM）硬件加密模块经过合规认证
• 一个硬件物理设备，虚拟出多个VSM，每个VSM独立加密芯片
• 用户作为设备使用者完全控制密钥的产生、存储和访问授权

DEW优势

• 服务集成广泛
  • 与OBS、EVS、IMS等服务集成，您可以通过KMS管理这些服务的密钥，您还可以通过KMS API完成您本地数据的加密
• 登录安全增强
  • 用户通过管理控制台创建或者导入密钥对后，在购买弹性云服务器时，通过密钥对方式登录，避免用户名密码方式口令可能被破解的隐患
• 合规遵从
  • 密钥和随机数由经过安全认证的第三方硬件安全模块（HSM）产生，对密钥的所有操作都会进行访问控制及日志跟踪，符合国内和国际法律合规的要求
• 专属加密
  • 基于国家密码局认证或FIPS 140-2 第3级验证的硬件加密机，对高安全性要求的用户提供高性能专属加密服务

DEW应用场景-专属加密（云加密机）

高合规性要求的加密场景，可以选择基于FIPS 140-2第3级验证的硬件加密机，对业务进行专属加密

密钥管理服务KMS

密钥管理服务KMS

• 密钥管理服务（Key Management Service）是一个安全易用的云上密钥托管服务，其密钥安全由硬件安全模块 (HSM) 保护，可与许多其他华为云服务集成以保护云上数据，也可以借助密钥管理服务开发自己的加密应用。解决了云服务加密密钥安全创建、租户密钥统一管理的问题
  • 合规
    密钥和随机数由经过安全认证的第三方硬件安全模块（HSM）产生，KMS密钥体系的根密钥存储在HSM中，密钥的分发采用加密通道分发
  • 可靠
    用户主密钥的在线冗余存储、根密钥多份物理离线备份以及定期备份保障密钥的持久性
  • 集成
    与OBS等服务集成，您可以通过KMS管理这些服务的密钥，您还可以通过KMS API完成您本地数据的加密
  • 弹性
    按照您的业务发展动态调整创建的密钥个数，并支持高并发调用，服务节点可按需扩展

KMS的架构

• 应用场景
  • OBS服务端加密支持：用户使用OBS服务端加密方式上传文件时，可以选择“KMS 加密”加密文件
  • 自主密钥导入（BYOK）：用户根据KMS提供的API接口导入用户自己生成或获取到的用户主密钥
  • 小数据加密：少量数据（如口令、证书等）需要加解密时，可利用KMS在线工具完成
  • 密钥生命周期管理：用户可创建、启用、禁用、删除、轮转、别名、修改用户主密钥，可创建、加密、解密数据密钥
• 关键技术与规格
  • 密钥全生命周期管理，支持用户自带密钥（BYOK）
    • 单服务节点（2C4G规格）支持2000并发
    • 租户最大主密钥个数：100
    • 密钥轮换周期：7天 ~ 1095天
  • OBS等云服务的深度集成，支持一键快速开通
  • 硬件及软件层密钥备份
    • 根密钥的物理离线备份
    • 用户主密钥的在线冗余备份

KMS的密钥管理

通过经过认证的第三方硬件安全模块（HSM），轻松创建和控制用于加密数据的密钥，与使用OBS、EVS、IMS等服务集成，以帮助您保护这些产品存储的数据

KMS的秘钥对管理

登录时有高安全性要求的场景，用户通过管理控制台创建或者导入自己的密钥对后，在创建弹性云服务器时，可选择通过密钥对方式登录，并且该密钥对可重置和替换

KMS的工作流程

数据库安全服务DBAS

数据库审计服务(DBAS)

• 数据库审计服务（Database Audit Service），为用户的基于ECS/BMS自建数据库，提供用户行为发现审计、多维度分析、实时告警和报表等功能，保障云上数据库的安全，满足用户合规要求。

• 关键技术与规格

  • 用户行为发现审计：关联应用层和数据库层的访问操作，发现用户身份行为
  • 多维度线索分析：支持行为线索、回话线索、语句线索等多维度分析
  • 风险操作、SQL注入实时告警：针对风险操作、SQL注入、系统资源等异常进行实时告警
  • 针对各种异常行为提供精细化报表：支持会话行为、风险操作、合规报表（基于网安法、SOX等法规标准）等多种粒度的报表呈现
  • 支持三员分权管理：系统管理员、安全管理员、审计员
  • 规格：支持MySQL、Oracle及PostgreSQL

• 应用场景与约束限制

  • 用户的数据存放在云上的数据库应用中，需要进行安全防护
  • 数据库审计服务采用数据库旁路部署方式，对数据库进行审计
  • 对数据库的操作进行安全审计，发现问题能够及时定位，满足合规
  • 约束限制
  • 不支持云外数据库
  • 不支持IPV6及共享VPC

DBAS服务：安全审计、监控功能

• 应用场景
  最通用的功能，凡是数据库，应该都需要具备审计功能，满足安全合规性，便于分析。
  • 异常监控
    • 行为异常监控：①提供登录行为异常监控 ②列级、表级、存储过程级别的访问异常监控 ③提供管理员权限准入异常监控等
    • 数据异常监控： 提供原始数据修改标识，包括源IP地址、用户、应用名称、受影响的行、修改时间等信息
    • 性能异常监控：提供CPU、内存、网络流量等资源监控能力
  • 审计报告
    • PII事前事后的审计
    • 内置入侵检测报告，包括入侵IP、入侵用户、阻止的应用程序、阻止的查询和错误登录源等信息
    • 针对普通用户的审计，包括用户设置、用户访问权限、非活跃用户、密码永不过期用户等
    • 针对管理员的审计，包括管理员的活动动作、登录、权限、操作等
    • 用户可以自定义审计
  • 日志记录
    • 记录流量日志
    • 记录入侵日志
    • 记录异常监控日志
    • 记录数据脱敏日志
    • 远程日志能力
  • 实时告警
    • 提供实时告警：SQL注入告警、拖库攻击告警、漏洞利用告警等
    • TOP活动提醒： 高活跃用户、高活跃IP、高活跃用户角色和高活跃应用等

DBAS逻辑框架

DBAS部署环境

DBAS流量分析

数据库审计实例旁路部署，基于流量镜像将访问数据库的流量镜像1份到审计实例，对用户异常行为、外部SQL注入攻击、资源异常等情况进行实时监控分析及异常告警，并提供各类型审计报表，强化用户数据库防护

DBAS优势

• 自研旁路部署
  • 旁路部署，灵活接入，不影响业务
  • 大数据支持，支持DWS等数据仓库类型
  • 三层关联识别，实现应用端用户身份行为识别，完善审计链条
• 安全实时审计
  • 三权分立，系统管理员，安全管理员，审计管理员权限隔离
  • 多维度分析，实现会话，风险，语句，IP，操作类型，返回状态，结果信息等多种维度展示
  • 异常行为实时告警，针对风险语句或SQL注入攻击实时告警
  • 精细化报表：满足等保，SOX等综合性报表和自定义分析型报表
• 法律合规遵从
  • 满足等保测评数据库审计需求
  • 通用数据保护条例
  • 塞班斯法案
  • 满足国内外安全法案合规需求，生成专项报表

缩略词