《华为云安全》PPT课件.ppt

《《华为云安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《华为云安全》PPT课件.ppt（38页珍藏版）》请在三一办公上搜索。

1、华为云安全,重大安全事件简介,3月,Facebook超过5000万用户信息被泄露,目录,3,华为云安全服务：提供全栈的安全防护,2,华为云：做最安全的公有云,1,企业上云的安全顾虑,4,安全解决方案：构建纵深的云安全体系,5,安全案例,云上客户的安全诉求,企业上云的关键安全诉求,CSA Top 威胁,高级持续性威胁数据丢失尽职调查不足滥用和恶意使用云服务拒绝服务（DoS）共享的技术漏洞,数据泄露身份、凭证和访问管理不足不安全的接口和应用程序编程接口系统漏洞账户劫持恶意的内部人员,业务连续不中断:防网络攻击防黑客入侵法律遵从、合规,运维全程可管控：配置安全策略风险识别和处置操作可审计、追溯,数据

2、保密不扩散：防外部窃取内部非授权员工不可见云服务商不可见,目录,3,华为云安全服务：提供全栈的安全防护,2,华为云：做最安全的公有云,1,企业上云的安全顾虑,4,安全解决方案：构建纵深的云安全体系,5,安全案例,基础设施安全,边界防御安全,数据安全,主机安全,虚拟网络安全,IaaS,PaaS,SaaS,云服务安全,运营安全,运营牌照,租户生命周期,服务生命周期,责任边界,合同管理,可信云认证,信息安全等保,ISO27001,CSA STAR,分析,响应,检测,运维安全,感知,租户安全,云平台安全,运营管理,交易管理,合规安全（标准和认证）,安全服务,PCI,SOC,华为云全栈防护体系,全球唯一

3、具备软硬件一体化优势的云安全服务提供商,华为云平台网络安全防护能力,安全日志收集,安全威胁与事件响应,WAF,VPN,Host Guard主机防御,CMDB,Firewall,Anti-DDOS,漏洞扫描,应用日志,堡垒机,信安系统,IPS,银河系统（安全大数据与人工智能）,安全运维人员SOC,WAF/IPS,网络监控,7X24 安全威胁与事件检测、分析与响应统一平台,华北Region,华东Region,Anti-DDOS,信安系统,网络监控,IPS,WAF,其他.,华南Region,Anti-DDOS,信安系统,网络监控,IPS,WAF,其他.,内控审计人员外部第三方审计,华为公司内部IT基

4、础设施安全部门已经合并至Cloud BU，同一个平台、同一个团队，利用30年积累的安全能力，为华为公司和华为云租户提供全球最高等级的安全保护,华为云平台网络安全,安全区域划分与隔离DMZ公共服务区Public Service资源交付区POD（Point of Delivery）数据存储区OBS（Object Based Storage）运维管理区OM（Operations Management）业务平面划分与隔离租户数据平面业务控制平面平台运维平面BMC管理平面(Baseboard Management Controller)数据存储平面网络边界防护Anti-DDoSIDS/IPSWAF,O&

5、M,DMZ,POD,OBS,Public Service,Internet,Admin LAN(Intranet),WAF,NGFW&IPS,Anti-DDoS,华为云平台网络边界安全防护,WAF,华为云平台虚拟化安全,vCPU 隔离虚拟化平台基于业界通用的硬件辅助虚拟化技术（Intel VT-x）实现。基于硬件虚拟化的CPU 隔离主要是指虚拟化平台与虚拟机之间的隔离，虚拟机内部的权限分配和虚拟机与虚拟机之间的隔离。内存隔离虚拟化平台负责为虚拟机提供内存资源，保证每个虚拟机只能访问到其自身的内存。虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系，保证虚拟机内存与物理内存之间形成一一映射关系

6、。I/O 隔离虚拟化平台还给虚拟机提供了虚拟I/O 设备，包括磁盘、网卡、鼠标、键盘等。虚拟化平台为每个虚拟机提供独立的设备，避免多个虚拟机共享设备造成的信息泄露。,华为云平台数据安全,平台层数据访问隔离,IAM 权限访问控制,数据隔离机制,传输加密,Data Center,VPN,TLS,数据存储加密,KMS,VBS,IMS,EVS,OBS,数据删除机制,内存删除将内存重新分配给用户之前，会对分配的内存进行清零操作，即写“零”处理,物理磁盘报废处理当物理磁盘报废时，华为云通过对存储介质进行消磁、折弯或破碎等方式清除数据，并对数据清除操作保存完整记录,磁盘数据删除华为云对销户虚拟卷采用清零措施

