华为云网络安全等保2.0合规能力白皮书.pdf_报告吧baogao8.com-

资源描述

华为云网络安全等保 2.0 合规能力白皮书华为云网络安全等保 2.0 合规能力白皮书文档版本 01 发布日期 2020-05-19 华为技术有限公司文档版本 01 (2020-05-19) 版权所有华为技术有限公司 i 版权所有华为技术有限公司 2020。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编： 518129 网址：客户服务邮箱：客户服务电话： 4008302118 华为云网络安全等保 2.0 合规能力白皮书 V2.0 目录文档版本 01 (2020-05-19) 版权所有华为技术有限公司 ii 目录 1 总述 . 1 2 目的 . 2 3 安全合规责任 . 3 4 华为云安全合规与隐私保护能力模型 . 6 4.1 保护对象 . 6 4.2 安全措施 . 6 4.3 安全能力 . 8 4.3.1 云平台原生安全能力 . 8 4.3.2 云服务安全能力 . 8 4.3.3 云安全服务能力 . 9 4.3.4 云服务客户自建能力 . 9 4.4 安全合规评估 . 9 4.5 隐私保护 . 9 5 华为云对等保要求的解读 . 11 5.1 等级保护对象概述 . 11 5.2 等保基本合规要求分析（安全通用要求） .12 5.2.1 安全物理环境 .12 5.2.2 安全通信网络 .12 5.2.3 安全区域边界 .16 5.2.4 安全计算环境 .25 5.2.5 安全管理中心 .43 5.2.6 安全管理制度 .49 5.3 等保基本合规要求分析（云计算安全扩展要求） .49 5.3.1 安全通信网络 .49 5.3.2 安全区域边界 .52 5.3.3 安全计算环境 .56 5.3.4 安全管理中心 .65 5.3.5 安全建设管理 .66 5.3.6 安全运维管理 .70 华为云网络安全等保 2.0 合规能力白皮书 V2.0 目录文档版本 01 (2020-05-19) 版权所有华为技术有限公司 iii 6 华为云等保合规实践指引 . 71 6.1 等保实施指引 .71 6.2 云服务客户在华为云上过等保的流程实践 .74 6.3 云服务客户使用华为云满足等保要求的实践 .75 6.3.1 安全区域边界 .75 6.3.2 安全通信网络 .76 6.3.3 安全管理中心 .78 6.3.4 安全管理制度 .78 7 附录 . 80 7.1 术语与定义： .80 7.2 参考标准与规范 .83 主要撰写者杨松、闻涛、赵洪日、李戬、魏宁、王欣洋、刘洪善特别感谢曹志源、宋好好、舒首衡、汤志明华为云网络安全等保 2.0 合规能力白皮书 V2.0 1 总述文档版本 01 (2020-05-19) 版权所有华为技术有限公司 1 1 总述随着等保 2.0 的发布和执行，如何让业务在云上安全合规的运营成为网络运营者的刚需。借此，华为云推出华为公有云网络安全等级保护 2.0 合规能力白皮书（简称 “白皮书”），将华为公有云（简称“华为云”）对等保 2.0 的理解和实践分享给用户和业界，以求相互了解，相互借鉴，共同推动云行业、云安全行业和等级保护合规领域的开放与发展。华为云网络安全等保 2.0 合规能力白皮书 V2.0 2 目的文档版本 01 (2020-05-19) 版权所有华为技术有限公司 2 2 目的此白皮书适用于（但不限于）如下读者群体： 1. 上云或期望上云的企业的决策层，管理层，安全和隐私保护相关技术人员，以及其他相关岗位人员 (主要包括营销、采购 /合同、合规审计等云服务相关人员 )，以了解华为云如何满足客户上云后的等保需求； 2. 华为云的一般客户、生态伙伴，以了解华为云如何满足客户上云后的等保需求； 3. 安全从业者、等保从业者，以了解华为云在等保上的最佳实践； 4. 大中小型企业客户到个人用户，以了解华为云对等保的理解。阅读本白皮书，你将会了解： 1. 如何确定不同云计算服务模式下的网络安全合规要求和责任边界； 2. 华为云为云服务客户提供的安全能力，包括云平台原生安全能力及云计算服务（包括云安全服务）提供的安全能力； 3. 云服务客户的业务系统，如何使用华为云提供的安全能力并根据业务系统自身的安全情况，满足等保要求； 4. 在合规的基础上，如何依托华为云的隐私保护体系和优秀实践，形成适合云服务客户业务需要的隐私保护体系。华为云网络安全等保 2.0 合规能力白皮书 V2.0 3 安全合规责任文档版本 01 (2020-05-19) 版权所有华为技术有限公司 3 3 安全合规责任从传统数据中心的视角，云安全是指保护云服务本身在基础设施即服务（ IaaS）、平台即服务（ PaaS）和软件即服务（ SaaS）中的技术资源的安全性，以确保各类云服务能够持续、高效、安全、稳定地运行。