2024华为云安全白皮书

华为云安全白皮书 文档版本3.5 发布日期2024-3-29 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1导读1 2云安全战略3 3责任共担模型6 3.1华为云的安全责任7 3.2租户的安全责任8 4安全合规与隐私保护10 4.1安全合规与标准遵从10 4.2隐私保护12 5安全组织和人员13 5.1安全组织13 5.2安全与隐私保护人员13 5.3内部审计人员14 5.4人力资源管理14 5.4.1安全意识教育14 5.4.2网络安全能力提升15 5.4.3重点岗位管理15 5.5安全违规问责15 6基础设施安全17 6.1物理与环境安全17 6.1.1物理安全17 6.1.2环境安全18 6.2网络安全18 6.2.1安全区域划分与隔离19 6.2.2业务平面划分与隔离20 6.2.3高级边界防护20 6.3平台安全21 6.3.1CPU隔离21 6.3.2内存隔离22 6.3.3I/O隔离22 6.4API应用安全22 6.5数据安全23 6.5.1访问隔离23 6.5.2传输安全24 6.5.3存储安全24 6.5.4数据删除与销毁26 7租户服务与租户安全28 7.1计算28 7.1.1弹性云服务器（ECS）28 7.1.2镜像服务（IMS）29 7.1.3弹性伸缩服务(AS)30 7.1.4专属主机服务(DeH)30 7.1.5裸金属服务（BMS）30 7.2网络30 7.2.1虚拟私有云服务(VPC)30 7.2.2弹性负载均衡服务（ELB）33 7.2.3NAT网关（NAT）35 7.2.4云专线（DC）35 7.2.5终端节点（VPCEP）36 7.2.6虚拟专用网络（VPN）36 7.3容器37 7.3.1云容器引擎服务（CCE）37 7.3.2容器镜像服务（SWR）38 7.4存储38 7.4.1云硬盘服务（EVS）38 7.4.2弹性文件服务（SFS）39 7.4.3云备份服务（CBR）40 7.4.4对象存储服务（OBS）40 7.4.5数据快递服务（DES）43 7.5CDN与智能边缘43 7.5.1内容分发网络（CDN）43 7.6数据库44 7.6.1关系型数据库服务44 7.6.1.1云数据库RDS44 7.6.1.2云数据库GaussDB(forMySQL)45 7.6.1.3云数据库GaussDB46 7.6.2非关系数据库服务47 7.6.2.1文档数据库服务（DDS）47 7.6.2.2云数据库GeminiDB48 7.6.2.2.1GeminiDBMongo接口49 7.6.2.2.2GeminiDBRedis接口49 7.6.2.2.3GeminiDBInflux接口49 7.6.2.2.4GeminiDBCassandra接口49 7.6.3数据复制服务49 7.7大数据50 7.7.1MapReduce服务（MRS）50 7.8应用中间件51 7.8.1分布式消息服务（DMS）51 7.8.2分布式缓存服务（DCS）52 7.8.3API网关服务（APIG）53 7.8.4微服务引擎（CSE）53 7.9企业应用54 7.9.1云桌面服务（Workspace）54 7.9.2云解析服务（DNS）55 7.10管理与监管56 7.10.1统一身份认证服务（IAM）56 7.10.2应用身份管理服务（OneAccess）57 7.10.3云监控服务（CES）57 7.10.4云审计服务（CTS）58 7.10.5企业项目管理服务（EPS）59 7.10.6标签管理服务（TMS）59 7.10.7消息通知服务（SMN）60 7.10.8组织(Organization)60 7.11安全与合规61 7.11.1数据加密服务（DEW）61 7.11.2企业主机安全服务（HSS）62 7.11.3Web应用防火墙服务（WAF）63 7.11.4数据库安全服务（DBSS）64 7.11.5云防火墙（CFW）64 7.11.6数据安全中心（DSC）65 7.11.7安全云脑（SecMaster）66 7.11.8DDoS防护（AAD）66 7.11.9漏洞管理服务（CodeArtsInspector）67 7.11.10云堡垒机(CBH)67 7.11.11云日志服务LTS68 7.12AI基础平台69 7.12.1AI开发平台（ModelArts）69 8华为云工程安全71 8.1DevOps和DevSecOps流程71 8.1.1双轨制（DualPath）机制71 8.2安全设计72 8.3安全编码和测试72 8.4第三方软件安全管理73 8.5配置与变更管理73 8.6上线安全审批74 9华为云运维运营安全75 9.1O&M账号运营安全75 9.1.1账号认证75 9.1.2权限管理75 9.1.3接入安全76 9.2漏洞管理76 9.2.1漏洞感知77 9.2.2漏洞响应和处理77 9.2.3漏洞披露77 9.3安全日志和事件管理77 9.3.1日志管理和审计78 9.3.2快速发现与快速定界78 9.3.3快速隔离与快速恢复78 9.4业务连续与灾难恢复79 9.4.1基础设施高可用79 9.4.2可用区之间灾备复制79 9.4.3业务连续性计划和测试79 10安全生态81 10.1安全生态体系81 10.2安全生态技术架构84 10.3安全生态特性85 11版本历史86 1导读 2017年初，华为云部（CloudBusinessUnit,akaCloudBU）正式成立，重新启程，开启华为云新时代。 