企業(yè)上云,安全合規(guī)如何進(jìn)階 ——一文拆解亞馬遜云科技云安全理念與實(shí)踐
原創(chuàng)上云是大勢所趨,但上云安全嗎?
在云計(jì)算逐步興起的發(fā)展歷程中,這一疑問一直如影隨形。時(shí)至今日,數(shù)字化轉(zhuǎn)型換擋提速,諸如平臺自身的安全合規(guī)、數(shù)據(jù)隱私安全等要求也在不斷升級,“安全”在一眾企業(yè)的上云旅程中成為貫穿始終、重中之重的考慮因素:上云前,要確保云平臺自身的安全性;上云中,要保證數(shù)據(jù)遷移過程中的安全性;上云后,要綜合考量云中的安全建設(shè),如何利用云原生的服務(wù)提升安全性和提高合規(guī)效率。
作為全球云計(jì)算的頭號玩家,亞馬遜云科技在云上安全領(lǐng)域積累了眾多方法論和實(shí)踐經(jīng)驗(yàn)。本文將對亞馬遜云科技構(gòu)建的云上安全堡壘一窺全貌,進(jìn)而解構(gòu)其提出的三大安全理念,以饗讀者。
一、企業(yè)上云,其實(shí)更安全
1.1 相較自建數(shù)據(jù)中心,上云的安全體驗(yàn)如何?
過去很多年,企業(yè)都認(rèn)為自建數(shù)據(jù)中心才是最安全的。但是亞馬遜云科技認(rèn)為:企業(yè)上云,安全體驗(yàn)?zāi)軌虮惹罢咴偕弦粋€(gè)臺階。
對企業(yè)來說,如果自建數(shù)據(jù)中心需要由自身構(gòu)建一切,包括安全設(shè)備管理、合同簽訂、成本等問題。但如果是應(yīng)用上云,企業(yè)并不需要在底層基礎(chǔ)設(shè)施的安全問題上投入精力,而且它在云端的安全治理有望更進(jìn)一步。具體體現(xiàn)在以下四個(gè)方面:
第一,自動(dòng)化。本地環(huán)境下采用的是不同廠商的產(chǎn)品,安全數(shù)據(jù)的整合會(huì)極其復(fù)雜。而在云上,云端安全服務(wù)之間的超高集成度,會(huì)讓數(shù)據(jù)整合變得更簡單,更好地做到自動(dòng)化。
第二,可視化。當(dāng)有了更好的數(shù)據(jù)整合之后,在云上也更有機(jī)會(huì)用一個(gè)集中的平臺做安全的可視化管理。透過統(tǒng)一的日志平臺,身份管理,以及統(tǒng)一的API,用戶可以實(shí)現(xiàn)更好的可視化。
第三,成本。云端安全沒有前期投入成本,是按使用量付費(fèi),企業(yè)在成本控制方面更具有靈活性。
第四,可以幫助企業(yè)在云上實(shí)現(xiàn)自動(dòng)執(zhí)行合規(guī)任務(wù),更高效做合規(guī)。就亞馬遜云科技來說,用戶既可以自動(dòng)繼承亞馬遜云在基礎(chǔ)架構(gòu)層面的合規(guī)認(rèn)證,還可以參考亞馬遜云提供的合規(guī)最佳實(shí)踐,來進(jìn)行安全合規(guī)建設(shè)。
簡言之,如果自建數(shù)據(jù)中心做合規(guī)是從0做起,那上云的話可能就是從50分做起。因?yàn)樵茝S商已經(jīng)做好另外50分,企業(yè)可以直接繼承。上云后,企業(yè)在自動(dòng)化、可見性、成本控制,以及更高效地實(shí)現(xiàn)合規(guī)方面都能享有優(yōu)勢。
1.2 云平臺本身是否安全合規(guī)?
