1、 企业上云安全白皮书企业上云安全白皮书 文档版本文档版本 1.0 发布日期发布日期 2021-8-31 华为技术有限公司华为技术有限公司 企业上云安全白皮书 目 录 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 ii 目目 录录 目目 录录 . ii 1 导读导读 . 1 1.1 背景 . 1 1.2 发布目的及目标读者 . 1 1.3 责任共担模型 . 2 2 企业上云迁移流程企业上云迁移流程. 3 3 企业上云安全建设指南企业上云安全建设指南 . 5 3.1 制定安全策略 . 5 3.2 制定安全计划 . 7 3.2.1 基本定义 . 7 3.2.2 企业上云安全策

2、略指导 . 8 3.2.3 企业上云安全策略产品实践 . 17 3.3 准备迁移环境 . 22 3.4 实施迁移 . 23 3.5 持续安全运营 . 24 4 结语结语 . 27 5 版本历史版本历史 . 28 企业上云安全白皮书 1 导读 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 1 1 导读导读 1.1 背景 随着公有云技术的成熟，越来越多的企业选择将业务从传统的 IDC、私有云迁移到公有云，降低 IT 成本，聚焦业务创新；同时随着公有云市场竞争的日益激烈，很多前期已经上公有云的企业，也会在多个公有云提供商之间切换业务或选择多云部署以降低成本和风险。 在云服务模

3、式下，如何保障云上安全，成为大多数企业和客户的首要关注问题。云服务提供商致力于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全及基础设施安全。但企业的云安全保障不能完全依赖于云服务提供商，企业需要基于业务需求合理使用和配置云服务能力以自建安全能力和安全防护体系，从而构建完整的云上安全体系。 云上安全体系的构建不仅依托于云服务提供商的安全能力，同时也需要客户在上云迁移阶段就采取一定的变革。上云安全变革涉及到企业应用整体安全治理体系的变化、企业安全组织架构的适配、企业安全文化和思维方式的塑造、持续的安全运营运维优化等。企业不仅需要上云迁移方法论，还需要一套覆盖安全治理、安

4、全迁移方案实施等全面的方法论及技术体系来支撑，帮助上云之路更加顺畅。 华为公司作为世界领先的 ICT 服务提供商，30 年来一直秉承技术上深耕细作、不断创新，服务上全心全意、持续提升的态度，致力于为行业、企业和个人提供先进、稳定、可靠、安全的产品和服务。作为华为公司的战略业务，华为云从成立伊始就继承了华为公司国际化的属性：满足全球各地区、各行业适用的法律法规及客户需求，构建可信的云服务。与此同时，为了帮助客户保护其云上资产，华为云希望协助更多企业构建云上安全防护体系，实现同客户长期双赢的重要实践。华为云基于多年在企业上云实践中的经验，吸收业界的优秀经验，总结提炼了上云安全建设步骤，用于指导和帮

5、助客户企业上云安全工作的开展。 1.2 发布目的及目标读者 本文主要面向计划或正在进行上云迁移的企业的决策层、管理层、IT、安全和隐私保护等云服务相关技术岗位人员，旨在指导企业在上云迁移全过程中从规划、设计、实施、运营等多个方面实现上云安全，并构建自身的云上安全体系。同时让企业了解华 企业上云安全白皮书 1 导读 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 2 为云为客户提供了多种专业服务和云产品助力其实现上云安全，并指导客户正确配置云服务。 1.3 责任共担模型 在云服务模式下，华为云与客户共同承担云环境的安全保护责任，为明确双方的责任，确定责任边界，华为云制定了责

6、任共担模型，如下图所示： 图图 1-1 安全责任共担模型 其中红色部分为华为云负责，灰色部分责任由租户承担。华为云负责云服务自身的安全，提供安全的云；租户负责云服务内部的安全，安全的使用云。 华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和 IAM 层的多维立体安全防护体系，并保障其运维运营安全。 租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的

7、定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和 IAM 层的各项安全防护措施的定制配置，运维运营安全，以及用户身份的有效管理。 企业上云安全白皮书 2 企业上云迁移流程 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 3 2 企业上云迁移流程企业上云迁移流程 华为云基于华为自身上云的成功实践和服务海量客户的经验，总结出一套行之有效的上云迁移流程，以指导企业上云。具体流程如下： 图图 2-1 华为云上云迁移流程 华为云配套提供了与该流程对应的企业上云全服务。该服务是华为云基于客户需求，通过分析客户

