【大廠內參】第10期：深入原生冰山安全體系，詳解華為云安全服務如何構筑全棧安全

近年來，隨著全球網絡空間快速發展，高危漏洞、大流量DDoS攻擊、數據泄露事件頻發。在高速變化的網絡威脅態勢中，僅僅依靠對漏洞的補救，或針對已知遠遠不夠了，新的威脅還在不斷涌現。企業客戶在數字化轉型和上云過程中，需要系統化構建安全體系以應對新的安全挑戰。

如果把云安全比作“冰山”，那云安全服務及云服務的安全特性屬于“冰山”上的可見部分。而“冰山”下90%部分的安全能力，往往不為人所知，但正是這“冰山”下的部分，承載著整個公有云的安全性。

華為云構筑的原生冰山安全體系，通過四大能力：自主研發的安全服務，覆蓋全球的安全認證、覆蓋全球的安全保障能力和全生命周期的數據安全治理，幫助企業抵御網絡攻擊，從復雜專業的安全工作中解放出來，快速、便捷地獲取到普惠、合規、高效的安全服務。（詳見《厚積薄發，華為云構筑原生冰山安全體系，守護云上安全》）。

華為云安全服務全解析

華為云基于20多年安全積累，自主研發的20+款云安全服務是華為云冰山安全體系中，最重要的能力之一，通過安全服務將華為安全能力共享給用戶，幫助用戶高效穩定地發展業務。

華為云安全服務覆蓋“保護云工作負載、保護應用服務、保護數據和密鑰、管理安全態勢、業務合規上云”五大領域，從計算層、網絡層、數據層再到安全管理層，積累了不同維度的云安全經驗，形成了協同聯動的云安全服務體系，為用戶提供優秀實踐，構筑全棧安全。

為了更具象的理解，我們以典型的電商場景為例，來詳細了解這五大安全服務是如何為企業保駕護航的。

保護云工作負載

計算機和網絡運轉的核心是數據，而數據的歸屬則是主機，這其中包括個人電腦、服務器以及一些大型的磁盤陣列。對企業而言，主機既是承載公司業務及內部運轉的底層平臺，也是承載企業數據和服務的核心，其穩定、安全地運行是公司正常運轉的前提保障。

例如電商在大促期間，會有數以萬計的用戶下單信息存儲在服務器中。如果沒有主機安全防護體系，黑客就可以利用密碼破解、社工攻擊或漏洞攻擊等手段入侵服務器數據庫，獲取大量數據資產。電商在被攻擊的過程中，業務會被中斷，大量惡意文件占用系統資源，也會導致服務器不能正常運行，影響用戶的購買下單。

新時代的主機安全素養：防得住暴力破解、查得出挖礦木馬、守得住后門漏洞，不可或缺、一樣都不能少。在彈性云主機的安全利器——HSS企業主機安全中，華為云企業主機安全（HSS）以服務器貼身安全管家的身份，實現病毒木馬查殺、漏洞一鍵修復、入侵檢測、防勒索等安全防護保障。其旗艦版及網頁防篡改版，還增加反彈Shell、高危命令執行、自啟動檢測等能力，防止網頁被篡改，有效應對APT攻擊等高級威脅，全方位為云上企業保駕護航。

很多企業會在多個云平臺部署業務，一來享受不同云廠商的產品和服務優勢；二來分散和減少業務系統風險。但多云部署也會帶來主機安全管理難度陡增的難題。蘑菇街讓你更美麗，華為云讓蘑菇街更安全，蘑菇街通過華為云HSS實現了對多云平臺主機的統一安全防護和管理，安全管理效率提升了3倍。同時，蘑菇街安全團隊豐富的安全實戰經驗結合華為云HSS強大的入侵檢測能力，提升了蘑菇街的安全防護等級。

除了要防護外部的安全問題，對于企業內部的身份、權限和資產等IT運維安全問題，同樣也要時刻關注。有調查顯示，有超過半數的企業網絡安全事件并非是因為外部攻擊所導致，而是由于企業內部的不安全、不合規運維操作所造成的。