7、，确保数据不可恢复,Cloud,数据存储加密使用KMS密钥进行加密,华为云平台 API 安全,Public Services Zone,DMZ区,Service A,Service B,Service C,API 防护机制,安全运维：运维体系,日志收集,日志分析,账号统一管理,攻击取证,智能检测与分析,漏洞扫描,存储,云平台,云服务,计算服务器,安全运维体系,责任到人定向监控实时响应,统一管理集中存储实时响应,入侵侦测入侵回溯情报预警,定期评估漏洞发现可视报表,华为云平台内控管理能力,华为公司建立了严格的内控管理制度，从流程和技术两个方面，约束了华为云平台运维管理人员的行为规范，并通过月度遵从

8、性测试、半年度内控成熟度评估、内部独立审计等，确保华为云内外合规，信守对客户“不碰数据”的承诺。,面向全球构建合规，满足全球用户合规需求,TUV Trusted Cloud,CSA-STAR,ISO27001,IDC/ISP,Trusted Cloud,ISO,ESARIS,ITSS,Trusted Cloud,95%各服务安全需求满足度从80%提升到95%,31+分解为31+大类安全规范,1000+分解为1000+条测试用例,50+分解为50+安全技术基线,200+每年持续投入200+人进行安全改进,第三方多次要求第三方机构对云平台进行安全测试,德国PSA认证,1,2,3,6,5,4,华为云

9、在全球获得的部分安全认证,华为云通过德国PSA案例,20+全球权威认证，持续增加，满足全球不同行业、不同区域合规需求,等保,可信云,网络安全审查,目录,3,华为云安全服务：提供全栈的安全防护,2,华为云：做最安全的公有云,1,企业上云的安全顾虑,4,安全解决方案：构建纵深的云安全体系,5,安全案例,数据加密,木马上传,非授权访问,SQL注入,进不来,XSS跨站,恶意插件,自动学习,应用安全,数据库安全,自动发现,动态脱敏,全面控防,精准审计,看不到,拿不走,强合规性,国际标准算法,第三方HSM,密钥管理,数据加密,数据库安全,应用安全,网络通道加密,数据接入控制,数据,数据安全,应用安全,主机

10、安全,Anti-DDoS,DDoS高防,漏洞管理,资产管理,基线检查,Web应用防火墙,主机扫描,密钥管理,密钥对登陆,数据脱敏,数据专属加密,EVS/VBS/IMS/OBS/RDS加密,网络安全,化理念为实践,更懂企业云安全需求，长期服务企业的安全品质,云防火墙,端云协同防护,安全管理,主机安全体检,态势感知,安全监测,证书管理,云堡垒机,安全风险和方案,安全服务,入侵检测,应急响应,网站安全体检,安全加固,中间件（含DB）扫描,Web扫描,弱密码扫描,业务逻辑扫描,编码扫描,数据库审计,数据库防火墙,以数据安全为中心，构建一系列企业级精品安全服务,网页防篡改,DDoS高防服务是针对游戏、金

11、融、电商等用户遭受的大流量DDoS攻击，推出的付费增值服务,DDoS高防服务：T级攻击下，业务无损防御,T级清洗能力，7大清洗节点，弹性防护按天付费全球云清洗资源调度，端云协同，近源清洗云清联盟全球情报共享，DDoS攻击协同防御,海量攻击防护,独有“V-ISA”信誉体系，七层报文过滤，唯一实现“100%防御，业务零影响”可精确防御100+种DDoS攻击，防御类型业界最多最强单设备性能1.96Tbps，逐包检测，攻击秒级响应,精准攻击防御,优质骨干网接入，全国回源延迟小于50ms高防清洗调度平台线路可用监控，异地调度支持同线路不同区域、不同线路IP切换，高防业务稳定可靠,极速可靠访问,17年专业

12、DDoS防护经验，平均每周防护1000+次以上攻击运营商领域多年深厚积累，调度响应快，骨干网络运维经验丰富,专业运营团队,网络安全,主机安全,应用安全,数据安全,安全管理,企业主机安全（HSS）：云服务器贴身安全管家,大企业10000+同时稳定运行实践，减少90%被攻击次数，100%保护主机安全,*支持华为云、非华为云、私有云、数据中心部署,网络安全,主机安全,应用安全,数据安全,安全管理,Web应用防火墙：Web服务的“最佳搭档”,技术创新独创 双引擎检测（规则+AI）独创“动态”防爬虫算法精准 IP+Cookie双重验证阻断CC攻击,Web服务器（华为云）,防护引擎集群,WEB流量,流量回