云服务与传统数据中心存在明显差异，前者对云安全整体设计和实践更侧重于为云服务客户提供完善的、多维度的、按需要任意定制、组合的各种安全和隐私保护功能和配置，涵盖基础设施、平台、应用及数据安全等各个层面。同时，不同的云安全服务又进一步为云服务客户提供了各类可自主配置的高级安全选项。这些云安全服务需要通过深度嵌入各层云服务的安全特性、安全配置和安全管控来实现，并通过可整合多点汇总分析的、日趋自动化的云安全运维运营能力来支撑。华为云按业界常规做法定义的安全责任共担模型，云服务客户使用不同模式的云服务（ IaaS、 PaaS 或 SaaS）时，对资源的控制范围不同，如图 4-1 所示，图中两侧的箭头示意了华为云和云服务客户的控制范围。安全责任边界也根据控制范围的差异而有所不同。如下图：华为云网络安全等保 2.0 合规能力白皮书 V2.0 3 安全合规责任文档版本 01 (2020-05-19) 版权所有华为技术有限公司 4 如上两图所示，华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施、提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理（ IAM）层的立体安全防护体系，并保障其运维运营安全。云服务客户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对云服务客户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，云服务客户还负责其在虚拟网络层、平台层、应用层、数据层和 IAM 层的各项安全防护措施的定制配置、运维运营安全及用户身份的有效管理。更详细的责任划分，见华为云安全白皮书。华为云网络安全等保 2.0 合规能力白皮书 V2.0 3 安全合规责任文档版本 01 (2020-05-19) 版权所有华为技术有限公司 5 依据上图所示，云服务客户在使用云计算的不同服务模式进行等级测评，各种服务模式下安全等级测评项数量分布有所不同，云服务客户依据各服务模式的责任共担模型，需完成对应的测评项的安全建设与安全测评内容。华为云网络安全等保 2.0 合规能力白皮书 V2.0 4 华为云安全合规与隐私保护能力模型文档版本 01 (2020-05-19) 版权所有华为技术有限公司 6 4 华为云安全合规与隐私保护能力模型 4.1 保护对象 4.2 安全措施 4.3 安全能力 4.4 安全合规评估 4.5 隐私保护 4.1 保护对象根据云计算环境等级保护对象划分及公有云合规责任共担模型原则，云服务客户可以基于部署的云计算服务模式确定业务系统的等级保护对象。 4.2 安全措施华为云打造集预测、防护、检测、响应和恢复为一体的云数据安全保障体系，动态协同多种安全防御措施，保障云上数据安全。图 5-1 华为云安全治理策略保障华为云网络安全等保 2.0 合规能力白皮书 V2.0 4 华为云安全合规与隐私保护能力模型文档版本 01 (2020-05-19) 版权所有华为技术有限公司 7 预测华为云构建了统一的分析和预警平台，全面掌握数据安全态势，快速识别、响应安全事件，同时通过对告警、事件、资产等信息的关联分析进行风险评估及安全态势预测，由此可预先制定安全防护策略，做到防范于未然。华为云构建了完善的漏洞管理体系，实现漏洞的感知、处置、披露等全流程的跟踪与管理，确保云计算平台各云服务和组件的漏洞得到及时的发现与修复，降低漏洞被恶意利用所带来的风险。防护物理和环境安全防护华为云严格遵从国际、国内相关标准要求，对数据中心进行合理的选址及设计施工，同时进行统一垂直管理，实施分层分级的安全防护，从围栏到 DC 建筑，从 DC 建筑到模块，从模块到机柜，从机柜到服务器，安全防护措施逐级增强，确保云数据中心的物理和环境安全。在严格执行物理访问控制的同时，通过智能的 7 24 小时监控，及时发现并修复安全隐患，确保数据中心稳定运行。网络安全防护华为云帮助云服务客户构建网络安全防护体系，防止数据被窃取或泄露。华为云在互联网边界部署 Anti-DDoS 设备，来完成对异常和超大流量攻击的检测和清洗。同时在关键网络分区边界部署入侵防御设备，识别来自互联网及云服务客户间的攻击行为，并能够进行自动化、精确的阻断。所有云平台主机均安装安全防护软件，进行主机层面的弱密码检测、配置管理、入侵检测、应急响应等，构建合规、安全的主机环境。针对向外提供 Web 服务的系统，使用 Web 安全防护设备抵御应用层攻击行为，确保 Web 服务的安全。运维管理华为云网络安全等保 2.0 合规能力白皮书 V2.0 4 华为云安全合规与隐私保护能力模型文档版本 01 (2020-05-19) 版权所有华为技术有限公司 8 华为云制定并落实严格的规范、流程和管控措施，实现了运维操作的统一接入、统一认证、统一授权、统一审计。