堡壘機在企業安全運維內需和法律合規的雙要求下，成為每個企業都需要的安全產品。初識華為云云堡壘機：層次分明細管理，過目不忘易審計，無須安裝部署，一站式運維和安全管理，降低企業運維成本；實時記錄所有操作和日志，并提供實時監控、錄屏和回放等功能，便于事后審計和取證；同時產品安全合規，三大特點讓云堡壘機成為企業必備的安全運維爆品。

保護應用服務

許多企業的關鍵業務依賴于Web應用，而互聯網75%的攻擊都集中在應用層。以電商來說，在618、雙11期間經常會發布秒殺活動應用頁面，一些不法攻擊者會借助代理服務器生成指向受害主機的合法請求，對Web服務器進行大量訪問請求，導致正常用戶無法正常訪問。最終就會出現秒殺活動一開始，頁面就 404無法訪問的現象。

網頁被篡改，訪問被釣魚、一做活動就宕機…其實，這些背后都是因為Web應用的防護沒有做到位。

針對Web應用防護，Web應用防火墻可用于常見攻擊的檢測和阻斷，支持識別并阻攔常見的Web攻擊。幫助用戶應對網站入侵、漏洞利用、網頁篡改、后門植入、CC攻擊等安全問題，為企業Web業務安全運營保駕護航。

以華為云的Web應用防火墻為例，它首先分析Web攻擊行為，對具體業務場景設置動態防護，智能防御CC功能在第一時間開啟。在不斷對抗的過程中，基于靈活的自定義策略配置，摸清黑產的攻擊策略，從而進行抵御。同時幫助客戶梳理清楚業務邏輯，為業務調整優化提供依據。小心！網站遭遇Web攻擊！謹防數據泄露，網頁篡改！ 中通過漫畫的方式，形象的展示了華為云Web應用防火墻是如何幫助用戶應對網站入侵、漏洞利用、網頁篡改、后門植入、CC攻擊等安全問題，為企業Web業務安全運營保駕護航。

不僅如此，電商平臺往往還會遭受惡意競爭者或黑客利用大量“受控主機”發出惡意攻擊，導致平臺網站無法訪問導致業務中斷，帶來的經濟損失以及客戶流失。大規模網絡攻擊隨時到來，中槍了咋整？華為云DDoS高防服務幫您輕松解決！除了這些能夠防護外部攻擊的安全保障，企業還需要漏洞掃描，自動發現網站或服務器在網絡中的安全風險，為云上業務提供多維度的安全檢測服務，讓安全弱點無所遁形保護數據資產。

我們都知道，數據是企業的核心信息，數據存儲的關鍵位置仍然在數據庫中。而現狀則是，大量互聯互通的企業環境中，數據庫普遍缺乏有效安全防護。一些不法分子會利用拖庫洗庫撞庫的方式攻擊數據庫盜取信息。

我們知道電商企業的數據不僅包含商品信息，還有大量的注冊用戶、用戶行為等相關隱私數據。數據隱私需要存儲和流通，但是不能“裸奔”。

數據金礦如何守？云上數據可以通過密鑰技術、新算法和加密算法等身份驗證手段來保護數據隱私，同時對數據本身增強了保護。數據傳輸、存儲及處理的各個階段對數據進行加密，利用云技術對信息進行處理，實現信息隱蔽，保護用戶數據安全。

為保障云上數據庫的安全，我們可以基于反向代理及機器學習機制，進行敏感數據監測、數據脫敏、數據庫審計和防注入攻擊，詳細可以了解數據庫安全服務（Database Security Service，DBSS）。

如果擔憂數據泄露，數據加密服務（Data Encryption Workshop, DEW）可以為你快速解決這個難題，提供專屬加密、密鑰管理、密鑰對管理功能，讓你免除數據泄露憂愁。

不僅如此，在釣魚網站泛濫的今天，企業還需要防止網站被仿冒、被篡改，而引發用戶的信息數據被盜竊，對用戶造成經濟上的損失。

管理安全態勢

在企業的日常安全運維工作中，各種安全產品每日會產生海量的威脅告警，需要花費大量人力去人工排查真實威脅和誤報，時間久了會產生“狼來了”的效果。如何能夠真正知道什么人在攻擊你、攻擊的全局態勢是什么樣的，甚至要能根據現有信息預測出來攻擊者可能的行動方向，成為企業安全防護的重點工作。

