云采用框架-安全责任共担

时间：2025-01-21 11:51:12

云采用框架安全架构设计

安全责任共担

华为云把安全合规作为首要任务，安全是华为云和客户的共同责任。在云服务模式下，华为云与客户共同承担云环境的安全保护责任，为明确双方的责任，确定责任边界，华为云制定了如下图所示的责任共担模型。

图1 安全责任共担模型

华为云的安全责任在于保障云平台和云服务自身的安全，涵盖华为云数据中心的物理环境和运行其上的基础服务、平台服务、应用服务等。这不但包括华为云基础设施和各项云服务的安全功能和性能，也包括对这些云基础设施和各项云服务进行安全运维和运营，以及保障华为云平台和云服务遵从相关的合规性要求。

华为云一方面确保各项云技术的安全开发、配置和部署；另一方面，华为云负责所提供云服务的运维运营安全，例如，对安全事件实现快速发现、快速隔离、快速响应，确保云服务的快速恢复。同时采用适合云服务的漏洞管理机制，对云服务安全漏洞及时应急响应，保证适合 CS P 运维周期的快速发布和不影响租户服务的持续部署，包括不断优化云服务的默认安全配置、补丁装载前置于研发阶段和简化安全补丁部署周期等措施。另外，华为云的安全责任还表现在开发有强大市场竞争力、简单易用的云原生安全服务。
华为云将其基础设施的安全与隐私保护视为运维运营安全的重中之重。基础设施主要包括支撑云服务的物理环境，华为自研的软硬件，以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云服务的系统设施。同时，华为云深度集成第三方安全技术或服务，并负责对其进行安全运维。
华为云还负责其支撑的各项云服务的自身安全配置和版本维护。
华为云对租户数据提供机密性、完整性、可用性、持久性、认证、授权、以及不可否认性等方面的全面数据保护功能，并对相关功能的安全性负责。但是，华为云只是租户数据托管者，租户对其数据拥有所有权和控制权。华为云绝不允许运维运营人员在未经授权的情况下访问租户数据。华为云关注内外部合规要求的变化，负责遵从华为云服务所必需的安全法律法规，开展所服务行业的安全标准评估，并且向租户分享我们的合规实践，保持应有的透明度。
华为云携手云安全商业合作伙伴向租户提供咨询服务，例如协助租户对虚拟网络、虚拟机（包括虚拟主机和访客虚拟机）进行安全配置；对系统和数据库进行安全补丁管理；对虚拟网络防火墙、API 网关（API GW）和高级安全服务进行定制配置；以及协助租户进行DoS/DDoS 攻击防范演练、租户安全事件的应急响应及灾难恢复演练。

租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全配置进行有效管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。

租户的安全责任细节由最终所使用的云服务来决定，具体到租户负责执行什么默认和定制的安全配置。对于华为云的各项云服务，华为云只提供租户执行特定安全任务所需的资源、功能和性能，而租户需负责各项租户可控资源的安全配置工作。
租户负责部署配置：（1）其虚拟网络的防火墙，网关和高级安全服务等的策略配置；（2）租户的虚拟网络、虚拟主机和访客虚拟机和容器等云服务所必需的安全配置和管理任务（包括更新和安全补丁）、容器安全管理（包括容器集群、节点和容器的安全配置、访问控制安全配置等）、大数据分析等平台服务的租户配置；（3）其他各项租户租用的云服务内部的安全配置等；（4）其自行部署在华为云的任何应用程序软件或实用程序进行安全管理。
在配置云服务时，租户负责各项安全配置，在部署到生产环境前应做好充分测试，以免对其应用和业务造成负面影响。对大多数云服务的安全性而言，租户只需配置账户对资源的访问控制并妥当保管账户凭证。少数云服务需要执行其他任务，才能达到应有的安全性。各项监控管理服务和高级安全服务具有较多安全配置选项，租户可寻求华为云和其合作伙伴的技术支持，以确保安全性。
以华为云 MapReduce服务（ MRS ）为例，租户应负责：（1）管理其购买的MRS大数据集群的弹性IP、虚拟网络防火墙等策略配置；（2）配置访问控制策略，如弹性IP绑定的端口仅对信任的网络或主机开放，避免大数据集群直接暴露在互联网；（3）负责大数据集群的用户管理、大数据组件的安全配置，并且妥当保管相关的账户凭证；（4）以及对其部署在大数据集群上的应用进行安全管理。
再以数据库服务为例，租户应负责：数据库引擎的生命周期管理及数据库安全管理，包括（1）缺省使用最新的实例版本、及时根据官网提示和漏洞通告升级版本等；（2）梳理资产分类及制定数据库实例防护策略，如数据库主备及集群设计、数据灾备及恢复策略、VPC及安全组配置、互联网访问配置、访问通道加密配置、数据库认证和鉴权配置、数据库审计配置以及其他安全配置。
无论使用哪一项华为云服务，租户始终是其数据的所有者和控制者。租户负责各项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证和鉴权进行有效保障。在使用统一身份认证服务（ IAM ）和数据加密服务（DEW）时，租户负责妥善保管其自行配置的服务登录账户、密码和密钥，并负责执行密码密钥设定、更新和重设规则的业界优秀实践。租户负责设置个人账户和多因子验证 (MFA)，规范使用安全传输协议与华为云资源通信，并且设置用户活动日志记录用于监测和审计。
租户负责对其自行部署于华为云上、不属于华为云提供的各项应用和服务所必需的合规遵从，并自行开展所服务行业的安全标准评估。华为云提供安全基线配置指南，供租户配置参考。

需要注意的是，云计算的服务类型（IaaS、PaaS和SaaS）、云计算的服务模式（云服务交付、云软件交付等）、安全厂商的引入，都会影响各自的安全责任范围，为此华为云与中国信通院在2024年联合发布了《云安全责任共担模型》，该份白皮书详细介绍了云安全责任共担2.0体系，同时提供了云安全责任共担机制的实施参考。

父主题： 安全架构设计

上一篇：云采用框架-安全配置基线

下一篇：云采用框架-精细化权限控制