运维人员首先通过双因子认证接入运维环境，再集中从堡垒机跳转到目标机进行操作。目标机的口令被堡垒机回收并定期更新，确保运维人员无需也无法获取口令。严格的运维接入阻断了未授权的内部访问，是客户数据安全保护在关键环节。华为云对于运维人员实行基于角色的访问控制权限管理，限定不同岗位不同职责的人员只能对所授权的运维目标进行特定操作。通过最小化的权限分配和严格的行为审计，确保运维人员不触碰云服务客户的数据。检测华为云联动分析各安全设备的告警信息，结合机器学习技术和专家经验构建相应的模型，检测未知数据安全风险，并及时采取有效措施进行防御。华为云遵从法律法规要求，具备集中、完整的日志审计系统。内部人员运维操作均被日志平台采集并记录。华为云的日志审计系统有强大的数据保存及查询能力，确保所有日志内容保存时间超过 6 个月。华为云设置独立的内审部门，定期对运维流程各项活动进行审计，及时发现、纠正违规行为。响应华为云秉承快速发现、快速定界、快速隔离与快速恢复的“四快”原则，根据安全事件对全网及客户的影响，对事件进行分级响应。华为云设置 7*24 的专业安全事件响应团队及专家资源池，依照法律法规要求，对相关事件及时披露，及时知会云服务客户，同时执行应急预案及恢复流程，降低业务影响。 4.3 安全能力安全能力是指安全措施作用于保护对象而形成抵御外部攻击的一种防护能力，云服务客户安全能力主要包括云平台原生安全能力、云服务安全能力（包括云安全服务安全能力）及云服务客户自建安全能力。 4.3.1 云平台原生安全能力云平台原生安全能力主要针对云基础设施提供的安全保护能力，主要涉及物理环境安全、硬件安全、虚拟化安全和云平台安全管理和运营。华为云云平台在物理安全、硬件安全、虚拟化安全、云平台内部身份和访问控制、云平台安全监控和运营等方面进行了全方位安全设计和建设，为云服务客户安全奠定良好基础。 4.3.2 云服务安全能力云服务安全能力指云服务为云服务客户提供的安全措施作用于保护对象后形成的安全能力，其中部分安全能力（如租户隔离）是云服务原生的，部分能力（如数据加密）需要云服务客户的开启和正确设置。华为云网络安全等保 2.0 合规能力白皮书 V2.0 4 华为云安全合规与隐私保护能力模型文档版本 01 (2020-05-19) 版权所有华为技术有限公司 9 4.3.3 云安全服务能力云安全服务安全能力主要指云服务提供商通过自研或结合第三方安全服务商为云服务客户提供的安全措施作用于保护对象后形成的安全防护能力。 4.3.4 云服务客户自建能力云服务客户自建能力指云服务客户基于业务需求对云服务能力的开启和正确配置及云服务客户根据自身业务需求自行建设的安全能力。华为云为云服务客户提供的云安全服务可帮助云服务客户完善自建能力，如业务应用系统和数据保护的安全防护能力、云产品安全合规配置、内部安全管理机制建立及时间响应等。 4.4 安全合规评估华为云一如既往地确保其基础设施和云服务通过业界认可的独立第三方安全权威组织的测评及安全认证机构的审核，并且只向云服务客户提供运行于安全合规的基础设施之上的云服务。这些安全测评和认证向云服务客户展示华为云在基础设施和云服务的技术研发和运维运营中对流程、组织、技术等多方面制定的安全策略和安全风险管控措施，使得云服务客户能够深入了解华为云对用户数据保护和云上业务安全保障的有效管控能力。以华为云通过的云安全联盟 CSA STAR 金牌认证为例，该认证在 ISO/IEC 27001 的基础上，增加了云安全控制矩阵和其他安全要求，涵盖了风险治理、数据安全、应用安全、基础设施安全、开发和设计、身份和访问管理、数据中心安全、变更管理、配置管理、业务连续性管理、运营恢复能力、人力资源、供应链管理等方面的 16 个控制领域。 4.5 隐私保护华为云秉承公司以网络安全和隐私保护为最高纲领，以国内外隐私保护的法律法规为基石，依托于华为公司的隐私保护体系，借鉴业界广泛认可的优秀实践，已形成适合华为云的隐私保护体系。华为云投入大量的专业人员和资源支撑新技术的研究和应用及保障隐私保护体系的有效运转，确保华为云的隐私保护处于行业领先的位置，实现华为云隐私保护的目标：遵守严格的服务边界，保护个人数据安全，助力云服务客户实现隐私保护。华为云制定隐私保护七大原则（合法、正当、透明，目的限制，数据最小化，准确性，存储期限最小化，完整性与保密性，可归责），同时采用业界认可和先进的理念 PbD6（ Privacy by Design）作为指导，结合华为云实际情况形成华为云隐私保护理念。隐私保护理念广泛应用在华为云的组织和人员管理、云平台个人数据安全管理及为客户提供的隐私服务等各个方面。