無論企業(yè)身處哪個(gè)行業(yè),規(guī)模如何,其對云平臺安全合規(guī)的訴求同樣迫切。云自身的安全性是信任的基礎(chǔ),是企業(yè)決定遷移上云的前提條件,是企業(yè)在云上構(gòu)建應(yīng)用程序的基石。但問題在于,目前很多云廠商在云自身的安全性上解釋不足,云廠商如何建設(shè)自身的安全合規(guī),對企業(yè)而言就是一片盲區(qū)。
就亞馬遜云科技來說,全球已有數(shù)百萬用戶把數(shù)據(jù)和業(yè)務(wù)放在亞馬遜云上,其中不乏金融、電信等很多強(qiáng)監(jiān)管的行業(yè)。比如,世界最大的股票交易所納斯達(dá)克會(huì)分階段把全部業(yè)務(wù)遷移到亞馬遜云科技,日本最大的電信運(yùn)營商N(yùn)TT docomo會(huì)把PB級別的數(shù)據(jù)倉庫遷移上云。能獲得如此多的企業(yè)信賴,亞馬遜云科技主要通過以下四點(diǎn)確保自身的安全合規(guī):
其一,安全的基礎(chǔ)設(shè)施。
l 提供極具擴(kuò)展性和高度可靠的基礎(chǔ)設(shè)施,比如1個(gè)區(qū)域(Region)中通常3個(gè)可用區(qū)(3AZ),這種部署理念就是為了搭建高可用架構(gòu)。而可用區(qū)和可用區(qū)之間會(huì)有非常嚴(yán)格的物理距離的規(guī)定,達(dá)到容災(zāi)。
l 采用非常多的冗余和分層控制,大量使用了自動(dòng)化,確保底層基礎(chǔ)設(shè)施7×24小時(shí)的監(jiān)控和保護(hù)。這一點(diǎn)尤其在疫情防控期間對保障業(yè)務(wù)連續(xù)性至關(guān)重要。
l 亞馬遜云科技的數(shù)據(jù)中心和網(wǎng)絡(luò)以最高安全標(biāo)準(zhǔn)構(gòu)建,所有企業(yè)都可以獲得一致的云基礎(chǔ)安全性,同時(shí)不必花費(fèi)傳統(tǒng)數(shù)據(jù)中心那樣巨大的資本支出和運(yùn)營開銷。
其二,安全的云服務(wù)。
云自身安全不能只看亞馬遜云科技有多少種安全服務(wù),同時(shí)要考慮其服務(wù)的安全。任何新服務(wù)的研發(fā),安全團(tuán)隊(duì)從一開始就會(huì)介入。研發(fā)的過程中如果存在任何已知的安全問題,這項(xiàng)服務(wù)就不可能發(fā)布。另外,通過深度集成的服務(wù)實(shí)現(xiàn)自動(dòng)化并降低風(fēng)險(xiǎn)。亞馬遜云科技自身有一套完整的API管理和安全工具,可實(shí)現(xiàn)自動(dòng)執(zhí)行安全任務(wù),包括持續(xù)進(jìn)行的運(yùn)行狀態(tài)檢測和保護(hù)、威脅修復(fù)和響應(yīng)等,以上措施既確保了服務(wù)的安全性,還保證了利用服務(wù)來構(gòu)建的解決方案的安全性。
其三,堅(jiān)持客戶擁有和控制數(shù)據(jù)的理念。
只有讓用戶始終擁有自己的數(shù)據(jù),能夠?qū)?shù)據(jù)進(jìn)行自主操作,用戶才會(huì)放心地把它的應(yīng)用放在云上。亞馬遜云科技不接觸用戶上傳到云中的數(shù)據(jù),是指亞馬遜不知道也不了解用戶上傳到亞馬遜的數(shù)據(jù)是否包括個(gè)人數(shù)據(jù)。同時(shí)保證客戶擁有數(shù)據(jù)的完整控制權(quán),用戶可以自主決定哪些數(shù)據(jù)可以上傳到亞馬遜云,以及決定時(shí)間,地點(diǎn)和保護(hù)方式。
而且亞馬遜云科技自身數(shù)據(jù)加密無處不在,所有的數(shù)據(jù)流動(dòng)在離開其基礎(chǔ)設(shè)施之前必須經(jīng)過物理層自動(dòng)加密。另外,還有其他的加密層存在,比如,所有VPC跨區(qū)域之間的流量也會(huì)進(jìn)行加密,服務(wù)之間也會(huì)有很多的TLS連接。此外,亞馬遜云科技遍布全球的區(qū)域可以幫助客戶實(shí)現(xiàn)數(shù)據(jù)本地化的要求。
