2024云原生安全技術(shù)

導(dǎo) 云安全戰(zhàn) 責(zé)任共擔(dān)模 華為云的安全責(zé) 租戶的安全責(zé) 安全合規(guī)與隱私保 安全合規(guī)與標(biāo)準(zhǔn)遵 隱私保 安全組織和人 安全組 安全與隱私保護(hù)人 內(nèi)部審計人 人力資源管 安全意識教 網(wǎng)絡(luò)安全能力提 重點(diǎn)崗位管 安全違規(guī)問 基礎(chǔ)設(shè)施安 物理與環(huán)境安 物理安 環(huán)境安 網(wǎng)絡(luò)安 安全區(qū)域劃分與隔 業(yè)務(wù)平面劃分與隔 高級邊界防 平臺安 CPU隔 內(nèi)存隔 I/O隔 API應(yīng)用安 數(shù)據(jù)安 訪問隔 傳輸安 存儲安 數(shù)據(jù)刪除與銷 租戶服務(wù)與租戶安 計 彈性云服務(wù)器 鏡像服務(wù) 彈性伸縮服務(wù) 專屬主機(jī)服務(wù) 裸金屬服務(wù) 網(wǎng) 虛擬私有云服務(wù) 彈性負(fù)載均衡服務(wù) 云專線 終端節(jié)點(diǎn) 虛擬專用網(wǎng)絡(luò) 容 云容器引擎服務(wù) 容器鏡像服務(wù) 存 云硬盤服務(wù) 彈性文件服務(wù) 云備份服務(wù) 對象存儲服務(wù) 數(shù)據(jù)快遞服務(wù) CDN與智能邊 內(nèi)容分發(fā)網(wǎng)絡(luò) 數(shù)據(jù) 關(guān)系型數(shù)據(jù)庫服 云數(shù)據(jù)庫 云數(shù)據(jù)庫GaussDB(for 云數(shù)據(jù)庫 非關(guān)系數(shù)據(jù)庫服 文檔數(shù)據(jù)庫服務(wù) 云數(shù)據(jù)庫 GeminiDBMongo接 GeminiDBRedis接 GeminiDBInflux接 GeminiDBCassandra接 數(shù)據(jù)復(fù)制服 大數(shù) MapReduce服務(wù) 應(yīng)用中間 分布式消息服務(wù) 分布式緩存服務(wù) API網(wǎng)關(guān)服務(wù) 微服務(wù)引擎 企業(yè)應(yīng) 云桌面服務(wù) 云解析服務(wù) 管理與監(jiān) 統(tǒng)一身份認(rèn)證服務(wù) 應(yīng)用身份管理服務(wù) 云監(jiān)控服務(wù) 云審計服務(wù) 企業(yè)項目管理服務(wù) 標(biāo)簽管理服務(wù) 消息通知服務(wù) 組織 安全與合 數(shù)據(jù)加密服務(wù) 企業(yè)主機(jī)安全服務(wù) 數(shù)據(jù)庫安全服務(wù) 云防火墻 數(shù)據(jù)安全中心 安全云腦 DDoS防護(hù) 漏洞管理服務(wù)（CodeArts 云堡壘機(jī) 云日志服務(wù) AI基礎(chǔ)平 AI開發(fā)平臺 華為云工程安 DevOps和DevSecOps流 雙軌制（DualPath）機(jī) 安全設(shè) 安全編碼和測 第三方軟件安全管 配置與變更管 上線安全審 華為云運(yùn)維運(yùn)營安 O&M賬號運(yùn)營安 賬號認(rèn) 權(quán)限管 接入安 漏洞管 漏洞感 漏洞響應(yīng)和處 漏洞披 安全日志和事件管 日志管理和審 快速發(fā)現(xiàn)與快速定 快速隔離與快速恢 業(yè)務(wù)連續(xù)與災(zāi)難恢 基礎(chǔ)設(shè)施高可 可用區(qū)之間災(zāi)備復(fù) 業(yè)務(wù)連續(xù)性計劃和測 安全生 安全生態(tài)體 安全生態(tài)技術(shù)架 安全生態(tài)特 版本歷 12017年初，華為云部（CloudBusinessUnit,akaCloudBU）正式成立，重新啟程，開啟過去幾年中，華為云與所有云服務(wù)供應(yīng)商（CSPCloudServiceProvider）和客戶一樣， (主要包括營銷、采購/合同、合規(guī)審計等云服務(wù)相關(guān)人員)。1.DevOpsDevSecOps目前尚沒有很好的統(tǒng)一中文譯名。DevOps是隨著云服務(wù)發(fā)程流程和工具鏈實踐。由于DevOps需要支撐云服務(wù)和其他線上功能的持續(xù)集成（CI/CDContinuousIntegration/ContinuousDeployment），傳統(tǒng)的瀑布流程和敏捷流程下的安全周期管理（SDL–SecurityDevelopmentDevOpsDevSecOps的全新安全周期管理實踐。通過DevOps/DevSecOps工程流程和工具鏈實踐。DevOps/DevSecOps非但不會削弱安全，反而通過高度自動化2作為全球領(lǐng)先的信息和通信技術(shù)（ICT–InformationandCommunicationTechnology）取切實有效的措施，加速開發(fā)云安全技術(shù)和服務(wù)，提升公司云產(chǎn)品和云服務(wù)的安全性，提升云安全合規(guī)和生態(tài)建設(shè)，幫助客戶規(guī)避和減少云安全風(fēng)險，以贏得各利益相關(guān)方2000年華為安棧防護(hù)的安全體系：2003年，推出業(yè)界首款基于網(wǎng)絡(luò)處理器（NP–NetworkProcessor）的防火墻；2008年，與賽門鐵克（Symantec）合資成立華賽公司（Huawei-Symantec）安全產(chǎn)品線，專注安全領(lǐng)域；2011年，成立安全能力中心，專攻研發(fā)安全能力；2012年，華為網(wǎng)絡(luò)安全產(chǎn)品國內(nèi)市場占有率第一；2015年，云安全解決方案及服務(wù)全面上線；2016年，云安全全球化布局，密鑰管理服務(wù)（KMS）DDoS攻擊服務(wù)（Anti-DDoS）在德國、西班牙上線；2017DDoS高流量防護(hù)（高防、數(shù)據(jù)庫防火墻等系列高增值安全服務(wù)；2018年，推出專屬加密服務(wù)（DHSM。圖2-1 在組織方面，全球網(wǎng)絡(luò)安全與隱私保護(hù)委員會（GSPC–GlobalSecurity&Privacy安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)官（GSPO–GlobalSecurity&PrivacyOfficer）GSPC的重要成員，負(fù)責(zé)領(lǐng)導(dǎo)團(tuán)隊制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和在業(yè)務(wù)流程方面，安全保障活動融入研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及方獨(dú)立機(jī)構(gòu)的安全認(rèn)證和審計等來監(jiān)督和改進(jìn)各項業(yè)務(wù)流程。2004年起，華為的BS7799-2/ISO27001認(rèn)證。華為云在公司級的業(yè)務(wù)流程基礎(chǔ)上，大膽地將已在華為全面采用的安全周期管理（SDL–SecurityDevelopmentLifecycle）DevOps工程流程和技術(shù)能力，形成有華為特DevSecOps方法論和工具鏈，既支撐云業(yè)務(wù)的敏捷上線，又確保研發(fā)部署的 在云安全技術(shù)能力方面，依托華為自身強(qiáng)大的安全研發(fā)能力，以數(shù)據(jù)保護(hù)為核 在云安全合規(guī)方面，面向提供云服務(wù)的地區(qū)，華為云積極與監(jiān)管機(jī)構(gòu)對話，理解他們的擔(dān)憂和要求，貢獻(xiàn)華為云的知識和經(jīng)驗，不斷鞏固華為在云技術(shù)、云服務(wù)和云安全方面與相關(guān)法律法規(guī)的契合度。同時，華為也將法律法規(guī)的分析結(jié)果共享給 在云安全生態(tài)方面，華為云認(rèn)識到單靠一個公司、一個組織的力量不足以應(yīng)對日益復(fù)雜的云安全威脅與風(fēng)險。因此，華為云誠邀全球所有安全伙伴，攜手共建云安全商業(yè)和技術(shù)生態(tài)體系，共同向租戶提供安全保障與服務(wù)。華為云的云市場 3圖3-1 ， IAM服務(wù)的運(yùn)維。租戶還負(fù)責(zé)自定義虛擬網(wǎng)絡(luò)層、平臺層、應(yīng)用層、數(shù)據(jù)IAM功能的安全設(shè)置，以及租戶的運(yùn)維安全和有效的用戶身份管理。、SSaS各類各項云服務(wù)自身的安涵蓋華為云數(shù)據(jù)中心的物理環(huán)境設(shè)施和運(yùn)行其上的基礎(chǔ)服務(wù)、平臺服務(wù)、應(yīng)用服務(wù)等。這不但包括華為云基礎(chǔ)設(shè)施和各項云服務(wù)技術(shù)的安全功能和性能本身，也包括運(yùn)維運(yùn)營安全，以及更廣義的安全合規(guī)遵從（第4.1章節(jié)有專門介紹，在此不贅述。 華為云將其基礎(chǔ)設(shè)施的安全與隱私保護(hù)視為運(yùn)維運(yùn)營安全的重中之重?；A(chǔ)設(shè)施主要包括支撐云服務(wù)的物理環(huán)境，華為自研的軟硬件，以及運(yùn)維運(yùn)營包括計算、存儲、網(wǎng)絡(luò)、數(shù)據(jù)庫、平臺、應(yīng)用、身份管理和高級安全服務(wù)等各項云服務(wù)的系統(tǒng)設(shè)施。同時，華為云深度集成第三方安全技術(shù)或服務(wù)，并負(fù)責(zé)對其進(jìn)行安全運(yùn) 華為云對租戶數(shù)據(jù)提供機(jī)密性、完整性、可用性、持久性、認(rèn)證、授權(quán)、以及不可否認(rèn)性等方面的全面數(shù)據(jù)保護(hù)功能，并對相關(guān)功能的安全性負(fù)責(zé)。但是，華為云只是租戶數(shù)據(jù)托管者，租戶對其數(shù)據(jù)擁有所有權(quán)和控制權(quán)。華為云絕不允許運(yùn)維運(yùn)營人員在未經(jīng)授權(quán)的情況下訪問租戶數(shù)據(jù)。