在火热的云服务市场,安全一直是客户最关心的上云因素之一。但企业客户无法判断云服务提供商所宣传的安全保证能力的高低,所以看重业界权威认证。技术实力强劲的华为云,近期又获得了一项重磅认证。
3月22日,在青岛举行的华为生态大会现场,国际权威认证机构英国标准协会(BSI)为华为云颁出这一份量极重的证书——PCI-DSS认证。BSI表示,经多轮评审,华为云成为中国唯一全平台、全节点、全服务通过PCI-DSS认证的云服务商。
该认证的获得,标志着华为云的安全性又一次获得国际权威的认可,安全合规性处于世界领先水平。华为云安全总经理杨松、英国标准协会(BSI)大中国区战略合作总监全振军出席了颁奖仪式并接受通信世界全媒体记者的采访。
杨松(右)与全振军(左)在颁奖仪式上
PCI-DSS安全认证价值几何?
许多认证在圈内知名,圈外人了解不多。据全振军介绍,PCI-DSS(Payment Card Industry Data Security Standard)全称支付卡产业数据安全标准,是全球最严格且级别最高的金融数据安全标准,为2004年VISA和MasterCard联合多家机构成立的支付卡行业数据安全标准委员会(PCI SSC)制定和推行,旨在严格控制数据存储以保障支付卡用户在线交易安全。
自发布以来,该标准得到了全球卡组织和金融机构的广泛支持和推广,成为商户和服务提供商必须遵循的一项强制规范。由于操作性极强,还被金融业外的各大行业奉为通用安全标准。
收到企业提交的PCI-DSS认证申请后,PCI SSC会授权独立审查公司(如BSI),对申请企业进行全方位、彻底的审核。据悉,审核内容分含6大领域、12项规范、近300项审核指标,6大领域包括: 构建并维护安全的网络;保护持卡人数据;维护漏洞管理程序; 执行严格的访问控制措施 ;定期监控网络和测试网络; 维护信息安全政策。
审核还包括安全管理制度审查、资深第三方(ASV)内外网漏洞扫描及安全漏洞修复、安全管理制度的落实,考察范围涉及华为云所有物理机房、云平台各关键系统组件、人员安全专业培训、安全开发等多项指标,并且每年至少接受一次重检。
华为云获PCI-DSS认证的三大意义
华为云此次获得该认证,有三大意义。首先,华为云全平台、全节点、全服务通过这一权威认证,意味着华为云IT系统全部通过了严格的安全测评,而不是云系统的部分通过;意味着华为云所有节点全部通过认证,而不是某个节点通过;意味着华为云研发上线的全部云服务的安全性得到了严苛的验证,而不是其中若干个。华为云的所有用户,都能享受一样的高安全性。
其次,PCI-DSS制定的初衷,是为金融行业提供安全标准,但由于其操作性强,已经从金融行业变为被各大行业广泛遵循的通用标准。所以对于用部分云系统获得金融专属云的PCI-DSS认证,已不能满足行业用户的安全诉求,而华为云的所有用户则享受到了 “金融级”的安全性。
最后,华为云在很短时间内全平台、全节点、全服务通过认证,说明华为云长期重视安全建设的努力效果初现:本身云平台和云服务的安全性就很高,安全技术能力在业界遥遥领先,所以才在这么短的时间内通过认证,安全性和用户隐私保护得到了第三方权威机构的严格认证。
“BSI在网络安全、数据治理以及管理体系等相关标准方面一直深耕细作,作为ICT标准领域的引领者,我们知道PCI-DSS标准极其严苛,对云平台的安全技术能力要求非常高,能通过这项认证的企业很少,像华为云这样全平台、全节点、全业务通过的,目前中国是唯一一家。”全振军表示,该认证的获得,表明华为云的安全水平和技术能力都处于世界领先水平。华为云在保障用户安全和隐私上的努力,必将得到用户和市场的积极反馈。而这一路,BSI也愿借助自身的专业优势助力华为云走得更高、更好。
在安全上的努力从未停歇的华为云
为什么用户和云厂商越来越重视合规认证?合规好比是正确的驾驶要求和规范,符合了这些要求和规范,上路才安全。认证相当于权威机构颁给云厂商的驾驶证。可见,合规认证是保障云平台安全的基础,是提升云平台安全性的重要途径。华为云一直重视并努力搭建云平台的安全合规性, 包括三方面:
第一,基本认证类,满足行业的通用安全标准,如华为云持有的云安全CSA STAR金牌认证、ISO27001、信息安全等级保护等。
第二,区域认证类,满足业务所在区域的安全要求,如华为云已在德国获得的Trusted Cloud、IT- Grundschutz认证等。
第三,行业/服务增强认证类,即针对特定行业,进行更强的安全认证,满足这部分行业客户的安全要求,如华为云此次通过的PCI-DSS认证,可提升金融、支付业务的安全性;提升服务安全性的工信部可信云认证等。
除此之外,华为云还通过了BSIMM、ITSS服务增强级认证、IDC/ISP牌照、TUV 可信云认证等,并参与了1项权威标准试点(云服务网络安全)。
除了合规认证,华为云还构建了全栈安全体系,为用户提供可视、易用的安全服务,如包含数据库防火墙、数据库审计、数据脱敏三大功能的数据库安全服;国内首家实现用户掌控云密钥的密钥管理服务;攻击响应时间快达3秒、可防护1T流量攻击的DDoS高防服务等。
“三不”保障用户数据安全
熟悉华为云的人士都知道,华为云坚持知名的“三不”原则:“上不做应用,下不碰数据,不做股权投资”。这确立了云服务商必须保障用户数据安全、中立的原则。
同时,华为云构建了从物理、网络、主机、应用到数据的全栈防护矩阵,在用户的安全短板上布置防护,如国内功能最全的数据库保险柜——云数据库安全服务、国内首家把云加密密钥这把“钥匙”交给用户的——密钥管理服务等,从技术上实现数据中立。目前,“三不”承诺正遍地开花,获得用户高度认可,各大云厂商也纷纷跟进,成为行业事实标准。
不过,得到此次难能可贵的认证后,华为人并未骄傲。杨松表示,全平台、全节点、全服务获得PCI-DSS认证只是开始。雄关漫道,华为云构建安全可信“黑土地”的努力不会停歇半刻。华为云将不断挖掘用户业务需求,学习业界优秀实践,保证安全要素在研发流程中有效落地,增强产品安全性和隐私保护,让华为云用户更放心、安心、省心。