其四,支持眾多安全標(biāo)準(zhǔn)與合規(guī)性認(rèn)證,幾乎滿足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)性要求。
目前,亞馬遜云科技在全球已經(jīng)獲得了98項(xiàng)安全標(biāo)準(zhǔn)和合規(guī)認(rèn)證,用戶可以直接繼承。比如ISO/IEC 27018:2019認(rèn)證,這是主要針對保護(hù)云中個(gè)人數(shù)據(jù)安全的準(zhǔn)則。亞馬遜云科技遵從這一國際公認(rèn)的行為準(zhǔn)則,并獲得了獨(dú)立的第三方評估,證明了亞馬遜云在尊重隱私和保護(hù)用戶內(nèi)容方面所作出的承諾。
此外,北京區(qū)域和寧夏區(qū)域是兩個(gè)位于中國境內(nèi)提供服務(wù)的亞馬遜云科技區(qū)域。為保證更好的用戶體驗(yàn)并遵守中國的法律法規(guī),亞馬遜在中國與持有相關(guān)電信牌照的本地合作伙伴開展技術(shù)合作,由本地合作伙伴向客戶提供云服務(wù)。北京光環(huán)新網(wǎng)科技股份有限公司是亞馬遜云科技北京區(qū)域云的服務(wù)運(yùn)營方和提供方,寧夏西云數(shù)據(jù)科技有限公司是亞馬遜云科技寧夏區(qū)域云的服務(wù)運(yùn)營方和提供方。
1.3 如何應(yīng)對數(shù)據(jù)保護(hù)相關(guān)法律?
放眼全球,當(dāng)前已有132個(gè)國家和地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)。在國內(nèi),自2017年起,《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》的相繼出臺,也對企業(yè)的數(shù)據(jù)安全提出更高要求。提升對安全合規(guī)的重視不僅能幫助企業(yè)規(guī)避和預(yù)防很多行政甚至刑事處罰風(fēng)險(xiǎn),另一個(gè)角度,安全合規(guī)也成為企業(yè)的核心競爭力之一。
數(shù)據(jù)安全建設(shè)是分層次的,亞馬遜云科技提供了多種云原生安全服務(wù),客戶可以快速使用并提高安全水平,僅以中國地區(qū)來看:在訪問控制層面,有Multi Factor Authentication, API-Request Authentication, Temporary Access Token;在日志請求管理層面,有CloudTrail, Config, GuardDuty;在數(shù)據(jù)加密層面,有應(yīng)用KMS對EBS/S3/Glacier/RDS加密。
另外,亞馬遜云科技有一項(xiàng)信息安全計(jì)劃(Information Security Program),專門用于幫助用戶保護(hù)數(shù)據(jù)免受意外或非法丟失、訪問,識別內(nèi)部安全風(fēng)險(xiǎn)及未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問,通過風(fēng)險(xiǎn)評估和定期測試來最大限度地降低安全風(fēng)險(xiǎn)。該計(jì)劃主要包括5類措施:
網(wǎng)絡(luò)安全。員工、承包商和服務(wù)提供商都可以通過授權(quán)來訪問亞馬遜云科技網(wǎng)絡(luò)。亞馬遜云科技負(fù)責(zé)管理和維護(hù)訪問控制策略,管理每個(gè)網(wǎng)絡(luò)連接和用戶對亞馬孫網(wǎng)絡(luò)的訪問權(quán)限,手段包括使用防火墻和其他身份驗(yàn)證控制。亞馬遜還將負(fù)責(zé)策略糾正和對安全威脅事件的響應(yīng)。