華為云關(guān)注內(nèi)外部合規(guī)要求的變化，負(fù)責(zé)遵從華為云服務(wù)所必需的安全法律法規(guī)，開展所服務(wù)行業(yè)的安全標(biāo)準(zhǔn)評 華為云攜手云安全商業(yè)合作伙伴向租戶提供咨詢服務(wù)，例如協(xié)助租戶對虛擬網(wǎng)絡(luò)、安全補(bǔ)丁管理；對虛擬網(wǎng)絡(luò)防火墻、API網(wǎng)關(guān)（APIGW–APIGateway）和高級DoS/DDoS攻擊防范演練、租戶安全、SS類各項云服務(wù)內(nèi)部的安全以及對租戶定制配置進(jìn)行安全有效的管理，包括但不限于虛擬網(wǎng)絡(luò)、虛擬主機(jī)和訪客虛擬機(jī)的操作系統(tǒng)，虛擬防火墻、API 租戶的安全責(zé)任細(xì)節(jié)由最終所使用的云服務(wù)來決定，具體到租戶負(fù)責(zé)執(zhí)行什么默認(rèn)和定制的安全配置。對于華為云的各項云服務(wù)，華為云只提供租戶執(zhí)行特定安全 租戶負(fù)責(zé)部署配置：（1） 使用MapReduce服務(wù)（MRS）時租戶應(yīng)負(fù)責(zé)：（1）管理其購買的MRS大數(shù)據(jù)集群 備及恢復(fù)策略、VPC及安全組配置、互聯(lián)網(wǎng)訪問配置、訪問通道加密配置、數(shù)據(jù) 無論使用哪一項華為云服務(wù)，租戶始終是其數(shù)據(jù)的所有者和控制者。租戶負(fù)責(zé)各項具體的數(shù)據(jù)安全配置，對其保密性、完整性、可用性以及數(shù)據(jù)訪問的身份驗證）和數(shù)據(jù)加密服務(wù)(MFA)，規(guī)范使用安全傳輸協(xié)議與華為云資源通信，并且設(shè)置用戶活動（/cloudbu-site/china/zh-creer/eaer8.f 4理框架——服務(wù)網(wǎng)絡(luò)安全與合規(guī)標(biāo)準(zhǔn)（CloudServiceCybersecurity&Compliance“3CS圖4-13CS-CSASTAR為例（CSA–CloudSecurityAllianceSTAR–Registry安全控制矩陣（CCMCloudControlMatrix）和其他安全要求，涵蓋了風(fēng)險治理、數(shù)目前，華為云部分標(biāo)準(zhǔn)類認(rèn)證/TL9000&ISOISO20000- BSISO PCIDSS PCIISOISO SOC\h\h（CIS–CenterofInternetSecurity）DevSecOpsCISPCIDSS(PaymentCardIndustryDataSecurityStandard)即支付卡行業(yè)數(shù)據(jù)安全標(biāo)華為云建立完善、規(guī)范和統(tǒng)一隱私保護(hù)體系確保云平臺的隱私保護(hù)得以實現(xiàn)，并幫助客戶實施隱私保護(hù)。華為云制定隱私保護(hù)七大原則（合法、正當(dāng)、透明，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，存儲期限最小化，完整性與保密性，可歸責(zé)，同時采用業(yè)界認(rèn)念D1（PrivacybyDesign）作為指導(dǎo)，結(jié)合華為云實際情況形成華為隱私保護(hù)理念。隱私保護(hù)理念廣泛應(yīng)用在華為云的組織和人員管理、云平臺個人數(shù)據(jù)用A2（PrivacyImpact sent）識別隱私風(fēng)險并采取恰當(dāng)?shù)姆绞较蚪档惋L(fēng)險。華為云尊重用戶的隱私權(quán)利，在官網(wǎng)明顯處提供清晰的《隱私政策聲明》以及客戶反饋通道，幫助客戶了解華為云隱私保護(hù)的信息。華為云研究團(tuán)隊同時致力研發(fā)各類隱私增強(qiáng)技術(shù)（PET–PrivacyEnhancingechnology云現(xiàn)已擁有的一系列PET，包括等價類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支 5面，GSPC作為最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。GSPO其辦公室負(fù)責(zé)制定和執(zhí)行華為端到端網(wǎng)絡(luò)安全保障體系。GSPOCEODevOps/DevSecOps流程。扁平化的組織結(jié)構(gòu)和適應(yīng)云服務(wù)的流 DevOps/DevSecOps流程和云安全審計流程，開發(fā)推廣全流程 積極實施安全質(zhì)量保證和安全評估，開展內(nèi)部和第三方滲透測試和安全評估，監(jiān)控、 IaaS、PaaSSaaS各類各項服務(wù)的安全功能 華為云安全的人力資源管理框架和公司的整體人力資源管理框架一致，都是建立在法HR的訴求主要是保證我們的員工背景和資歷適合華為云業(yè)務(wù)的需要。員工行為符合所有法律、政策、流程以及華為商業(yè)行為準(zhǔn)則的要求。員工有履行其職責(zé)必備的知識、技能和經(jīng)驗。整體模型如下：（此模型較為簡明，故不贅述圖5-1意識教育普及、宣傳活動開展、BCG及承諾書簽署三個方面開展安全意識教育： 意識教育普及：定期開展網(wǎng)絡(luò)安全意識教育學(xué)習(xí)，要求員工持續(xù)學(xué)習(xí)網(wǎng)絡(luò)安全知識，了解相關(guān)的政策和制度，知道哪些行為是可以接受，哪些是不能接受的，意 BCG及承諾書簽署：將網(wǎng)絡(luò)安全納入《華為員工商業(yè)行為準(zhǔn)則》（BCG–Guide網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)：華為根據(jù)不同角色、崗位制定相應(yīng)的安全基礎(chǔ)能力培訓(xùn)計精準(zhǔn)培訓(xùn)：通過大數(shù)據(jù)分析識別產(chǎn)品研發(fā)過程中的典型安全問題和問題關(guān)聯(lián)責(zé) 實戰(zhàn)演練：引進(jìn)業(yè)界優(yōu)秀實踐，開發(fā)網(wǎng)絡(luò)安全實戰(zhàn)演練平臺，開展紅藍(lán)對抗，提供場景化的實戰(zhàn)演練環(huán)境供員工練習(xí)和交流，提升員工的安全技能和安全響應(yīng)能力。 安全能力任職牽引：為了讓員工更加自覺、有效地進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)，華為將網(wǎng)絡(luò)安全要求融入到任職資格標(biāo)準(zhǔn)中。員工在任職晉升過程中需要學(xué)習(xí)相應(yīng)的網(wǎng)絡(luò)安全課程，通過相應(yīng)的網(wǎng)絡(luò)安全技能考試，提升自身網(wǎng)絡(luò)安全能力。 在崗安全培訓(xùn)賦能：圍繞網(wǎng)絡(luò)安全意識、客戶網(wǎng)絡(luò)服務(wù)的業(yè)務(wù)規(guī)范、用戶數(shù)據(jù)及隱私保護(hù)要求進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)和考試，并根據(jù)業(yè)務(wù)變化定期刷新學(xué)習(xí)和考試大綱。 上崗資格管理：重點(diǎn)崗位員工必須通過網(wǎng)絡(luò)安全上崗證的考試，并取得證書。通過證書管理平臺對已通過安全上崗證考試的員工發(fā)放有效期不超過兩年的電子證書，證書到期前提醒員工重新參加考試。 6GB《電子信息機(jī)房設(shè)計規(guī)范》ATIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+標(biāo)準(zhǔn)。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計施工和運(yùn)營時，合理劃分了機(jī)房物理 機(jī)房選址：華為云數(shù)據(jù)中心機(jī)房選址一定程度上決定面臨的自然災(zāi)害以及可能的環(huán)境威脅。華為云數(shù)據(jù)中心選址一律避開自然災(zāi)害不利或危險的地區(qū)，減少周邊環(huán)400 門口設(shè)置了全天候（2477*24小時）保安人員進(jìn)行登 電力保障7*24可啟動柴油機(jī)供電，以備不時之需。并配備了不間斷電源（UPS–Supply 溫濕度控制：通過精密空調(diào)、集中加濕器自動調(diào)節(jié)，華為云數(shù)據(jù)中心機(jī)房溫濕度保持在設(shè)備運(yùn)行所允許的范圍內(nèi)，使設(shè)備元器件處于良好運(yùn)行狀態(tài)。機(jī)柜冷熱通道有合理的布置，利用架空地板下空間作為靜壓箱來給機(jī)柜送風(fēng)，并設(shè)置了冷通道密消防能力A 防靜電：華為云數(shù)據(jù)中心機(jī)房鋪設(shè)了防靜電地板，導(dǎo)線連接地板支架與接地網(wǎng)，機(jī)器接地以導(dǎo)走靜電。在機(jī)房大樓頂部設(shè)置了避雷帶，供電線路安裝了多級避雷器，導(dǎo)走電流。ITUE.408安全區(qū)域的劃分原則并結(jié)合圖6-1 DMZ區(qū)DMZ區(qū)主要部署了面向外網(wǎng)和租戶的前置部件，如負(fù)載均衡器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺、API網(wǎng)關(guān)等。租戶對DMZ區(qū)的DMZ單獨(dú)隔離，防止外部請求接觸云服務(wù)后端部DDoS措施外，還部署 ServiceOpenStack、IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件如DMZ區(qū)。華為云管理員可以從內(nèi)網(wǎng)區(qū)訪問該區(qū) 資源交付區(qū)（POD–PointofDelivery：DDoS防護(hù)及入侵檢測與防御，保障租戶業(yè)務(wù)。數(shù)據(jù)存儲區(qū)（OBSObject-BasedStorageDMZ的服務(wù)控制臺或網(wǎng)關(guān)才能訪問該區(qū)。運(yùn)維管理區(qū)（OM–OperationsManagement件，華為云運(yùn)維人員必須先通過虛擬專用網(wǎng)絡(luò)（VPNVirtualPrivateOM區(qū)，攻擊面最I(lǐng)T數(shù)據(jù)中心，因此在實現(xiàn)區(qū)域隔離上與傳統(tǒng)手段不盡相（SDP–SoftwareDefinedPerimeter）。