华为云安全的可信之路
主讲人:华为云安全总经理,杨松
今天我的演讲主要分为三个部分:第一部分,华为云安全在20年的工作中取得的成绩;第二部分,云安全服务相关的一些工作进展;第三部分,云安全的展望。
安全追求从未停歇
首先我们华为在20年里安全方面到底走过哪些路程呢?华为从2000年就开始做安全的相关一些工作,总共分了两个主线。第一个主线是华为的研发安全能力的进展。在2000年的时候,我们针对华为的通信设备做了异常协议的测试。2011年,我们成立了研发安全能力中心,专门对华为的各种产品进行安全设计开发测试相关的工作,到了2013年,我们和微软合作,建设华为研发能力。另外一个主线。2003年,华为基于自己的路由器硬件平台,推出业界首款np架构防火墙。2008年,与赛门铁克合作成立华赛公司。2012年时,IDC报告华为硬件安全市场国内第一。2015年,华为推出了完整的云安全解决方案与云安全服务。2016年,我们的kms密钥管理系统进入了德国市场与西班牙市场,同时在欧洲市场已经进行了广泛的使用。2017年,推出自研云数据库芳华系列服务等,形成全栈云安全体系。
安全体系:自上而下,全栈防护
回顾我们整个安全产品服务的20年的一个发展历程,可以发现我们在构筑安全的时候,其实并不是一个点对点的一个发展,而是有一个系统全面的思考。安全不仅仅是安全能力、安全服务,而是一个严密的一个体系。如果把安全作为一个战争来看的话,现在云平台是个立体的一个战争系统,那么我们的立体战争系统分为三个维度思考。一个就是所有的一个安全类的防御都是基于安全能力来进行构建的。我们安全的能力分了几个维度,首要的就是我们给用户提供的安全服务是可视可感知的,第二个维度是安全平台,这个是针对运营商是可感知的,还有两块就是我们所有业务活动都是基于法律法规来作为我们的城墙和边界的,这是所有业务展开的一个前提,第三个方面,云安全的这个时代,如果仅靠一个企业去面对诸多的安全挑战,我们知道是难以解决的,所以我们通过我们的生态系统去联合业界的安全伙伴一起来构建我们的一个安全防御体系,所以大家可以看到我们的安全防御体系是以安全能力为基石。以法律法规为边界与生态合作伙伴为护城河构建我们一个立体的一个防御体系。
数据安全基于数据中立
那么下面我就给大家详细阐述下我们是如何开展的一些工作的。那么首先我们的安全服务,怎么传递到每个用户的一个手中?那么可以看到我们整个的一个安全的一个理念,就是要确保数据的一个中立,因为我们的整个安全点是上不碰应用下不碰数据,那么这个是需要技术来进行相的一个支撑的,我们围绕我们的客户的数据,我们要做到非法的入侵者,让他进不来数据看不到而且也拿不走,那么具体怎么来解读呢?,首先我们通过我们的认证管理系统,我们只有让我们合法的用户才能进来。另外一个就是我们通过我们的数据库的一个加密的一个系统。我们对我们的敏感信息会进行匿名化的一个处理,包括关键的姓名、生日、联系方式,我们都可以做匿名处理,让我们的敏感数据让入侵者看不到。最后我们的加密系统,只有合法的用户有合法的秘的情况下才能把数据进行解密,所以我们的数据也是拿不走。围绕这个设计理念我们的安全服务分了四个领域来进行详细的展开和设计。第一个领域就是网络安全领域。第二个领域是主机安全领域,第三个领域是应用安全领域,第四个领域数据安全领域。
网络安全服务
网络安全是一个涵盖非常广泛的领域。我们重点要介绍的是我们的ddos服务,他能保障海量流量攻击下业务无损,拥有国内前三的防护能力,特别适合游戏、电商、金融、跨国等对实时性、连续性要求高的企业。
主机安全服务
主机安全服务这是服务器入侵检测和防御筑起数据安全的最后一道防线,我们的主机安全防御中心通过入侵防御、漏洞管理、风险配置管理和检漏防御做到轻松防御异地登录、密码暴力破解、弱口令检查、数据库权限检查、后门文件等TOPS的主机安全风险。
数据安全服务
第三个重点要给大家汇报和介绍的是数据安全服务。这是我们推出的一个完全自研的数据安全服务,那么数据安全服务,有三点特色。第一个就是我们的数据安全服务针对我们的数据库可以提供防火墙的服务。包括攻击的IP地址,或者各种SQL注入,如果对数据库进行攻击的话,可以进行防护而且可以把IP地址给呈现和报告出来,第二个提供的特色就是可以对敏感数据进行脱敏,比如说在医院的一个应用,医院各种病人的病历里面有大量的敏感信息包括病人的姓名,年龄,联系方式,通信地址,这些都是敏感信息,通过我们的数据库安全服务,我们可以对这些敏感的数据进行脱敏,那么在各种公开的场合这些敏感数据呈现出来的都是星号。除了这些敏感数据以外,我们的用户可以自定义敏感信息,比如说email这些也是敏感信息,那么我们都可以对他进行脱敏处理,这是第二个数据库安全服务的一个特点。第三个就是我们提供相应的审计报告,在审计的方面那么我们可以根据审计的要和模板,把我们的数据库相应的数据和信息给导出来,提供给给到我们的一个用户。以上三点就是我们数据库安全服务这个特点。那么这些就是我们整个华为自研的一个全新那个产品,现在已经开始进入公测,两个月以后会进行商用。
