一、架构总览
多云架构下,各云的安全服务虽然名称不同,但抽象层是相似的。统一安全治理层负责身份联邦、策略一致性和合规基线,向下对接各云的原生安全能力。
设计原则:
- 统一身份源:各云 IAM 通过 SAML/OIDC 联邦到企业 IdP
- 一致安全基线:跨云强制执行相同的最小策略集(MFA、密码策略、区域限制)
- 集中日志审计:各云日志统一汇聚到中心 SIEM
- IaC 统一编排:Terraform + 各云 Provider 统一管理基础设施
二、身份与访问管理(IAM)
| 安全域 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 身份管理 | IAM + Identity Center (SSO) | RAM + IDaaS | CAM + 身份管理中心 | IAM + 统一身份认证 |
| 组织架构 | Organizations + OU | 资源目录 + 账号组 | 组织 + 子账号 | 组织 + 域 |
| 权限策略 | IAM Policy + SCP | RAM Policy + 策略关联 | CAM Policy + 策略关联 | IAM Policy + 策略组 |
| 权限边界 | Permission Boundary | RAM 边界策略 | CAM 策略边界 | IAM 权限边界 |
| 跨账号访问 | AssumeRole + 外部信任 | STS + RAM 角色扮演 | STS + 联合身份 | STS + 跨账号角色 |
| 密钥管理 | KMS CMK + Secrets Manager | KMS + KMS密钥管理 | KMS + CloudHSM | KMS + DEW |
| MFA | IAM MFA(虚拟/硬件) | RAM MFA | CAM MFA | IAM MFA |
| 访问分析 | Access Analyzer | 访问分析(RAM分析) | 访问管理分析 | 权限分析 |
关键落地措施:
- Root/主账号仅用于初始化,日常操作走 SSO + 最小权限角色
- 所有账号强制 MFA,禁止持久 AccessKey(优先用 STS 临时凭证)
- 跨云统一用
sts:AssumeRole / GetCallerIdentity 等效 API,避免静态密钥散布 - 每季度执行权限清理:吊销未使用的密钥、收窄过宽策略
组织与账号治理服务对比(Landing Zone / Control Tower)
| 能力 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 基础组织服务 | Organizations | 资源目录 (Resource Directory) | 组织 | 组织 (Organizations) |
| Landing Zone 服务 | Control Tower | 云治理中心 (CGC) | 控制中心 (Control Center) | 资源治理中心 (RGC) |
| Landing Zone 自动化 | ✅ 自动部署 | ✅ 基于 IaC 蓝图部署 | ✅ 分步骤流程 | ✅ 自动部署 |
| 账户工厂 | ✅ Account Factory | 通过资源目录管理 | 部分(邀请/创建) | ✅ 账户注册流程 |
| 防护栏杆(预防性) | CT Guardrails (SCP) | RAM 控制策略 | CAM 策略管理 | 预定义治理策略 |
| 防护栏杆(检测性) | AWS Config 规则 | 配置审计编排 | 审计日志投递 | 检测性治理策略 |
| 集中日志 | ✅ CT 自动创建 | ✅ 审计日志投递 | ✅ 操作审计日志投递 | ✅ 专用日志归档账号 |
| OU 层级 | 深度嵌套 | 资源文件夹(多层目录树) | 管理部门结构 | 最多 5 层嵌套 |
| SCP 策略 | SCP | RAM 控制策略 | 访问管理策略 | 服务控制策略 |
| SSO 集成 | IAM Identity Center | CloudSSO 联邦 | CAM(SAML/OIDC) | 统一身份认证 |
| 财务集成 | Budgets + 整合账单 | 未明确 | 企业财务(深度集成) | 未明确 |
关键差异:AWS Control Tower 尚未在中国区域正式推出,这推动了中国云厂商各自大力投入治理层产品。华为云 RGC 功能对标最完整,明确区分预防性/检测性防护栏杆;腾讯云 Control Center 特色在于企业财务深度集成;阿里云 CGC 采用五支柱框架做治理成熟度评估。
三、网络安全
| 安全域 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 网络隔离 | VPC + 子网 + 安全组 | VPC + 交换机 + 安全组 | VPC + 子网 + 安全组 | VPC + 子网 + 安全组 |