并且，不止定義網(wǎng)絡(luò)層區(qū)域邊界，采用 租戶數(shù)據(jù)平面 業(yè)務(wù)控制平面API 平臺運(yùn)維平面：實現(xiàn)基礎(chǔ)設(shè)施和平臺（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲）的后臺運(yùn)維管 數(shù)據(jù)存儲平面PODPOD區(qū)有租戶數(shù)據(jù)平面、平臺運(yùn)維平面、業(yè)務(wù)控制平面、BMC管理平面，而運(yùn)維區(qū)只有平臺運(yùn)維平 設(shè)備來完成對異常和超大流量攻擊的檢測及清洗。Anti-DDoSDDoS防護(hù)服務(wù)，租戶可以根據(jù)業(yè)務(wù)的應(yīng)用類型，配置流量閾值參 網(wǎng)絡(luò)入侵檢測與攔截（IDS/IPS–IntrusionDetectionSystem/IntrusionSystem：界、安全區(qū)域邊界和租戶空間邊界等。IPS具備網(wǎng)絡(luò)實時流量分析和阻斷能力，種入侵行為?；诰W(wǎng)絡(luò)流量，IPS可以提供信息幫助定位和調(diào)查網(wǎng)絡(luò)異常，分配Web安全防護(hù)WebWebWebDDoS攻擊、SQL注入、跨站腳本攻擊（XSSCross-SiteScripting、跨站請求–ForgeryDMZWeb77.1.1彈性云服務(wù)器（ECS）6.2.1虛擬私有云服務(wù)（VPC）作為華為云平臺操作系統(tǒng)，華為統(tǒng)一虛擬化平臺（UVP-UnifiedVirtualizationPlatform）CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、(PAM–PrivilegeUVPUVPCPUI/O隔離等技術(shù)手段實現(xiàn)虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作系統(tǒng)之間的隔離，并通過Hypervisor讓虛擬主機(jī)操作系統(tǒng)與訪客虛擬機(jī)操作CPUI/OUVPCPUCPU隔離主要是指虛擬化平臺與虛擬機(jī)之間的隔離，虛擬機(jī)內(nèi)部的權(quán)限分配和虛擬機(jī)與虛擬機(jī)之間的隔離。CPURootNon-Root兩種運(yùn)行模式的切換、各運(yùn)VCPU（VirtualCPU）CPU隔離機(jī)制，UVP可以控制虛擬機(jī)對物理I/OI/OI/O設(shè)備，實I/O路徑的隔離。APIAPIIT管理和審計系統(tǒng)。APIHTTP應(yīng)用層面臨的安全威脅，業(yè)界普遍API得到有效保護(hù)：身份認(rèn)證及鑒權(quán)APIIAMTLS加密。API命令接口來管理虛擬機(jī)，API命令的權(quán)限管理直接關(guān)系到虛擬機(jī)的API網(wǎng)關(guān)對用戶命令支持二級權(quán)限管理。用戶發(fā)出命令時，不僅IAMAPIAPI網(wǎng)關(guān)并下發(fā)到平臺層或應(yīng)用層執(zhí)行。API命令的執(zhí)行權(quán)限，命令才允許執(zhí)行。 (token)認(rèn)證tokentoken由租戶通IAMIAM接口獲取。 訪問密鑰ID/訪問密鑰（AK/SK–AccessKeyID/SecretAccessKey）認(rèn)證：AK/SK的鑒權(quán)信息，APIAK/SK鑒權(quán)機(jī)制要求客戶AK/SKAPISDK進(jìn)行簽名，將包API網(wǎng)關(guān)，API網(wǎng)關(guān)將對簽名信息進(jìn)行認(rèn)證校驗。 傳輸保護(hù)：APITLSAPI網(wǎng)關(guān)所有APITLS1.2PFS（PerfectForward 邊界防護(hù)：APIAnti-DDoS、入侵防御系統(tǒng)（IPS）Web進(jìn)行監(jiān)控，對攻擊執(zhí)行阻斷。在高級邊界防護(hù)的基礎(chǔ)上，API網(wǎng)關(guān)作為云服務(wù)特?API注冊APIAPI?ACL規(guī)則限制：該功能允許租戶自行配置特定的租戶信息和網(wǎng)段信息。租戶可根據(jù)訪問控制列表（ACL–AccessControlList）配置信息，API網(wǎng)關(guān)能有APIAPI從特定網(wǎng)段訪問。?防重放攻擊：當(dāng)API網(wǎng)關(guān)接受過期請求時，將會執(zhí)行拒絕措施防止重放攻?防暴力破解AK/SK請求時，API網(wǎng)關(guān)的防暴力破解機(jī)制一旦API流量控制：APIAPIAPI的訪問的高可用性和連續(xù)性。APIAPI級別和租戶級別的APIAPIAPIAPI次數(shù)的配額、每個華為云租API次數(shù)的配額分別進(jìn)行流控。 身份認(rèn)證和訪問控制：華為云的訪問控制能力是通過統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccessManagement）提供的。IAM是面向企業(yè)租戶的安全管理服務(wù)，使用IAM，租戶管理員可以管理用戶賬號，并且可以控制這些用戶賬號對租戶名 數(shù)據(jù)隔離：華為云對云端數(shù)據(jù)的隔離是通過虛擬私有云（VPC–VirtualPrivate

VPN或云專VPC與租戶內(nèi)網(wǎng)的傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實現(xiàn)租戶應(yīng)用和數(shù)據(jù)從租戶內(nèi)網(wǎng)虛擬專用網(wǎng)絡(luò)（VPN：VPNVPC之間建立一條符合行業(yè)標(biāo)VPNVPCWeb服務(wù)器來增加網(wǎng)絡(luò)的計算容量，實現(xiàn)了企業(yè)的混合云架構(gòu)的同IKE（密鑰交換協(xié)議）IPSecVPN結(jié)合的方法對 應(yīng)用層TLS與證書管理RESTHighwayRESTRESTfulHTTPRESTfulAPI進(jìn)行調(diào)用，實現(xiàn)數(shù)據(jù)傳輸；Highway通道是高性能私有協(xié)議通道，在有特殊性能需求場景時可選用。上述兩種數(shù)據(jù)傳輸方式均支持使用傳輸層安全協(xié)議（TLS–TransportLayerSecurity）1.2X.509證書管理服務(wù)（SSLCertificateService）則是華為云聯(lián)合全球知名數(shù)字證書服務(wù)機(jī)X.509證書的全生命周期管理服務(wù)，實現(xiàn)目標(biāo)網(wǎng)站的可 密鑰管理服務(wù)（KMS–KeyManagementService）是一種安全、可靠、簡單易用模塊（HSM–HardwareSecurityModule，為租戶創(chuàng)建和管理密鑰，防止密鑰明HSM之外，從而防止密鑰泄露。HSM是一種安全產(chǎn)生、存儲、管理及HSMFIPS140-2國際權(quán)威HSM。KMS對密鑰的所有操作都會進(jìn)行訪問控制及日志跟蹤，滿KMS服務(wù)的華為云服務(wù)包括：云硬盤EVSOBSManagementServiceIMS）等。 140-23級驗證的硬件加密機(jī)，對租戶業(yè)務(wù)進(jìn)行專屬加密，默認(rèn)雙機(jī)架構(gòu)以提 表6-1KMS提供密鑰。用戶主密鑰（CMKCustomerMasterKey）KMS生成、管理99.9999999%。云備份Backupand99.999999999%VMware對于服務(wù)器端加密，OBS提用戶提供密鑰（SSE1-CMD5KMS托管密鑰（SSE-KMS方式）：KMSCMK。99.9999999999%99.995%KMS提供密鑰。用戶主密鑰（CMKCustomerMasterKey）KMS生成、管理99.95%。CBR實現(xiàn)文件存儲1OBS732KMSKMS提供密鑰。KMS99.999999999%SSE–Server-SideEncryption.CSSE-C中是指客戶（customer） 內(nèi)存刪除 加密數(shù)據(jù)防泄露：華為云建議租戶對要上云的重要數(shù)據(jù)進(jìn)行加密存儲，數(shù)據(jù)需要刪除時，通過直接刪除相關(guān)數(shù)據(jù)加密密鑰，防止數(shù)據(jù)在被徹底刪除前被恢復(fù)為明 存儲數(shù)據(jù)刪除：當(dāng)租戶刪除存儲數(shù)據(jù)時，數(shù)據(jù)和對應(yīng)的元數(shù)據(jù)在系統(tǒng)中一并刪租EVS服務(wù)的回收站功能、OBS服務(wù)的多版本控制功能，用 物理磁盤報廢：當(dāng)物理磁盤報廢時，華為云通過對存儲介質(zhì)進(jìn)行消磁、完全破碎等方式清除數(shù)據(jù)，并對數(shù)據(jù)清除操作保存完整記錄，滿足行業(yè)標(biāo)準(zhǔn)，確保用戶隱 7彈性云服務(wù)器彈性云服務(wù)器（ECS–ElasticCloudServer）是華為云為租戶提供的一種可隨時自助獲（UVP 鏡像加固實時監(jiān)測，并定期更新公共鏡像以確保高危漏洞得到修復(fù)。由客戶根用運(yùn)行及安全運(yùn)維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛?網(wǎng)絡(luò)與平臺隔離Hypervisor提供的虛擬交換機(jī)（vSwitch）通過設(shè)置VLAN、VXLAN、ACL等屬性確保虛擬機(jī)在網(wǎng)絡(luò)層的邏輯隔離。多臺主機(jī)離。同時，UVPCPU、內(nèi)存、I/O隔離進(jìn)一步實現(xiàn)虛擬機(jī)在平臺層的 IP/MAC仿冒控制IPMAC引起的網(wǎng)DHCPsnoopingIPMACIP(IPSourceGuard)ARP檢測（DAIDynamicARPInspection）IP?安全組：UVP還提供安全組功能，用于多臺虛擬機(jī)之間的分組隔離。多臺虛入/移出安全組的操作。第7章7.2.1虛擬私有云服務(wù)（VPC）一節(jié)對安全組做遠(yuǎn)程訪問認(rèn)證：SSH遠(yuǎn)程訪問虛擬機(jī)操作系統(tǒng)來進(jìn)行系統(tǒng)維護(hù)。但SSH接口也是虛擬機(jī)的一個較高安全風(fēng)險。