应用安全服务
应用安全最典型和有特色的是web安全服务,web安全服务可以针对我们的网站官网进行保护。这一块其实我们已经在华为手机官网进行了商用,刚发布的华为的一个财报显示华为17年上半年销售了7000万部手机,那么从全年看的话,我们是可以销售上亿部手机,这些手机大多都是通过华为华为商城进行销售。那么在双十一节假日等高峰期。我们的这个访问量可以达到百万用户的等级,目前在业界还没有产品能进行防护,所以华为商城和我们携手一起选择了我们华为云的方案。可以支持瞬间百万级并发的一个流量的防护,所以他非常适合电商游戏这些行业来进行使用。
华为云定位
这是华为云整体的在华为体系的一个考虑。首先华为云定位是全球化的一个平台,我们的认证的话其实分了三个档次:第一个就是基础的体系认证,第二个档次就是针对区域的认证,包括欧洲中国区的相关一些认证,第三个是针对行业的认证。包括金融,在线支付,游戏,医疗等行业的认证。那么在基础的安全认证华为今年已经把相关认证都已经拿齐了,区域认证,我们在德国拿到相关了一些认证,在西班牙和法国也拿了相关的认证包括我们国内的等级保护也拿了相关的认证,行业认证我们已经启动了相应一些认证计划。总结起来说华为目前面向全球已经拿了20多个权威的认证。可以确保我们的跨国企业很好的在华为云平台上进行相应的应用和推广。
生态战略及布局
下面是生态战略方面。我们刚才已经提到了在云安全市场立体战争的一个体系里面,很难说一个厂家凭借自身的安全实力去应对所有的一个安全挑战,所以在云安全领域。我们希望我们也呼吁要和所有愿意和华为携手的安全厂家一起来面对安全的挑战和各种的威胁,我们可以构筑广泛的情报系统可以构筑广泛的安全服务体系。
作为金融领域来看,它其实有三个特点,第一个就是要求业务连续性实施性要高,比如说我们正在进行网上的一个金融交易,突然在交易的时候遭受了DDOS攻击导致业务中断那么这个带来的损失是难以评估的,所以实施性和连续性这是金融的最大的一个核心点。那么第二个就是金融业务本身和金钱利益直接相关的,所以这会在利益的驱动下,很多的黑产以及地下的交易系统在金融互联网金融方面有大量的一些攻击。第三个特点金融对数据非常敏感,比如说不能随便的把数据给篡改了,我租户的100万块钱放在我的那个金融系统,突然100万被篡改成10万,损失是非常大的,这种案例已发生过,所以对数据的篡改,这个是绝对不可以发生的。针对上面的三的系统,我们推出了相应的服务和解决方案,首先我们通过DDOS可以对我们的业务连续性进行保护。第二个就是我们的风控系统可以针对我们的类似卷羊毛等攻击进行相应的一些防护。数据的保护和加密可以采用我们kms秘钥相关的一些系统。第二个特点就是针对我们的一个跨国企业,我们有一个跨国的真正商业平台,另外我们可以提供相应的合规的一个检查,针对我们的跨国企业可以让大家看到我们在认证和漏洞上都有哪些不足,一一打分给出相应的漏洞不足,然后我们可以针对这些漏洞提供相应的一些解决方案和咨询,这样的话可以让我们的跨国企业专注于发展自己业务的本身,而不是把精力放在构建怎么考虑过区域的认证和考虑过行业的认证。
雄关漫道真如铁
上面介绍了我们整个云安全的历史、现在、以及安全战略,那么总结起来,我们的华为云安全第一个是面向全球市场面向全球市场。第二个华为通过20年的一个安全能力积累。我们的研发安全能力以及意识已经渗透到研发的每一个毛细血管里面去了。第三个。经过长期的安全产品的一个研发和安全服务的研发,我们的安全在国内市场占有率是非常高的客户认可质量好,这个是我们对华为云安全的三条重要的总结。最后一个面向未来那么我想借用主席的一首诗。1935年2月,主席在四渡赤水的战役的时候亲自指挥了娄山关的战役,经过了激烈的争夺红军抢夺了娄山关。主席在面对巍峨的巡山的时候,感慨激昂,克服了这么多困难与挑战,面向未来,挥笔写下:雄关漫道真如铁,而今迈步从头越。
视频链接https://bbs.huaweicloud.cn/videos/94aec6c983f111e7b8317ca23e93a891
以上文字内容由【内容众创兴趣小组-dmulzs】整理。
- 点赞
- 收藏
- 关注作者
评论(0)