| 子网防火墙 | NACL | 网络ACL | 网络ACL | 网络ACL |
| WAF | AWS WAF + Shield | 阿里云 WAF | 腾讯云 WAF | 华为云 WAF |
| DDoS 防护 | Shield (Standard/Advanced) | DDoS 高防 / DDoS 原生防护 | DDoS 防护 / 大禹 | DDoS 高防 / Anti-DDoS |
| 云防火墙 | — (依赖 Security Group) | 云防火墙(网络ACL增强) | 云防火墙(东西南北) | 云防火墙 CFW |
| 私有连接 | VPC Endpoint / PrivateLink | 终端节点 / PrivateLink | VPC 端点 / 私有连接 | VPC 端点 / 对等连接 |
| VPN / 专线 | Site-to-Site VPN / Direct Connect | IPsec VPN / 专线接入 | IPsec VPN / 专线接入 | IPsec VPN / 专线接入 |
| 零信任接入 | Verified Access | SASE / 零信任 | 零信任安全网关 | 零信任 ZTNA |
纵深防御模型:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| 互联网
│
▼
DDoS 防护层(各云原生 DDoS 服务)
│
▼
WAF 层(Web 攻击拦截)
│
▼
云防火墙 / NACL(网络层 ACL 过滤)
│
▼
安全组(实例级白名单)
│
▼
应用层鉴权(JWT / mTLS)
|
四、数据安全
| 安全域 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 存储加密 | S3 SSE / EBS 加密 / KMS | OSS 服务端加密 / 磁盘加密 | COS 服务端加密 / CBS 加密 | OBS 服务端加密 / 磁盘加密 |
| 传输加密 | TLS 1.2+ / ACM 证书 | TLS / SSL 证书 | TLS / SSL 证书 | TLS / SCM 证书 |
| 密钥托管 | KMS CMK + CloudHSM | KMS + 专属加密机 | KMS + CloudHSM | KMS + DEW |
| 数据分类 | Macie(S3 敏感数据发现) | 数据安全中心 DSC | 敏感数据安全解决方案 | 数据安全中心 DSC |
| 数据脱敏 | — (应用层) | 数据脱敏服务 | 数据脱敏 | 数据脱敏 |
| 防泄漏 | — (Network Firewall) | 数据防泄漏 DLP | 数据防泄漏 | 数据防泄漏 |
| 备份恢复 | AWS Backup | 混合云备份 HBR | 云备份 CBR | 云备份 CBR |
数据安全分级参考:
| 级别 | 说明 | 落地要求 |
|---|
| L4 - 极敏感 | 支付密钥、私钥、根凭证 | HSM 托管、双人控制、审计全记录 |
| L3 - 敏感 | 用户 PII、交易记录、合同 | 加密存储、脱敏展示、访问审计 |
| L2 - 内部 | 业务配置、内部文档 | 加密存储、内部访问控制 |
| L1 - 公开 | 官网、公开文档 | 完整性校验 |
五、安全监控与日志审计
| 安全域 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 威胁检测 | GuardDuty | 安骑士 / 云安全中心 | 主机安全 / 云安全中心 | HSS / SecMaster |
| 合规审计 | Security Hub + Config | 合规中心 / 配置审计 | 安全治理 | 合规中心 |
| 操作审计 | CloudTrail | ActionTrail | 操作审计 | CTS 云审计 |
| 漏洞扫描 | Inspector | 安骑士漏洞扫描 | 漏洞管理 | 漏洞管理服务 |
| SIEM/SOC | Security Hub → EventBridge | 云安全中心 SIEM | 安全运营中心 | SecMaster |
| 日志分析 | CloudWatch / OpenSearch | 日志服务 SLS | 日志服务 CLS | 云日志服务 LTS |
| 网络流量分析 | VPC Flow Logs + GuardDuty | VPC 流日志 + NTA | VPC 流日志 | VPC 流日志 |
| API 审计 | CloudTrail | ActionTrail | 操作审计 | CTS |
跨云统一监控架构:
1
2
3
4
5
6
7
8
9
10
| 各云操作审计日志(CloudTrail / ActionTrail / CTS)
│
▼
各云日志服务(CloudWatch / SLS / CLS / LTS)
