简介:TG@luotuoemo
本文由华为云代理商【聚搜云】撰写
1. 多层次隔离
- 物理资源隔离:通过虚拟化平台控制虚拟机对虚拟计算资源的访问,确保每个虚拟机只能访问自身的计算资源,从而保障数据安全。
- I/O隔离:虚拟化平台为每个虚拟机提供独立的虚拟I/O设备,避免多个虚拟机共享设备造成的信息泄露。
- 网络隔离:通过虚拟私有云(VPC)实现不同租户间的网络隔离,结合VPN或云专线,确保租户应用和数据从内网向云上的平滑迁移。
2. 数据加密与销毁
- 存储加密:使用AES强加密算法对静态数据进行加密,确保数据在存储时的安全。
- 数据安全销毁:在客户确认删除操作后,对数据及其所有副本进行全面清除,并在物理介质销毁时采用随机数覆写、加密擦除或物理损毁等方式。
3. 动态数据安全
- 传输加密:通过虚拟专用网络(VPN)和TLS协议,确保数据在传输过程中的安全。
- 传输稳定可靠:提供多链路容灾能力,确保在单一运营商专线无法访问资源时,自动切换至其他运营商专线,保障访问的高可靠性。
4. 处理中的数据安全
- 机密计算:通过擎天虚拟化平台,降低虚拟机逃逸风险,防范云平台内部攻击,降低租户内部的数据安全威胁。
- 同态加密:在数据处理过程中,通过同态加密技术实现“可用不可得”,确保敏感数据的安全。
- 多方计算:在保护客户数据隐私的前提下,实现跨组织、跨行业的多方数据分析和联合学习建模。
5. 访问控制与审计
- 统一身份认证服务(IAM) :提供多因素认证(MFA)功能,支持与客户既有账号管理系统的联邦认证,确保账号登录和重要操作的安全性。
- 应用信任中心(ATC) :基于零信任理念,实现细粒度访问控制,动态调整应用访问控制策略。
- 云堡垒机服务(CBH) :对运维活动进行管控,防止恶意操作或误操作对系统造成损害。
6. 安全合规与透明性
- 安全合规认证:定期接受独立第三方评估机构的安全评估和合规性审计(如SOC、C5、PCI-DSS等),确保安全管控措施的有效性。
- 透明授权:通过“共担可信授权”功能,确保客户授权最小化,华为云代理商操作可审计。