8、特定的迁移内容，结合客户现网环境，综合考虑迁移风险、应急回退预案等因素后完成云迁移方案设计，由具有丰富经验的技术专家进行实施，直至业务应用平台完成切换，业务系统正常运行。具体的服务流程如下： 图图 2-2 企业上云全服务 企业上云安全白皮书 2 企业上云迁移流程 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 4 华为云上云迁移服务的优势： 原厂的专家团队：分布全球的服务团队，具备丰富的互联网、政企等行业服务经验，提供本地化的上云迁移服务。 完善的工具平台：基于从数据层、中间件层到应用层完整的迁移工具体系、丰富的原子化方案库、规范的交付管理平台。 成熟的交付流程：30 多

9、年 ICT 领域成熟的服务流程、高级别割接保障经验和大型项目管理经验，确保每一次上云迁移交付都安全可信。 灵活的产品方案：支持进行灵活的产品组合销售，针对客户系统和应用特点，为用户量身定制云迁移方案，将实施过程中对应用的影响降到最低。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 5 3 企业上云安全建设指南企业上云安全建设指南 华为云以企业上云迁移流程为基准，基于多年在企业业务上云实践中的经验，吸收业界的优秀经验，识别上云迁移流程中建立安全体系的关键节点，并总结了实践步骤，帮助客户在上云过程中实现上云安全建设。企业上云安全

10、步骤在上云迁移流程中各个阶段实施： 图图 3-1 企业上云安全建设实施阶段 本节以企业上云迁移流程为基准，向企业提供上云安全建设步骤指南，指导企业构建云上安全体系。本节将从上云安全建设 5 个步骤为企业提供详细指导。 图图 3-2 上云安全建设步骤 3.1 制定安全策略 企业的安全最终目标不会随着采用云服务而改变，但实现这些目标的方式将会改变。明确的云安全战略可帮助所有团队建立安全和可持续的企业云环境。企业的管理层和安全团队需要根据企业总体安全战略和业务战略制定云安全战略，并且需要在计划采用云服务时尽早考虑安全性。 企业的安全团队需尽早规划和思考如何使用云技术和云服务来实现安全工具和流程的现代

11、化，并通过实施合理的云安全策略，实现云上业务系统的安全性、稳定性和可靠 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 6 性。云安全策略是公司在云运营过程中的一些正式准则，这些准则能够对云资产安全的决策进行指导。企业需要结合自身的业务需求和安全需求制定对应的安全策略，同时需要考虑资产敏感度、上云潜在风险和风险容忍度、法律法规或标准的要求等内外部因素。 华为云建议可以从以下 11 个领域制定安全策略： 图图 3-3 安全策略领域 安全管理组织安全管理组织：指定负责云上各个关键职能人员/团队，比如安全运营、系统安全管理等，并定义

12、其职责。 身份与访问管理：身份与访问管理：定义组织人员身份类型和身份验证方法，仅授予身份所需的权限，并持续审核和监控账号和权限的使用。 网络安全：网络安全：对业务所在网络进行安全分区管理，并进行相应隔离；在网络边界实施防护和监控机制；确保通信线路和设备的冗余以满足业务需求。 数据安全：数据安全：根据数据保护相关法律法规、标准中定义的分类分级要求对数据进行分类分级管理，并在数据生命周期各个阶段实施相对应的保护措施。 威胁与漏洞管理：威胁与漏洞管理：对云上业务定期执行漏洞扫描和分析，并及时对漏洞修补。 日志与监控：日志与监控：对云上资源启用日志功能，集中收集和存储所有日志，并对日志进行监控和审核；

13、监控安全状态，并记录网络攻击行为。 安全响应与恢复：安全响应与恢复：为安全事件管理提供资源支持，自动对安全事件进行上报和通知，预部署事件响应工具；定期开展安全事件演练与经验总结。 备份与恢复：备份与恢复：定义数据备份策略和保护措施，并对备份进行监控与审核。 开发安开发安全：全：对开发代码进行安全检查；系统上线前执行安全测试；保护研发资产的安全。 证书与密钥管理：证书与密钥管理：定义组织允许使用的加密算法和密码技术产品；对密钥和证书进行集中管理，并在密钥和证书的生命周期各个阶段实施安全控制。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技

