构筑智能的深层防御安全体系、实现云可信

　　对客户而言，云时代带来安全挑战的同时，在安全方面也带来很多优势。大的云服务商都有很强的安全团队，有能力构筑基于深层防御的云安全解决方案，可更好地应对安全威胁；也有强大的应急响应能力，可提供更好的安全保障能力；同时，云服务商通常也会将自己保护云基础设施的安全能力延伸到其客户，提供丰富的安全服务，让客户按需选用，比如云服务商提供的漏洞扫描、安全配置检查和补丁服务等；另外，也会将业界最好的第三方安全产品集成进来提供安全服务，方便客户选用，比如WAF、DLP和杀毒等产品。由于安全人才稀缺，薪酬也比较高，大多数客户并没有配备经验丰富的安全团队，将业务迁移到云端以后，由于云服务商提供了安全解决方案部署的便利性、更强的安全技术和人才保障，其实更安全。

　　2016年9月22日，雅虎公司承认两年前其5亿用户的信息被黑客盗窃，该消息导致Verizon可能会放弃对其48亿美元的收购计划；此前，已经发生过MySpace的3.6亿邮件泄露、LinkedIn的1.67亿用户信息泄露，以及EBay的1.45亿用户信息泄露等类似事件。

　　部分企业CIO认为，迁移到云服务将使保存在云端的数据更容易受到黑客的攻击。数据泄露和其他攻击经常与身份验证不严格、弱密码横行以及密钥或凭证管理松散有关。

　　正因为数据安全如此重要，因此最近几年，业界很关注“以数据安全为中心”进行风险分析和安全架构设计。数据的安全防护是重中之重。

　　企业客户希望能够独立验证其数据是如何存储、访问和加密的，以消除其对于数据安全性的担心。另外，斯诺登事件后，很多企业担心政府会通过合法或者非法的手段查看其数据，同时也担心企业的数据会被云管理员等查看。另外，数据存储在云端后，租户无法确定其具体的存储位置，担心数据被人转移；也担心数据删除时，云端物理存储设备是否真正彻底地进行了同步删除。华为的公有云非常重视用户隐私保护，绝对不允许触碰租户数据。华为在国外开展公有云业务，通常是交给合作伙伴去运营。比如德国电信公有云，是由德国电信这样在当地享有信誉的电信公司来负责，更容易赢得客户的信赖。

　　API和界面通常都可以从公网访问，也就成为了系统对外暴露的部分，成为攻击风险最大的部分。

　　对于公有云，租户和互联网用户能直接访问到这些服务，比如用户要登录Web页面订购云服务，这些Web服务是面向所有互联网用户的，其风险比较大。另外，租户本身也可能是攻击者，故意订购一些云业务，其实是测试其中的漏洞，然后利用租户身份发动攻击。PaaS服务主要以API为服务的载体，API的设计和使用不当容易引入风险。

　　公有云是众多租户共享的一个大系统。云服务共享基础设施、平台和应用，一旦其中任何一个出现严重漏洞，则每个人都可能会受到影响。

　　比如，最近几年，虚拟化平台出现多个严重漏洞，可以导致虚拟机逃逸。客户比较常见的问题之一就是如何解决虚拟机逃逸问题？

　　DDoS攻击是云服务面临的最常见的攻击，影响到可用性，使网络带宽被大量占用甚至挤满，造成业务瘫痪系统；或者响应会被拖慢，消耗大量处理能力。

　　DDoS攻击在数据中心中非常频繁，消耗了管理员大量运维时间。国内攻击流量达到数百Gbps已不少见，当攻击流量带宽超过云服务商的数据中心入口带宽时，要依赖和运营商等合作。华为在抗DDoS产品上有十多年研发经验，产品在国内外运营商网络、数据中心均有广泛部署，具有业界领先优势；并发起“云清联盟”， 通过全球运营商、MSSP、IDC合作，构成一个云端的“DDoS防御生态系统”， 实现“近源清洗”，更好的解决DDoS攻击问题。

　　内部人员威胁拥有很多张面具：现员工或前雇员、系统管理员、承包商和商业合作伙伴等，恶意行为可以从单纯的数据偷盗到报复公司。

　　这是公有云非常不同于传统网络的地方，公有云管理员管理的租户数据并不属于云服务商。公有云设计的重要前提就是要防止内部人员“作恶”，因此对传统管理员的内部调试和定位问题的能力都要进行限制。好的公有云设计要能够做到除非得到客户授权，否则无法进入客户系统窥探数据。