同时，华为云使用 PIA7（ Privacy Impact Assessment）识别隐私风险并采取恰当的方式消除或降低风险。华为云尊重用户的隐私权利，在官网明显处提供清晰的隐私政策声明及云服务客户反馈通道，帮助客户了解华为云隐私保护的信息。华为云网络安全等保 2.0 合规能力白皮书 V2.0 4 华为云安全合规与隐私保护能力模型文档版本 01 (2020-05-19) 版权所有华为技术有限公司 10 更多关于华为云隐私保护的政策和表述，可以在华为云的官方网站参考：华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 11 5 华为云对等保要求的解读 5.1 等级保护对象概述 5.2 等保基本合规要求分析（安全通用要求） 5.3 等保基本合规要求分析（云计算安全扩展要求） 5.1 等级保护对象概述等级保护对象是指网络安全等级保护工作中的对象。在华为云下基于安全责任共担模型及云计算环境网络安全等级保护的要求，云服务客户主要的安全责任包含：云服务客户业务系统网络边界、运维接入、应用安全、主机安全（包含虚拟机、数据库、中间件和镜像环境）、云服务客户应用系统的数据安全，云服务客户身份访问管理、云服务客户安全态势管理。基于 IaaS 模式云服务客户业务部署典型合规场景下，华为云云服务客户开展等级保护安全能力建设时安全保护对象涉及到：华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 12 云服务客户网络边界：虚拟私有云 VPC，虚拟网络边界，负载均衡服务等；云服务客户运维接入：云堡垒机接入；云服务客户应用安全：云服务客户业务应用系统、云控制台；云服务客户主机安全：虚拟机、操作系统、数据库；云服务客户数据安全：业务数据、个人信息数据、业务配置数据、鉴别信息、审计数据等；身份访问管理：云上业务场景的云服务客户、机构和公众用户的身份、访问级别和认证方式；安全态势管理：云安全状态和安全威胁机制的全面监测和响应管理；云服务客户安全管理：云服务客户系统运营单位主体安全管理机制情况。 5.2 等保基本合规要求分析（安全通用要求） 5.2.1 安全物理环境华为云所有 Region 的安全保护等级为第三级。华为云部分关键 Region、节点的安全保护等级为第四级。云服务客户系统等级测评的安全物理环境部分可以沿用华为云平台安全保护等级测评报告结论。请访问华为云工单系统申请最新的华为云云平台等级测评报告。 5.2.2 安全通信网络网络架构 1. 应保证网络设备的业务能力满足业务高峰期需要【安全措施】弹性负载均衡、网络弹性伸缩、网络性能监控。【保护对象】虚拟网络设备、云服务客户业务系统网络。【云产品安全满足度分析】 VPC 虚拟私有云：支持在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置 VPC 内的 IP 地址段、子网、安全组等子服务。弹性负载均衡：将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，消除单点故障。云监控服务：为用户提供一个针对弹性云服务器、带宽等资源的监控平台。客户可监控云上的资源使用情况、业务的运行状况，并及时收到异常告警。【云安全产品满足度分析】不涉及。华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 13 【云服务客户自身安全能力建议】通过 VPC、负载均衡进行网络资源配置，同时可通过云监控服务定期查看网络资源使用情况。【合规满足度】满足。 2. 应保证网络每个部分的带宽满足业务高峰期的需要【安全措施】弹性负载均衡，网络带宽监控。【保护对象】云服务客户业务系统网络。【云产品安全满足度分析】弹性负载均衡：将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，消除单点故障。云监控服务：为用户提供一个针对弹性云服务器、带宽等资源的监控平台。客户可监控云上的资源使用情况、业务的运行状况，并及时收到异常告警。【云安全产品满足度分析】 Anti-DDoS 流量清洗服务为弹性公网 IP 提供四到七层的 DDoS 攻击防护和攻击实时告警通知。同时， Anti-DDoS 可以提升用户带宽利用率，确保用户业务稳定运行。【云服务客户自身安全能力建议】：不涉及。【合规满足度】满足。 3. 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址【安全措施】网络安全域划分、网络隔离。【保护对象】云服务客户业务系统网络。【云产品安全满足度分析】 VPC 虚拟私有云， VPC 支持在云上申请的隔离的、私密的虚拟网络环境。用户可以划分“ DMZ”，“服务”，“数据”等区域，并使用安全组隔离 VPC 内的 IP 地址段、子网、安全组等子服务。