14、术有限公司 7 隐私保护与合规：隐私保护与合规：识别隐私保护相关法律法规，对业务所涉个人数据进行识别并进行隐私风险评估；减少敏感数据在系统中的暴露风险；持续满足合规要求。 若企业已建立较为成熟的安全体系，则可以现有的安全领域为基准制定云安全策略。企业同样可以参考业界广泛接受的安全管理体系划分安全领域，比如 ISO 270011、CSA CCM2、NIST CSF3。 说明说明 1. ISO 27001：ISO 27001 是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 2. CSA CC

15、M ：Cloud Security Alliance Cloud Control Matrix，即云安全联盟云控制矩阵，框架由 16 个领域的 133 个控制目标组成，涵盖了云技术的所有关键方面。 3. NIST CSF：NIST Cyber Security Framework，NIST 网络安全框架由标准、指南和管理网络安全相关风险的最佳实践三部分组成，其核心内容可以概括为经典的IPDRR 能力模型。 3.2 制定安全计划 3.2.1 基本定义 企业需要通过制定安全计划以定义各个安全策略的实现方式（包括但不限于标准、安全程序、安全控制措施、安全规范指南） 、时间表和责任人/团队。云安全计划

16、是上云计划中的组成部分，且企业应尽早将云安全计划纳入上云计划中，确保及时发现上云过程中的潜在风险并制定风险处理策略，该过程可能会导致上云计划的其他部分的调整。 安全计划应围绕组织已确定的安全策略进行制定，该阶段通常需要输出以下文件： 表表 1-1 安全计划输出件安全计划输出件 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 8 安全计划安全计划 说明说明 组织职能计划&安全技能计划 基于定义的安全角色和职责，确定各个角色所需的技能，并考虑通过何种方式帮助其获得技能，同时制定安全技能培训计划。 云上架构安全计划 根据已确定的安全

17、策略，制定云上安全架构设计方案和方案实施计划，设计方案包括但不限于安全策略配置方案、云环境安全基准设计、计划使用的云产品清单。 安全操作规范 建立企业的云安全运营运维规范、云安全操作指导手册等规范文件，指导安全团队、云运营团队、安全运维团队、IT 团队等相关利益者成功过渡到云环境，并避免因人员操作导致的安全风险。通过建立流程，以确保每个安全策略都得到正确配置并在治理良好的环境中运行。 灾备计划 根据企业与云厂商的责任划分，对灾备体系中各自的责任、分工、流程进行调整，制定业务连续性计划及灾难恢复计划。 考虑到企业业务目标、项目限制和其他因素可能会导致企业平衡安全风险与其他风险，因此最初的安全策略

18、配置方案可以从最低的安全标准开始，但应尽量对所有安全策略进行配置。企业可随着时间的推移再逐渐提高安全标准，以确保持续降低风险。 3.2.2 企业上云安全策略指导 企业上云安全策略指导可为实现企业的安全策略提供明确的操作指导，企业可参考安全策略指导选择能够践行其安全策略的云产品并对其实施最佳配置。该指导能够帮助企业在华为云上提高安全性并降低风险、依托华为云建立完整的安全体系并实现云上安全。 3.2.2.1 安全管理组织 企业需建立云安全团队，记录、传达云安全团队中的角色和职责，帮助对应的人员了解其职责，并确保他们掌握对应的技能来承担责任。云安全团队通常包括云安全领导小组、云安全架构小组、云安全风

19、险管理小组、云安全合规管理小组、云安全运营小组，如下图所示： 图图 3-4 云安全管理组织架构 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 9 各个小组具体职责如下表所示，企业可根据自身情况，参考该架构建立云安全团队： 表表 3-1 云安全团队职责说明云安全团队职责说明 小组小组 职责职责 云安全领导小组 负责制定整体的云安全方针，协调各方资源建立、实施、检查、改进云安全管理体系，保证云安全管理体系的持续适宜性和有效性。 云安全架构小组 负责设计、构建并持续维护云环境的安全架构，以保证设计与总体业务 IT 标准保持一致，并