物理安全。亞馬遜云科技的物理設(shè)備位于不對外披露的區(qū)域中。在周邊和建筑物入口處使用了物理屏障來防止未經(jīng)授權(quán)者進(jìn)入亞馬遜云科技的區(qū)域。
有限的員工和承包商訪問權(quán)限。亞馬遜云科技對有合法業(yè)務(wù)需求的員工和承包商提供訪問這些區(qū)域的權(quán)限。當(dāng)員工或承包商不再有業(yè)務(wù)需求時(shí),訪問權(quán)限會(huì)立即撤銷。
物理安全保護(hù)。所有接入點(diǎn)(主入口門除外)都保持安全(鎖定)狀態(tài)。物理設(shè)施的接入點(diǎn)由旨在記錄所有進(jìn)入設(shè)施的個(gè)人的視頻監(jiān)控?cái)z像頭進(jìn)行監(jiān)控。
持續(xù)評估。亞馬遜云科技根據(jù)行業(yè)安全標(biāo)準(zhǔn)及其政策和程序?qū)ζ渚W(wǎng)絡(luò)的安全性及其信息安全進(jìn)行定期審查,持續(xù)評估其網(wǎng)絡(luò)和相關(guān)服務(wù)的安全性,并判斷是否需要額外或不同的安全措施來應(yīng)對定期審查發(fā)現(xiàn)的安全風(fēng)險(xiǎn)。
關(guān)于上云本身的安全,以及亞馬遜云科技自身的安全性,本文不再做更多的闡釋。當(dāng)前的市場環(huán)境下,數(shù)字化轉(zhuǎn)型的提速與安全合規(guī)的收緊讓企業(yè)似乎時(shí)刻處于矛盾之中,但快速創(chuàng)新和安全對企業(yè)來說并非是兩者擇其一的關(guān)系,如何在確保安全的前提下推動(dòng)業(yè)務(wù)快速創(chuàng)新才是正解。針對這一痛點(diǎn),亞馬遜云科技提出了三大安全理念和洋蔥模型,幫助企業(yè)完善云安全能力建設(shè)。
二、拆解亞馬遜云科技三大安全理念
2.1 理念一:利用云上的事件驅(qū)動(dòng)型架構(gòu)去構(gòu)建自動(dòng)化防護(hù)欄,而非設(shè)立關(guān)卡。
網(wǎng)絡(luò)安全最大的威脅還是來自于人,例如安全意識不足而被利用、人員疏忽導(dǎo)致配置錯(cuò)誤或其他人為原因?qū)е戮W(wǎng)絡(luò)安全工作未能有效執(zhí)行等。而且傳統(tǒng)的企業(yè)安全體系基本是事后驅(qū)動(dòng)型,網(wǎng)絡(luò)安全團(tuán)隊(duì)往往承擔(dān)著背鍋俠和救火員的角色,常常陷入分身乏術(shù)的境地。
亞馬遜云科技認(rèn)為,推進(jìn)標(biāo)準(zhǔn)化、自動(dòng)化勢在必行。人的過多參與會(huì)引發(fā)新的安全風(fēng)險(xiǎn),因此應(yīng)該建立起自動(dòng)化的安全流程,同時(shí)讓人遠(yuǎn)離數(shù)據(jù)。通過自動(dòng)化來達(dá)到安全的標(biāo)準(zhǔn)化,達(dá)到一致性。
通過在亞馬遜云上自動(dòng)執(zhí)行安全任務(wù),用戶可以通過減少人工配置錯(cuò)誤并讓開發(fā)人員有更多時(shí)間專注于業(yè)務(wù)本身來提高安全性。從各種深度集成的解決方案中進(jìn)行選擇,這些解決方案可以組合在一起以新穎的方式自動(dòng)執(zhí)行任務(wù),從而使用戶的安全團(tuán)隊(duì)可以更輕松地與開發(fā)人員團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)密切合作,以更快、更安全地創(chuàng)建和部署代碼。
舉個(gè)例子,用Amazon GuardDuty組合Amazon CloudWatch,再組合Amazon Lambda做一個(gè)集成,Amazon GuardDuty可以對亞馬遜云科技的很多數(shù)據(jù)源做日志事件的分析,針對諸如Amazon CloudTrail事件日志、Amazon VPC流日志、域名系統(tǒng)服務(wù)(DNS)日志、Amazon S3數(shù)據(jù)事件日志的數(shù)百億事件都去做分析,有能力檢測到100多種安全威脅,并且自動(dòng)對這些威脅進(jìn)行分級,針對這些檢測出來的威脅,用戶可以通過Lambda來快速反應(yīng),從而快速高效地降低安全事件的影響,并且及時(shí)地修復(fù)。
