在當下快速發(fā)展的互聯(lián)網潮流中，云計算釋放無限能力，助力企業(yè)數字化轉型，為企業(yè)業(yè)務創(chuàng)新帶來新的契機，但是企業(yè)上云之后，傳統(tǒng)安全邊界變得更加模糊，核心業(yè)務在云端，使得數據可視化和安全風險洞察力都大打折扣，這給企業(yè)業(yè)務轉型的可持續(xù)發(fā)展埋下了隱患。如何才能安全無憂地暢享云計算帶來的紅利，為應用構建更安全可靠的防護屏障呢？本文就亞馬遜云科技云上安全話題進行探討，從安全模型到最佳實踐，從安全架構規(guī)劃到系統(tǒng)內部加固，對企業(yè)上云的安全部署提供系統(tǒng)化的全景建議，讓您更直觀地了解云上安全問題，從而防患未然，構筑云上安全堡壘。

一、云安全概述

1.1 云計算中的機遇與挑戰(zhàn)

當云計算重構IT產業(yè)的同時，也賦予了企業(yè)嶄新的增長機遇。通過充分利用云計算的能力，企業(yè)可以釋放更多精力專注于自己的業(yè)務。云計算極大地降低了企業(yè)的數字化轉型成本，釋放更多效能進行業(yè)務創(chuàng)新，云計算為企業(yè)業(yè)務創(chuàng)新帶來無限可能。但是當人們在享受使用云計算帶來的便利的同時，云上安全問題也不容忽視，CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲...，用戶的業(yè)務應用就像在黑暗森林中的行者，四周潛伏著看不見的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業(yè)帶來極大的損失。

1.2 三問云上安全性

云計算帶來了機遇與挑戰(zhàn)，那么對于挑戰(zhàn)，我們該如何看待？

• 云平臺安全

當企業(yè)接入云端，如何判斷云平臺的安全能力？合規(guī)性是一個重要考量因素，此外建議企業(yè)還可以了解云平臺是否有關于身份與訪問、網絡安全、數據保護、應用安全、可視性與智能相關的安全策略，全面客觀地評判云平臺安全實力。

• 隔離防護

云平臺為多租戶模式，租戶方應該采取哪些措施或服務來達到安全的目的？該借助哪些服務來達到等級保護的要求？

• 安全流程規(guī)范

盡管企業(yè)已經對云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發(fā)生安全風險，云平臺是否有一系列規(guī)范的安全響應流程來幫助企業(yè)抵御攻擊，降低安全風險？

帶著上面的問題，下文將從安全分類、安全模型、云上安全最佳實踐等方面，對云上安全進行詳細分析。

二 、云上安全分類

對于云計算安全帶來的挑戰(zhàn)，云上安全問題大體可分為以下四類：

• 物理和基礎架構安全：包括云計算環(huán)境下數據中心內服務器、交換機等軟硬件設備自身安全、數據中心架構設計層面的安全；
• 應用安全：在云計算環(huán)境下的業(yè)務相關應用系統(tǒng)的安全管理，包括應用的設計、開發(fā)、發(fā)布、配置和使用等方面的安全；
• 訪問控制管理：云計算環(huán)境中對資源和數據的訪問權限管理，包括用戶管理、訪問權限管理、身份認證等方面；
• 數據安全：指客戶在云計算環(huán)境中的業(yè)務數據自身的安全，包括收集與識別、分類與分級、訪問權限與加密等方面。

將云上安全問題清晰歸類后，企業(yè)就可以針對自身安全問題有的放矢地進行優(yōu)化完善。在此將詳細闡述亞馬遜云科技在云端的前沿技術與產品解決方案，看亞馬遜云科技如何為企業(yè)轉型賦能，幫助企業(yè)從容上云，為應用構建安全城堡。

三 、安全模型

亞馬遜云科技責任共擔模型強調安全性和合規(guī)性是亞馬遜云科技和客戶的共同責任，亞馬遜云科技提供基礎設施并保證其安全，用戶則負責維護自己運行其上的應用安全。在這里不少企業(yè)用戶會存在認知誤區(qū)，認為只要云平臺基礎設施安全就足夠了，但事實上企業(yè)需要對云端應用有更深入的安全掌控。

從企業(yè)角度而言，用戶需要確保應用的安全性，及利用云計算基礎設施的安全配置，進行云上安全加固，例如及時更新操作系統(tǒng)的安全補丁、云產品的安全策略配置。亞馬遜云科技的安全模型將安全下放到客戶側，更具有靈活性和可控性，有助于用戶在亞馬遜云科技和內部環(huán)境中掌控安全，獲得最大限度的保護。