20、与其他利益相关方合作，使云架构与服务层、内部 SLA 和业务目标保持一致。 云安全风险管理小组 负责整体把控云安全态势，并根据内外部因素变化持续改进安全策略，对系统存在的安全风险进行管控，及时采取控制措施并报告管理层。 云安全合规管理小组 负责审视云服务提供商的合规状态，并利用云服务的功能获取日志记录、配置数据等输出企业合规证据和合规报告，以应对内外部的审查。 云安全运营小组 负责对云环境进行日常安全维护与管理，持续监测应用程序和基础设施的安全状态，及时识别、通报和处理安全事件。 3.2.2.2 身份与访问管理 对资产的访问实施权限管理：对资产的访问实施权限管理：需要根据工作职责限定人员对于关

21、键业务系统的访问权限，并通过适当的系统和流程保证权限的正确设置，以免非必要人员或非授权人员访问到关键系统和核心敏感数据。权限管理应遵循按需分配、最小授权、职责分离原则。 使用统一身份认证服务 IAM 限制账户对关键系统的访问权限。租户管理员可以通过 IAM 管理用户账号，并且可以控制这些用户账号对租户名下资源具有的访问和操作权限，实现精细的权限管理。 使用云堡垒机 CBH 限制对运维账号的使用和访问。运维用户可通过 CBH 统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所

22、有 华为技术有限公司 10 机、数据库、应用系统等云上资源的集中管理和运维审计。CBH 可用于集中管控运维账号访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置。 使用应用信任中心 ATC 对应用设置细粒度的访问控制策略。ATC 是围绕零信任理念打造的安全服务，实现应用维度威胁全景拓扑，可依据用户身份、访问行为、应用健康度进行细粒度的动态授权控制。用户可可快速创建基于用户身份和基于时间、地点等属性的控制策略，限制恶意用户权限。 制定强身份验证机制对用户的访问进行认证：制定强身份验证机制对用户的访问进行认证：应制定有效的账户密码规则，以确保不会使用容易被破解的密码，并定期更改密码。较高风

23、险的活动应采用更严格的认证方法，通常应采取多因子认证机制对用户进行身份认证。 使用统一身份认证服务 IAM 多种身份验证机制。IAM 支持客户的安全管理员根据需求来设置不同强度的密码策略和更改周期，防止用户使用简单密码或长期使用固定密码而导致账号泄露。此外，IAM 还支持客户的安全管理员设置登录策略，避免用户密码被暴力破解或者由于其访问钓鱼页面等而导致账号信息泄露。IAM 同时支持多因子认证机制。 使用云堡垒机 CBH 加强系统用户身份认证管理。CBH 采用多因子认证和远程认证技术。引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户账号密码

24、风险。CBH 可以对接第三方认证服务或平台，包括 Windows AD 域、RADIUS、LDAP、Azure AD 远程认证，支持远程认证用户身份，防止身份泄露。 使用弹性云服务器 ECS 的密钥对保证远程登录安全。弹性云服务器 ECS 支持用户在登录时使用密钥方式进行身份验证，以保证弹性云服务器安全。用户可通过ECS 管理控制台创建密钥对，公钥自动保存在系统中，私钥由用户保存在本地，每次 SSH 登录到弹性云服务器时，将需要提供相应的私钥。 禁止使用供应商提供的默认系统密码：禁止使用供应商提供的默认系统密码：供应商提供的默认密码或默认设置可能被非法使用以威胁云环境、系统、软件的安全，因此须

25、要在日常使用中注意更改默认密码。 使用统一身份认证服务 IAM 强制要求新用户修改默认密码。使用 IAM 创建新用户时，可通过邮件发送一次性登陆链接给新用户，新用户使用链接进行登陆时需要设置密码，另外在管理员自定义新用户的密码时可选择强制用户在激活后修改默认密码。 使用企业主机安全服务 HSS 检测系统账号口令。HSS 提供基线检查功能，主动检测主机中的口令复杂度策略，给出修改建议，帮助客户提升口令安全性。同时检测账户口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。 启用并配置登录失败处理功能：启用并配置登录失败处理功能：应配置结束会话、限制非法登陆次数、限制同时登陆