　　租户本身的安全意识薄弱，则租户自己的虚拟机就有可能被入侵，并被用于支持违法活动；当然，也可能是租户自身的恶意企图。

　　作为云服务商，也要具备对租户虚拟机“作恶”行为的监控能力。当然，这种监控不能超越必要权限，比如获取租户的隐私信息就不允许。另外，国内的公有云出口国家都会强制部署信安系统进行检测，对反动、黄赌毒等内容进行识别。

　　在国外，许多上市公司、政府机构和医院等客户面临很多法律法规的合规要求，IT设施和运维必须要满足这些要求。对于把业务迁移到云业务后是否满足合规要求，客户是有顾虑的。国内对一些行业也有等级保护等各种要求。业界有众多公司提供合规方面的认证和咨询服务，可以帮助客户减少这方面的担心。

　　为了应对上述安全风险，解决用户信任问题，云服务商要综合技术、合规运营、信息透明和宣传等多种手段。做好云的安全防御工作，要以黑客的视角看问题——“不知攻，焉知防”。漏洞无处不在，攻击技术不断演变，靠单一的手段防御很难奏效，需要综合的解决思路来构建深层防御体系。

　　推行SDL，以数据安全防护为核心，在设计中构筑安全质量，从源头提升安全质量：推行SDL（Secure Development Lifecycle）安全研发流程很重要，很多人理解不了SDL的重要性。实际上业界主要的大软件公司都将此作为重要基础手段。没有SDL的推行，开发出的产品会漏洞百出。基础软件安全质量差，靠其他防御手段很难弥补。比如，这些年缓冲区溢出造成的高危漏洞居高不下，这与没有推行SDL或者推行SDL落地不到位有很大关系。前面提到的界面和API的风险，就需要依赖良好的安全设计和编程才能有效减少漏洞。

　　2016年10月21日，美国很多城市出现网络瘫痪，起因是大量IoT设备的漏洞被利用，造成DDoS攻击所致。根本原因就在于众多研发IoT设备的小公司没有安全研发流程，造成很多低级漏洞。比如，一些IoT设备上存在硬编码的默认账号，还没法修改密码，必须要升级固件才能解决，这是非常低级的设计错误。华为公司严格推行SDL流程落地，这对于安全质量的提升提供了重大保障。

　　从设计上讲，强调以数据安全为核心来端到端设计安全架构，涉及到密钥的分发和管理、身份认证、管理员账户的管理、数据加密和安全域隔离等各个环节。任何环节疏漏均可能造成数据泄露。华为为了增强对租户隐私数据的保护，还采用了加密态搜索技术，确保管理员也无法获取。

　　对于云这样的大型系统来说，开发系统上要尽量归一，才能减少漏洞引入和对专家的依赖。比如开发语言、操作系统、Web框架、API框架和虚拟化平台等要尽量归一。对于云产品，一般开发都采用了DevOps研发模式，为满足快速交付，研发要增强安全自动化测试能力。

　　建立深层防御，防止单点突破，提升黑客攻击难度：无论是单产品还是解决方案，架构上都要设立多层次的防御系统，提升黑客攻击的难度。比如，对于主机防护可以通过SELinux对操作系统进行加固；打开DEP和ASLR等提升漏洞利用的难度；运用可信计算技术防止代码被篡改；关键数据进行加密让黑客拿到数据也难以破解等等；解决DDoS问题也要建立层次化防御，比如，与运营商在骨干网进行合作，防止入口带宽打满；在数据中心内部也要建立抗DDoS清洗系统。深层防御已经成为业界公认的安全架构设计的一个基本原则。当然在安全设计上还有最小权限等业界公认的8大安全设计原则，但是把军事上的纵深防御思想引入到安全架构设计原则是一个重大进步。

　　建立“隔离舱”，避免影响整体安全或者避免关键域被攻击：隔离涉及到网络层面的隔离和软件层面的隔离。其中的网络隔离，比如划分安全域，做好安全域隔离。网络隔离的设计是安全方案最基础的工作，具体做到什么程度还要兼顾成本和管理等多方面进行考虑，但是安全等级不一样的域和业务差别较大的域最好还是隔离开。比如，要把用户访问界面与运营和认证系统做好隔离；而提供给用户的API必要时也需要通过代理（Proxy），并做好权限控制，以实现隔离。