过去几年中，华为云与所有云服务供应商（CSP–CloudServiceProvider）和客户一样，面临着层出不穷的云安全挑战，不断探索，收获颇多。华为云迎难而上，视挑战为机遇，恪守业务边界，携手生态伙伴，共同打造安全、可信的云服务，为客户业务赋能增值、保驾护航。 华为云通过结合业界先进的云安全理念，华为长年积累的网络安全经验和优势以及在云安全领域的技术积累与运营实践，参考世界领先的CSP优秀安全实践、摸索出了一整套行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵从的基础设施架构，用以支撑并不断完善涵盖了IaaS、PaaS和SaaS等具有优良安全功能的常用云服务。在这背后，是华为云高度自治的扁平化组织，具备高度安全意识和能力的研发运维运营团队，先进的云服务DevOps/DevSecOps1流程，以及日益繁荣的云安全生态圈。华为云将一如既往，本着租户业务优先的原则，携手生态伙伴，不断发布高质量的云服务增值安全功能、高级云安全服务和安全咨询服务，切实保护租户利益，帮助租户持续扩大业务，提升华为云市场竞争力，实现用户、合作伙伴、华为云三者的长期共赢。 藉此，华为云隆重推出《华为云安全白皮书》（简称“白皮书”），将华为云对云安全的丰富经验，分享给用户，分享给业界，以求相互了解，相互借鉴，共同推动云行业、云安全行业的开放与发展。 本白皮书面向各行业、各地区的广大读者群： 从租户、生态伙伴和社区到互联网用户 从大中小型企业客户到个人用户 从决策层、管理层到IT、安全和隐私保护等云服务相关的技术岗位人员，以及其他相关岗位人员(主要包括营销、采购/合同、合规审计等云服务相关人员)。 说明 1.DevOps和DevSecOps目前尚没有很好的统一中文译名。DevOps是随着云服务发展而由高科技公司的实践派而非理论派创造并逐渐成熟的从研发到运营的全线工程流程和工具链实践。由于DevOps需要支撑云服务和其他线上功能的持续集成持续部署（CI/CD–ContinuousIntegration/ContinuousDeployment），传统的瀑布流程和敏捷流程下的安全周期管理（SDL–SecurityDevelopment Lifecycle）大部分已不适应新的节奏。安全必须无缝嵌入并实现高度自动化，DevOps也就自然而然地形成了称为DevSecOps的全新安全周期管理实践。通过华为对国内外业界主流云服务和其他线上服务公司的调研，一个不争的事实是这些公司已经越来越普遍地大范围采用DevOps/DevSecOps工程流程和工具链实践。将安全无缝嵌入的DevOps/DevSecOps非但不会削弱安全，反而通过高度自动化对安全有高效的提升。 2云安全战略 随着电信网络和信息技术，尤其是云服务相关技术的不断演进与发展，网络安全和云安全面临的威胁和挑战将日益严重。网络安全和云安全已经成为多维度的全球性挑战，只有通过全球范围内技术厂商，供应商，客户，标准、政策与法律制定者之间的合作，才能在应对该挑战上取得积极显著的成效。我们必须共享知识和经验，务实合作，共同努力，减少技术被滥用所导致的不可预期风险。 作为全球领先的信息和通信技术（ICT–InformationandCommunicationTechnology）解决方案供应商，华为技术有限公司（以下简称“华为”）充分理解网络安全和云安全的重要性，并充分理解各国政府及客户对此的担忧与高度关注。 针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击1，华为对安全问题的忧患意识也日益紧迫，高度重视在网络安全和云安全技术能力、合规及生态上的投入，并采取切实有效的措施，加速开发云安全技术和服务，提升公司云产品和云服务的安全性，提升云安全合规和生态建设，帮助客户规避和减少云安全风险，以赢得各利益相关方的信赖。华为认为，构建一个开放、透明、可视的多维全栈云安全框架，将有助于整个云服务产业健康持续发展，并将促进云技术创新。 华为云秉承华为公司创始人任正非先生提出的“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。在安全至上的企业文化氛围中，华为云持续投入，不断汲取公司安全养分，脚踏实地，不断前行。华为云安全的历史可追溯到2000年华为安 全测试实验室成立。从那时起，近20年来，华为持续不懈地构建自身安全能力，这些能力积累，渗透到了云安全服务研发的每个毛细血管中，构筑了华为云多维立体、全栈防护的安全体系：2003年，推出业界首款基于网络处理器（NP–NetworkProcessor）的防火墙；2008年，与赛门铁克（Symantec）合资成立华赛公司（Huawei-Symantec）安全产品线，专注安全领域；2011年，成立安全能力中心，专攻研发安全能力；2012年，华为网络安全产品国内市场占有率第一；2015年，云安全解决方案及服务全面上线；2016年，云安全全球化布局，密钥管理服务（KMS）和防DDoS攻击服务（Anti-DDoS）在德国、西班牙上线；2017年，推出DDoS高流量防护（高防）、数据库防火墙等系列高增值安全服务；2018年，推出专属加密服务（DHSM）。 网络安全与隐私保护是数智世界发展的基石。华为云会坚定不移地在产品和服务中构建网络安全与隐私保护能力，自内向外打造竞争力，遵从适用的网络安全与隐私保护法律法规，为客户提供安全可信、高质量的产品、解决方案和