26、和登录连接超时自动退出等相关措施。 使用统一身份认证服务 IAM 配置登录失败处理措施。IAM 支持配置会话超时策略，如果用户未对界面操作超过设置的时长，会话将会失效，需要重新登录。另外，IAM 支持配置账号锁定策略和账号停用策略，当用户在限定时间内达到登录失败次数后其账户会被锁定一定时间，而当用户在设置的有效期内未能成功登录后其账户会被停用。 定期审计账号的使用：定期审计账号的使用：应及时删除或停用多余的、过期的账号，避免共享账号的存在。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 11 使用企业主机安全服务 HSS 进

27、行主机账号管理。HSS 支持检测主机系统中的账号，列出当前系统的账号信息，帮助客户进行账号安全性管理，及时发现非法账号。 使用云堡垒机 CBH 管理运维账号。CBH 支持对运维账号的管理，如删除无用账号，停用多余、过期运维账号。 3.2.2.3 网络安全 对网络划分区域：对网络划分区域：根据业务实际情况划分不同网络区域，明确定义每个域的边界，并按照方便管理和控制的原则为各网络区域分配地址。避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 使用虚拟私有云 VPC 实现不同区域之间的网络隔离。VPC 可为客户构建出私有网络环境。客户可以划分“DMZ” ， “

28、服务” ， “数据”等区域，并使用安全组隔离VPC 内的 IP 地址段、子网、安全组等子服务，客户可使用 VPC 及安全组的相关网络访问控制策略保证网络边界访问的安全性。 确保网络访问权限最小化：确保网络访问权限最小化：根据业务实际情况优化每个网络区域的访问控制列表，并保证访问控制规则数量最小化。避免暴露多余的公网 IP，同时不应对外开放或未最小化开放高危端口、远程管理端口。 使用虚拟私有云 VPC 控制访问规则和开放端口。VPC 的安全组可为具有相同安全保护需求并相互信任的云服务器提供访问策略。客户可通过配置 VPC 的网络 ACL和安全组规则，对进出子网和虚拟机的网络流量进行严格的管控。

29、应保证网络满足业务高峰期需要：应保证网络满足业务高峰期需要：确保网络设备的业务能力、网络每个部分的带宽满足业务高峰期的需要。 使用弹性负载均衡 ELB 分发访问流量。ELB 将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 使用 Anti-DDoS 流量清洗服务提升带宽利用率。Anti-DDoS 为弹性公网 IP 提供四到七层的 DDoS 攻击防护和攻击实时告警通知，提升用户带宽利用率，确保用户业务稳定运行。 控制内外部流量的访问：控制内外部流量的访问：使用防火墙控制内部和外部网络之间的计算机访问流量以及内部网络中敏感区域的输入及输出流量，并对

30、所有网络流量进行检查，阻止与已制定安全标准不符的传输，以避免系统组件受到来自不可信网络的非授权访问。 使用云防火墙 CFW 实现入侵检测与防御。CFW 集成华为全网威胁漏洞库，并通过自带的入侵防御引擎（IPS） ，对恶意流量进行实时检测和防御。同时提供全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 使用虚拟私有云 VPC 控制公网对云服务器的访问。VPC 可实现在流畅地访问的同时隔离租户，在此基础上支持灵活配置 VPC 之间的互联互通，并能实现敏感环境内组件不可通过互联网直接公共访问，同时 VPC 可通过访问权限控制功能提供基于主机侧和网络侧的多重

31、安全防护。 使用 NAT 网关为 VPC 内的弹性云服务器构建公网出入口。NAT 网关位于外部因特网与云上 VPC 之间，通过部署 NAT 网关可掩盖内部网络的 IP 地址，降低虚拟环境遭受攻击的风险。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 12 使用 WEB 应用防火墙 WAF 过滤恶意攻击流量。启用 WAF 之后，网站所有的公网流量都会先经过 WAF，恶意攻击流量在 WAF 上被检测过滤，而正常流量返回给源站 IP，从而确保源站 IP 安全、稳定、可用。 3.2.2.4 数据安全 对敏感数据进行加密保存：对敏感数

32、据进行加密保存：根据法律要求和业务特性，对数据进行分类分级，并对不同级别的数据制定相应的标识与控制措施。针对敏感数据，采取加密、掩码等方法进行保护，以降低这类数据被未授权的读取及披露的风险。 使用数据安全中心 DSC 识别敏感数据。DSC 可根据敏感数据发现策略来精准识别数据库中的敏感数据，并支持从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对结构化数据和非结构化数据进行扫描、分类、分级，解决数据“盲点” 。 使用数据加密服务 DEW 对敏感数据进行加密。DEW 与 OBS、云硬盘（EVS） 、镜像服务（IMS）等服务集成，可以通过密钥管理服务（KMS）管理这些服务的密钥，并对