為保證遠(yuǎn)程訪問控制安使用更為安全的公/ 資源管理認(rèn)證：APIECSAPI接入IAMAPI對計算資源進(jìn) VNC安全：VNC（VirtualNetworkComputing）方式遠(yuǎn)程訪問虛擬機(jī)，TLS1.2版本進(jìn)行加密傳輸，確保數(shù)據(jù)傳輸安事件管理功能：在彈性云服務(wù)器日常運(yùn)維中，華為云會對實例所在底層宿主機(jī)鏡像服務(wù)華為云鏡像服務(wù)（IMS–ImageManagementService）提供簡單方便的鏡像自助管理功API對自己的鏡像進(jìn)行管理。華為云負(fù)責(zé)公共鏡像的定IMS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來進(jìn)行認(rèn)證，支持鏡像的傳輸和存儲加密以及完整性檢測。IMS的所有數(shù)據(jù)都存儲于信任子網(wǎng)內(nèi)的鏡像倉庫，并且采用對象存儲分桶機(jī)制，也就是將公共鏡像和私有鏡像分別存放在不同的桶中。IMS提供了安全I(xiàn)MS對租戶的所有操作進(jìn)行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對所有關(guān)鍵彈性伸縮服務(wù)（ASAuto-Scaling）是根據(jù)租戶的業(yè)務(wù)需求，通過用戶預(yù)先定義的策略自動按需調(diào)整資源的服務(wù)。AS前的需求。在業(yè)務(wù)增長時實現(xiàn)應(yīng)用系統(tǒng)自動擴(kuò)容，業(yè)務(wù)下降時實現(xiàn)應(yīng)用系統(tǒng)自動減容。從而既能幫助租戶節(jié)約資源和人力成本，又能保證其業(yè)務(wù)平穩(wěn)健康運(yùn)行。S對執(zhí)行資DDoS攻擊的能力。AS可以實時檢測實例的運(yùn)行狀況，并啟動新實例以替換運(yùn)行狀況–Zone專屬主機(jī)服務(wù)（DeHDedicatedHostService）ECS的基礎(chǔ)上，提供的一ECS服務(wù)的所有功能以及安DeH由于以主機(jī)為單位出租，在安全上有物理層主機(jī)隔離的優(yōu)勢：單個租戶擁有整個Hypervisor可能出現(xiàn)裸金屬服務(wù)裸金屬服務(wù)（BMS–BareMetalService）是華為云為租戶提供的一種可隨時自助獲取，BMSBMS提供給每個租戶的操作實體。一個實例就是一臺物理機(jī)。對自己創(chuàng)建的BMSECS類似的多層安全防護(hù)，包括主機(jī)系統(tǒng)和網(wǎng)絡(luò)安全、遠(yuǎn)程訪77.1.1彈性云服務(wù)器（ECS）一節(jié)。更重要的是，BMS獨(dú)享物理機(jī)隔離的安全優(yōu)勢。通過從主機(jī)到整個組虛擬私有云服務(wù)（VPC–VirtualPrivateCloud）為彈性云服務(wù)器構(gòu)建隔離的、用戶自VPC VPCIP地址1 VPNVPC VPC VPCDHCP，執(zhí)行安全快捷的網(wǎng) VPC圖7-1VPCVPC 子網(wǎng)IP地址管理、DNSVPC的所有子網(wǎng)內(nèi)的彈性云服務(wù)器默認(rèn)均可以相互通VPC中的任意兩臺彈性云服務(wù)器默認(rèn)禁止通信。 VPN：VPNVPC之間建立一條安全加密的通信管道，使遠(yuǎn)端用VPNVPCVPC中的彈性云服VPNVPN相關(guān)參數(shù)。VPCOpenSystemInterconnection（OSI）層的網(wǎng)絡(luò)安全防護(hù)功能，網(wǎng)絡(luò)ACL：網(wǎng)絡(luò)ACL是對一個或多個子網(wǎng)的訪問制定、維護(hù)并執(zhí)行訪問控制策安全組：在VPC中，安全組是一組對彈性云服務(wù)器的訪問規(guī)則的集合，為同個VPCVPC中每個安全組可以設(shè)定一組訪問規(guī)則。安全組規(guī)則包括：協(xié)議、出/IP地址段/TCP、UDP、ICMP三種協(xié)議。用ACLVPC的網(wǎng)絡(luò)安全性。因此，VPCACL和安全組表7-1安全組和網(wǎng)絡(luò)ACL（第一層防護(hù)ACL選項，必須創(chuàng)建網(wǎng)絡(luò)VPC 虛擬局域網(wǎng)（VLAN）隔離：VLANOSIVLANtagging功能實現(xiàn)虛擬交換并確保虛擬機(jī)之間的安全隔離。 IP和MAC綁定IP、MACIP、MACDHCPsnoopingIP-MACIP(IPSourceGuard)ARP檢測對非綁定關(guān)系的報文進(jìn)行過濾。 DHCPServer隔離DHCPServer服務(wù)，防止用戶無意識DHCPServerIP地址分配過程。 防DoS/DDoS攻擊：系統(tǒng)通過限制虛擬端口的連接跟蹤數(shù)來抵御來自云平臺外部2。彈性負(fù)載均衡服務(wù)彈性負(fù)載均衡（ELB–ElasticLoadBalance）將訪問流量自動分發(fā)到多臺彈性云服務(wù) 協(xié)議、UDP協(xié)議）或七層（HTTP協(xié)議、HTTPS協(xié)議）的負(fù)載分發(fā)。 支持全端口監(jiān)聽，獨(dú)享型負(fù)載均衡器下，四層協(xié)議（TCP/UDP） ELB圖7-2ELB DDoS攻擊能力。ELB支持安全組配置：ELB安全組可以確保租戶實例只接收ELB的流量。支持源地址透傳：ELBHTTPHTTPS服務(wù)時支持源地址透傳功能SSL/TLS卸載及證書管理：ELBSSL/TLS卸載。SSL/TLS卸載將報ELBELBELBELB支持加密協(xié)議和加密套件可配置HTTPSELBTLS1.2版本。ELB同時支持加密套件可選；對于有更多加密算法項選擇的租戶，ELB提供擴(kuò)展的NAT網(wǎng)關(guān)網(wǎng)關(guān)（PublicNATGateway）NAT網(wǎng)關(guān)（PrivateNATGateway。私網(wǎng)NAT網(wǎng)關(guān)能夠為虛擬私有云內(nèi)的云主機(jī)（彈性云服務(wù)器、裸金屬服務(wù)器）提供私IPIP實現(xiàn)VPC內(nèi)的云主機(jī)與其他VPC、云下IDCNAT靈活部署：支持跨子網(wǎng)部署和跨可用區(qū)域部署。NAT網(wǎng)關(guān)支持跨可用區(qū)部署，IP，均可以隨時調(diào)整。多樣易用：NAT網(wǎng)關(guān)進(jìn)行簡單配置后，即可使用降低成本：IPIP地址通過NATInternetIP和帶寬資NAT DoS/DDoS攻擊Qos限速能力來抵御來自云平臺外部或平臺內(nèi)部其云專線云專線（DirectConnect）VPC之間高速、低時可以利用云專線建立華為云與租戶的數(shù)據(jù)中心、辦公室或主機(jī)托管區(qū)域的專線連接，降低網(wǎng)絡(luò)時延，獲得比互聯(lián)網(wǎng)線路更快速、更安全的網(wǎng)絡(luò)體驗。 VPC，使用專享私密通道進(jìn)行通信，網(wǎng)絡(luò)隔離，安全 通過云專線將用戶本地數(shù)據(jù)中心與云上資源互聯(lián)，形成靈活可伸縮的混合云部署。DC具有以下主要安全防護(hù)功能： 傳輸加密：DCTLS加密傳輸，建立安全傳輸通道，減少數(shù)終端節(jié)點(diǎn)Endpoint 性能優(yōu)異： 即創(chuàng)即用： 安全性高：VPCEP 訪問控制： 連接配置： 公網(wǎng)IP被掃描攻擊的風(fēng)險，減少了攻擊面。 支持雙端固定：使用“雙端固定”VPC終端節(jié)點(diǎn)策略與桶策略，以限制VPC中的服務(wù)器（ECS/CCE/BMS）訪問OBS中的特定資源；另一方面，虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）VPC之VPN用于在遠(yuǎn)端用戶和虛擬私有云（VirtualPrivateCloudVPC）之間建立VPC中的彈性云VPN功能。VPN由VPN網(wǎng)關(guān)和VPN連接組成，VPN網(wǎng)關(guān)提供了虛擬私有云的公網(wǎng)出口，與用戶VPN安全通道：VPNVPCVPCVPN連接路由，以保護(hù)動態(tài)數(shù)據(jù)的機(jī)密性和基礎(chǔ)設(shè)施安全：IKE和IPsec對傳輸數(shù)據(jù)加密，提供國密型網(wǎng)關(guān)及基礎(chǔ)型網(wǎng)關(guān)：企業(yè)版VPN新增基礎(chǔ)型網(wǎng)關(guān)和國密型網(wǎng)關(guān)。國密型關(guān)，遵循《GB∕T36968-2018IPSecVPN技術(shù)規(guī)范》。云容器引擎服務(wù)云容器引擎服務(wù)（CCECloudContainerEngine）提供高度可擴(kuò)展的、高性能的企業(yè)級KubernetesDocker容器。借助CCE，租戶可以在華為云上輕松部署、Kubernetes控制節(jié)點(diǎn)和若干個按需創(chuàng)建的工作節(jié)點(diǎn)，其中控制節(jié)點(diǎn)在創(chuàng)建過程中將按Kubernetes集群中的虛擬機(jī)，租戶擁有管理華為云容器服務(wù)提供體系化的云原生安全能力。在基礎(chǔ)設(shè)施層，CCE繼承了華為云和ECS服務(wù)提供的安全能力；在集群層面，CCE支持細(xì)粒度權(quán)限管理、配額管理、網(wǎng)絡(luò)Kubernetes社區(qū)的各種安全機(jī)制；在容器層面，CCE支持KataCGS可支持容器逃逸檢測等運(yùn)行時檢測的高階能力；在云原生應(yīng)用開云CCE模板管理構(gòu)建更多的安全插件。細(xì)粒度權(quán)限管理：CCEIAM和KubernetesRBAC基礎(chǔ)上打造了細(xì)粒度配額管理Kubernetes網(wǎng)絡(luò)隔離：創(chuàng)建集群時，CCEVPC安全組，租戶可根據(jù)業(yè)務(wù)按需加固；對于工作節(jié)點(diǎn)上應(yīng)用容器之間的互訪流量，CCE支持配敏感信息保護(hù)Secret資源中，CCE支持Secret的落CCEKMS 安全容器：與普通容器相比，每個安全容器都運(yùn)行在一個單獨(dú)的微型虛擬機(jī)中，擁有獨(dú)立的操作系統(tǒng)內(nèi)核以及虛擬化層的安全隔離。