　　软件层面的隔离，比如应用程序运行在容器中，可以在应用程序与其他系统之间建立一定的隔离墙，以减少彼此影响。比如，应用程序不要以Root权限运行，分配权限应尽可能的小，尽可能实现与操作系统的隔离；隔离，也可以结合最新的硬件技术，比如，运用Intel芯片的SGX技术将要保护的软件和数据位于Enclave中，这样即便操作系统或者Hypervisor被渗透，也无法影响Enclave中的代码和数据。

　　假定系统已经被入侵，关键点全面部署威胁感知系统：无法攻破的大型系统是不存在的，这已经被无数案例证明。只能假定系统肯定会被入侵，那么我们的防御思路就会有彻底改变。

　　首先，我们要假定任何关键区域都有可能被突破，那么就不能出现监控盲点。要对基础设施、平台和应用全面实施安全监控，消除监控盲点。比如服务器可以考虑部署AGENT，输出配置、进程和访问日志等信息，对这些信息进行系统分析可以有效发现入侵，这也是防止内部作恶的有效审计手段，同时也可以监控云服务是否被滥用。但对于涉及到VM以上的租户系统，要取得租户许可，租户可以根据需要选用。

　　前面谈到虚拟机逃逸问题，业界主要就要靠监控手段，比如在Hypervisor或更底层设置监控。如果没有这些监控，则一旦突破之后就可能造成严重危害。这就好比我们在房子关键位置都设置了摄像头和红外传感器，入侵者通常很难逃避这两种传感器，除非传感器被破坏了。但是我们设置这些监控，当然不会把监控技术公开，以免被入侵者找到规避的方法。

　　在假定系统肯定被入侵的基础上，则系统的安全设计要全面增强。比如，对于机密数据，我们要假定操作系统已经被入侵了，此时如何防范？首先就要对重要数据进行加密，密钥不能存储在本地，让入侵者拿到数据也没法破解；其次，原来传统认为只有管理员才可能接触到的区域，也要进行深度防范，对于内部机-机之间的通信也要认证和加密。

　　云安全解决方案上还要应用欺骗技术（Deception）。Gartner将欺骗技术列为2016年的10大信息安全技术之一。这个属于威胁感知中很重要的主动防御技术之一，在云系统中很重要。伪装的越真实，越能吸引攻击者现身或者延缓对真实目标的攻击时间。传统的蜜罐属于这类技术，但蜜罐技术手段比较单一，容易被攻击者识破。欺骗技术的发展方向将更强调以各种综合手段达到以假乱真的目的。

　　部署机器学习和大数据安全分析系统，实现安全智能化：云系统每天产生的安全日志数量已经远远超出人工能分析的范围，运维人员很难知道哪些是真正有威胁的攻击，应用机器学习和大数据分析系统已经必不可少。华为已经在国内的公有云中部署了大数据分析平台来辅助安全运维，该系统可以辅助人工决策，提高安全分析能力，是新一代智能SOC（Security Operation Center）的核心技术。另外，业界也强调SOC系统要和威胁情报结合到一起，威胁情报的核心是要做到“知己知彼”，不能被动防御，而要主动分析和了解攻击者的最新攻击态势、攻击方法、攻击工具以及位置和身份等。云服务商要自己积累这方面能力，也需要与业界合作，获取最新信息。机器学习和大数据分析是建立威胁情报的一个重要手段。

　　安全运维要实现安全的自动化和可视化：云规模庞大，但却只有为数不多的安全运维人员，必须尽可能实现安全运维的自动化和可视化，能自动化的就不要靠手工。另外，这对云安全运维人员提出了比较高的技能要求。新一代的安全运维人员一般要求有比较熟练的编程能力，随时可以根据需要编一些脚本或者开发一些工具，来满足自动化需要。

　　（1）全面监控整网的安全状态，实现安全的可视化。比如对整网的各个部件的应用软件、操作系统版本和补丁状况要一目了然，一旦爆出漏洞，监控系统就能通报哪些设备需要打补丁，并自动生成工单，推动补丁的快速修补。事实上，业界绝大部分入侵并非0DAY漏洞造成，而是已知漏洞未及时打补丁造成的。

　　（2）引入在线的安全自动测试方法，比如实时探测系统漏洞、探测弱密码账号和错误配置导致的安全隐患等等，抢在黑客之前发现风险。公有云每天会受到无数黑客工具的扫描，只要不是深层次漏洞，很快就会被黑客发现，对此不能存在侥幸心理。作为自动测试工具，要快速跟进黑客的工具，因为黑客的工具能力更新速度常常超出你的想象。