33、云服务中的数据进行加密，还可以通过 KMS API 完成本地数据的加密。 在公共网络组件间的数据传输应进行加密在公共网络组件间的数据传输应进行加密：通过公网传输数据时，应实施数据加密措施，需要结合配置正确的无线网络及新版的加密及验证协议以保护数据不被他人轻易获取，保障数据在传输过程中的安全。 使用云专线 DC 建立本地数据中心与虚拟私有云 VPC 之间的专属连接通道。DC可建立数据中心与 VPC 之间高速、低延时、稳定安全的专属连接通道，保护数据中心与 VPC 之间的数据传输安全。 使用虚拟专用网络 VPN 实现不同区域之间的数据传输安全。VPN 采用华为公司专业设备，基于 IKE 和 IPs

34、ec 协议在 Internet 网络上虚拟出私有网络，在本地数据中心和华为云 VPC 之间、华为云不同区域的 VPC 之间构建安全可靠的加密传输通道。 对数据的操作对数据的操作行为实施限制或监控机制：行为实施限制或监控机制：根据数据的分级分类，应对数据的修改、批量操作等行为实施限制措施或建立监控机制。 使用数据库安全服务 DBSS 对数据库行为审计。DBSS 提供旁路模式数据库审计功能，用于监控用户异常、正常、攻击行为，可以对风险行为进行实时告警。同时，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 使用云堡垒机服务 CBH 专业版识别并拦截数据库高危命令。CBH 专业版支

35、持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。CBH 提供数据库控制策略功能，用户可设置预置命令执行策略，动态识别并拦截高危命令（包括删库、修改关键信息、查看敏感信息等） ，中断数据库运维会话。同时自动生成数据库授权工单，发送给管理员进行二次审批授权。 3.2.2.5 威胁与漏洞管理 及时发现并修补及时发现并修补安全漏洞：安全漏洞：安全漏洞可能使他人非法获得系统访问特权，应通过可信渠道获取最新的安全情报。安全漏洞可通过及时安装安全补丁的方式修复漏洞，以防恶意个人或软件非法利用从而破坏业务系统和数据。 使用漏洞扫描服务 VSS 自动发现网站或服务器的安全风险。VSS 集成了 We

36、b 漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 13 功能，可以自动发现网站或服务器暴露在网络中的安全风险，提供多种维度的安全检测服务。同时，华为云安全专家会第一时间针对紧急爆发的通用漏洞 CVE 进行分析并更新规则，提供快速、专业的 CVE 漏洞扫描。VSS 还支持扫描前端漏洞，如 SQL 注入、XSS、CSRF、URL 跳转等。 使用数据库安全服务 DBSS 和 Web 应用防火墙 WAF 识别 SQL 注入攻击及漏洞。DBSS 提供基于智能算

37、法的 SQL 注入攻击检测、风险识别功能。WAF 通过对HTTP(S)请求进行检测，识别并阻断 SQL 注入，保护 Web 服务安全稳定。 使用威胁检测服务 MTD 持续发现恶意活动和未经授权的行为。MTD 通过集成 AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率。 在关键节点处检测和清除恶意代码：在关键节点处检测和清除恶意代码：应在关键网络节点处对恶意代码进行检查和清除，并维护恶意代码防护机制的升级和更新。 使用 Web 应用防火墙 WAF 检测恶意代码。WAF 在防护引擎中预置丰富的攻击特征签

38、名库，可检测多种通用 Web 攻击特征，并进行攻击拦击；攻击特征签名库根据攻击类型实时升级更新。 使用 Anti-DDoS 流量清洗服务实施 DDoS 攻击防护。Anti-DDoS 提供网络层和应用层的 DDoS 攻击防护（如泛洪流量型攻击防护、资源消耗型攻击防护） ，并提供攻击拦截实时告警，利用所拥有的海量 IP 黑名单库和每日更新特征库，保障业务稳定可靠。 部署部署 Web 应用防火墙检查所有流量：应用防火墙检查所有流量：在面向公众的 Web 应用程序前部署可检查和防范网页式攻击的自动化技术解决方案，不断检查所有流量。 使用云防火墙 CFW 对恶意流量进行实时检测和防御。CFW 集成华为全

