安全常见问题
安全常见问题
-
华为云提供的基础设施足够安全吗?
华为云将基础设施安全视为构筑多维全栈的云安全防护体系的核心组成部分。为了让您可以更放心地上云,并利用安全的华为云服务聚焦在业务发展上,华为云参考业界最佳实践在数据中心、网络等基础设施的设计和管理上充分考虑安全性与合规性。
华为云在全球布局多个地理区域和可用区,您可以通过华为云官网的首页查看华为云全球基础设施的具体站点和产品部署分布。华为云在数据中心机房建设和管理过程中,充分考虑机房选址、访问控制、监控措施以及数据中心业务连续性等,以保障华为云基础设施的安全性和可靠性。详细的数据中心安全设计和实践,您可以访问数据中心页面了解。
在网络安全设计方面,华为云参考 ITU E.408 安全区域的划分原则并结合业界网络安全的优秀实践,对华为云网络进行安全区域、业务层面的划分和隔离。
更多华为云基础设施的安全设计和实践,您可以下载《华为云安全白皮书》了解。
-
华为云如何保障平台和应用的安全性?
华为云结合30多年的安全经验积累和现状,积极推行快速迭代的全新 DevOps 流程,将华为的安全生命周期(SDL)无缝嵌入其中,进行平台和应用的开发,以保障整个开发过程安全可靠。
● 在中国可信云认证中, 华为云平台的云主机获得最高级的五星+认证。 为保证平台安全,华为云对主机操作系统进行最小化裁剪并对服务做安全加固。对接入平台的人员执行严格的权限访问控制,并实施全面的运维运营操作审计机制。所有接入均须通过堡垒机,并实行双因素认证。作为华为云平台操作系统,华为统一虚拟化平台从 CPU、内存和 I/O 三个方面实现资源安全隔离。具体实现机制,您可以通过《华为云安全白皮书》的“平台安全”章节内容了解。
● API是云服务应用至关重要的安全边界,采用多重机制和措施进行重点保护是非常必要的。华为云开放的API是通过华为自研的API网关APIG实现的,API网关支持身份认证及鉴权、传输保护、边界防护、API流量控制等多种机制使API得到有效保护。
-
华为云如何保障我云上数据的安全性?
华为云高度重视您的数据资产,把数据保护作为华为云安全策略的核心。因此华为云遵循数据安全生命周期管理的业界先进标准,在身份认证、权限管理、访问控制、数据隔离、传输安全、存储安全、数据删除、物理销毁等方面,采用优秀技术、实践和流程,为您提供切实有效的数据保护能力。您可以在《华为云数据安全白皮书》中找到更多实践内容。
但是,值得强调的是,对于您使用云服务产生的内容数据,华为云只是其托管者,您对其拥有所有权和控制权。您需要负责各项具体的数据安全配置,对其保密性、完整性、可用性以及数据访问的身份验证和鉴权进行有效保障。例如在使用统一身份认证服务IAM和数据加密服务DEW时,由您负责妥善保管您自行配置的服务登录账户、密码和密钥,并负责执行密码密钥设定、更新和重设规则的业界优秀实践。您可以在华为云产品页面的【安全与合规】分类下查看更多提供数据保护的产品。
华为云承诺绝不会在未经授权的情况下访问您的内容数据,同时遵从华为云服务适用的法律法规,并持续关注内外部合规要求的变化,开展所服务行业的安全标准评估,并且向您分享我们的合规实践,保持应有的透明度。
-
华为云是否将我的数据转移到其它地区或国家?
● 对于内容数据:您可以决定内容数据存储的区域。没有获得您的明确同意或者其他法律义务要求时,华为云不会将您的内容数据转移到其他区域。您若有将内容数据进行跨境转移的需求,且需华为云协助时,可联系和授权华为云,华为云根据您的授权对数据进行转移。
● 对于个人数据:华为云通过遍布全球的资源和服务器为您提供产品与服务,收集您的个人数据可能存储在华为云及其关联公司、服务提供商/分包商所在的国家/地区。这意味着,您的个人数据可能会被转移到您使用的产品或服务所在的国家/地区以外的其他司法管辖区,或者受到来自这些司法管辖区的访问。
此类个人数据存储地的司法管辖区可能采用保护程度不一的个人数据保护法律,甚至未订立相关法律。华为云会确保您的个人数据得到适用的法律法规和《隐私政策声明》的保护。对于中国大陆的用户,您的个人数据将被存储于中国大陆境内的服务器。
-
除了云自身的安全保障,我还可以选择哪些安全服务提高云上业务的安全性?