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】用户需根据业务实际情况划分不同网络按区域，并配置 VPC 内的 IP 地址段、子网、安全组等。【合规满足度】华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 14 满足。 4. 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段【安全措施】网络安全域划分、网络隔离、访问控制。【保护对象】云服务客户业务系统网络。【云产品安全满足度分析】 VPC 虚拟私有云：不同 VPC 之间通过隧道技术进行逻辑隔离，且不同 VPC 之间默认不能通信，但支持提供对等连接的方式，使用私有 IP 地址在两个 VPC 之间进行通信。同一 VPC 内支持用户定义安全组、 VPN、 IP 地址段、带宽等网络特性。用户可以通过 VPC 管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】用户需根据业务实际情况配置 VPC 内的 IP 地址段、子网、安全组等。【合规满足度】满足。 5. 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性【安全措施】网络设备冗余、网络链路冗余。【保护对象】云服务客户业务系统网络。【云产品安全满足度分析】 VPC 虚拟私有云： VPC 自身采用跨 Region，多节点方式部署， VPC 网络设备（如交换机、控制器等）采用集群部署确保所有链路冗余备份。弹性负载均衡：采用冗余设计，支持自动移除异常节点，并将流量在正常节点之间重新路由，确保云服务客户业务可用性。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】不涉及。【合规满足度】满足。通信传输 1. 应采用校验技术或密码技术保证通信过程中数据的完整性华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 15 【安全措施】数据传输加密。【保护对象】业务通信数据。【云产品安全满足度分析】虚拟专用网络（ Virtual Private Network，以下简称 VPN） VPN，使用基于 Internet 的 IPsec 加密技术，构建 VPN 网关和用户本地数据中心的远端网关之间的加密的数据通信通道。【云安全产品满足度分析】 SSL 证书服务可以提供 SSL 证书签发，便于用户部署对外发布基于 HTTPS 协议的 WEB 服务。【云服务客户自身安全能力建议】云服务客户需设置互联网访问加密配置（如 TLS），或使用 HTTPS 协议，加载网站 SSL 证书，保障互联网通信安全性和数据完整性。【合规满足度】满足。 2. 应采用密码技术保证通信过程中数据的保密性【安全措施】数据传输加密【保护对象】业务通信数据【云产品安全满足度分析】 VPN 使用基于 Internet 的 IPsec 加密技术，构建 VPN 网关和用户本地数据中心的远端网关之间的加密的数据通信通道。【云安全产品满足度分析】 SSL 证书管理服务可以提供 SSL 证书签发，便于用户部署对外发布基于 HTTPS 协议的 WEB 服务。【云服务客户自身安全能力建议】云服务客户需设置互联网访问加密配置（如 TLS），保障互联网通信安全性和数据完整性。【合规满足度】满足。可信验证 1. 可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在应用程序的关键执行环境进行动态可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心【安全措施】不涉及。【保护对象】华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 16 不涉及。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】不涉及。【合规满足度】非必选项，根据业内实际情况，此项暂不涉及。 5.2.3 安全区域边界边界防护 1. 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信【安全措施】网络访问控制。【保护对象】虚拟网络设备、云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 虚拟私有云： VPC 支持在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置 VPC 内的 IP 地址段、子网、安全组等子服务。