在亞馬遜云科技的責任共擔模型中，人們可以更直觀地看到亞馬遜云科技和企業(yè)客戶的責任劃分，其中亞馬遜云科技負責全球基礎設施的安全及合規(guī)，客戶完全擁有和控制自己的數據，并可以根據自己的業(yè)務選擇合適的云產品，配置更高安全策略從而提升業(yè)務安全。通過這個模型，在亞馬遜云科技的強大云平臺上，企業(yè)擁有更靈活的安全產品搭配，對應用有更強的安全掌控能力，雙方共同構筑了云上安全堡壘。

3.1 云安全責任

在了解了云上安全模型后，我將對亞馬遜云科技安全責任和客戶安全責任做更詳細的闡述，并通過案例講解，幫助大家更深入地了解責任共擔模型。

3.1.1 基礎設施安全

在基礎設施安全方面，亞馬遜云科技負責保護提供的所有服務的全球基礎設施的安全。

• 在高可用方面，亞馬遜云科技在全球多區(qū)域內都部署基礎資源，在同一個區(qū)域內的不同可用區(qū)也部署了基礎資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區(qū)或單區(qū)域故障所帶來的危害性，為基礎設施的高可用性提供了良好的保障。
• 在訪問控制方面，亞馬遜云科技全球數據中心專業(yè)的安保人員利用視頻監(jiān)控、入侵檢測系統(tǒng)和其他電子方式嚴格控制各數據中心入口的物理訪問，確保數據中心人員訪問的合規(guī)性。
• 在物理安全方面，亞馬遜云科技全球數據中心均配備自動化火災探測和撲救設備，以及全年無中斷冗余設計的電源系統(tǒng)，這些防護設備及高可用設計方案，能夠大大提升數據中心健壯性。
• 在事件響應方面，在遇到突發(fā)影響業(yè)務的事件時，亞馬遜云科技事件管理團隊會使用行業(yè)標準診斷程序來推進事件的解決。專業(yè)的管理團隊還會提供全天候響應服務，高效快速處理突發(fā)事件，確保基礎設施安全無虞。

3.1.2 基本服務安全

安全性不僅嵌入到 亞馬遜云科技基礎設施的每一層，還嵌入到基礎設施之上的每個服務中。亞馬遜云科技的每個服務都提供了廣泛的安全功能，可以幫助用戶保護敏感數據和應用程序。例如，Amazon RDS for Oracle 是一種托管式數據庫服務，在該服務中，亞馬遜云科技管理容器的所有層，甚至包括Oracle 數據庫平臺。針對云上服務，亞馬遜云科技提供數據備份服務和恢復工具，用戶負責配置和使用與業(yè)務連續(xù)性和災難恢復 (BC/DR) 策略有關的工具。用戶通過使用亞馬遜云科技提供的靜態(tài)數據加密服務，或者亞馬遜云科技提供的對用戶有效負載的 HTTPS 封裝服務，以保障傳入和傳出該服務的數據安全。對于基本服務亞馬遜云科技也提供了多種有效措施來確保服務的安全性。

3.2 客戶安全責任

安全是相對的，且是多維度的，底層基礎設施交由亞馬遜云科技負責，那么在云上的資源配置和業(yè)務安全則需要由客戶自己來掌控。

3.2.1 基礎服務

基礎服務的安全問題，涉及計算、存儲、網絡等層面，需要與具體的場景結合才能有針對性地保障其不同側重點的安全性。例如，當業(yè)務遷移上云時，如何保障云上計算資源全生命周期的安全性，如何規(guī)劃云上網絡才能確保數據傳輸安全，依靠哪些措施保障數據存儲安全。針對計算、網絡、存儲三大基礎服務，亞馬遜云科技提供了不同的解決方案。

• 計算資源之EC2

          服務器開通

服務器在開通階段，需要進行一系列安全配置，以提升系統(tǒng)安全等級。企業(yè)可以自主選擇多種操作，例如選擇穩(wěn)定的操作系統(tǒng)版本、開通服務器安全防護功能、開通監(jiān)控日志服務、安全組最小化精確授權、配置快照備份策略、設置IAM訪問權限、配置服務器告警策略等。