在實(shí)際應(yīng)用中,SaaS平臺安智聯(lián)365采用了Amazon IoT Core構(gòu)建設(shè)備物聯(lián)平臺,實(shí)現(xiàn)智能安防硬件的狀態(tài)采集和雙向消息傳遞,并基于微服務(wù)架構(gòu)引入Amazon Lambda服務(wù)讓開發(fā)團(tuán)隊(duì)可以用簡單的代碼處理緩存等應(yīng)用場景。配合Amazon CloudWatch實(shí)現(xiàn)自動(dòng)化的運(yùn)維與監(jiān)控后,安威士只需一名工程師就能夠處理安智聯(lián)365全球基礎(chǔ)設(shè)施的運(yùn)維管理工作,使企業(yè)可以將更多的人力資源投入到業(yè)務(wù)鏈的開發(fā)工作中。
2.2 理念二:云中安全是主動(dòng)設(shè)計(jì)出來的,而不僅是被動(dòng)響應(yīng)。
中國用戶的習(xí)慣是基于合規(guī)要求,或者社會(huì)性的安全事件觸發(fā)進(jìn)行安全合規(guī)建設(shè),這種建設(shè)思路通常會(huì)滯后,會(huì)讓企業(yè)疲于奔命,忙于各種應(yīng)對。
亞馬遜云科技認(rèn)為,首先,安全合規(guī)與用戶的業(yè)務(wù)開展與持續(xù)進(jìn)行緊密相關(guān),安全不是獨(dú)立的存在,而應(yīng)與企業(yè)業(yè)務(wù)充分結(jié)合,作為業(yè)務(wù)開展的首要條件。再者,安全合規(guī)是基于設(shè)計(jì)而不是基于對事件的響應(yīng)。安全的建設(shè)應(yīng)該是未雨綢繆,根據(jù)業(yè)務(wù)的情況和系統(tǒng)的特點(diǎn),主動(dòng)從技術(shù)和管理的層面去建設(shè)。最后,亞馬遜云科技的安全服務(wù)建設(shè)就是按照預(yù)防、檢測、響應(yīng)、修復(fù)來展開的,用戶也可以以此為參照來構(gòu)建安全體系。
l 預(yù)防:確定用戶權(quán)限和身份、基礎(chǔ)設(shè)施保護(hù)和數(shù)據(jù)保護(hù)措施,以制定平穩(wěn)且經(jīng)過良好計(jì)劃的安全策略。
l 檢測:通過日志和監(jiān)控服務(wù)來了解企業(yè)的安全狀況。將這些信息提取到可擴(kuò)展的平臺中,以進(jìn)行事件管理、測試和審計(jì)。
l 響應(yīng):自動(dòng)化事件響應(yīng),以幫助安全團(tuán)隊(duì)將重點(diǎn)從響應(yīng)轉(zhuǎn)移到分析根本原因上。
l 修復(fù):利用事件驅(qū)動(dòng)的自動(dòng)化功能,以近乎實(shí)時(shí)的方式快速修復(fù)和保護(hù)云中環(huán)境。
以Amazon GuardDuty為例。這種智能威脅檢測服務(wù)可以持續(xù)監(jiān)控針對用戶的AWS 賬戶及其工作負(fù)載的惡意活動(dòng),并提供詳細(xì)的安全偵察結(jié)果以實(shí)現(xiàn)可見性和補(bǔ)救。使用 Amazon GuardDuty 的控制臺與 Amazon Detective 的集成,可以快速確定可疑活動(dòng)的根本原因。比如,通常情況下,如果沒有以近乎實(shí)時(shí)的方式持續(xù)監(jiān)控相關(guān)因素,很難快速發(fā)現(xiàn)賬戶盜用威脅。GuardDuty 卻可以實(shí)現(xiàn)持續(xù)監(jiān)控和分析,通過提供上下文、元數(shù)據(jù)和受影響資源的詳細(xì)信息的偵測結(jié)果,深入了解安全事件。同時(shí)還能及時(shí)停止未經(jīng)授權(quán)的活動(dòng),防止使用受損憑證、Amazon Simple Storage Service (S3) 中的異常數(shù)據(jù)訪問、來自已知惡意 IP 地址的 API 調(diào)用等。
