【笔记总结】华为云：应用上云后的安全规划及设计

一、背景和问题

        数字化时代，随着信息技术的飞速发展，企业和各类组织纷纷将自身的应用程序迁移至云端。云计算凭借其诸多优势，如成本效益、可扩展性、灵活性以及便捷的资源共享等，已然成为了现代业务运营的重要支撑。

        今年，我所在企业也将IT系统全面迁移上云，究其原因是为了在激烈的市场竞争中保持敏捷性和创新性，需要快速部署新的应用并实现高效的数据处理，云平台提供的丰富资源和便捷的服务模式使其能够迅速满足这些需求。

        然而，与此同时，应用上云也带来了一系列严峻的安全问题。随着越来越多的关键业务应用和海量敏感数据存储于云端，其面临的潜在威胁呈几何级数增长。就今年被外部单位通报的各类漏洞数量来说，从传统相对封闭的IDC机房上云后暴露一些几何增长的安全风险。

        云环境的复杂性是安全隐患滋生的温床，多个租户共享云资源的模式意味着可能存在数据泄露风险，一个租户的安全漏洞有可能被恶意利用从而影响到其他租户的数据安全。网络攻击手段日益复杂且多样化，黑客们不断寻找云应用中的薄弱环节。从常见的恶意软件入侵、分布式拒绝服务攻击（DDoS）到高级持续性威胁（APT），这些攻击一旦得逞，不仅会导致应用程序的瘫痪，影响企业正常业务运营，还可能造成客户信息、商业机密等重要数据的泄露，给企业带来不可估量的声誉损失和经济损失。

        如果找不到提升安全的策略，那就对标去看看业界顶流的应用上云安全规划是什么样的，找找优秀案例的实践经验，接下来结合近期学习看看华为应用云化的安全规划和设计（重点是第七章应用安全框架）。

        学习是一种愉悦，一种收获，让我们在探索中感受快乐。欢迎关注、点赞和收藏~

二、目标

1. 掌握租户对于公有云安全的担忧
2. 掌握企业应用上云安全风险与解决方案
3. 掌握公有云数据保密方法
4. 掌握企业组织多账号认证方法
5. 掌握云平台管理安全
6. 掌握企业应用上云法律合规安全

三、公有云安全及框架

1、近年云安全事件解读

TX云端数据丢失

2018年某客户云端发生故障，造成数据丢失，最终确认数据无法恢复。云端运维人员数据迁移过程中的两次不规范的操作，导致云盘的三副本安全机制失效，并最终导致客户数据完整性受损，客户损失超千万。

业务中断

2019年3月AC云平台疑似出现大规模宕机故障，最终确认此次故障影响了众多华北地区的互联网公司。

2、传统IDC安全和云上安全的职责划分不一样

        传统IDC的安全全部由租户承担，而应用上云后的安全整体是按照分层情况由租户自己+云服务上共同完成的。

3、云上安全主要有哪几类

1. 来自于外部的入侵攻击：流量攻击，中断服务；账号窃取，获取权限；漏洞入侵，偷取数据。
2. 云平台的内部风险：共享环境下的隔离问题，如何保障数据的合法使用。
3. 租户层的安全服务：需要快捷、简单、易用、按需；需要统一管理；
4. 管理安全：管理员权限提升安全风险；海量系统的快速安全定位。

4、云上客户安全诉求有哪些

1. 业务连续不中断
2. 运维全程可管控
3. 数据保密不扩散

5、公有云安全框架总体概览

1. 安全需求分析：安全调研与风险分析→安全需求分析
2. 安全架构设计：安全技术体系架构设计
3. 安全管理总体规范设计：安全管理体系架构设计
4. 安全建设方案设计
5. 安全管理制度设计

图1.华为安全体系的设计方法

6、合规需求分析

（1）、等级保护安全要求

• GB/T22239《网络安全等级保护基本要求》:
• 安全通用要求，云计算安全扩展要求。

（2）、云计算安全要求

• GB/T31168-2014 信息安全技术 云计算服务安全能力要求
• GB/T31167-2014 信息安全技术 云计算服务安全指南
• CSA 云安全控制矩阵CCM

（3）、电子政务安全要求

• GW0104-2014 国家电子政务外网安全等级保护实施指南
• GW0202-2014 国家电子政务外网安全接入平台技术规范
• GW0201-2011 国家电子政务外网IPSecVPN安全接入技术要求与实施指南
• 国家电子政务外网跨区域的安全数据交换技术要求与实施指南
• 政务云安全要求

四、云安全体系总体框架

• 可管理、可控制、可信任为战略分解目标，融管理、运行和技术为一体的财政云安全保障体系
• 形成云的特有的安全体系，是为云的业务及应用提供安全的保障体系
• 安全体系中的三个子体系相互关系，形成云安全体系的闭环