安全组：用户可配置具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】用户通过 VPC，及安全组的相关网络访问控制策略保证网络边界访问的安全性。【合规满足度】满足。 2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：用户可配置具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则。华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 17 云堡垒机：可基于唯一身份标识的用户账户管理与访问控制策略，精细化的角色权限控制，与各服务器、网络设备、安全设备、数据库、应用系统进行连接管理，实现集中运维操作管理与审计。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】云服务客户需部署云堡垒机针对运维场景下限制非授权设备连接内部网络行为进行限制和检查；同时配置 VPC 安全区进行相关非授权的网络连接。【合规满足度】满足。 3. 应能够对内部用户非授权联到外部网络的行为进行检查或限制【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：用户可在安全组中设置出方向规则，出方向规则会对安全组内部的云服务器出方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。【云安全产品满足度分析】企业主机安全：可支持检测虚拟机的病毒木马非法外联到外部网络的异常链接，产生告警，并进一步阻断。【云服务客户自身安全能力建议】云服务客户需配置 VPC 安全组进行相关非授权的网络连接限制。【合规满足度】满足。 4. 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。【安全措施】安全网络接入。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】：云服务客户根据业务系统实际应用场景和客户需求部署第三方无线网络控制相关产品保证无线网络接入的安全性。【合规满足度】华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 18 云上系统不涉及，视客户实际业务场景而定。访问控制 1. 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：用户可在安全组中设置网络出入方向规则，规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】云服务客户通过 VPC 及安全组的相关网络访问控制策略保证网络边界访问的安全性，同时建议在入方向不要配置 any-any 策略。【合规满足度】满足。 2. 应删除多余或无效的访问控制规则；优化访问控制列表，并保证访问控制规则数量最小化【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：用户可以在安全组中定义各种访问规则，并支持安全组规则创建、删除、复制、导入 /导出操作，实现访问控制规则的最优化配置。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】云服务客户通过安全组规则配置进行网络访问控制优化。【合规满足度】满足。 3. 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许 /拒绝数据包进出【安全措施】网络访问控制。【保护对象】华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 19 云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：可支持基于出方向，入方向的源 IP 地址、目的 IP 地址、端口号、协议类型维度进行配置达到业务网络数据包的允许与拒绝进出。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】云服务客户通过安全组规则配置进行网络数据包访问控制。【合规满足度】满足。 4. 应能根据会话状态信息为进出数据提供明确的允许 /拒绝访问的能力。【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】 VPC 安全组：可支持基于出方向，入方向的源 IP 地址、目的 IP 地址、端口号、协议类型维度进行配置达到业务网络数据包的允许与拒绝进出。