│
┌───┼───┐
│ │ │
▼ ▼ ▼
告警 SIEM 长期归档
(飞书/钉钉/企微) (中心化分析) (OSS/S3/COS/OBS)
|
六、DevSecOps 与基础设施即代码
| 安全域 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| IaC 工具 | Terraform (AWS Provider) | Terraform (ALICloud Provider) | Terraform (TencentCloud Provider) | Terraform (HuaweiCloud Provider) |
| CI/CD 安全 | GitHub Actions OIDC + CodePipeline | 云效 + ACR 镜像扫描 | CODING + TCR 镜像扫描 | DevCloud + SWR 镜像扫描 |
| 密钥集成 | OIDC(零静态凭证) | RAM Role + STS | CAM Role + STS | IAM + STS |
| 策略即代码 | Sentinel / OPA | 事件总线规则 | 操作审批 | 策略编排 |
| 镜像安全 | ECR 扫描 + Inspector | ACR 镜像扫描 | TCR 镜像扫描 | SWR 镜像扫描 |
| 运行时防护 | GuardDuty Runtime | 容器安全 | 容器安全 | CCE 安全 |
CI/CD 安全卡点:
1
2
3
| 代码提交 → SAST 静态扫描 → 依赖漏洞扫描(SCA)→ 镜像扫描
→ IaC Plan 预检(Sentinel/OPA 策略校验)→ 人工审批 → Apply
→ 运行时防护 + RASP
|
七、事件响应与应急处置
| 阶段 | 通用流程 | 各云关键能力 |
|---|
| 检测 | 统一告警聚合 | GuardDuty / 阿里安全中心 / 腾讯云安全中心 / HSS |
| 研判 | 告警分级(P0-P3) | 各云 SIEM + 威胁情报关联 |
| 遏制 | 隔离受影响资产 | 安全组封堵 / VPC 隔离 / 实例停止 |
| 根除 | 清除恶意程序、修补漏洞 | 云原生扫描 + 补丁推送 |
| 恢复 | 从备份/快照恢复 | AWS Backup / 阿里 HBR / 腾讯 CBR / 华为 CBR |
| 复盘 | 事后分析、改进措施 | 操作审计回溯 + 时间线重建 |
隔离响应对照:
| 操作 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 实例隔离 | 替换 SG 为隔离 SG | 替换安全组 | 替换安全组 | 替换安全组 |
| 快照取证 | EBS Snapshot | 云盘快照 | 云硬盘快照 | 云硬盘快照 |
| 网络隔离 | NACL Deny All | 网络ACL阻断 | 网络ACL阻断 | 网络ACL阻断 |
| 磁盘挂载分析 | 跨账号挂载分析实例 | 跨账号挂载 | 跨账号挂载 | 跨账号挂载 |
八、合规要求与落地
国内核心法规
| 法规 | 生效时间 | 核心要求 | 云上落地要点 |
|---|
| 网络安全法 | 2017.6 | 等保、日志留存、应急报告 | 等保三级 + 日志 6 个月留存 + 安全事件上报 |
| 数据安全法 | 2021.9 | 数据分级分类、重要数据保护、数据出境评估 | 数据分类标签 + 加密 + 出境审批流程 |
| 个人信息保护法 | 2021.11 | 最小必要、同意原则、跨境传输 | 数据脱敏 + 隐私协议 + 出境安全评估 |
| 关键信息基础设施保护 | 2021.9 | 安全保护义务、安全检测评估 | 安全运营中心 + 年度评估 + 安全加固 |
| 等保 2.0 | 2019.12 | 五级分类、技术+管理双要求 | 金融系统一般要求等保三级 |
等保三级核心要求(云上落地对照)
| 等保要求 | AWS 落地 | 阿里云落地 | 腾讯云落地 | 华为云落地 |
|---|
| 身份鉴别:多因素认证 | IAM MFA + SSO | RAM MFA + IDaaS | CAM MFA + 身份中心 | IAM MFA + 统一认证 |
| 访问控制:最小权限 | IAM Policy + SCP | RAM Policy + 策略关联 | CAM Policy + 边界 | IAM Policy + 策略组 |
| 安全审计:日志 6 个月 | CloudTrail + S3 90 天 | ActionTrail + OSS 生命周期 | 操作审计 + COS 生命周期 | CTS + OBS 生命周期 |
| 入侵防范:威胁检测 | GuardDuty + Security Hub | 安骑士 + 合规中心 | 云安全中心 | HSS + SecMaster |