　　（3）实现安全策略监控、自动分析、编排和下发。比如数量众多的防火墙，修改安全策略就比较容易出错，特别是随着虚拟机动态迁移，安全策略也要实现动态迁移，最终实现安全策略的编排和自动下发、安全策略监控和自动分析，也可以称之为软件定义安全。

　　采用自适应的安全架构：对于公有云的攻击无时无刻不在，入侵和反入侵的工作是常态。为此业界提出了自适应安全架构，云时代的安全服务应该以“持续监控和分析为核心”，覆盖防御、检测、响应和预测4个维度。此外，该架构还多出了“预测”，旨在加强“威胁情报”，更加主动地发现和应对风险，提前采取行动。

　　对于租户系统的安全，提供安全方案支持：对于VM之上租户系统的安全，原则上由租户自己负责，但很多租户缺乏安全能力。一方面，我们可以将应用在云平台的安全方案能力开放出来，让用户可以自行选择，比如用户可以选择安装我们开发的主机AGENT，以增强主机入侵检测能力；另外，也可以与业界安全厂商广泛合作，比如把DLP和入侵检测等安全产品引入到解决方案中来，做好解决方案的集成工作，以方便用户选用。

　　强化漏洞管理能力，加快应急响应：公有云软件体量庞大、业务快速迭代上线，而且还采用了不少开源软件，这就需要采用有效措施来降低漏洞风险。

　　首先，应加强漏洞情报工作，同时也可以考虑实行漏洞奖励计划。与业界漏洞组织合作，确保开源漏洞爆发的第一时间通知到云服务商；构建安全生态，让业界白帽子在第一时间把漏洞报过来。此外，对于主动上报云漏洞的可以给予奖励。这本质是一种众测模式，是一个双赢的方法。

　　其次，应建设适应互联网模式的快速应急响应能力。公有云应急响应的本质是与黑客赛跑，一旦爆出高危漏洞，常常需要24小时内解决问题，需要高水平的专家、工具、技术和必要的强制运维要求。公有云业务要有批量自动化打补丁的工具；要尽可能支持热补丁技术；要支持业务热迁移，通过热迁移解决打冷补丁导致的业务中断问题；在运维要求上，云中的OS要尽量归一，用白名单来管理；要实现OS和上层业务的版本发布解耦，实现各自的补丁独自发布。

　　合规运营是取信于人的基础，也是防止“内鬼”的重要手段，既要有运营/运维的管理制度和执行要求，也牵涉到云平台的基础技术要求。业界有很多相关的安全认证，通过这些认证，既能提升自己的合规运营能力，也能帮助客户减少对合规和数据泄露的担心。事实上，很多客户的信任很大程度上会参考云服务通过了哪些权威认证。

　　华为作为全球领先的ICT解决方案供应商，不仅自身的产品和云服务获得了多项国际和国内的安全认证，还协助全球合作伙伴获取了多项云安全认证，包括ISO27001、CSA STAR和TUV Trusted Cloud等。

　　客户使用云的最大问题是信任。云服务商需要提供云基础设施的安全、隐私保护和合规等足够信息，使客户确信云服务商是值得信赖的。对于云服务商来说，解决问题应积极主动，比如可通过安全白皮书等形式将云安全相关信息传递出去；建立网站提供安全和隐私保护的相关信息，并及时公布客户关心的安全问题的信息，做到透明可信；积极参与安全会议的宣讲或者媒体宣传等等。此外，尽可能地通过各种安全认证也有助于很好地建立客户信任。

　　华为云安全解决方案由租户安全、基础设施安全和安全管理3部分组成。在租户安全方面，华为提供开放的平台，联合合作伙伴一起为租户提供丰富的安全服务；在基础设施安全上，华为提供从网络到应用再到数据的全栈式安全防护体系，实现基础设施的纵深防护；在安全管理上，华为实现了安全的可视化，做到风险可呈现、策略可联动和态势可评估。

　　华为云安全解决方案不仅保护了华为企业云的安全，更为中国电信天翼云、德国电信Open Telekom Cloud和西班牙电信Telefonica Cloud的安全提供了坚实保障。

　　“与时俱进”是应对安全威胁的唯一方法。要及时跟进业界最新的攻防技术，比如，机器学习和大数据应用在安全上是非常有前途的技术，机器自动攻防也同样值得关注。此外，业界还应该加强在威胁情报方面的合作，共同提高安全防御能力。