13、源,Web应用防火墙,华北华东华南香港,租户VPC,华为云,攻击者,WEB攻击流量,“WAF的主要好处就是可以防范企业开发的Web应用代码中“自己造成的”安全漏洞，并且防范主流Web应用软件中的安全漏洞。”Gartner 2017,将www.XX.com流量引流至华为云Web应用防火墙,Web服务器（非华为云）,华为云外部,专业可靠异地容灾隐私屏蔽7*24小时专人值守,简单易用零维护成本配置界面简洁易懂安全专家答疑解惑,网络安全,主机安全,应用安全,数据安全,安全管理,漏洞扫描服务：“无死角”发现漏洞,简单易用零维护成本：无组件安装，零运维极简UI：界面简洁易懂专家咨询：安全专家在线答疑解惑,

14、漏洞扫描服务(VSS),编码安全性检查,主机扫描,Web扫描,逻辑扫描,数据库扫描,安全基线,弱口令,中间件扫描,服务器,华为云租户VPC,服务器,非华为云,引擎集群,华为云,探测报文,探测报文,监测全面一机多能：拥有Web/主机/系统/数据库/安全基线/弱口令等多种扫描能力编码检查：消灭漏洞于程序开发阶段“无死角”扫描：支持公/私网IP扫描,快速高效多引擎协同：弹性扩缩，快速高效更新快速：漏洞库平均更新时间48h按需扫描：“无害”V.S.“深度”,网络安全,主机安全,应用安全,数据安全,安全管理,数据加密服务（DEW）：实现云上数据透明、可控、可管理,密钥加密,ECS,数据加密,IMS,OB

15、S,EVS,VBS,密钥管理服务（KMS）,专属加密服务（Dedicated HSM）,虚拟HSM,虚拟HSM,独享HSM,业务虚拟机,ECS,ECS,加密芯片,加密芯片,加密芯片,租户A,租户B,VIP,业务虚拟机,ECS,密钥对登陆,高安全性：只有租户可以访问和操作高性价比：总运营成本（TCO）相比线下下降75%以上独享芯片加密：保障业务性能合规性满足：支持国密或FIPS140-2 Level 3,成本更低：按需付费 数据加密：集成多个云服务，加密用户数据密钥管理：国内最丰富的密钥管理特性密钥保护：采用经过认证的HSM作为信任根,网络安全,主机安全,应用安全,数据安全,安全管理,数据库安全

16、服务（DBSS）：全方位防护云上数据库,数据库,数据库防火墙权责分离SQL注入防御数据访问控制,数据库安全,实时脱敏保证敏感数据不外泄,动态数据脱敏,敏感数据根据策略配置和要求，自动定位和分类,敏感数据发现,提供列表级的管理活动和访问活动监控,数据库审计,数据库安全服务介绍,网络安全,主机安全,应用安全,数据安全,安全管理,安全专家服务（SES）：因为专业，所以放心,为用户业务提供安全体检、安全加固、安全监测以及应急响应等一站式服务,网络安全,主机安全,应用安全,数据安全,安全管理,安全中心（Security Center）,安全风险指数独家加权算法，为用户提供直观的风险评级资产安全状况安全状

17、况一目了然，快速找出安全短板威胁事件统计覆盖DDoS、暴力破解、Web攻击等主流威胁资产威胁趋势帮助用户密切洞悉风险资产变化情况攻击来源排名呈现Top攻击来源，为攻击溯源提供判断依据,攻防态势尽收眼底，提供极致SecOPS体验,网络安全,主机安全,应用安全,数据安全,安全管理,云堡垒机服务：云上安全运维管家,免于安装,无须安装部署，一站式运维和安全管理，简化运维和安全操作，降低企业运维和安全成本,易于审计,可视化所有操作和行为，并提供实时监控、录屏、回放等功能，保障资产的可控,无限并发,云堡垒机多种版本，支持20到无限资产，不限并发数，企业无需担心运维的并发压力,安全合规,满足“网络安全法”等

