在华为云城市峰会深圳站上,华为云安全总经理杨松发表演讲,分享了华为云的3个体系化的防护理念和实践,以启发和帮助金融行业完整、系统地构建符合业务需要的安全体系,在云上构建一朵安全的“金融云”。这些理念和实践不仅对金融业,对一般上云的行业同样有启发意义,演讲内容整理如下。
华为云安全总经理杨松在华为云城市峰会现场发表演讲
演讲正文
我们知道,数据是金融之本;数据安全,对金融行业的重要性不言而喻,如何保障?
“千里之堤,溃于蚁穴”。业务系统的任何一个防护环节出现短板,都可能对业务带来致命伤害。基于这样一个简单的原理,数据保护,也应该是体系化的,而不是单点的。
下面,我就分享华为云的3个体系化的防护理念和实践,希望对各位金融业的同仁有所启发。
围绕攻击者可能的攻击路径,为用户提供防攻击体系
华为云为用户提供可信的云平台和云服务,当用户把业务系统部署到云上后,云上的安全环境就起了变化,比如用户在华为云提供的安全的云服务器上搭建了一个网站并向外提供服务,这时网站的安全情况,就得重新考察并采取相应措施进行防护。这就是国际通用的安全责任共担模型:云平台负责基础设施的安全,用户负责基础上的业务系统和配置的安全。
为帮助用户防止外部恶意攻击,华为云围绕攻击者可能的攻击路径,发布了基于AI的安全解决方案,包括安全AI平台米兰达、DDoS高防、数据库安全等共20多款服务产品,让用户像搭积木一样,选择其中一款或数款安全服务组建符合业务需要的安全体系,堵住攻击。(延伸阅读:云安全中的美人鱼:华为云发布米兰达安全AI平台)
比如,网站遭到大流量攻击,性能下降、访问卡顿,则可选择DDoS高防对恶意流量进行拦截,保障来到网站的流量都是正常的。去年,华为云DDoS高防识别并拦截了来自198个国家的39.2亿次DDoS攻击,最大一次防御了1.16Tbps。
为了明了云主机的安全情况,可以在主机上安装企业主机安全服务,实时发现弱口令、恶意程序、网页防篡改等,管理主机资产和漏洞,降低主机安全风险。企业主机安全服务目前守护着华为云、手机消费者云等数亿用户,成功阻断6亿次账户暴力破解攻击,检测并修复漏洞数量达百万,隔离查杀恶意程序达2万多个。
信息安全攻击的75%都发生在Web应用层上,为帮助客户防御应用层攻击,华为云web应用防火墙服务提供精准的防御,平均每天拦截4000万次攻击,累计为客户保障了数十次重大活动,包括MATE 20等手机的数次抢购活动。(延伸阅读:8秒破亿,是什么缔造了华为商城Mate20的销量奇迹?)
此外,还有帮助用户快速过等保的一站式等保服务、帮助用户感知全网安全态势的态势感知服务、帮助用户提升运维审计效率的堡垒机服务等等。
通过这一系列可组合的防攻击服务,用户便可快速搭建符合自身业务需要的防御体系,哪是短板补哪里。
围绕云上数据的全生命周期,为用户提供防泄露体系
为帮助用户防止内部数据泄露,围绕云上数据的全生命周期,华为云提供了从访问认证、敏感数据识别、防攻击、防泄漏到审计组成的环环相扣的基于AI的数据保护解决方案。
为解决数据越权访问的问题,华为云设计了数据库防火墙,对数据库的所有操作进行细粒度控制,实现权限最小化;通过反向代理技术,过滤进出数据库的所有流量,发现异常并自动阻断。
企业的重要数据大多存放在结构化的数据库中,在面对海量数据时,如何快速找出哪些数据为敏感数据?
今年3月,华为云发布了全球首个敏感数据检测服务(结构数据),提供了敏感数据识别和分类技术,能根据合规的要求或者用户定义配置生成检测规则,自动识别数据库中身份证号码、信用卡号码等敏感数据,并对敏感数据进行分类,最后生成检测报告。用户可根据报告,自定义保护策略,以满足合规要求。
在敏感数据发现和检测过程中,服务本身不会更改数据库或应用程序中的任何内容,也不会造成数据库的性能问题或信息泄露。该服务构建了大数据流式计算平台,较传统敏感数据发现手段性能提高5倍以上,将发现任务缩短至分钟级甚至秒级。
针对恶意拖库和无意泄露的问题,华为云提供了数据脱敏功能,根据PCI-DSS等法规要求,自动识别和发现敏感数据,一键生成脱敏规则,对非授权读取的敏感数据实时隐藏;密级较高的数据,可通过加密服务进行加解密,用户可以自带密钥,使密钥和数据对云服务商完全不可见,真正实现数据中立。
为解决审计数据多、审计效率低的问题,华为云提供了数据库审计服务,实时检测到谁、在什么时间、对数据库进行了什么操作。此外,还能对数据库操作进行细粒度审计的合规性管理,以及对数据库遭受到的风险行为进行告警等。有了它,就相当于给数据库的安装了一台高清摄像头,有效降低审计成本。
按全球最严格标准不断整改,为用户提供可信云平台和云服务体系
为让用户享受安全可信的云平台和云服务,华为云按照全球各区域最权威的安全标准,对技术到流程到人员管理到安全制度等各方面进行不断完善,确保数据的所有权和控制权完全属于用户。比如,用权限控制系统和严格的安全制度,确保自己的员工无法访问、无法查看用户数据,员工看不到、拿不走;并配有事后审计系统,确保员工不敢看、不敢拿。
仅去年,华为云就获得了各类权威安全合规认证超过十个,平均一个月拿下一个。截止目前,华为云已获得42个权威合规认证,其中就包括国内唯一的全平台全节点全服务通过金融行业最高的安全标准PCI-DSS。(延伸阅读:华为云安全 | 2018,合规可信 2019,智能进化)
每年全球申请PCI-DSS认证的企业多如牛毛,但真正通过的却凤毛麟角。华为云的通过,意味着华为云整个IT系统全部通过了严格的安全测评,而不是云系统的一部分通过;意味着华为云所有大小节点,包括北京廊坊、香港节点等全部通过认证,而不是选择性地拿某个节点通过;意味着华为云研发上线的全部云服务的安全性得到了严苛的验证,而不是其中一两个,让所有用户则享受到“金融级”的安全性。(延伸阅读:华为云中国唯一全平台全节点全服务通过PCI-DSS安全认证)
华为云打造安全可信云平台和云服务的脚步从来不会停歇。就在刚刚,华为云海外最大的资源大区之一的新加坡大区获得了新加坡多层云安全标准最高评级,意味着华为云在海外有技术强大的安全团队和规范的管理流程,能为用户提供安全、可靠、稳定的云平台和云服务。
总之,通过这3大体系的配合,组成纵深的防御,避免单点短板,保护云上数据安全。以上就是华为云的一些理念和实践,希望对各位有所帮助。
来源:华为云公众号