2.3 理念三:云中安全必須是一個(gè)洋蔥型的多層防護(hù),而不是一個(gè)雞蛋。
隨著多云環(huán)境的普遍應(yīng)用,企業(yè)的IT架構(gòu)日益復(fù)雜,云上安全威脅廣泛分布在各個(gè)環(huán)節(jié)。企業(yè)面臨的安全危脅和挑戰(zhàn)日趨廣泛,從CVE漏洞,非法入侵,再到DDoS攻擊,各種安全事件層出不窮。
亞馬遜云科技認(rèn)為,云端的安全防護(hù)應(yīng)該像一個(gè)洋蔥模型,層層展開,而不是象一個(gè)雞蛋。雞蛋雖然給人感覺外殼比洋蔥更堅(jiān)硬,但實(shí)際上它是單層防護(hù),而云上安全必須是像洋蔥一樣層層遞進(jìn)的防護(hù)機(jī)制。
而在洋蔥模型中,亞馬遜云科技將之設(shè)定為五層,從威脅檢測、事件響應(yīng)開始,進(jìn)而到身份認(rèn)證與訪問控制,之后是網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全,然后是數(shù)據(jù)保護(hù)和隱私,最后是風(fēng)險(xiǎn)管控與合規(guī)。逐一了解一下這五大領(lǐng)域內(nèi)的安全服務(wù):
1)威脅檢測與事件響應(yīng)。需要能夠?qū)Π踩{做到精準(zhǔn)定位、快速反應(yīng)、時(shí)刻監(jiān)控,并且能夠分析原因。重點(diǎn)服務(wù)包括:
l Amazon GuardDuty,可以實(shí)現(xiàn)威脅的精準(zhǔn)定位。其優(yōu)勢在于,一方面具有豐富的情威脅報(bào)源,另一方面,集成了機(jī)器學(xué)習(xí)的能力,針對API的調(diào)用行為去建模,并結(jié)合概率預(yù)測,從而更準(zhǔn)確地隔離和警告高度可疑的用戶行為。
l Amazon Security Hub,作為安全事件統(tǒng)一管理平臺,不僅可以實(shí)現(xiàn)威脅檢測7X24小時(shí)全天候在線實(shí)時(shí)監(jiān)測,及時(shí)響應(yīng),并自動(dòng)執(zhí)行合規(guī)性檢查,而且可以連接威脅事件的上下游,試著去做根因分析。
??點(diǎn)擊進(jìn)入Amazon Security Hub >>>> ??
2)身份認(rèn)證與訪問控制。在企業(yè)安全管理中這一環(huán)節(jié)一直相對薄弱。數(shù)據(jù)統(tǒng)計(jì),80%的安全事件是因?yàn)槿蹩诹顚?dǎo)致的。對此,亞馬遜云科技有兩個(gè)經(jīng)驗(yàn)和三個(gè)技術(shù)建議。
兩個(gè)經(jīng)驗(yàn):保持最小授權(quán)原則,每一次授權(quán)都要確認(rèn)是否必須,是否與業(yè)務(wù)/職責(zé)相關(guān);要對最小授權(quán)原則定期進(jìn)行審計(jì),不要有永久授權(quán),所有的授權(quán)都必須有時(shí)效性。
三個(gè)技術(shù)建議:盡可能細(xì)化訪問的顆粒度,可以根據(jù)時(shí)間,地點(diǎn)和服務(wù)來設(shè)置訪問條件;結(jié)合多因素認(rèn)證(MFA)技術(shù)加強(qiáng)身份認(rèn)證;減少長期憑證的使用。
在具體工具層面,Amazon Identity and Access Management (IAM) 是身份認(rèn)證與訪問控制的核心服務(wù),它可以提供涵蓋整個(gè)亞馬遜云科技所有服務(wù)和資源的精細(xì)訪問控制。Amazon Organizations是高效的身份認(rèn)證與訪問控制服務(wù),可以對一個(gè)組織的多賬號進(jìn)行集中管理和治理,建立權(quán)限防護(hù)機(jī)制和數(shù)據(jù)邊界。