          服務器配置

通過一些列系統(tǒng)內優(yōu)化加固操作，提高系統(tǒng)安全性，例如在系統(tǒng)內部使用系統(tǒng)默認防火墻對業(yè)務進行安全防護，調整文件打開數和進程數，優(yōu)化系統(tǒng)內核參數，刪除系統(tǒng)內無效用戶，禁用超級管理員登錄，使用普通用戶切換到超級管理員操作，對業(yè)務系統(tǒng)日志進行切割分級等。

           運維

對于后期服務器運維，需要企業(yè)客戶定期更新軟件系統(tǒng)，及時修復新暴露的軟件漏洞，定期巡檢服務器各項監(jiān)控指標，企業(yè)還可以針對業(yè)務使用情況優(yōu)化系統(tǒng)配置，并對EC2服務器進行安全測試，使用安全產品進行EC2安全加固。

• 網絡安全之VPC

對于Amazon Virtual Private Cloud安全，用戶需要根據自身業(yè)務特點，結合業(yè)務網絡連通性和后期可擴展性進行綜合考慮。對Web應用/APP應用/DB應用進行分層設計，通過制定嚴格的網絡安全策略實現業(yè)務管控，保證安全；用戶還可以配置帶寬監(jiān)控，這樣一旦網絡發(fā)現異常流量就會告警，確保企業(yè)網絡安全可用。

• 存儲安全之Amazon S3

在對象存儲安全方面，Amazon S3基于請求時間（日期條件）限制訪問，無論該請求是使用 SSL（布爾值條件）還是使用申請方的 IP 地址（IP 地址條件）發(fā)送的，都可基于申請方的客戶端應用程序（字符串條件）限制訪問。通過 SSL 加密型終端節(jié)點，安全地將數據上傳/下載到 Amazon S3，保證數據傳輸到Amazon S3的安全性。

3.2.2 托管服務

對于亞馬遜云科技托管服務，例如Amazon RDS具有豐富功能，可以提高關鍵生產數據庫的可靠性，包括數據庫安全組、權限、SSL 連接、自動備份、數據庫快照和多可用區(qū)部署。企業(yè)還可以選擇將數據庫實例部署在 Amazon VPC 中以享受額外的網絡隔離。

• 從訪問控制層面來看，企業(yè)首次在 Amazon RDS 內創(chuàng)建數據庫實例時，將會創(chuàng)建一個主用戶賬戶，它僅在 Amazon RDS 環(huán)境中用來控制對用戶數據庫實例的訪問。同時創(chuàng)建數據庫子網組，這些組是用戶可能需要為 VPC 中的 RDS 數據庫實例指定的子網集合，每個數據庫子網組應至少包含給定區(qū)域中每個可用區(qū)的一個子網，從網絡層面保證服務安全性；
• 終端訪問加密方面，可以使用 SSL 對應用程序和數據庫實例之間的連接進行加密，避免數據被竊取和篡改；
• 對于自動備份和數據庫快照，用戶可根據業(yè)務合理配置托管服務器的備份恢復策略，當數據遭受破壞時能輕松地實現數據恢復；
• 對于告警，亞馬遜云科技提供RDS服務，可以幫助企業(yè)全面掌握云端應用狀況，如實例是否已關閉、備份啟動、發(fā)生故障轉移、安全組發(fā)生更改、存儲空間不足等，企業(yè)可以在第一時間發(fā)現潛在安全問題，并執(zhí)行相應修復操作，提升托管服務安全性。

四 、安全架構最佳實踐

4.1 訪問入口

• 4.1.1 邊界架構安全
• Amazon WAF

Amazon WAF是一種Web應用程序防火墻，顧名思義防火墻能夠根據一些設定好的ACL規(guī)則或內置安全策略，對網絡上的安全風險進行攔截，包括SQL注入、跨站腳本、特點惡意IP訪問等安全威脅。利用Amazon  WAF能夠為業(yè)務提供安全的訪問入口。

• Amazon CloudFront

Amazon CloudFront 能加快將靜態(tài)和動態(tài) Web 內容（如 .html、.css、.js 和圖像文件）分發(fā)到用戶的速度，當出現海量網絡攻擊情況時，可利用全球的節(jié)點輕松扛住海量攻擊。不僅如此，如下圖所示，Amazon CloudFront 還可將HTTP請求重定向到HTTPS，為應用提供強有力的安全防護入口。