如果集群內(nèi)的不同應(yīng)用容器 云原生應(yīng)用部署安全：租戶可使用SecurityContext、PodSecurityPolicy和 運(yùn)行時檢測：參考CGS容器鏡像服務(wù)容器鏡像服務(wù)（SWRSoftWareRepositoryforContainer）是一種支持容器鏡像全生命均采用HTTPSOCI標(biāo)準(zhǔn)實現(xiàn)了鏡像的完整性檢查；鏡像托管在信任子網(wǎng)內(nèi)的OBS倉庫中，保障了安全可靠。除了倉庫的安全能力外，SWR服務(wù)還集成CGS服務(wù)提供了鏡像安全掃描的能力。 鏡像安全掃描云硬盤服務(wù)云硬盤（ElasticVolumeService）可以為云服務(wù)器提供高可靠、高性能、規(guī)格豐富并且32TBECS、BMS、CCI資源管理認(rèn)證：EVS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來進(jìn)行認(rèn)證，EVS（CTS數(shù)據(jù)可靠性和持久性：EVS通過支持塊存儲數(shù)據(jù)的高可靠性，并通過業(yè)務(wù)節(jié)點(diǎn)99.9999999%。EVS云硬盤的數(shù)據(jù)冗余存儲在同一可用區(qū)中，而存儲加密：EVS提供了安全的加密算法（AES-256）對云硬盤數(shù)據(jù)進(jìn)行加密存儲，并且支持用戶選擇用戶主密鑰（CMK–CustomerKey，CMK 數(shù)據(jù)刪除：租戶刪除云硬盤時，底層的分布式塊存儲設(shè)備會立即將云硬盤對應(yīng)的元數(shù)據(jù)標(biāo)記刪除，確保無法繼續(xù)訪問數(shù)據(jù)。同時，會啟動后臺任務(wù)，徹底刪除元數(shù)據(jù)以及對應(yīng)的數(shù)據(jù)塊，回收云硬盤對應(yīng)的物理空間。物理空間清零后才會再次被分 額外注意：云硬盤的行為類似于原始、未格式化的塊設(shè)備，具有塊設(shè)備名稱和塊設(shè)備接口，租戶可以在云硬盤上創(chuàng)建文件系統(tǒng)，也可以以使用塊設(shè)備（如硬盤）的任何方式使用它們。租戶刪除文件系統(tǒng)上的文件時，文件系統(tǒng)的行為一般是僅刪除彈性文件服務(wù)（NAS，erver，E（CE&CI服務(wù)器（BMS）提供共享訪問。SFS容量型為用戶提供一個完全托管的共享文件存服務(wù)等。SFSTurbo為用戶提供一個完全托管的共享文件存儲，能夠彈性伸縮至IOPS型應(yīng)用提供有力支持。 資源管理認(rèn)證：SFS基于華為云統(tǒng)一身份認(rèn)證服務(wù)（IAM）來進(jìn)行認(rèn)證，SFS對（CTS數(shù)據(jù)可靠性和持久性：SFS99.9999999%SFS執(zhí)行備 SFSTurboVPC內(nèi)。租戶可以在VPC內(nèi)創(chuàng)建一個跨可用區(qū)SFSTurbo實例選擇此子網(wǎng)，SFSTurbo在創(chuàng)署在租戶VPC后，租戶可通過VPCVPCSFSTurbo實例所在VPCVPCECSIP連接文件存儲。租戶可以綜SFSTurboSFSTurbo實例 SFSTurbo實例。存儲加密：SFS容量型和SFSTurbo均支持用戶選擇是否對文件系統(tǒng)數(shù)據(jù)進(jìn)行加–Key，CMK據(jù)加密服務(wù)（DEW）管理。用戶應(yīng)用在寫入數(shù)據(jù)到文件存儲時，SFS 數(shù)據(jù)備份：SFSTurboCBR備份，SFSTurbo，CBRSFS容量型/通用文件系統(tǒng)進(jìn)行備份，可將數(shù)據(jù)復(fù)制至OBS中進(jìn)行云備份服務(wù)云備份（CBR–CloudBackupandRecovery）提供對云硬盤（ElasticVolumeService、彈性云服務(wù)器（ElasticCloudServer）和裸金屬服務(wù)器（BareMetalServer）的備份保BCManager中的備份數(shù)據(jù)，可以在云上對備份數(shù)據(jù)AZ正常訪問數(shù)據(jù)，適用于對可靠性要求較高的場景。CBRIAMHTTPSHTTPS的RESTfulCBRNTP（NetWorkTimeProtocol）確保系統(tǒng)內(nèi)各網(wǎng)元時間的一致性，對操作系統(tǒng)、數(shù)據(jù)庫、CBR支持對備份數(shù)據(jù)的完整性校驗。在備份和恢復(fù)過程中，采用CRC32C校驗備份數(shù) 對象存儲服務(wù)對象存儲服務(wù)（OBS–ObjectStorageService）是一個基于對象的海量存儲服務(wù)，為租OBS是一項面向互聯(lián)網(wǎng)的服務(wù)，其HTTPSWeb服務(wù)接口，讓用戶能在任意可連接至互聯(lián)網(wǎng)的電腦OBSOBS中的數(shù)據(jù)。OBSACL、桶策略、用戶身份認(rèn)證等安全手段，對租戶請求的訪問權(quán)限進(jìn)行限制；同時，對租戶數(shù)據(jù)，OBS提供了一系列的安全手段，如通 訪問控制：OBSACL（ACL：OBS訪問權(quán)限。ACL可以限制所有用戶或特定用戶對單個桶或?qū)ο蟮脑L問權(quán)限，PolicyOBS操作、申請人、資源、請求的其他要素（IP地址）提供對桶和對象的集中訪問控制等。附加到某個桶上的權(quán) ACL只能對單個對象進(jìn)行權(quán)限的添加，而桶策略可對一個桶內(nèi)的所有對設(shè)置桶策略后，OBS將根據(jù)桶策略判斷是接受還是拒絕對桶訪問的請用戶簽名驗證OBSAK/SK。AK和SKIAM的認(rèn)證機(jī)制。OBSAKSK進(jìn)行認(rèn)證鑒權(quán)，OBSOBSSK、請求時間、請求類型等信息生成的鑒權(quán)信息。并且，在進(jìn)行鑒權(quán)之前，OBS需要對桶名、對象名單獨(dú)進(jìn)行URLEncode編碼，OBSOBSS3（SimpleStorageService）接口。租戶可–Name和第4版（AmazonSignatureV2V4）1兩種版本的簽名認(rèn)證流程以及認(rèn)證接 數(shù)據(jù)可靠性和持久性：OBS通過支持對象數(shù)據(jù)的高可靠性，并通過業(yè)務(wù)節(jié)點(diǎn)的高99.995%，完全滿足對象存儲服務(wù)高可用的需求。OBS通過提供對象數(shù)據(jù)多份冗余和保證多份對象的數(shù)據(jù)99.9999999999%OBS支持保存一個對象的多個版本，使用戶更方便地檢索和還原各個版本，在意場景提供了恢復(fù)手段。默認(rèn)情況下，OBS中新創(chuàng)建的桶不會開啟多版本功能，向訪問日志記錄：OBS支持對桶的訪問請求，并保存訪問日志記錄，用于進(jìn)行請請求性質(zhì)、類型或趨勢。當(dāng)租戶開啟一個桶的日志管理功能后，OBSOBSOBS的存儲費(fèi)用，因此默認(rèn)情況下OBS不會開啟該功能。若出于分析或?qū)徲嫷饶康模?–Sharing：OBSOBS中的資源。CORSW3C（WorldWideWeb應(yīng)用程序與另一個域中的資源交互方式。OBS支持靜態(tài)網(wǎng)站托管，CORS配置時，OBS中保存的靜態(tài)網(wǎng)站才被響應(yīng)另一個跨域網(wǎng)站的請求，不會由于同源安全策略（SOP–SameOriginPolicy） 防盜鏈：OBS的數(shù)據(jù)被他人盜鏈，OBSHTTP（header）中參照位址（referer）的防盜鏈方法，OBSHTTP協(xié)議中，通過表頭字段，網(wǎng)站可以檢測目標(biāo)網(wǎng)頁訪問的來源服務(wù)端加密：務(wù)端加密（SSE-C）和OBS根密鑰派生密鑰（SSE-OBS）加密SSE-KMSOBSKMS提供的密鑰進(jìn)行服務(wù)端加密。用戶首先需KMS中創(chuàng)建密鑰（KMS提供的默認(rèn)密鑰，然后在上傳對象SSE-COBS使用用戶提供的密鑰和密鑰的哈希值進(jìn)行服務(wù)端加密。用戶在上傳對象的接口中攜帶密鑰，OBS使用該密鑰進(jìn)行服務(wù)端加密。OBSSSE-OBS是指使用OBS根密鑰派生的密鑰對用戶數(shù)據(jù)進(jìn)行服務(wù)端加密。與SSE-KMSSSE-OBSOBSKMS。租戶在使用SSE-KMS對用戶數(shù)據(jù)進(jìn)行服務(wù)端加密時，不僅可以選擇采用行業(yè)標(biāo)數(shù)據(jù)快遞服務(wù)數(shù)據(jù)快遞服務(wù)（DESDataExpressService）是一種線下海量數(shù)據(jù)傳輸服務(wù)，它使用物理存儲介質(zhì)（例如：eSATA硬盤驅(qū)動器）向華為云傳輸大量數(shù)據(jù)。使用數(shù)據(jù)快遞服務(wù)為了保護(hù)數(shù)據(jù)安全，在郵寄前，建議用戶對磁盤數(shù)據(jù)進(jìn)行加密。DES支持第三方加密AES-256加密算法對數(shù)據(jù)進(jìn)行客戶端加密。DES支持的客戶端是Windows、MacOSX、Linux等操作系統(tǒng)。工具不需要生成任何文件即可在硬盤上建CDN內(nèi)容分發(fā)網(wǎng)絡(luò)內(nèi)容分發(fā)網(wǎng)絡(luò)（NContentDelveryNtwork）N節(jié)點(diǎn)，提供媒體內(nèi)容的預(yù)注入、回源、存儲和緩存、分片、播放等功能，以及網(wǎng)頁、文件的緩存和下載功能，使用戶可以就近獲得所需的內(nèi)容。CDN采用口令認(rèn)證、訪問控制、最小授權(quán)、會話管理、輸入校驗、加密等安全手段確通過對Web容器實施加固，對Web應(yīng)用進(jìn)行安全設(shè)計，使業(yè)務(wù)系統(tǒng)能夠有效應(yīng)對安全Web應(yīng)用安此外，CDNESA邊緣安全加速服務(wù)（ESAEdgeSecurityAcceleration）的深控制、CCDDos攻擊防護(hù)等安全能力： 精準(zhǔn)訪問控制：ESA支持豐富的自定義條件（請求方法、請求域名、請求頭域邊緣CC攻擊防護(hù)：CCCC攻擊。ESA域、URL等）和邏輯條件（等于、包含、不包含、不等于等）組合精準(zhǔn)防護(hù)CC DDoS攻擊流量，智能調(diào)度協(xié)防，消除攻擊對用戶的影響。