39、网威胁漏洞库，并通过自带的入侵防御引擎（IPS） ，对恶意流量进行实时检测和防御。同时支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。 3.2.2.6 日志与监控 跟踪并监控对网络资源和关键数据的所有访问：跟踪并监控对网络资源和关键数据的所有访问：通过系统的活动记录机制和用户活动跟踪功能可有效降低恶意活动对于数据的威胁程度。当系统出现错误或安全事件时，通过执行彻底地跟踪、告警和分析，可以较快地确定导致威胁的原因。 使用云审计服务 CTS 记录、查询和追踪云环境中的活动。CTS 可为客户提供云服务资源的操作记录，供用户查询、审计和回溯使用。 使用云监控服

40、务 CES 实施实时监控和告警。客户可利用 CES 对用户登录日志进行实时监控，当遇到恶意登陆行为，可触发告警并拒绝该 IP 地址的请求。 对用户行为进行安全审计：对用户行为进行安全审计：对重要的用户行为和重要安全事件进行审计，审计覆盖到每个用户。对审计记录进行保护并定期备份，避免受到未预期的删除、修改或覆盖。 使用云审计 CTS 记录和存储对云资源的操作记录。CTS 支持对各种云资源（包括网络设备、网络节点）操作记录的收集、存储和查询功能，且默认支持在服务界面中 7 天内的事件审计操作记录的存储和检索，同时支持操作审计日志记录转储至 OBS 以永久保存。 使用云堡垒机 CBH 执行运维和安全

41、审计。CBH 全程记录用户运维操作行为，监控和审计用户对目标资源的所有操作，实现对安全事件的实时发现与预警。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 14 持续监控业务系统的性能并及时汇报异常情况持续监控业务系统的性能并及时汇报异常情况：监控性能的程序应包括预测功能，在问题未对系统性能造成影响时，应能及早识别及纠正。同时该程序应有助于工作量预测，以便识别趋势，并提供容量计划所需的信息。 使用云监控服务 CES 监控业务资源状态。CES 为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。云监控服务提供实时监控告

42、警、通知以及个性化报表视图，帮助用户精准掌握业务资源状态。用户可以自主设置告警规则和通知策略，以便及时了解各服务的实例资源运行状况和性能。 使用应用运维管理 AOM 监控云上应用及云资源状态。AOM 提供覆盖应用性能、应用状态、基础设施状态、云资源使用情况的一站式立体运维平台，可实现实时监控应用及云资源，采集各项指标、日志及事件等数据分析应用健康状态，提供告警及数据可视化功能。 使用应用性能管理 APM 监控云应用性能和故障。APM 通过拓扑可视化展示应用间调用关系和依赖关系，并能够针对应用的调用情况，对调用次数、响应时间和出错次数进行全方面的监控。APM 还可以通过对服务端业务流实时分析，展

43、示事务的吞吐率、错误率、时延等关键指标，帮助用户解决应用在分布式架构下的问题定位和性能瓶颈等问题。 记录攻击和异常行为并对其分析：记录攻击和异常行为并对其分析：应在关键网络节点处检测、防止或限制网络攻击行为；应采取技术措施对采集的安全日志进行持续监控和分析，实现对网络攻击特别是新型网络攻击行为和异常行为的识别和分析。 使用 Web 应用防火墙 WAF 和云日志服务 LTS 记录并分析攻击日志。WAF 通过对HTTP(S)请求进行检测，识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令/代码注入等攻击，启用 WAF 全量日志功能后，客户可以将攻击日志、访问日志记录到华为云的云日志服务 L

44、TS 中，通过 LTS 记录的 WAF 日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 使用态势感知 SA 对攻击进行统计和分析。态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 集中管理日志：集中管理日志：对云上资源启用日志功能，集中收集和存储所有日志，并对日志进行监控和审核。 使用云日志服务 LTS 对日志统一管理和分析。LTS 可以采集主机和云服务的日志数据