3)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。CDN側(cè)的安全防護(hù)是這一層防護(hù)的重點(diǎn)。對于DDoS攻擊的防御,應(yīng)該長期進(jìn)行,因?yàn)槿魏我淮蔚墓舳伎赡軒順I(yè)務(wù)的中斷,進(jìn)而影響最終用戶的體驗(yàn)。如果等發(fā)現(xiàn)DDoS攻擊之后再處理,業(yè)務(wù)的穩(wěn)定性和持續(xù)性必將遭到重創(chuàng)。
Amazon Shield Advanced可以對加載的資源進(jìn)行全天侯的防御,并且實(shí)現(xiàn)快速響應(yīng)和緩解。另外一個(gè)標(biāo)配產(chǎn)品是Amazon WAF,作為Web應(yīng)用防火墻服務(wù),它的獨(dú)到之處在于提供了豐富的規(guī)則庫,既有亞馬遜安全團(tuán)隊(duì)自研的全托管規(guī)則,也有用戶可以根據(jù)自己的需求自定義的規(guī)則。
4)數(shù)據(jù)保護(hù)與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù),對數(shù)據(jù)的保護(hù)涵蓋了數(shù)據(jù)的存儲、傳輸以及使用的各個(gè)環(huán)節(jié)。
對于數(shù)據(jù)存儲過程中的加密,Amazon KMS密鑰管理服務(wù)與亞馬遜云科技140個(gè)服務(wù)集成,可以對存儲在這些服務(wù)中的數(shù)據(jù)加密。高集成度減少了人工操作,降低了出錯(cuò)的概率。針對數(shù)據(jù)保密性要求更高的用戶,Amazon CloudHSM提供了安全、簡單的云上專屬加密機(jī)。
對于數(shù)據(jù)計(jì)算和使用過程中的加密,亞馬遜云科技也有其解決方案。Amazon Nitro Enclaves提供了一個(gè)云端的機(jī)密計(jì)算環(huán)境,通過它,用戶可以創(chuàng)建一個(gè)隔離的環(huán)境來處理敏感數(shù)據(jù),而無需向他們自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限,從而減少了敏感數(shù)據(jù)處理過程中的攻擊面。
??點(diǎn)擊進(jìn)入Amazon KMS >>>>??
5)風(fēng)險(xiǎn)管控及合規(guī)。亞馬遜云科技從四個(gè)維度幫助用戶合規(guī)。
其一,確保亞馬遜云科技服務(wù)本身的合規(guī)性。亞馬遜云科技的合規(guī)認(rèn)證不僅在基礎(chǔ)設(shè)施區(qū)域,還會(huì)深入到每一項(xiàng)云服務(wù),客戶部署亞馬遜云服務(wù),其合規(guī)性能夠得到認(rèn)證機(jī)構(gòu)的認(rèn)可;其二,成熟的合規(guī)方案,基于用戶訴求,亞馬遜云科技會(huì)提供很多合規(guī)落地的最佳實(shí)踐;其三,自動(dòng)化審計(jì),合規(guī)的審計(jì)和評估總是要花費(fèi)大量時(shí)間,通過Amazon Audit Manager 可以簡化審計(jì)管理和合規(guī)性評估;四是合作伙伴的咨詢和落地能力,這些合作伙伴提供數(shù)百種行業(yè)領(lǐng)先的安全解決方案,可幫助用戶提高其安全性和合規(guī)性,合作伙伴能夠在多個(gè)領(lǐng)域?yàn)橛脩籼峁┲С郑渲邪ɑA(chǔ)設(shè)施安全、策略管理、身份管理、安全監(jiān)控、漏洞管理、數(shù)據(jù)保護(hù)和咨詢服務(wù)。
三、三大云安全案例分享
全球有數(shù)百萬的用戶已經(jīng)選擇并且信賴亞馬遜云科技,覆蓋了幾乎所有的行業(yè)。那些成功上云并已經(jīng)建好云上安全屏障的企業(yè)是怎么做的呢?在此分享三個(gè)經(jīng)典的業(yè)界上云案例。