• Amazon Route53

Amazon Route 53 作為DNS服務器，實施的故障轉移算法不僅用于將流量路由到正常運行的終端節(jié)點，在遇到大型DDoS攻擊時還可以起到很好的分流作用，強大的基礎設施為用戶提供云上安全可靠的網絡防護。

• 安全接入點：

在全球網絡的眾多接入點，亞馬遜云科技已經配置了專業(yè)的接口通信網絡設備，可以對網絡接入點進行管理和安全檢測，從而保障了業(yè)務數據在接入點的網絡安全性。

• 傳輸保護：

普通用戶可使用安全套接字層 (SSL)通過 HTTP 或 HTTPS 連接到 亞馬遜云科技 接入點，但對于安全需求更高的用戶，亞馬遜云科技 提供Amazon Virtual Private Cloud (VPC)服務，它相當于在亞馬遜云科技內部為高安全需求用戶打造一張私有子網，通過 IPsec Virtual Private Network 設備在 Amazon VPC 與用戶的數據中心之間建立加密隧道，從而保證業(yè)務數據在網絡傳輸中的安全可靠。

• 容錯設計：

亞馬遜云科技保障了在多個地理區(qū)域內以及在每個地理區(qū)域的多個可用區(qū)中實例和存儲數據的靈活性，通過將應用程序分布在多個可用區(qū)從而保持彈性，高可用的容錯設計最大程度避免了災難的發(fā)生，為用戶應用安全提供保障。

4.1.2 VPC規(guī)劃

對于Amazon Virtual Private Cloud安全，用戶需要根據自身業(yè)務特點，針對業(yè)務網絡連通性和后期可擴展性等方面進行前瞻性規(guī)劃考慮。

• 高可用設計

亞馬遜云科技可以幫助企業(yè)將業(yè)務部署在不同的VPC中，VPC之間實現網絡互通，企業(yè)可以利用路由安全組和網絡ACL來控制安全，不同VPC部署在不同地域，確保業(yè)務網絡冗余性。

• 分層設計

考慮到業(yè)務安全性，企業(yè)可以在每個 Amazon VPC 內創(chuàng)建一個或多個子網，在 Amazon VPC 中啟動的每個實例均連接至一個子網。傳統(tǒng)的第 2 層安全性攻擊（包括 MAC 欺騙和 ARP 欺騙）被阻斷。

• 可擴展性

業(yè)務網絡隨著業(yè)務應用的持續(xù)發(fā)展，需要提前考慮未來可擴展性，做好網段規(guī)劃。根據IDC網絡拓撲設計云上網段，避免在后續(xù)打隧道時發(fā)生網絡沖突，考慮到業(yè)務發(fā)展模式，建議企業(yè)盡可能采用大的網段劃分，為未來業(yè)務預留網段，確保網絡規(guī)劃具有良好的可擴展性。

• 維護性

企業(yè)業(yè)務上線后對VPC需要進行帶寬策略配置，監(jiān)控告警配置等操作。這樣可以在第一時間發(fā)現異常流量，并進行處理。日常運維中，企業(yè)還需要根據業(yè)務動態(tài)調整VPC策略，定期巡檢以提升VPC安全。

4.1.3 子網規(guī)劃

VPC的安全一部分是由子網的安全措施來保證的，為了實施額外的網絡控制，可以通過指定子網的IP地址范圍來隔離不同的應用實例，子網規(guī)劃也需要考慮子網中云資源的數量限制，子網的正確規(guī)劃能大大減少來自網絡內的攻擊，及時發(fā)現網絡安全問題，防患于未然。

4.1.4 安全組

在應用的訪問中，亞馬遜云科技提供了一整套完整防火墻方案，此方案就是在各個云資源邊界都有安全組，且強制性入站配置默認為是拒絕所有請求，客戶需要明確允許入站流量業(yè)務所需端口，最小化精細授權訪問，從而提升網絡安全性。

4.2 系統(tǒng)架構

在系統(tǒng)架構安全方面，企業(yè)可通過靈活使用負載均衡、業(yè)務無狀態(tài)設計、分層架構部署等手段構建安全架構。此外企業(yè)還可以將業(yè)務數據存儲在分布式存儲中，信息數據存儲在云產品MQ/DB中，這樣可以最大程度防患于未然，將攻擊輕松化解。

4.3 分級管理

4.3.1 訪問分級

• IAM

無論是對云資源的訪問還是系統(tǒng)的訪問，訪問憑證的安全至關重要。借助Amazon IAM，用戶可以集中對用戶、安全憑證（如密碼、訪問密鑰）進行統(tǒng)一管理，以及對亞馬遜云科技服務和資源的訪問設置控制權限策略。靈活使用IAM授權可以對應用或云資源訪問實現分級控制，保障云資源和訪問入口安全性。

