【hcie-cloud】【25】华为云Stack安全解决放案_华为云stack安全解决方案

前言

• 安全是企业业务上云时最高关注点，同时法律法规以及行业政策也对企业业务的安全性有着严格要求，因此云平台的安全性以及平台能够提供的安全能力至关重要，本章将介绍华为云Stack的安全解决方案和相关安全服务，助力企业在云上构建安全合规的业务系统。
• 学完本课程后，您将能够：
  • 了解云计算面临的安全挑战
  • 了解HCS整体安全架构及安全解决方案
  • 了解HCS核心安全服务及其能力
  • 了解典型的安全应用实践案例

云计算安全简介

云安全领域主要安全风险及对应措施

云计算面临的主要安全挑战

• 云基础设施
  隔离难度大

  • 云计算资源既要共享，又要隔离
  • 网络边界模糊
  • 传统安全设备不支持虚拟化环境
  • 虚拟化流量检测困难

• 应用集成场景
  平台开放风险

  • 数据接入风险：应用集成数据接入不可信，数据来源不可靠等
  • API安全风险：应用集成对外暴露API，易受攻击。

• EI场景

  • 场景复杂、隐私泄露
  • EI数据量大、类型多、业务场景复杂，常规安全方案能力不足
  • 数据生命周期的隐私保护和关键敏感数据保护问题

• 安全管理
  策略复杂，关联困难

  • 安全策略部署复杂
  • 安全事件多，误报率高，关联分析难度大
  • 运维工作场景复杂，安全威胁暴露面增加

• 安全合规
  政策升级，要求增加

  • 《网络安全法》推出
  • 《等级保护》重构基础要求，新增云安全扩展要求
  • 《中华人民共和国密码法》正式实施

云计算安全风险分析

• 云服务TOP11风险
  （CSA 2021年发布）

  • 1·数据泄露
  • 2·配置错误和变更控制不足
  • 3·缺乏云安全架构和策略
  • 4·身份，凭据，访问和密钥管理的不足
  • 5·账户劫持
  • 6·内部威胁
  • 7·不安全接口和API
  • 8·控制面薄弱
  • 9·元结构和应用结构失效
  • 10·有限的云使用可见性
  • 11·滥用及违法使用云服务

• 云服务TOP10风险
  （OWASP 2021年更新）

  • 1·失效的访问控制
  • 2·加密机制失效
  • 3·注入
  • 4·不安全设计
  • 5·安全配置错误
  • 6·自带缺陷和过时的组件
  • 7·身份识别和身份验证错误
  • 8·软件和数据完整性故障
  • 9·安全日志和监控故障
  • 10·服务端请求伪造

业务上云涉及到的安全场景

• 场景一：合规安全
  目标：法律合规下业务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户的通信内容、个人数据及隐私、客观信息流动。

  • 2016年6月1日执行的《网络安全法》
    

• 场景二：信息安全
  目标：标准合规下云的运营者不会泄露用户的数据及隐私

  • ISO27001 等
  • 运营运维管理流程强相关、通过技术手段加强管控监督、通过第三方认证和审计加强公信力

• 场景三：安全解决方案
  目标：为业务系统提供安全防护能力，保障业务的安全性及连续性

  • 安全攻防技术
  • 合规审计技术
  • 安全架构设计
  • 大数据分析技术

• 场景四：安全运营
  目标：保障业务系统不被外部威胁攻破、响应安事件，协助用户解决安全相关问题

  • 安全监控
  • 事件响应
  • 漏洞管理

国内/国际安全法规

多国立法进行网络安全保护实施

• 中国
  网络安全法

• 美国
  加利福尼亚州消费者隐私保护法案（CCPA）、金融服务现代化法案（GLBA）、健康保险携带和责任法案（HIPPA）、儿童在线隐私保护法（COPPA）、澄清域外合法使用数据法

• 欧盟
  欧盟通用数据保护条例（GDPR）

• 加拿大
  个人信息保护与电子资料法（PIPEDA）、信息自由与隐私保护（FOIPPA）、个人信息保护法案（PIPA）

• 澳大利亚
  澳大利亚隐私法案（Australia Privacy Act）

• 新加坡
  《个人信息保护法案 》（PDPA）

• 韩国
  个人信息保护法（Personal Information Protection Act）

• 阿根廷
  个人数据保护法（Personal Data Protection Law）、信息保密法（Confidentiality of Information Law）

• 日本
  网络安全基本法

• 俄罗斯
  信息、信息技术与信息保护法（Information, Information Technologies and Information Protection Act）

• 南非
  电子通讯及传输法案（Electronic Communications and Transactions Act）

• 印度
  个人数据保护法案

国内安全法规解读：国家对云安全监管的政策日益加强

法律法规的落地 - 等级保护规范2.0

• 等保有三大关键点：1、承载网络安全法；2、新的安全架构要求；3、扩展针对云计算、大数据等场景的安全要求
• 另外在要求及分类中也有一定变化：如第二行相关内容
• 等保2.0总结如最底下一行。

