租户安全

华为企业云充分考虑了在云的环境中租户(租户即用户)需要的安全。 租户在华为企业云中购买使用的虚拟机资源以及在上面部署的应用系统, 安全责任主体是租户自身,华为企业云提供必要的安全技术和服务帮助租户安全合规。(这里的租户指华为企业云的用户)

云服务的核心在于服务。我们提供可感知的租户级安全特性,帮助租户提高租户资产的安全性。租户可以方便的在界面完成与安全相关的配置操作和防护报告。我们致力于提供最简单、灵活、核心的安全功能操作,尽可能减少安全的复杂操作。

我们提供的安全特性包括VPC部分的网络安全功能:安全组、VPN,以及帮助租户的安全增值服务:Anti-DDoS流量清洗、Web漏扫扫描、Web应用防火墙等。 同时我们通过超市引入更多的第三方安全产品和服务,由租户自行选择需要的安全功能。

网络隔离
华为企业云服务提供了隔离的虚拟私有网络环境(虚拟私有云),用户的资源和应用与云中的其他用户之间是完全隔离的。用户可以定义对虚拟私有网络的访问控制,也可以对私有网络的内部划分不同的安全域而提高网络的安全性,如果用户希望将虚拟私有网络与现有的私有数据中心互联,还可以通过自助的VPN技术搭建安全可靠的加密网络链接。
VPC
  • 简介
  • 虚拟私有云(VPC)是基于华为企业云构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户公有云中的资源的安全性,简化用户的网络部署。
  • 原理概述
  • 通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。您可以在VPC中定义与传统网络无差别的虚拟网络,同时提供公网IP、安全组等高级网络服务。
安全组
  • 简介
  • 安全组用于VPC内部虚拟机之间的访问控制和外部对虚拟机的访问控制。
  • 安全组是一组对虚拟机的访问规则的集合,用来对虚拟机进行隔离和访问控制。您可以在管理控制台上创建安全组,并在安全组中定义各种访问规则,将虚拟机加入安全组后,即受到这些访问规则的保护。
  • 原理概述
  • 安全组特性使用主机Linux操作系统自带包过滤防火墙Iptables,对进入主机操作系统的报文进行过滤。Iptables的作用在于为包过滤的实现提供规则,通过各种不同的规则,对来自不同源地址、目的地址以及协议特征的数据包进行处理。
  • 使用安全组功能时,支持添加入方向和出方向的安全组访问规则,并可以指定具体访问协议和端口范围。出方向的安全组规则可以指定安全组虚拟机访问的目的子网或其他安全组,入方向的安全组规则可以指定访问安全组虚拟机的源子网或其他安全组,如图所示,“①”表示一条入方向的安全组规则,允许安全组2中的虚拟机访问安全组1。
VPN
  • 简介
  • VPN业务用于在远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过VPN访问VPC中的业务资源。
  • 华为企业云支持创建IPSec类型的VPN:
  • IPSec VPN用于分支机构和公司总部之间通信,为处于不同物理地域的企业提供了建立安全通信隧道的方式。
  • 原理概述
  • IPSec VPN提供了一种建立和管理安全隧道的方式,通过对要传输的数据报文提供认证和加密服务来防止数据在网络内或通过公网传输时被非法查看或篡改。
  • 网关到网关的组网方式是IPSec的典型组网,如图所示。在此组网方式下,VPN网关和远端网关都支持IPSec,两个网关之间的连接是加密的。从用户到远端网关之间的连接,服务器和VPN网关之间的连接是未加密的。
  • 注意事项
  • 用户所在的远端网络和VPC的路由器之间路由可达。
  • 数据安全

    分布式存储确保数据不丢失
    华为企业云服务数据存储方面采用分布式存储,数据分布上可以跨服务器或跨机柜,不会因某个服务器故障导致的数据不可访问;数据分片在资源池内打散,硬盘故障后,可在资源池范围内自动并行重建,无需热备盘; 扩容时可以自动进行负载均衡,应用无需调整即可获得更大的容量和性能。
    数据删除确保数据不泄漏
    内存删除:华为企业云服务在云操作系统将内存重新分配给用户的时候,云操作系统会对分配的内存作写“零”处理,从而保障在新启动的VM 中恶意内存检测软件无法检测到有用信息。
    磁盘数据删除:华为企业云服务对销户虚拟卷采用物理Bit 清零措施,确保数据不可恢复,杜绝信息泄漏风险 。闲时回收处理机制,减轻磁盘覆写对系统性能的影响。有效防止被恶意租户使用数据恢复软件读出磁盘数据。

  • 权限管理机制

    用户可以使用我们提供的IAM技术创建用户和分组,对用户和组分配对云资源、API的访问进行全线控制。 同时IAM技术支持分权分域的管理模式和RBAC模型。目前这项技术在业界只有少数服务商能够提供。
    了解统一身份认证详情>>

  • 外部防御攻击

    华为企业云服务为您充分考虑了安全风险,提供多维度、多层次的安全技术,安全产品有效降低安全风险,为企业保驾护航!
    Anti-DDoS流量清洗服务
    可以深入分析报文,采用精心打造的“七层净化”架构,包括畸形报文过滤、特征过滤、虚假源防御、真实源行为检测、基于会话防范、行为分析和流量整形,可以有效识别畸形报文攻击、扫描窥探型攻击、风暴型攻击和应用层攻击等多种攻击类型,实现了对多种DoS/DDoS攻击流量精确清洗。
    了解 Anti-DDos流量清洗详情>>
    Web应用防火墙
    利用大数据分析,实时捕获拦截异常访问行为、对HTTP的请求进行异常检测,有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,为租户的虚拟机提供完善的保护,使其免受恶意的攻击和破坏。
    了解 Web应用防火墙详情>>
    Web漏洞扫描
    用于检测云服务器漏洞,通过定期扫描网站页面,发现网站的代码漏洞,提醒租户修复漏洞。
    了解Web漏洞扫描详情>>