• MFA

為進一步提高訪問的高安全性和可靠性，企業(yè)可為賬戶中的所有用戶進行Multi-Factor Authentication (MFA)，啟用MFA后，用戶不僅要提供使用賬戶所需的密碼或訪問密鑰，還必須提供來自經過特殊配置的設備代碼，通過雙向認證確保訪問分級的安全性。

4.3.2 數據分級

• 數據KMS加密

對于數據加密問題，可借助Amazon Key Management Service (Amazon KMS) 托管服務輕松實現。用戶可以創(chuàng)建和控制客戶主密鑰 (CMK)，這是用于加密數據的加密密鑰，通過使用 Amazon KMS，能夠更好地控制對加密數據的訪問權限。目前用戶可以直接在應用程序中使用秘鑰管理和加密功能，也可以通過與 Amazon KMS 集成的 亞馬遜云科技服務使用密鑰管理和加密功能。利用KMS加密服務，能夠快捷簡單保障數據的安全性。

• 備份恢復：

對于不同的云資源，亞馬遜云科技提供對應的數據備份功能，例如EC2的快照備份如果實例出現故障，或者被黑客惡意訪問造成數據被篡改，或被非法加密用于勒索，可以利用快照第一時間對數據進行恢復；通過配置云產品的備份策略，可以在業(yè)務數據發(fā)生異常時最快速度進行數據恢復。

• 傳輸加密：

對于訪問請求傳輸進行加密控制，亞馬遜云科技提供的服務對IPSec 和SSL/TLS均提供支持，以保證傳輸中數據的安全。對于客戶業(yè)務請求可以強制HTTPS訪問，企業(yè)用戶可以使用 SSL 對 API 調用進行加密，以保持業(yè)務數據的機密性。

4.4 運維管理

• 系統(tǒng)加固：

對于系統(tǒng)加固，在開通EC2服務器后，除了亞馬遜云科技上備份監(jiān)控策略外，系統(tǒng)內部的安全加固必不可少，用戶需定期進行補丁更新，后期運維進行定期安全巡檢，通過監(jiān)控日志告警來第一時間排查系統(tǒng)安全問題，通過系統(tǒng)加固能在系統(tǒng)內杜絕安全隱患。

• 監(jiān)控管理

對于云上資源的使用情況，企業(yè)可以使用 Amazon CloudWatch 進行監(jiān)控，全方位了解資源利用率、運營性能和總體需求模式，并且用戶還可以設置 CloudWatch 警報，使其在超出特定閾值時通知用戶或采取其他自動化操作（例如，在 Auto Scaling 啟用時添加或 移除 EC2 實例），并可以通過分析監(jiān)控信息排除隱藏的安全問題。

• 日志管理

對于云上資源日志， Amazon CloudTrail 提供面向賬戶內的 亞馬遜云科技資源所有請求的日志，這包括監(jiān)控賬號內 亞馬遜云科技資源日志、安全事件記錄、API調用信息，企業(yè)可通過日志進行安全溯源。

• 配置管理

云上資源統(tǒng)一管理就需要使用配置管理，Amazon Config幫助用戶監(jiān)督自己的應用程序資源。企業(yè)用戶可以隨時了解資源使用情況以及資源的配置方式，在資源被創(chuàng)建、修改或刪除時，企業(yè)能夠第一時間得到通知，輕松實現對云資源的安全管控。

五 、反思

安全是相對的，沒有100%的安全，想要在云上暢行無阻，需要云廠商和用戶的共同努力。在基礎設施安全方面，云廠商憑借多年的深入研究和風險分析，結合自身在安全領域多年的經驗及技術積累，打造了專門針對云上安全的產品，形成全方位的云安全能力，為用戶提供一站式的云安全綜合解決方案。用戶則需要從自身業(yè)務的安全架構設計，云資源的安全配置，系統(tǒng)內的安全加固，以及后期的運維管理等方面確保安全性。云上安全，人人有責，無論采用的是哪種云部署，用戶都要確保自己的應用在這個云環(huán)境中安全無虞。下一代云安全，是多方協(xié)作的。云安全的智能化，需要云廠商和用戶的不斷努力，共筑云上安全業(yè)務堡壘，創(chuàng)造無限可能。