| 恶意代码防范 | Inspector + Lambda 防护 | 安骑士主机防护 | 云安全中心主机防护 | HSS 恶意代码检测 |
| 数据保密性:存储加密 | KMS + S3/EBS 加密 | KMS + OSS/EBS 加密 | KMS + COS/CBS 加密 | KMS + OBS/EVS 加密 |
| 数据完整性:传输校验 | TLS 1.2+ / S3 校验和 | TLS / OSS 校验和 | TLS / COS 校验和 | TLS / OBS 校验和 |
| 数据备份:定期备份 | AWS Backup | 混合云备份 HBR | 云备份 CBR | 云备份 CBR |
| 网络架构:边界防护 | WAF + Shield + SG | WAF + DDoS + 安全组 | WAF + 大禹 + 安全组 | WAF + Anti-DDoS + 安全组 |
| 安全管理中心:集中管控 | Security Hub 聚合 | 安全中心统一视图 | 安全运营中心 | SecMaster |
合规落地优先级
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| 第一优先级(必须)
├── 等保三级备案 + 年度测评
├── 网络安全法:日志留存 6 个月 + 应急预案 + 安全事件上报
├── Root/MFA 强制 + 操作审计全覆盖
└── 存储加密 + 传输加密
第二优先级(重要)
├── 数据分级分类 + 标签管理
├── 个人信息保护(最小必要 + 脱敏 + 同意)
├── 安全运营中心(SIEM 统一聚合)
└── 漏洞管理 + 定期渗透测试
第三优先级(增强)
├── 数据出境评估(如有跨境业务)
├── 代码安全审计(SAST/DAST/SCA)
├── 红蓝对抗 + 应急演练
└── ISO 27001 / SOC 2 / PCI DSS 认证
|
九、多云安全管理框架
组织职责
| 角色 | 职责 |
|---|
| CISO / 安全负责人 | 安全战略、风险决策、合规统筹、向管理层汇报 |
| 安全架构师 | 架构设计、安全评审、技术选型、标准制定 |
| 安全运营 | 日常监控、事件响应、漏洞管理、合规检查 |
| DevSecOps | CI/CD 安全、IaC 审计、镜像安全、运行时防护 |
| 合规专员 | 等保测评、审计配合、制度文档、整改跟踪 |
多云治理原则
| 原则 | 说明 |
|---|
| 统一身份源 | 各云 IAM 联邦到企业 IdP,避免身份碎片化 |
| 最小权限 | 默认拒绝,按角色/项目/环境精确授权 |
| 纵深防御 | 网络层 + 主机层 + 应用层 + 数据层分层防护 |
| 日志全留存 | 所有云审计日志 ≥ 6 个月,安全日志 ≥ 1 年 |
| 基础设施即代码 | 所有云资源配置通过 Terraform 管理,禁止手动变更 |
| 安全左移 | 在 CI/CD 阶段拦截安全问题,而非生产环境补救 |
| 持续监控 | 7×24 威胁检测 + 自动响应 + 定期演练 |
| 零信任 | 不信任网络位置,持续验证身份和设备状态 |
附:各云产品名称速查
| 能力 | AWS | 阿里云 | 腾讯云 | 华为云 |
|---|
| 身份管理 | IAM / Identity Center | RAM / IDaaS | CAM / 身份中心 | IAM / 统一身份认证 |
| 组织管理 | Organizations | 资源目录 | 组织 | 组织 |
| Landing Zone | Control Tower | 云治理中心 CGC | 控制中心 | 资源治理中心 RGC |
| 威胁检测 | GuardDuty | 安骑士/云安全中心 | 云安全中心 | HSS |
| 合规审计 | Security Hub / Config | 合规中心/配置审计 | 安全治理 | 合规中心 |
| 操作审计 | CloudTrail | ActionTrail | 操作审计 | CTS |
| WAF | AWS WAF | 阿里云 WAF | 腾讯云 WAF | 华为云 WAF |
| DDoS | Shield | DDoS 高防 | 大禹 | Anti-DDoS |
| 密钥管理 | KMS / CloudHSM | KMS / 专属加密机 | KMS / CloudHSM | KMS / DEW |
| 数据安全 | Macie | 数据安全中心 DSC | 敏感数据安全 | 数据安全中心 DSC |
| 日志分析 | CloudWatch / OpenSearch | 日志服务 SLS | 日志服务 CLS | 云日志服务 LTS |
| 备份 | AWS Backup | 混合云备份 HBR | 云备份 CBR | 云备份 CBR |
| 容器安全 | ECR + GuardDuty | ACR + 安骑士 | TCR + 云安全中心 | SWR + HSS |