關(guān)系型數(shù)據(jù)庫服務(wù)（RDSRelationalDatabaseService）是一種基于云計算平臺的穩(wěn)定RDS支持以下引擎： SQL 限設(shè)置、SSL連接、自動備份、數(shù)據(jù)庫快照、時間點(diǎn)恢復(fù)（PITR–PointInTimeRecovery網(wǎng)絡(luò)隔離：VPCVPCIPIP址段。RDSVPC內(nèi)，該VPC不與其他實例共享。租戶可以創(chuàng)RDS的高可用實例選擇此子網(wǎng)完成。RDSIP地址，用于連接數(shù)據(jù)庫。RDSVPC后，租戶可通過VPC互聯(lián)使其它VPCVPCVPCECSIP連接數(shù)據(jù)庫。RDSRDS實 訪問控制RDS實例時，RDSRDSRDS實例VPCRDS實例所在的安全RDS實例。傳輸加密：RDSTLSRDSCA會為每個實例生成唯一的服務(wù)證書?？蛻舳丝梢允褂脧姆?wù)控CA 自動備份和快照：RDS提供兩種備份恢復(fù)方法，即自動備份和數(shù)據(jù)庫快照。云數(shù)據(jù)庫RDS服務(wù)會在數(shù)據(jù)庫實例的備份時段中創(chuàng)建數(shù)據(jù)庫實例的自動備份。系統(tǒng)根存儲期限最多兩年，同時開啟自動備份后允許對數(shù)據(jù)庫執(zhí)行時間點(diǎn)恢復(fù)。RDS自O(shè)BS桶中，當(dāng)租戶刪除實例時，會同步刪除OBS桶中的快照。租戶也可以從已有的快照恢復(fù)到新實例中。 數(shù)據(jù)復(fù)制：RDS高可用實例。當(dāng)租戶選擇高可用實例時，RDS在主實例故障的情況下，RDS會自動將從實例升為主實例，從而達(dá)到高可用的目MySQL數(shù)據(jù)庫時，業(yè)務(wù)中讀取數(shù)據(jù)比例大的話，可以對RDS單實例創(chuàng)建只讀實例，RDS維護(hù)主實例和只讀實例間的數(shù)據(jù)同步關(guān)系，租戶可以數(shù)據(jù)刪除：RDS實例時，存儲在數(shù)據(jù)庫實例中的數(shù)據(jù)都會被刪除數(shù)據(jù)庫，完全兼容MySQL。GaussDBDFV分布式存儲，采用計算128TBQPS吞吐，支持跨AZ0丟失，既擁有商業(yè)數(shù)據(jù)庫的性能和可靠性，又具備開源數(shù)據(jù)庫的靈GaussDB(forMySQL)還提供多個特性來保障租戶數(shù)據(jù)庫的可靠性和安全性，例如VPC、安全組、權(quán)限設(shè)置、SSL連接、自動備份、數(shù)據(jù)庫快照、時間點(diǎn)恢復(fù)（PITRPointInTimeRecovery、跨可用區(qū)部署等，具體安全特性如下：網(wǎng)絡(luò)隔離：VPCVPCIPIP址段。GaussDB(forMySQL)VPC內(nèi)，該VPC不與其他實例共享。在創(chuàng)建完實例后，GaussDB(forMySQL)IP于連接數(shù)據(jù)庫。GaussDB(forMySQL)VPC后，租戶可通過VPCVPCVPCVPC內(nèi)部創(chuàng)建GaussDB(forMySQL)實例的隔離，提升安全性。存儲隔離：訪問控制：租戶創(chuàng)建GaussDB(forMySQL)實例時，GaussDB(forMySQL)GaussDB(forMySQL)實例。傳輸加密：GaussDB(forMySQL)TLS輸。GaussDB(forMySQL)CA務(wù)證書?？蛻舳丝梢允褂脧姆?wù)控制臺上下載的CA根證書，并在連接數(shù)據(jù)庫時自動備份和快照：GaussDB(forMySQL)提供兩種備份恢復(fù)方法，即自動備份和2年。開啟自動備份策略后會自動觸發(fā)一次全量備份，之后仍然會按OBS桶中，當(dāng)租戶OBS桶中的快照。租戶也可以將已有的快照恢復(fù)到新實例中。同時，GaussDB(forMySQL)支持開啟和關(guān)閉備份加密功能。 高可用：GaussDB(forMySQL)支持集群高可用實例，租戶可選擇在單可用區(qū)或多GaussDB(forMySQL)會自動將業(yè)務(wù)路由到其他節(jié)點(diǎn)，從而實現(xiàn)高可用。 數(shù)據(jù)刪除：GaussDB(forMySQL)實例時，存儲在此實例中的數(shù)據(jù)以及在OBS中相應(yīng)的備份數(shù)據(jù)都會被自動刪除，實例中的數(shù)據(jù)無法被查看及恢復(fù)。云數(shù)據(jù)庫GaussDB是軟硬全棧協(xié)同所創(chuàng)新研發(fā)的分布式關(guān)系型數(shù)據(jù)庫。該產(chǎn)品具備企業(yè)級復(fù)雜事務(wù)混合負(fù)載能力，同時支持分布式事務(wù)，同城跨AZ部署，數(shù)據(jù)0丟失，支持1000+ 權(quán)限設(shè)置、SSL連接、自動備份、數(shù)據(jù)庫快照、時間點(diǎn)恢復(fù)（PITR–PointInTimeRecovery 網(wǎng)絡(luò)隔離：VPCVPCIP地址段。GaussDBVPC內(nèi)VPC建完實例后，GaussDBIP地址，用于連接數(shù)據(jù)庫。GaussDBVPC后，租戶可通過VPCVPC能夠訪問該VPCVPCECSIP連接數(shù)據(jù)庫。租戶可GaussDB實例的隔離，提升安全性。存儲隔離：訪問控制：租戶創(chuàng)建GaussDB實例時，GaussDBGaussDB實例。 傳輸加密：GaussDBTLS加密傳輸。GaussDB 自動備份和快照：GaussDB提供兩種備份恢復(fù)方法，即自動備份和數(shù)據(jù)庫快照。行時間點(diǎn)恢復(fù)。GaussDB自動備份會進(jìn)行全量數(shù)據(jù)備份，這就允許租戶將數(shù)據(jù)恢15分鐘，最大1440分鐘?？煺帐亲鈶羰謩佑|發(fā)的數(shù)據(jù)庫全量備份，這些備份數(shù)據(jù)存儲在華為OBSOBS桶中的快照。租戶也可以從已 高可用：GaussDB支持集群高可用實例，租戶可選擇在單可用區(qū)或多可用區(qū)中部 數(shù)據(jù)刪除：GaussDBOBS文檔數(shù)據(jù)庫服務(wù)文檔型數(shù)據(jù)庫服務(wù)（DDSDocumentDatabaseService）是華為云提供的一款允許租戶DDSMongoDB數(shù)據(jù)安全配置規(guī)范》 網(wǎng)絡(luò)隔離：VPCVPCIPIP地址段。DDSVPC內(nèi),該VPCDDS的高可用實例選擇此子網(wǎng)完成，DDSIP地址，用于連接數(shù)據(jù)庫。DDSVPC后，租戶可通過VPCVPC能夠訪VPCVPCECSIP連接數(shù)據(jù)庫。租戶DDS實例的隔離，提升DDS實例的VPCDDS實例所在的安全組入站、出站規(guī)則進(jìn)行限制，從而控制可以連接數(shù)據(jù)庫的網(wǎng)絡(luò)范圍，配置規(guī)則時無需重啟GaussDB(forDDS)實 存儲隔離：存儲資源按照租戶維度進(jìn)行分配，VM 訪問控制DDS實例時，DDSDDSDDS實例數(shù)據(jù)庫，并根據(jù)需要創(chuàng)建數(shù)據(jù)庫實例DDS實例業(yè) 自動備份和快照：DDS提供兩種備份恢復(fù)方法，即自動備份和數(shù)據(jù)庫快照。自中設(shè)置的備份時間段和備份周期進(jìn)行全量備份，備份存儲期限最多兩年。OBSOBS桶中的快照。租戶也數(shù)據(jù)復(fù)制：DDS在單可用區(qū)或多可用區(qū)中部署高可用實例。當(dāng)租戶選擇高可用實例時，DDS副本集之間會自動同步數(shù)據(jù)，在集群/副本集的單節(jié)點(diǎn)故障時，DDS會自動將業(yè) 審計日志：用戶可以通過審計日志記錄您對數(shù)據(jù)庫或者集合執(zhí)行的操作，生成的日志文件將以文件的形式存儲在對象存儲服務(wù)。通過查看日志文件，您可以對數(shù)GeminiDBNoSQL數(shù)據(jù)庫服務(wù)，GeminiDB目前包含GeminiDBCassandra、GeminiDBMongo、GeminiDBInflux和GeminiDBRedis四款產(chǎn)品，分別兼容Cassandra、MongoDB、InfluxDB和Redis主流NoSQL接口，并提供高讀寫性能，IoT、氣象、互聯(lián)網(wǎng)、游戲等領(lǐng)域。備份與恢復(fù)：重要操作審計能力：GeminiDB相關(guān)的操作事件，便于日GeminiDBMongoGeminiDBMongo接口是一款基于華為自研的計算存儲分離架構(gòu)，兼容MongoDB生態(tài)的云原生NoSQL數(shù)據(jù)庫,應(yīng)用于游戲（裝備、道具、泛互聯(lián)場景。在華為云高性能GeminiDBRedisGeminiDBRedisRedis協(xié)議，支持豐富數(shù)據(jù)類型，其Key-Value存儲模式可用于互聯(lián)網(wǎng)場景。本服務(wù)提供數(shù)據(jù)實時持久化、多副本GeminiDBInfluxGeminiDBCassandraGeminiDBCassandra接口是一款基于華為自研的計算存儲分離架構(gòu)的分布式數(shù)據(jù)庫，兼容CassandraNoSQLSQL語法CQL。在華為云高性能、數(shù)據(jù)復(fù)制服務(wù)（DRSDataReplicationService）是華為云提供的一款易用、穩(wěn)定、高 細(xì)粒度鑒權(quán)：租戶可以通過統(tǒng)一身份認(rèn)證服務(wù)（IAM–IdentityandAccesssManagementDRS操作權(quán)限的隔離。網(wǎng)絡(luò)隔離：DRS服務(wù)可以指定子網(wǎng)，實現(xiàn)同源庫或目標(biāo)庫的網(wǎng)絡(luò)隔離，同時可實例的主機(jī)安全：DRS實例的計算資源使用了華為云彈性云服務(wù)器（ECS（UVPUVP在第55.3平臺安全一節(jié)的介紹。 實例的數(shù)據(jù)可靠性和持久性：DRSEVS服務(wù)提供， 實例的高可用：DRS提供了AZDRS實例出現(xiàn)故障時可以切 DRS實例上的所有日志及運(yùn)行數(shù)據(jù)均被刪除，且無法恢復(fù)。 