华为云基于多年安全经验,以数据安全为核心,开发了一系列多维立体、纵深防御的软硬一体化的安全产品和服务。例如,态势感知SA,威胁检测服务MTD等帮助您管理系统安全态势的产品;以及企业主机安全HSS、Web应用防火墙WAF等保护您云中负载和应用服务的产品。此外为了保护您的云上数据资产,华为云研发了非常多的数据安全产品,如数据安全中心DSC、数据加密服务DEW、数据湖治理中心DGC等。您可以在华为云产品页面的【安全与合规】分类下查看更多安全产品。
通过这些安全产品和服务的加持,结合华为云自身的安全保障,您可以快速构建一个完整的云上安全体系。
-
在运维运营阶段,华为云有哪些优秀实践或产品可以帮助我?
在DevOps/DevSecOps云服务流程中,运维运营与研发同等重要。华为云对运维运营尤为重视,在运维安全、漏洞管理、安全事件管理和业务连续性与灾难恢复管理等方面均有诸多具体实践。以运维接入为例,华为云通过数据中心部署的VPN和堡垒机,实现运维管理平台的统一运维管理和审计,并根据具体场景设置了不同的安全管控措施。您可以通过《华为云安全白皮书》的“运维运营安全”章节获取更多信息。
另一方面,华为云基于经验和实践开发了各种运维,并开设相关的赋能培训课程,帮助您实现运维安全和运维智能化。针对运维场景的产品推荐,您可以访问运维运营安全页面进行了解。
-
如果我云上的业务要满足安全合规,我需要做什么?
在云服务模式下,云服务提供商(CSP)和云客户基于责任共担模型进行安全合规云环境的构建。即华为云负责云服务自身的安全合规遵从,您和您的企业负责云服务内部的安全合规遵从。
华为云关注内外部合规要求的变化,遵从华为云服务自身适用的法律法规,开展所服务行业的安全标准评估,并且向您分享华为云的合规实践,保持应有的透明度。
作为云客户,对于您企业自行部署于华为云上、不属于华为云提供的各项应用和服务,您需负责遵从其适用的法律法规,并自行开展所服务行业的安全标准评估。
关于华为云已通过的认证、遵从的法律法规以及合规实践指导,您可以访问合规中心以及安全合规相关资源了解更多。
-
如果发生了安全事件,我将如何从华为云获得通知?
华为云会遵循相关法律法规,在规定时间内以邮件或短信的方式通知您,有效降低安全事件对您业务的影响。此外,华为云还会通过安全公告页面向您展示最新的安全事件,漏洞相关的资讯。
-
华为云会进行哪些安全测试活动以保障云服务是安全的?
华为云服务在开发编码阶段,就引入了静态代码扫描工具对代码每日检查,所有云产品、云服务在发布前,均需完成静态代码扫描的告警清零。
所有云服务发布前都经过了多轮安全测试,测试内容包括但不限于接口安全测试,代码扫描,漏洞扫描,渗透测试。
服务上线后,华为云的安全运维团队也会通过定期的漏洞扫描、渗透测试等方式进行安全测试活动以保障产品的安全,并极大程度降低您数据的泄露风险。
华为云提供了客户在华为云上执行渗透测试的规则,帮助客户有效评估所购买华为云服务的安全性
-
我如何上报安全漏洞?
当您发现华为云服务网站及产品服务的任何安全漏洞,或者怀疑华为云服务资源正被用于可疑活动,请发送电子邮件至hwssecurity@huaweicloud.com报告事件。为了更高效的回复您的报告,请在邮件中提供必要的支持资料(漏洞复现条件、验证代码、从事可疑活动的资源IP、可疑行为日志等),这些资料对于帮助我们了解漏洞和可疑活动的严重性非常有帮助。华为云服务将跟踪回复每一个反馈报告。在您初次反馈后的 1个工作日内,您将收到一封我们的确认邮件。
除了华为云的邮箱反馈渠道外,PSIRT(华为产品安全事件响应团队)在华为官网公开了漏洞收集邮箱psirt@huawei.com,鼓励全球漏洞协调组织、供应商、安全公司、组织、安全研究者和华为员工等提交华为产品或解决方案的漏洞。
相关安全资源