態勢感知就是對能夠引起用戶云上系統的安全態勢發生變化的所有安全要素進行獲取、理解以及預測未來的發展趨勢，并通過可視化技術呈現出來，為安全防護行動提供決策。它擁有感知、理解、預測、呈現、決策等四大核心點。

擔心未知風險，決策錯誤？態勢感知讓安全運維不再摸黑！態勢感知基于大數據安全分析能力，匯總和關聯分析了云中資產、日志、告警等多維度的信息，改變過去運維人員淹沒在海量數據中的窘境，最終降低主動發現安全威脅的時間。并且，可視化的態勢感知的大屏，就像一個作戰指揮中心，能夠呈現全局視角的網絡安全的防護水平和短板，對于管理層衡量安全投資價值及決策具有重要指導意義。

基于態勢感知，電商企業就可以清楚的了解到云上攻擊從哪兒來，如何防，資產安全態勢如何？讓企業輕松感知現在，預知未來！

除了態勢感知，堪稱云上風險“聽診器”的華為云威脅檢測服務（MTD）可以持續監控惡意活動和未經授權的行為，補足其他服務檢測能力，第一時間識別風險，規避由潛在威脅造成的安全事件，幫助企業提升安全運營效率，保障業務的連續性。

業務合規上云

當然，除了網絡安全和業務安全需要得到保障，對于電商企業而言，最好的安全保護是制度保護。早在2017年6月，《中華人民共和國網絡安全法》就正式實施，等級保護制度也成為國家網絡安全的基本制度。2019年，等保2.0提出新的技術要求和管理要求，強調“一個中心，三重防護”，企業在安全防護體系建設、風險評估和管理上需要更加全面。

為此，華為云為客戶提供了等保安全（DJC）解決方案，幫助企業提升安全防護能力，滿足等保合規要求。過等保其實不難，找對幫手很重要！在服務客戶之前，華為云所有大區都通過等保3級，部分安全性要求高的大區、節點過等保4級，為用戶順利、高分過等保打下基礎。為了讓用戶更省心省事，華為云更是以100%滿足等保條款要求部署的各類安全防護產品。

并且，結合華為30年的安全經驗，華為云推出管理檢測與響應服務（MDR），以云服務的形式，為客戶建立由管理、技術與運維構成的安全風險管控體系，結合企業與機構業務的安全需求反饋和防控效果對用戶安全防護進行持續改進，幫助企業與機構實現對安全風險與安全事件的有效監控，并及時采取有效措施持續降低安全風險并消除安全事件帶來的損失。

為了更好地幫助企業做好安全防護工作，開啟云端安全模式。在華為云TechWave全球技術峰會安全專題日，華為云聚焦應用安全防護，發布四大安全新品：安全智能分析平臺ISAP、威脅檢測 MTD、應用信任中心ATC和安全運營中心 SOC，為企業的云上安全防護再添新的武器。

云原生時代下，無處不在的云原生安全

隨著云原生技術的成熟和市場需求的升級，云計算的發展已步入新的階段——云原生2.0時代。越來越多的企業及個人選擇使用云原生技術來構建業務。企業在享受云原生紅利的同時，也對安全防護有了更高的需求，因為需更契合云原生業務發展的安全服務。

作為云原生代表技術之一的容器，每個企業都應該對容器安全有所了解。云原生2.0時代，企業都應該了解的容器安全，從容器與虛擬機的對比，為我們介紹了容器更便攜和高效特點。華為云容器安全服務CGS構建了容器安全威脅縱深防御體系，提供包括鏡像掃描、威脅檢測與威脅防護的一整套容器安全能力，提供針對容器的Build、Ship、Run全生命周期保護能力，滲透到整個容器DevOps流程，保證容器虛擬環境從開發到生產整個流程的安全。在2020可信云大會上，經信通院嚴格檢測，49項安全能力全部過檢，華為云容器安全服務獲可信云最高級的先進級認證。