等保标准扩展：商用密码应用

• GB/T 39786-2021 : http://std.samr.gov.cn//gb/search/gbDetailed?id=BD89DE8E07393D08E05397BE0A0A4FAD

等保定级简介

• 主要依据：根据系统被破坏后，对公民、社会、国家造成的损害程度定级。
  • 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
  • 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
  • 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
  • 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
  • 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。

等保二级和三级简介

国际安全法规解读：GDPR

• GDPR是基于风险的、有业务竞争力的全球隐私管理框架
  GDPR生效时间
  • 1995年，欧盟制定了《数据保护指令》保护欧盟公民的个人数据
  • 2012年宣布“数据保护规则改革”计划，并提出《统一数据保护法》（General Data Protection Regulation，“GDPR”）草案
  • 2016年4月14日正式通过，2016年5月25日生效，企业有2年的宽限期来实现GDPR合规遵从GDPR违反处罚条款GDPR的违规判罚分为两级：
    • 第一级处罚金额为1000万欧元，或前一年全球年度营业额的2％，如违反数据控制者或处理者的法律责任
    • 第二级处罚金额为2000万欧元或全球年度营业额的4％，如违反个人数据基本处理原则，数据主体权利或非法跨境数据转移

华为云Stack安全解决方案概览

华为云冰山安全，守护客户无忧上云用云

安全责任共担模型：华为与客户责任边界

华为云Stack安全架构

• 通用安全方案
  • 等保2.0：构筑平台安全+租户安全生态体系，全面覆盖应用+数据安全体系
  • 密评：租户服务+平台管理全面支持国密算法，率先通过国密测评
    -专业安全服务+安全生态：
  • 提供合规咨询、安全实施、安全运营等全面的专业安全服务能力
  • 基于N2ONE平台，构筑第三方安全服务化能力

华为云Stack基础底座安全能力全景（IaaS/ManageOne）

• ①底座内生安全能力
  • 虚拟化是云化的基础操作系统，VM与Hypervisor的紧耦合，虚拟化内核提供资源隔离、镜像安全、MAC/ARP防欺骗等基础安全能力
  • 同时底层平台还可提供认证鉴权、访问SSL加密、API调用控制等安全能力
• ② 基础服务安全能力
  • 计算服务：针对虚机进行安全加固，镜像访问权限控制，提供VHA等高可用能力
  • 网络服务：提供VPC的网络隔离，支持网络ACL/安全组等基础网络访问控制，提供VPN、VPCEP等安全访问通道
  • 存储服务：提供存储加密、访问鉴权、数据备份等安全能力
• ③运营运维安全能力
  • 运营：主要关注租户面隔离、鉴权、流程的整体运营能力
  • 运维：基于不同管理员角色，区分不同权限；统一对证书、密码进行统一管理；对操作日志、审计日志进行留存分析
  • 管理：针对VDC、项目、产品进行管理，定义不同角色权限，对相关用户操作日志进行审计。

华为云Stack平台安全防护解决方案

华为云Stack平台安全防护解决方案说明

• 安全部署原则:
  • 1、出口安全服务/设备物理旁路部署（提升边界网络可用性）
  • 2、硬件安全服务/设备旁挂核心交换机
  • 3、软件安全服务部署在管理区或下沉POD区

华为云Stack等保安全解决方案

华为云Stack密码测评解决方案

• 华为云平台由设备硬件、云服务，本地运管，远程运维、公共组件、密码设备和租户应用层组成，本地硬件为云平台所需服务器，存储，网络设备，云平台密评改造不涉及租户应用层。

  • 为满足GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》，对华为云密码运算公共组件、设备用于支撑以下方面改造 ：
  • 1.本地凭据、敏感数据存储加密
  • 2.外部链路https安全传输
  • 3.登录口令Hash保护
  • 4.访问控制信息、日志等完整性保护
  • 5.服务接入身份鉴别
  • 6.密钥、证书管理
  • 当前国密使能的云服务有：弹性负载均衡、WAF、VPN、云堡垒机。

• 2020年1月1日起施行《中华人民共和国密码法》, 相关标准包括GB/T 39786-2021《信息系统密码应用基本要求》、《信息系统密码测评要求》（简称“密评”）等相继发布实施。“密评”成为当前政务系统、关键基础设施等过等保2.0 三级以上测评的必要条件。因此为满足混合云的合规性, 华为严格基于《信息系统密码应用基本要求》对华为云平台进行整改，以在政务云、XC云等场景协助客户顺利通过“密评”。

• 具体方案层面，基于自研公共密码组件，集成满足二级密码模块要求的三方密码设备，对云服务、云管平台、远程运维等进程多方面改造，在云平台内落地商用SM密码，构建完善的密码防护体系，同步提升云平台自身内生安全防护，保障交付中国区重点行业客户的云平台安全、合规。云平台内主要改造点如下：