五、划分安全域

1. 参考《国家电子政务外网等级保护实施指南》，华为财政云划分为四个安全域，分别是互联网业务域财政内网业务域，数据安全交换域和云管理域;用户通过财政内网域、政务外网域和互联网域接入财政云访问;
2. 互联网业务域，财政内网业务域采用独立资源池部署，并通过隔离网闸实现数据交换；
3. 互联网业务域，财政内网业务域根据功能又可划分为微服务业务区、传统服务业务区、PAAS区:大数区、安全区，不同区域之间采用VPC进行隔离;
4. 微服务业务区、传统服务业务区又为每个应用通过划分不同子网进行逻辑隔离;
5. 管理和业务平面隔离:计算、管理在不同的网络平面；
6. 计算和存储物理隔离:独立的存储网络。

六、总体安全防护部署

基础网络安全防护：

• 1)Anti-DDoS:对来自internet的DDoS攻击进行清洗
• 2)出口防火墙:主要做NAT转换，应用协议识别与控制，安全隔离，访问控制，防止非法访问;
• 3)VPN网关:为管理员，移动用户远程接入提供SSLVPN接入功能，实现安全访问内网;
• 4)核心防火墙:主要对云数据中心内部，各租户网络之间进行安全隔离与访问控制;
• 5)病毒防火墙:病毒检测与防御
• 6)IPS:对云数据中心内部流量进行入侵防护;
• 7)网络审计:对云数据中心网络流量进行审计;
• 8)WAF:对应用进行安全防护，防止Web攻击;
• 9)数据库审计:对访问数据库的流量进行监控与审计。
• 10)管理区防火墙:管理区安全防护与访问控制;
• 11)上网行为管理:用户的互联网访问行为进行监控
• 12)网络准入:终端网络接入进行统一管控，对非法内联进行检测与阻断

七、应用安全框架（重点）

1、安全策略与规划

1. 审计与合规：确保应用符合相关法律法规和行业标准，进行内部审计以发现潜在的合规风险。
2. 威胁与风险建模：分析应用可能面临的威胁和风险，建立风险模型，以便采取针对性的防护措施。

2、开发阶段安全

1. 安全需求分析：在应用开发初期，明确安全需求，确保应用从设计阶段就考虑到安全性。
2. 安全设计：包括架构设计、数据安全设计、访问控制设计等，以构建安全的应用架构。
3. 安全开发：遵循安全的开发规范，如安全编码标准，防止出现常见的安全漏洞。
4. API 安全：确保应用的 API 接口安全，防止未经授权的访问和数据泄露。
5. 代码安全审查：对开发的代码进行安全审查，查找潜在的安全漏洞。

3、测试阶段安全

1. 安全测试：包括黑盒测试、白盒测试、模糊测试等多种测试方法，以检测应用的安全性。
2. 认证与授权：测试应用的认证和授权机制，确保只有合法用户能够访问应用资源。
3. 防内容攻击：检测应用对各种内容攻击的防护能力，如 SQL 注入、跨站脚本攻击等。
4. 保密性和完整性测试：验证应用对数据的保密性和完整性保护能力。

4、维护阶段安全

1. 安全配置：正确配置应用的安全参数，如访问控制列表、加密设置等。
2. 安全发布：确保应用在发布过程中的安全性，防止发布过程中引入安全漏洞。
3. 上线检查：在应用上线前进行全面的安全检查，确保应用符合安全要求。
4. 漏洞评估：定期对应用进行漏洞评估，及时发现和修复安全漏洞。
5. 安全评估：对应用的整体安全性进行评估，提出改进建议。
6. 渗透测试：模拟黑客攻击，检测应用的安全防护能力。

5、不同用户角色的安全职责

1. 个人用户：关注应用的安全使用，如保护个人信息、防范网络诈骗等。
2. 管理人员：负责企业应用的安全管理，包括制定安全策略、监督安全措施的执行等。
3. 应用设计人员：设计安全的应用架构和功能，确保应用在设计阶段就具备良好的安全性。
4. 应用开发人员：实现安全的应用代码，遵循安全开发规范，进行代码安全审查。
5. 应用测试人员：进行全面的安全测试，确保应用的安全性符合要求。
6. 应用维护人员：负责应用的日常安全维护，包括安全配置、漏洞修复、安全评估等。

八、总结

        整理完华为的应用上云安全规划笔记，感慨应用上云后的安全规划与设计是一项复杂但至关重要的工作。不仅需要我们全面考虑云环境自身的特点，还需针对不同的应用场景和业务需求定制专属的安全策略。

        从网络安全到数据保护，从身份认证到访问控制，每一个环节都是构建安全云应用的关键基石。管理者和开发者必须时刻保持警惕，积极引入先进的安全技术和理念，不断优化安全规划与设计，确保云应用在安全可靠的环境中稳定运行，为用户数据和业务发展保驾护航，在数字化转型的浪潮中利用云计算的优势，愿我们永远不被安全问题所困扰。

        学习是一种愉悦，一种收获，让我们在探索中感受快乐。