45、，采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。LTS 支持通过在一定时间段内日志中关键字出现的次数对日志数据关键字进行监控与告警，如果关键字达到阈值将会触发告警，实时监控服务运行状态。 3.2.2.7 安全响应与恢复 自动对安全事件告警自动对安全事件告警：根据事件响应需求定义各类事件告警类型、告警级别和通知对象，确保对应的人员及时对安全事件进行取证、调查和处理。 使用态势感知 SA 自定义威胁告警通知。SA 通过“实时监控”云上威胁告警事件，并接入 Anti-DDoS、HSS、WAF 等服务上报的告警事件，提供告警通知和监控，记录近 1

46、80 天告警事件详情。客户可以设置每日定时告警通知和实时告警通知，通过接收消息通知及时了解威胁风险。 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 15 使用云监控 CES 获取云服务状态告警通知。CES 提供对监控指标的告警功能，当云服务的状态变化触发告警规则设置的阈值时，系统提供邮件和短信通知，用户可以在第一时间知悉业务运行状况，还可以通过 HTTP、HTTPS 将告警信息发送至告警服务器，便于用户构建智能化的程序处理告警。 使用云审计 CTS 对关键操作进行告警。CTS 支持对某些特定关键操作通过消息通知服务（SMN）

47、实时向相关订阅者发送通知，该功能由 CTS 触发，SMN 完成通知发送，包括高危操作、成本敏感操作、业务敏感操作、越权操作等的感知和确认。 自动化事件遏制和恢复自动化事件遏制和恢复：根据过去事件的经验，在事件发生后自动化启动预定义变更流程及特定的补救措施。 使用态势感知 SA 专业版实施预置的防护策略。SA 的安全编排服务支持在事件发生后，通过实施预置的安全编排策略，提前防御并处置威胁风险端口。SA 支持在用户资产遭受端口安全攻击时，能一键式下发预置的防护策略，并且一键识别用户资产端口风险，推荐用户进行安全服务配置，简化安全运维，提升安全运维效率。 3.2.2.8 备份与恢复 在适当的时间范围

48、内备份数据在适当的时间范围内备份数据：在适当的时间范围内使用适当的方法备份数据，以便在原始数据不可用或损坏时随时可以使用备份数据。 使用对象存储服务 OBS、云备份 CBR、云服务器备份 CSBS 进行数据备份归档。华为云提供多粒度的数据备份归档服务，可将云上的文档、硬盘、服务器进行备份。客户也可以通过华为云备份归档解决方案，将客户云下数据备份归档到华为云，避免在灾难发生时不丢失数据。 使用云数据库 RDS 对数据库恢复。RDS 支持的恢复方式包括实例级恢复和库表级恢复。实例级恢复支持使用已有的自动备份或手动备份，恢复整个实例的数据；库表级恢复支持通过自动备份文件，将数据库表恢复到指定的时间点

49、。 3.2.2.9 开发安全 对开发代码安全检查：对开发代码安全检查：在开发阶段对开发代码进行审查，识别可能导致安全问题的编码缺陷和漏洞，提高代码和最终开发软件的安全性。 使用软件开发平台 DevCloud 对代码进行检查。DevCloud 代码检查（CodeCheck）支持在线进行多种语言的代码静态检查、代码架构检查、代码安全检查、编码问题检查等，辅助客户管控代码质量。代码检查支持跨函数的深度检查，并能准确定位到代码缺陷所在行，提供影响说明、修改示例和建议，同时支持批量处理代码缺陷。另外，代码检查提供华为典型检查规则集，并支持用户自定义检查规则集。 使用数据安全中心 DSC 检测密钥泄露。D

50、SC 支持检测 Github 代码中是否包括Access Key 并判断可能受影响的华为云账户，用户可根据 AK 泄露事件推荐策略对事件进行处理，减少密钥泄露的风险。 执行安全测试：执行安全测试：应执行安全测试，发现并消除已知的缺陷。在系统上线前，应对系统进行验收测试，以验证系统已排除已知的恶意代码或漏洞码。 使用软件开发平台 DevCloud 管理测试活动。DevCloud 云测（CloudTest）提供一站式测试解决方案，覆盖功能测试、接口测试、性能测试，多维度评估产品质 企业上云安全白皮书 3 企业上云安全建设指南 文档版本 1.0 (2021-8-31) 版权所有 华为技术有限公司 1