  • 1·平台内存储的本地凭据、敏感数据存储加密；
  • 2·服务接入、运维接入、VNC接入等外部链路传输安全加密，支持商密SM2双证书体系；
  • 3·服务、云管、OS等登录口令加密保护；
  • 4·镜像、日志等重要数据完整性保护；
  • 5·服务、云管接入支持基于证书的身份鉴别，支持商密SM2双证书体系；
  • 6·支持统一的密钥、证书管理；

• 同时，关键云服务ELB、KMS、DEW等支持商密能力，使能租户业务应用商密改造。

华为云Stack数据安全解决方案

• 数据安全方案以“数据”为中心，围绕数据全生命周期(采集、传输、存储、使用、交换、销毁)，结合应用场景(交换共享场景、静态存储场景、分析处理场景)，实施纵深防御，满足“合规认证、数据保护、隐私安全”的安全目标需求；
  • 1、数据安全保护要关注数据全生命周期的安全，任何一个环节出现问题，都可能会影响安全目标需求的达成；
  • 2、数据安全需要在环境安全的基础上构建，首先要保障数据存储、处理、传输环境的安全，才能保护好数据的安全；
  • 3、身份验证、权限管理、证书管理、密钥安全是保护安全的关键基础，网络攻击通常利用账号权限不合理、密钥泄露、弱口令等漏洞，盗取数据资产；4、数据资产的发现、分类、分级是做好数据保护的前提，通过合适的分类分级，更好地实现安全与效率的平衡，做到核心数据资产严保护，非核心数据资产高效率；
  • 5、数据平台(数据库、对象存储、大数据平台、虚拟盘、文件服务等)承载大量静态数据，合理使用平台的安全能力(加密功能、网络隔离、端口绑定等)是静态数据保护的关键；
  • 6、数据使用过程中往往需要明文数据，是数据泄露的主要风险环节，充分利用脱敏、标记、加密、水印、网络隔离等安全能力可以有效降低风险，结合特定场景使用机密计算、安全多方计算可以进一步提升数据分析处理安全；
  • 7、围绕数据生命周期过程的安全管理是保障持续安全的必要手段，通过资产管理、审计、异常分析、分析告警，实现实现数据全生命周期的安全可视、可控、可审计、可追溯，实现数据全生命周期的动态安全；

华为云Stack远程连线运维总体安全方案

华为云Stack远程连线运维安全方案说明

• ❶ 网络安全：防火墙隔离运维DMZ，端口按需开放、禁止高危端口和协议；通信都采用双向认证安全协议；客户云管理平面与数据平面隔离；通信收编到堡垒机和云梯
• ❷ 运维操作安全：堡垒机集中运维授权管理，最小授权+最短授权访问；操作审计、录屏、可追溯；安全要求融入运维管理流程，通过流程管控运维安全风险
• ❸ 应用安全：服务工具统一认证及授权，支持分权分域
• ❹ 安全运维及审计：主机安全检测、漏洞扫描，日志审计及基于操作日志分析内部恶意行为
   云梯接入网关：反向建连，客户侧无监听端口，收编运维通信和协议； 运维API白名单化，提供API调用的数据审计；客户侧运维通道开关

华为云Stack主机容器安全能力全景

• ①安全镜像构建，包括基础镜像安全，镜像漏洞扫描，镜像签名等
• ②账号认证审计，包括IAM认证，集群审计，事件监控等
• ③部署及配置加固，包括镜像认证，RBAC配置，NetworkPolicy配置，PSP策略管理，安全实践指导书等
• ④IaaS底座安全服务，包括VPC网络，防火墙等
• ⑤容器基础安全服务，包括数据加密，证书管理，密钥管理，容器安全工具
• ⑥容器网络防火墙，支持配置容器安全组，容器网络监控，网络通信加密等
• ⑦容器安全运行时，支持运行时漏洞扫描，容器逃逸检测，安全容器沙箱，机密计算TEE，容器数据加密等
• ⑧运行OS加固
• ⑨服务网格加固，认证，安全等，流量控制

华为云Stack主机容器安全能力说明

• 构建安全
  • ①安全镜像构建，包括基础镜像安全，镜像漏洞扫描，镜像签名等
• 部署安全
  • ②账号认证审计，包括IAM认证，集群审计，事件监控等
  • ③部署及配置加固，包括镜像认证，RBAC配置，NetworkPolicy配置，PSP策略管理，安全实践指导书等
• 运行时安全
• ④IaaS底座安全服务，包括VPC网络，防火墙等
  • ⑤容器基础安全服务，包括数据加密，证书管理，密钥管理，容器安全工具
  • ⑥容器网络防火墙，支持配置容器安全组，容器网络监控，网络通信加密等
  • ⑦容器安全运行时，支持运行时漏洞扫描，容器逃逸检测，安全容器沙箱，机密计算TEE，容器数据加密等
  • ⑧运行OS加固
  • ⑨服务网格加固，认证，安全等，流量控制

学习推荐与缩略词

• 学习推荐
  华为support网站：https://support.huawei.com
• 缩略语