日志：DRS任務(wù)日志記錄了數(shù)據(jù)遷移過程中的信息，包含告警、錯誤和提示等類MapReduce服務(wù)MapReduce服務(wù)（MRSMapReduceService）在華為云上提供高可靠性、高擴(kuò)展性、高容錯性、易運(yùn)維的高效托管大數(shù)據(jù)分析集群服務(wù)。MRS集群作為一個云上托管的數(shù)OMS（Operation&MaintenanceService）的主、備節(jié)點(diǎn)和其他節(jié)點(diǎn)間采用雙向互MRS支持用戶使用瀏覽器、組件客戶端的方式登錄集群。MRS（CentralAuthenticationService）的單點(diǎn)登錄（SSO–SingleSign-On，用戶在任意MRSKerberosMRSKerberos認(rèn)證協(xié)議進(jìn)行安全認(rèn)證。Kerberos的系統(tǒng)在設(shè)計上采用“客戶端/服務(wù)器”AES等加密技\h\hMRSRanger實現(xiàn)對大數(shù)據(jù)組件的數(shù)據(jù)訪問控制。\hApacheRanger提供一個集Hadoop生態(tài)中如HDFS、Hive、HBase、KafkaRangerWebUI\h\h 用戶口令管理：MRS系統(tǒng)通過Kerberos/LDAPIAMLDAP數(shù)據(jù)庫。?權(quán)限控制：MRSRBAC權(quán)限控制，用戶的角色決定了用戶的權(quán)限。通?數(shù)據(jù)加密：MRS的HBase支持按列簇加密存儲。在建表時，客戶可選擇對 數(shù)據(jù)完整性：MRSHDFS上，HDFSCRC32CCRC32CCRC32校驗方式。HDFS的數(shù)據(jù)節(jié)點(diǎn)（DN–DataNode）負(fù)責(zé)存儲校驗數(shù)據(jù)，如果發(fā)現(xiàn)客戶端DN節(jié)點(diǎn)上讀取數(shù)據(jù)。 數(shù)據(jù)備份：MRSHBase集群支持將主集群數(shù)據(jù)異步實時備份至備集群。它對Manager的數(shù)據(jù)、組件元數(shù)據(jù)及業(yè)務(wù)數(shù)（LocalDir（LocaHDFeoeFNASNF/IF（SFTP?查看告警詳情：MRS集群中的所有告警信息，MRS界面顯警管理”MRS中未清除告警的基本信息。分布式消息服務(wù)分布式消息服務(wù)（DMS–DistributedMessageService）是基于高可用分布式集群技術(shù)構(gòu)Kafka版：Kafka版是一個高吞吐、高可用的消息中間件服務(wù)，適用RabbitMQ版：RabbitMQ是100%RabbitMQ的云上消息隊RocketMQ版：RocketMQ版是一個低延遲、彈性高可靠、高吞吐、RocketMQ多樣的業(yè)務(wù)場景。DMS可應(yīng)用在多個領(lǐng)域，包括異步通信解耦、企業(yè)解決方案、金融 業(yè)務(wù)解耦：將業(yè)務(wù)中依賴其他系統(tǒng)同時屬于非核心或不重要的部分使用消息通知即可，無需同步等待其他系統(tǒng)的處理結(jié)果。如電商網(wǎng)站在促銷期間的搶購訂單，搶到的手機(jī)訂單信息放入消息隊列，出庫、發(fā)貨等后續(xù)會從隊列里讀取任務(wù)信息然后 致，或都成功或都失敗。子系統(tǒng)/ 錯峰流控：在電子商務(wù)系統(tǒng)或大型網(wǎng)站中，上下游系統(tǒng)處理能力存在差異，處理能力高的上游系統(tǒng)的突發(fā)流量可能會對處理能力低的某些下游系統(tǒng)造成沖擊，需要提高系統(tǒng)的可用性的同時降低系統(tǒng)實現(xiàn)的復(fù)雜性。電商大促銷等流量洪流突然來襲日志同步：應(yīng)用通過可靠異步方式將日志消息同步到消息服務(wù)，再通過其他組DMSIAM來進(jìn)行控制。通過身份驗證后，賬戶可以完全擁有IAM用此外，DMSHTTPSDMSAPITLS1.2協(xié)PFS安全特性?；诎踩陨系目紤]，DMS為用戶提供數(shù)據(jù)進(jìn)行加密后存儲的（SSEKMS服務(wù)創(chuàng)建的密鑰進(jìn)行加密存儲。另外，用戶在將消息數(shù)DMS之前也可以進(jìn)行數(shù)據(jù)加密，可防止未授權(quán)人員訪問敏感數(shù)據(jù)。分布式緩存服務(wù)分布式緩存服務(wù)（DCS–DistributedCacheService）Redis為基礎(chǔ)的分布式緩存中間件集群服務(wù)，在安全、性能、可靠性方面進(jìn)行了增強(qiáng)。DCS是基于內(nèi)存的數(shù)據(jù)結(jié)構(gòu)（srngs（hashes（lists（setssets（LRULeastRecentlyUsed）Mangmet，IAM\h\h\h\h\h\h驗證策略。。不同DCSVPC隔離。DCS管理面數(shù)據(jù)保存在信任子網(wǎng)里，通過多副本機(jī)制實現(xiàn)數(shù)據(jù)冗余，保證數(shù)據(jù)可靠API網(wǎng)關(guān)服務(wù)API網(wǎng)關(guān)（APIGateway）是為企業(yè)開發(fā)者及合作伙伴提供的高性能、高可用、高安全的APIAPI服務(wù)，幫助用戶輕松構(gòu)建、API 訪問控制：訪問控制策略是APIAPI安全防護(hù)組件之一，主要用來控IPAPI。監(jiān)控告警：API監(jiān)控，包括：API請求次數(shù)、API簽名密鑰：APIAPI網(wǎng)關(guān)請求后端服Key和Secret組成，簽名密鑰需 流量控制API的請求頻率、用戶的請求IP的請求頻率的管控，用于保障后端服務(wù)的穩(wěn)定運(yùn)行。 日志審計：支持通過云日志服務(wù)（LTS）對API網(wǎng)關(guān)的API調(diào)用請求日志分析，用于API調(diào)用請求訪問的分析、問題定位等。支持通過云審計服務(wù)（CTS）對微服務(wù)引擎微服務(wù)引擎（CloudServiceEngine，CSE，是用于微服務(wù)應(yīng)用的云中間件，支持華為ApacheServicecomb引擎、開源增強(qiáng)的注冊配置中心Nacos引擎和應(yīng)用網(wǎng)關(guān)。用戶可結(jié)合其他云服務(wù)，快速構(gòu)建云原生微服務(wù)體系，實現(xiàn)引擎管理：3AZ 微服務(wù)管理： 配置管理：能夠?qū)崿F(xiàn)管理配置、配置格式多樣化、配置文件導(dǎo)入導(dǎo)出基礎(chǔ)能力，也具有查看歷史版本、版本對比、一鍵回滾及配置標(biāo)簽的高級特性，同時能夠滿 本地輕量化引擎： 微服務(wù)治理： 數(shù)據(jù)保護(hù)：CSECSE中的數(shù)據(jù)安全可靠，HTTPS傳輸、創(chuàng)建多AZ引擎、多版本控制、和配置文件加密。、 云桌面服務(wù)云桌面服務(wù)（Workspace）Windows的虛擬桌面基礎(chǔ)架構(gòu)（VDIVirtualDesktopInfrastructure）與虛擬應(yīng)用服務(wù)，用戶可通過瘦客戶端（硬件盒子PC應(yīng)用，云桌面使用防火墻對用戶使用界面和用HDP（HuaweiDesktopProtocol）協(xié)議轉(zhuǎn)換消息，對于本地外設(shè)的用戶身份識別 訪問控制：訪問控制的覆蓋范圍包括與資源訪問相關(guān)的主體、客體及它們之間的操作。訪問控制主體為用戶、業(yè)務(wù)系統(tǒng)等。授權(quán)用戶對受保護(hù)資源進(jìn)行訪問的內(nèi)容、 TLS1.2協(xié)議建立加密通道。 鏡像安全：支持對虛擬機(jī)鏡像文件進(jìn)行完整性、機(jī)密性保護(hù)，并確保虛擬機(jī)的鏡像、 備份與恢復(fù)機(jī)制VDI系統(tǒng)的管理數(shù)據(jù)備份機(jī)制，保障備份數(shù)據(jù)可以恢 安全監(jiān)控安全審計云解析服務(wù)云解析服務(wù)（DNS–DomainNameService）DNS服務(wù)和DNSIP地址，從S、O、S等其他服務(wù)地址，便于通過域名直接訪S中獲得其獨(dú)有的內(nèi)網(wǎng)域名解析服務(wù)，可以基于VPC任意定制域名和解析，解決了內(nèi)部業(yè)務(wù)的域名注冊和管理問題，降低了業(yè)務(wù)部署和維S基于華為云高可用性和可靠性的基礎(chǔ)架構(gòu)構(gòu)建，其服務(wù)器的分布式特性有助于提高可用性，確保將最終用S解析記錄進(jìn)行故障轉(zhuǎn)移，保障租戶業(yè)務(wù)的可用性。DNS 通過例行更新，縮短生存期（TTL–TimetoLive）DNS緩存等措施DNS緩存中毒攻擊。 Anti-DDoS功能，對訪問流量進(jìn)行特征模擬，清洗攻擊流量，限流和屏蔽惡IP訪問，保障服務(wù)安全穩(wěn)定運(yùn)行。DNS提供的七層防護(hù)算法，逐層對攻擊流DDoSDNS放大攻擊。 LocalDNSServerIAM為租戶成員分配云解析服務(wù)及操作權(quán)限，使用訪問密API的方式訪問華為云資源。統(tǒng)一身份認(rèn)證服務(wù)統(tǒng)一身份認(rèn)證服務(wù)（IAMIdentityandAccessManagement）提供適合企業(yè)級組織結(jié)構(gòu)IAMAPI的方式訪問華為云資源。IAM可以按層次和細(xì)粒度授權(quán)，保證同一企業(yè)租戶的不同用戶在使用云資源上得到有密碼認(rèn)證：密碼是租戶最初創(chuàng)建賬戶（注冊或創(chuàng)建企業(yè)用戶）時指定的。用戶?密碼策略：IAM支持租戶的安全管理員根據(jù)需求，設(shè)置不同強(qiáng)度的密碼策略?登錄策略：IAM支持租戶的安全管理員設(shè)置登錄策略，避免用戶密碼被暴力?ACL：IAMIPACL多因子認(rèn)證（MFA：多因子認(rèn)證（MFAMulti-FactorAuthentication）證碼進(jìn)行二次認(rèn)證。用戶修改密碼、手機(jī)等敏感信息時，IAM默認(rèn)啟用多因子認(rèn)訪問密鑰API命令管理華為云上的資源時，訪問API請求進(jìn)行簽名，API網(wǎng)關(guān)則校驗簽名信息。