【云安全产品满足度分析】不涉及。【云服务客户自身安全能力建议】云服务客户通过安全组规则配置（协议级）进行网络数据包访问控制。【合规满足度】满足。 5. 应对进出网络的数据流实现基于应用协议和应用内容的访问控制【安全措施】网络访问控制。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】 DDoS 高防（ Advanced Anti-DDoS， AAD）可通过修改 DNS 解析或对外服务地址为高防 IP，将恶意攻击流量引流到高防 IP 清洗，保护对外 IP 地址不被攻击，确保重要业务不被攻击中断。支持四层和七层数据防护。 WEB 应用防火墙通过将 HTTP 网络流量引入到 WAF 集群支持基于应用协议和应用内容的访问控制。【云服务客户自身安全能力建议】云服务客户根据业务实际情况进行 DDoS 高防和 WEB 应用防火墙的配置。华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 20 【合规满足度】满足。入侵防范 1. 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为【安全措施】入侵检测。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】 WEB 应用防火墙通过将 HTTP 网络流量引入到 WAF 集群，通过 WAF 集群进行网络流量检测、防止或限制相关异常网络攻击。【云服务客户自身安全能力建议】云服务客户根据业务实际情况进行 DDoS 高防和 WEB 应用防火墙的配置。【合规满足度】满足。 2. 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为【安全措施】入侵检测。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】态势感知（ Situation Awareness）为用户提供统一的威胁检测和风险处置平台。态势感知能够帮助用户检测云上资产遭受到的各种安全风险。【云服务客户自身安全能力建议】不涉及。【合规满足度】满足。 3. 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析【安全措施】入侵检测。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的解读文档版本 01 (2020-05-19) 版权所有华为技术有限公司 21 不涉及。【云安全产品满足度分析】态势感知（ Situation Awareness）支持检测出超过 20 大类的云上安全风险，包括 DDoS 攻击、暴力破解、 Web 攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析。【云服务客户自身安全能力建议】不涉及。【合规满足度】满足。 4. 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警【安全措施】入侵检测。【保护对象】云服务客户业务系统网络边界。【云产品安全满足度分析】不涉及。【云安全产品满足度分析】态势感知服务支持检测 DDoS 攻击、暴力破解、 Web 攻击、后门木马、漏洞攻击、僵尸主机、异常行为、命令与控制等多种云上安全风险，同时“告警列表”提供告警威胁的统计信息列表，包括威胁告警的源 IP、攻击名称、攻击类型、攻击目标主机信息、攻击等级和攻击发生时间等信息。 WEB 应用防火墙支持 HTTP/HTTPS 流量攻击检测，可支持记录攻击事件，攻击类型、攻击 URL，攻击源 IP 等信息，并产生相关告警。 DDoS 高防（ Advanced Anti-DDoS， AAD）在进行 DDoS 攻击防御时记录攻击事件、攻击类型、攻击 URL、攻击源 IP，攻击流量峰值，清洗防护结果等信息内容，并产生相关告警。企业主机安全支持检测 SSH、 RDP、 FTP、 SQL Server、 MySQL 等账户遭受的口令破解攻击，对识别出的攻击源 IP 封锁 24 小时，禁止其再次登录，防止主机因账户破解被入侵。根据账户破解防护信息，如“攻击源 IP”、“攻击类型”、“拦截时间”、“拦截次数”和“拦截状态”，您能够快速排查攻击主机的 IP，手动解除被拦截的可信 IP，同时产生相关告警。【云服务客户自身安全能力建议】不涉及。【合规满足度】满足。恶意代码和垃圾邮件防范 1. 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新华为云网络安全等保 2.0 合规能力白皮书 V2.0 5 华为云对等保要求的

展开阅读全文