18、的规定，企业必须采取信息系统风险内控与审计措施的要求，满足企业合规需求,网络安全,主机安全,应用安全,数据安全,安全管理,SSL证书管理服务：实现网站和应用的安全传输,SSL证书管理（SSL Certificate Manager，SCM）是华为联合全球知名数字证书服务机构，为Web网站、APP服务器提供的一站式安全套接层（SSL）证书和传输层安全（TLS）证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输,SSL证书管理,ELB,ECS,网站b,https,手机接入,浏览器接入,网站a,https,WAF,DNS,与基础服务联动,证书管理,网站可信,应用可信,数据传输保护,防止仿

19、冒,合法应用,保护完整性,4大证书品牌国内最全,5种证书类型覆盖各类场景,1键推送简单易用,1证多域名自由组合,网络安全,主机安全,应用安全,数据安全,安全管理,安全生态,目录,3,华为云安全服务：提供全栈的安全防护,2,华为云：做最安全的公有云,1,企业上云的安全顾虑,4,安全解决方案：构建纵深的云安全体系,5,安全案例,SAP安全解决方案,结合华为多年企业级安全实战积累，围绕SAP典型安全风险及业务架构特点，为客户打造专业、稳定、可靠的安全解决方案。网络隔离及访问控制VPC、网络ACLSAP系统安全（生产、开发/测试）主机安全、VPN/DC、下一代防火墙SAP Hybirs安全WAF、An

20、ti-DDoS运维安全堡垒机安全管理安全体检、漏洞扫描、态势感知、秘钥管理,Web安全防护云WAF支持超强编码还原能力，检测率高，误报率低智能人机识别，防御CC提供独家网页防篡改能力,高防IP&CC防御独家“ISA(IP/Session/APP)”信誉机制，支持防护攻击类型最多七层过滤、逐包检测、逐层清洗，业界最细检测粒度纵深CC防御：基础&高防DDOS、云WAF均支持CC防御特性,数据库安全服务基于反向代理及机器学习机制，提供防SQL注入攻击、敏感数据发现、数据脱敏和数据库审计等功能，保障云上数据库安全,移动安全生态专业的移动安全服务提供商，适配华为云，提供从开发至运营，全生命周期的移动Ap

21、p安全服务，有效防止破解外挂、客户端仿冒等威胁,游戏安全解决方案,电商安全解决方案,数据是电商客户的最重要资源，华为云恪守数据中立原则，推出多种以数据安全为核心的安全服务，针对电商行业特点，帮助电商客户构建数据的全栈防护网络隔离及访问控制特色的数据库安全服务专业大流量DDoS攻击防御以及纵深CC攻击防御体系数据风控解决方案APP 安全,等保合规安全解决方案,解决方案策略华为云依托自身的行业优势以及华为云安全产品能力，拉通行业资源为客户提供一站式服务，快速获证合作伙伴（咨询机构、测评机构）能够提供有竞争力的商务条件华为云与合作伙伴签订战略协议，为客户提供有保障的等保测评服务避免多点沟通和重复工作

22、、减少测评时间、提供云上安全和合规最佳实践,华为云：整合服务机构能力，并提供安全产品咨询机构：提供全流程技术支撑和咨询服务测评机构：提供测评服务等保认证中心：负责备案审核和监督检查客户：做为等保的主体，负责业务系统的等保要求,全面的等保技术方案，一站式等保测评服务，助力客户合规上云,云主机防暴力破解安全最佳实践,云主机安全最佳实践，从登录规则建议、基础安全加固、安全策略、主机安全进阶四个防护维度为云上主机提供最佳的安全实践。登录规则建议：引导用户使用密钥登录、遵循强口令安全意识基础安全加固：设置SSH配置文件、本地安全策略抵御非法暴力破解行为安全策略提升：结合安全组、iptables、防火墙、

23、堡垒机最小化访问控制策略主机安全进阶：配备云安全服务主机安全服务、安全体检服务、双因素认证打造安全壁垒,目录,3,华为云安全服务：提供全栈的安全防护,2,华为云：做最安全的公有云,1,企业上云的安全顾虑,4,安全解决方案：构建纵深的云安全体系,5,安全案例,客户案例（XXXX）-云安全应用架构,SSL证书管理 SCM,华为云安全白皮书,扫描二维码可查看和下载,Copyright2018 Huawei Technologies Co.,Ltd.All Rights Reserved.The information in this document may contain predictive s

24、tatements including,without limitation,statements regarding the future financial and operating results,future product portfolio,new technology,etc.There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements.Therefore,such information is provided for reference purpose only and constitutes neither an offer nor an acceptance.Huawei may change the information at any time without notice.,Thank You.,