不僅如此，在云原生安全方面，華為云推出了CFW云防火墻、數據安全中心服務DSC和ATC應用信任中心三款產品。

在華為云TechWave云原生2.0專題日上，為給企業業務提供多場景全流量防護，筑牢網絡安全的第一道防線，華為云CFW云防火墻正式發布！華為云CFW云防火墻作為新一代云原生防火墻，提供云上互聯網邊界和VPC邊界的防護，兼具“極簡、智能、可視、開放”四大特點。

傳統的安全防護基于網絡邊界構建，但隨著云計算和移動互聯網的興起，傳統網絡邊界逐漸模糊，基于網絡邊界的防御理念難以適應云環境下的需求。零信任“從不信任、永遠驗證”的理念應勢而起，即基于身份而非網絡位置來構建訪問控制體系。

華為云基于零信任理念，依托云原生安全能力，對網絡隱身、自適應風險控制等關鍵技術進行創新，在安全運維、遠程接入等眾多場景進行大量實踐，讓應用更安全，華為云應用信任中心ATC正式公測。ATC服務是圍繞用戶應用打造的安全服務，通過構建應用安全威脅全景拓撲，實現細粒度訪問控制，滿足客戶對零信任訪問控制能力的需求。

在2021年6月，十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》（以下簡稱數據安全法），并將于9月1日起施行。數據是當今時代的金礦，保護數據安全更是企業的核心訴求。企業用云數字化轉型的同時，如何保障企業數據資產的全生命周期安全？

今天云上的數據安全能力其實一直是分散在各個服務之中，例如VPN、安全組、SSL證書以及諸如ECS、RDS、OBS等集成的加密能力。數據安全是一個管道，整體的安全能力是由每個階段的安全能力共同組成的，換言之，如果某一個階段做的很強，而另一個階段沒有任何保護措施，那么對于整體數據安全狀態來說也是于事無補。企業缺少一個對整體安全能力審視統一視角，這個時候企業就需要一名數據資產“貼身守衛”——數據安全中心。

作為19年9月份開始內測，2020年年底正式推出云原生華為云數據安全中心服務。該服務能夠提供數據分級分類、數據安全風險識別、數據水印溯源和數據脫敏等基礎數據安全能力，通過構建數據安全統一入口，圍繞數據全生命周期，幫助用戶實現云上數據安全可視化管理服務。而且還能夠為企業提供數據資產的全生命周期全景圖，讓客戶清楚知道自己的數據從哪里來、到哪里去、有無安全問題。保障云上數據在產生、采集、傳輸、存儲、使用、交換、銷毀各階段的安全。真正的幫助企業做到：數據安全中心在手，保護數據方案都有。

最后

安全是個需要持續投入、持續演進、持續提升的系統性工程，不積跬步無以至千里。新興技術高速發展的同時也帶了未知安全威脅的頻發，華為云安全繼承華為20多年的安全能力積累，逐步打造完善云安全服務矩陣，構筑全棧安全防線，在云原生時代幫助客戶高效安全地上云。

《大廠內參》

根據開發者普遍關注的熱門技術領域，匯編實踐精華內容。從業務場景選型，應用案例分析，到前瞻趨勢預測。以專題的形式，深度解讀華為云核心技術，分享一線工程師的實戰經驗。

【第一期】敏捷&Devops：80+篇實踐干貨分享，深度解讀敏捷&DevOps如何革新軟件開發

【第二期】數據庫：從數據庫科普到核心技術解讀、上云案例分享，全方位剖析云數據庫

【第三期】云服務器：選型解讀+案例分享：云服務器“軟硬技術”全公開

【第四期】人工智能：海量實戰經驗教你零門檻進場AI開發，無成本負擔玩轉AI應用

【第五期】云原生：讀懂云原生2.0，看它如何重塑業務開發架構

【第六期】云安全：Get防范云安全的必殺技，學會構建云上完整安全體系

【第七期】物聯網：“端邊云”IoT全棧技術大揭秘，開發實戰指南帶你輕松上手IoT

【第八期】數據庫：8大場景系列玩轉數倉運維，做個不禿頭的DBA

【第九期】數據庫：握IoT開發，從操作系統LiteOS內核源碼學習開始

Web應用防火墻 WAF 企業主機安全 容器安全服務 數據安全中心 DSC 數據庫安全服務 DBSS

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。