數(shù)字簽名和時間戳可以 聯(lián)邦認(rèn)證：如果租戶有安全可靠的外部身份認(rèn)證服務(wù)（LDAPKerberos）驗SAML2.0協(xié)議（SAML–SecurityAssertionMarkupLanguage，那么租戶可以將該服務(wù)作為身份提供商（IdP–IdentityProviderProviderAPI方式訪問云資源。Web的應(yīng)用程序訪問華為云資源，則應(yīng)用程序中權(quán)限管理：IAM權(quán)限包括用戶管理權(quán)限和云資源權(quán)限。用戶管理權(quán)限可以管理亂。另外，IAMPAM功能還可以更有效地細(xì)化管理特權(quán)賬戶。應(yīng)用身份管理服務(wù)華為云應(yīng)用身份管理服務(wù)s，具備集中式的身份管理、身份認(rèn)證和授權(quán)能力，s覆蓋了事前預(yù)防、事中控制以及事后追溯的全流程身份與訪問控制機(jī)制，有效提高用戶身份管理效率、保護(hù)信息資源安全。其主要功能包含了： 統(tǒng)一身份管理：提供統(tǒng)一的用戶、組織機(jī)構(gòu)、用戶組、應(yīng)用、帳號和憑證管理及設(shè)置，同時提供數(shù)據(jù)同步、密碼策略及用戶自服務(wù)，方便企業(yè)和管理員對用戶身 統(tǒng)一認(rèn)證管理：提供集中統(tǒng)一的認(rèn)證管理功能。平臺支持單點(diǎn)登錄登出，并內(nèi)置多種認(rèn)證方式，如靜態(tài)密碼、短信驗證碼、動態(tài)口令、二維碼等。用戶可以靈活配置多因素認(rèn)證策略，自定義選擇多種認(rèn)證方式，從而實現(xiàn)可信身份認(rèn)證，提升信息 智能訪問控制：提供自適應(yīng)的訪問控制能力，基于訪問上下文信息（訪問時間/地點(diǎn)/設(shè)備等）和用戶行為數(shù)據(jù)，使用設(shè)定的規(guī)則實時判斷用戶訪問過程中的風(fēng)險。發(fā)現(xiàn)風(fēng)險時，實時調(diào)整認(rèn)證方式以加強(qiáng)校驗，實現(xiàn)自適應(yīng)訪問控制。 流程合規(guī)審計：提供認(rèn)證日志、訪問日志、操作日志、同步日志、系統(tǒng)日志等記錄。平臺將用戶日志、管理員日志分別進(jìn)行集中管理，通過內(nèi)置報表引擎進(jìn)行可云監(jiān)控服務(wù)云監(jiān)控服務(wù)（CESCloudEyeService）為用戶提供一個針對彈性云服務(wù)器、帶寬等資源的立體化監(jiān)控平臺。CES提供實時監(jiān)控告警、通知以及個性化報表視圖，精準(zhǔn)掌握業(yè)務(wù)資源狀態(tài)。需要強(qiáng)調(diào)的是，CES的監(jiān)控對象是基礎(chǔ)設(shè)施的資源使用數(shù)據(jù)，不監(jiān)控（ECS（EVS（VPC（RDS（DMS（AS（AF（orkspace（MLS（DWSCES服務(wù)器的分布式特性確保高可用性，資源使用監(jiān)控及時有效，監(jiān)控指標(biāo)實時采SDK等。CES的數(shù)據(jù)以租戶維度進(jìn)行存儲隔離，只有認(rèn)證通過的租戶 下列華為云服務(wù)未收入此白皮書：機(jī)器學(xué)習(xí)服務(wù)（MLS–MachineLearningService）、數(shù)據(jù)倉庫服務(wù)（DWS–DataWarehousingService）（AISArtificialIntelligenceService）。敬請登錄\h云審計服務(wù)云審計服務(wù)（CTSCloudTraceService）為租戶提供云服務(wù)資源的操作記錄，供用戶IT合規(guī)性認(rèn)證的不可或缺的支撐性服務(wù)，其具有以下功 審計日志轉(zhuǎn)儲：支持將審計日志周期性的轉(zhuǎn)儲至對象存儲服務(wù)（ObjectStorageLTS）下的LTS日志流，轉(zhuǎn)儲時會按照服務(wù)維度壓縮審計日志為事件文件。 事件文件加密：支持在轉(zhuǎn)儲過程中使用數(shù)據(jù)加密服務(wù)（DataEncryptionWorkshop，簡稱DEW）中的密鑰對事件文件進(jìn)行加密。 關(guān)鍵操作通知：支持在發(fā)生特定操作時使用消息通知服務(wù)（SimpleMessageNotificationSMN）向用戶手機(jī)、郵箱發(fā)送消息。6章基礎(chǔ)設(shè)施安全相關(guān)章節(jié)。 應(yīng)用安全：CTS接收和處理合法用戶發(fā)起的合規(guī)事件查詢、追蹤器操作請求，以CTSHTTPS方身份及請求內(nèi)容多重驗證等方式，保證應(yīng)用安全。此外，CTSWeb 數(shù)據(jù)安全：CTS所處理的用戶日志數(shù)據(jù)，在生成階段，會要求各服務(wù)內(nèi)部進(jìn)行脫泄露等風(fēng)險；最后，CTSOBS桶。企業(yè)項目管理服務(wù)企業(yè)項目管理服務(wù)（EPS–EnterpriseProjectService）是提供給企業(yè)客戶的與多層級組EPS已支持彈性云服務(wù)器ECS、彈性伸縮AS、鏡像服務(wù)IMSEVS、虛擬私有云VPCIP(EIP、內(nèi)容分發(fā)網(wǎng)絡(luò)CDN、關(guān)系型數(shù)據(jù)庫(RDS)、分布式緩存服務(wù)(DCS)、文檔數(shù)據(jù)庫服務(wù)(DDS)、云容器引擎服務(wù)CCE、DS防護(hù)服務(wù)AD、彈性均衡負(fù)載(ELB)、裸金屬服務(wù)器S、專屬主機(jī)H、微服務(wù)引擎E、V實例、應(yīng)用(PrivteNumber)、消息通知服務(wù)(SMN)、應(yīng)用性能管理(APM)、推薦系統(tǒng)(RES)、軟件開發(fā)平臺(DevCloud)、云解析服務(wù)(DNS)、圖引擎服務(wù)(GES)、數(shù)據(jù)接入服務(wù)(DIS)、區(qū)塊鏈服務(wù)(BCS)、云備份(CBR)、微服務(wù)引擎(CSE)、分布式數(shù)據(jù)庫中間件DDM)、b應(yīng)用防火墻、云搜索服務(wù)(CSS)、數(shù)據(jù)倉庫服務(wù)DS)、MapRduce服務(wù)S)、彈性文件服務(wù)(SFS)、應(yīng)用運(yùn)維管理M)、數(shù)據(jù)湖探索(DLI)、云數(shù)據(jù)遷移(CDM)、對象存儲服務(wù)(OBS)、T網(wǎng)關(guān)MS)、AI開發(fā)平臺(ModelArts)、表格存儲服務(wù)(CloudTabe)、云容器實例(CCI)、企業(yè)主機(jī)安全SS)、支持計劃(SupportPlan)、API網(wǎng)關(guān)G)、密鑰管理服務(wù)(KMS)、函數(shù)工作流(FuncionGraph)、數(shù)據(jù)與應(yīng)用集成平臺(ROMA)、云數(shù)據(jù)庫GssDB)、云監(jiān)控服務(wù)(CES)、云日志服務(wù)、云連接(CC)、數(shù)據(jù)復(fù)制服務(wù)(DRS)SPI來使用。PS采用基于租戶的權(quán)限模型、嚴(yán)格參數(shù)校驗、安全通訊協(xié)議、敏感信息保護(hù)、審計日志等安全措施，保護(hù)管理;系統(tǒng)免受上述攻擊的危害。為保證業(yè)務(wù)靈活性，EPS還提供靈活PSMSS的所有MS管理員訪問權(quán)限的用戶，可以訪問SMEPSHTTPSEPSAPITLS1.2協(xié)議和PFS標(biāo)簽管理服務(wù)標(biāo)簽管理服務(wù)（TMSTagManagementService）是一種快速便捷將標(biāo)簽集中管理的 資源標(biāo)簽管理：通過給賬戶下資源添加標(biāo)簽，可以對資源進(jìn)行自定義標(biāo)記，實現(xiàn)資源的分類。標(biāo)簽管理服務(wù)為用戶提供可視化表格操作資源標(biāo)簽，并支持對標(biāo)簽 TMS不涉及用戶隱私數(shù)據(jù)的存儲，調(diào)用其他服務(wù)的接口，都是通過內(nèi)部鑒權(quán)透傳方IAMTMSAPI來使用。TMS采用基于租保護(hù)管理系統(tǒng)免受上述攻擊的危害。TMS還提供靈活的授權(quán)訪問機(jī)制：訪問TMS服IAMTMS訪問權(quán)限的用戶，以及消息通知服務(wù)消息通知服務(wù)（SMNSimpleMessageNotification）是一個簡單、靈活、海量、托管手機(jī)號碼、HTTPSSMN，用戶可以單獨(dú)發(fā)送消息SMNAPI來使用消息通知服務(wù)。SMN采用基于租戶的權(quán)限為保證業(yè)務(wù)靈活性，SMNSMN服務(wù)的賬戶包IAMSMN訪問權(quán)限的用戶，以及租戶授權(quán)的云服務(wù)等。華為云賬戶可以訪問SMN的所有操作；基于IAM服務(wù)創(chuàng)建并被授權(quán)SMNSMNIAM服務(wù)創(chuàng)建并被SMN服務(wù)的查詢類操作。SMNHTTPSSMNAPITLS1.2協(xié)議和PFS組織 組織管理:用戶(OU) 賬號管理： 可信服務(wù)： （OU數(shù)據(jù)加密服務(wù)數(shù)據(jù)加密服務(wù)（DataEnryptionWorkshop,DEW）可以提供專屬加密、密鑰管理、憑據(jù)管理、密鑰對管理等服務(wù)，安全可靠的為您解決了數(shù)據(jù)安全、密鑰安全、密鑰管理復(fù)雜等問題。其密鑰由硬件安全模塊（HardwareSecurityModue，H）密鑰管理，即密鑰管理服務(wù)（KeyManagementServiceKMS憑據(jù)管理，即云憑據(jù)管理服務(wù)（CloudSecretManagementService，CSMS密鑰對管理，即密鑰對管理服務(wù)（KeyPairServiceKPS，是一種安全、可靠、KPS是利用HSM產(chǎn)生的硬件真隨機(jī)數(shù)來生成密鑰對，并提供了一套完善和可靠障了SSH密鑰對的私有性和安全性。 專屬加密（DedicatedHardwareSecurityModule，DedicatedHSM）是一種云上數(shù)據(jù)DedicatedHSM為您提供經(jīng)國家密碼管理局檢測認(rèn)證的加密硬件，幫助您保護(hù)彈性企業(yè)主機(jī)安全服務(wù)主機(jī)安全服務(wù)（HostSecurityService，HSS）是以工作負(fù)載為中心的安全產(chǎn)品，旨在解 主機(jī)資產(chǎn)指紋