2018年脚步匆匆,不消一个月,她便会从我们的眼前消逝,只留下一个精彩的背影与不尽的回忆。
日后如果总结2018年的华为云,“安全合规”肯定会被提及,并被浓墨重彩地载入华为云的发展史:这一年,华为云通过各类权威安全合规认证超过十个,平均一个月拿下一个。如此压强式的安全投入,相当于一年干了别人三到五年的工作,“下不碰数据”的承诺,从不只是口号,更不是公关噱头,而是有着切实强大的落地措施。
一、安全合规为什么越来越重要?
为什么用户和云厂商越来越重视安全合规认证?为什么云厂商要花大力气、大资源来通过它?有两方面的原因。
首先,从用户需求来看,每个用户都希望所使用的云平台、云服务有足够的安全性,能够保障自己云上的数据不被破坏、窃取。安全合规认证,就是加强云平台安全的一种重要途径。打个比方,每个人上高速都需要懂得各种交通规则制度,取得驾驶证,上路才安全。云厂商运营云业务也一样的。各类安全合规制度,从不同的角度,包括人员管理上、资源上、技术上、流程上等等,对云平台进行评价,符合了这些权威的要求和规范,才可以认为这朵云是比较安全的。不符合呢?那就要整改,直到符合为止。通过了这些安全合规制度的测试和要求,权威机构就会给云厂商颁发各类“认证”,相当于云厂商在云上的驾驶证。安全合规不能保证云平台和云服务绝对安全,就像有了驾照不一定就不出交通事故一样,但合规认证是安全的基础,很难想象一个人不懂交规、没有驾照,却在高速公路上横冲直撞会带来什么后果。
其次,随着《网络安全法》等安全法律法规的颁布,保障IT系统的安全合规性,已经成为企业的法律义务。公安部门会不定期对各组织进行检查,不满足《网络安全法》要求的企业,将受到通报和严厉处罚,比如对不定期进行等保备案的企业进行通报等。
可见,合规认证是保障云平台安全的基础,是提升云平台安全性的重要途径。不仅从用户需求上,也从国家法律上,切切实实做好安全合规认证,是每个云厂商都必须持续投入的工作。
二、安全合规认证都哪些类别?
包括三类:
1、基本认证类,满足通用安全标准,相当于一个普适的安全要求,所有行业都可以通过它来提升平台的安全性,如华为云持有的云安全CSA STAR金牌认证、ISO27001、今年通过的公安部安全等保四级等。
2、区域认证类,满足所在特定区域的安全要求,如华为云已在德国获得的Trusted Cloud、IT- Grundschutz认证等。
3、行业/服务增强认证类,即针对特定行业,进行更强的安全认证,满足这部分行业客户的安全要求,如华为云此次通过的PCI-DSS认证,可提升金融、支付业务的安全性;工信部可信云认证,用以提升服务安全性等。
三、2018,华为云的安全合规之年
2月14日,华为云高分通过BSIMM安全测评,软件安全能力进入全球前三,成为中国首家和独家获得此权威认证的云服务提供商。
3月22日,国内首家全平台全节点全服务通过PCI-DSS,是目前全球最严格、级别最高、最权威的金融机构安全认证标准。
6月29日,高分通过公安部安全等保4级,覆盖了华为云的关键region、节点,标志着华为云已率先满足等保2.0的要求,为用户提供更加安全可靠的云服务。
7月18日,全平台全节点全类服务获得ISO 27018认证,表明华为云已拥有完备的个人数据保护管理系统,在数据安全管理方面处于全球领先水平;7月,还发布了国内首个完整的公有云容灾备份解决方案——华为云Multi cloud混合云灾备解决方案,涵盖跨云备份、跨云容灾以及云上容灾三大场景,有效提高企业业务连续性,保障关键数据安全可靠。
8月21日,华为云政务平台以“增强”级通过中央网信办网络安全审查,表明华为云政务平台已建立全生命周期、健全的网络安全管理体系,全面满足政务等行业上云的高安全要求;紧接着在中国信息通信研究院主办的“2018可信云大会”上获得三项大奖;紧随其后,华为云以“在安全上取得的卓越成就和对业界做出的杰出贡献”获英国标准协会(BSI)卓越绩效大奖。
11月2日,华为云通过的SOC1/2审计,表明华为云的安全控制措施经过了第三方机构的严格检验,内控管理水平全球领先。
11月5日,全节点、全服务种类通过ISO20000认证,表明华为云的服务管理水平再次获得国际权威认可,能够为客户提供高质量、高水平的云服务。
四、“三不”承诺的切实落地
早在2015年,华为云便提出了著名的“上不碰应用,下不碰数据”,2017年又增加了“不做股权投资”的承诺,表明了华为云绝不碰用户数据,把数据主权完全交给用户的决心,并增强对安全的投入,从技术上落地之。目前,“三不”承诺正遍地开花,获得用户高度认可,各大云厂商也纷纷跟进,成为行业事实标准。
总结与反思往往成为年终的你我首先会做的事情:这一年做了什么?得到了什么?哪些本可以做得更好?来年怎么做?华为云安全——华为云的网络安全保卫组织,也在思考着同样的问题,但不变的是捍卫用户数据安全的决心。