案例：金融级客户数据安全上云

金融客户对数据安全有非常严格的要求。基于华为云在金融领域客户上云安全解决方案中积累的最佳实践，我们提出了一种面向金融客户数据安全上云的参考框架。

图1 金融客户数据安全上云

• 目标1：核心敏感数据仅在TEE机密边界内处理

  云上所有的持久化数据默认加密，比如通过组织护栏策略强制执行OBS桶加密、EVS卷加密、RDS数据库加密等等。应用程序针对核心敏感数据使用一层额外的加密，数据密钥由客户控制的KMS主密钥保护，通过IAM条件访问控制策略确保数据密钥仅在预期的QingTian Enclave环境中才能被解密使用。华为云KMS支持QingTian Enclave Attestation协议集成，支持将数据密钥、随机数和解密结果使用端到端加密方式从KMS安全传送到Enclave环境，从而实现核心敏感数据仅在TEE环境中被解密和处理。

• 目标2：构建生产环境中的数据边界护栏

  通过VPC网络配置来设置网络边界，阻止非预期的Internet出入流量、非预期的跨VPC之间的访问流量以及非预期的云服务访问流量。在网络边界控制的基础上，增加使用身份与访问控制方法构建组织的数据边界护栏：

  • 面向身份的数据边界护栏：使用SCP来定义组织账号内所有IAM身份的权限边界，以确保组织账号内的IAM身份凭证只能使用组织的VPC终端节点（禁止公网和其它访问路径），以及只能访问归属于组织账号的云资源。身份护栏构建完成后，即使出现IAM身份凭证泄露，攻击者无法使用身份凭证从Internet或从他人的VPC终端节点发起访问，从而可以消减凭证泄露的风险。
  • 面向VPC终端节点的数据边界护栏：使用VPC终端节点策略来设置权限边界，以确保经过VPC终端节点的云服务API请求仅来自组织账号内的IAM身份，且只能访问归属于组织账号的云资源。
  • 面向资源的数据边界护栏：使用资源授权策略来设置权限边界，以确保资源的所有API请求只能来自组织账号内的IAM身份，以及必须通过组织的VPC终端节点（禁止公网访问路径）。

• 目标3：安全身份接入与凭证防泄漏
  • 基于标准身份联邦协议构建面向员工的身份联邦登录解决方案，禁止绕过企业本地登录系统来使用云账号。关于租户登录限制，实施对SSO登录和控制台访问操作的指定网络位置限制，以及使用企业本地安全网关来实施租户登录限制，从而达到限制员工从企业内部只能登录企业云账号，无法登录个人账号。
  • 构建应用身份联邦，支持租户应用使用SAML、OIDC协议实现外部令牌到华为云IAM令牌的安全交换。禁用所有IAM用户，全面使用IAM Agency来替代IAM用户，以彻底消除长期凭证（eg, AK/SK, 登录密码）泄露风险。强制使用ECS IMDSv2方式访问ECS实例身份签名和IAM委托身份令牌，使用SCP策略限制IAM令牌的身份边界护栏，消除IAM令牌泄露到VM或VPC之外导致的风险。