案例1:風(fēng)林火山借力實(shí)現(xiàn)持續(xù)性合規(guī),全面提升安全效率
深圳市風(fēng)林火山電腦技術(shù)有限公司(以下簡稱“風(fēng)林火山”)成立于1996年,專注于在線棋牌類游戲,集研發(fā)、運(yùn)營于一體,產(chǎn)品在國內(nèi)在線棋牌游戲中位居前列。
早期,風(fēng)林火山業(yè)務(wù)與游戲產(chǎn)品托管在IDC中,而整個(gè)服務(wù)器生命周期管理則全靠企業(yè)自己手動(dòng)管理。彼時(shí),發(fā)布一個(gè)游戲產(chǎn)品或進(jìn)行一次升級時(shí),相關(guān)人員要手動(dòng)部署、配置設(shè)備,新版本從準(zhǔn)備到正式發(fā)布通常需要花費(fèi)1個(gè)月時(shí)間。
隨著風(fēng)林火山進(jìn)入快速發(fā)展階段,IDC托管的靈活擴(kuò)展性差、計(jì)算資源受限和效率低等缺陷開始暴露。而且老舊的IDC托管模式缺乏對客戶賦能和安全威脅的及時(shí)響應(yīng),過于傳統(tǒng)的IT架構(gòu)無法給業(yè)務(wù)足夠的創(chuàng)新空間。
當(dāng)看到亞馬遜云科技已成為眾多海外游戲公司的優(yōu)選時(shí),風(fēng)林火山最終決定與亞馬遜云科技合作,并于2017年底完成全部業(yè)務(wù)從IDC向亞馬遜云科技云的遷移。
全服上云后,風(fēng)林火山對游戲版本的發(fā)布、升級頻率,從IDC托管時(shí)的每月1次,提升到每周至少1次,大大提高了業(yè)務(wù)交付速度。在安全方面,傳統(tǒng)威脅探測服務(wù)對海量日志數(shù)據(jù)進(jìn)行分析耗時(shí)耗力,持續(xù)性合規(guī)以及不同安全時(shí)間的匯聚管理也帶來了很大的挑戰(zhàn)。為此,風(fēng)林火山利用Amazon GuardDuty與Amazon Security Hub,全面提升了其安全運(yùn)維的效率。
風(fēng)林火山游戲運(yùn)維工程師許華杰表示:“亞馬遜云科技讓我們可以將更多精力投入到軟件工程中去,實(shí)現(xiàn)更快地交付,將事故率降低了70%以上。以前我們是不斷‘救火’,現(xiàn)在我們時(shí)而還可以自己‘放火’,來不斷提升平臺的健壯性。” 另外,在人員不足的情況下,“亞馬遜云科技為我們安全賦能,實(shí)現(xiàn)高效的安全監(jiān)測,及時(shí)協(xié)助我們安全響應(yīng),降低了安全風(fēng)險(xiǎn),可以從更高視角去看我們整個(gè)架構(gòu)的安全事件。”
案例2:云上數(shù)據(jù)零丟失,涂鴉智能蓄力打造萬物智能互聯(lián)愿景
全球范圍內(nèi),人工智能和物聯(lián)網(wǎng)技術(shù)正在合圍成為一個(gè)全新的智能產(chǎn)業(yè)生態(tài)。IoT開發(fā)平臺涂鴉智能也致力于成為這個(gè)生態(tài)中的關(guān)鍵環(huán)節(jié)。不過,物聯(lián)網(wǎng)行業(yè)中下游應(yīng)用場景與需求的高度碎片化,往往會(huì)導(dǎo)致網(wǎng)絡(luò)通信方式與平臺的多樣化,對實(shí)現(xiàn)設(shè)備的互聯(lián)互通造成較大挑戰(zhàn)。
為此,涂鴉智能不僅要努力推動(dòng)實(shí)現(xiàn)軟硬協(xié)同優(yōu)化,還需要在全球布局云網(wǎng)絡(luò),使其云端服務(wù)能力遍布五大洲。到目前為止,涂鴉IoT開發(fā)平臺已經(jīng)為全球220個(gè)國家和地區(qū)提供基于全球主流公有云的IoT服務(wù),而這得益于包括亞馬遜云科技在內(nèi)的覆蓋全球的基礎(chǔ)設(shè)施及豐富的云產(chǎn)品。
“在選云廠商時(shí),我們會(huì)根據(jù)基礎(chǔ)設(shè)施的覆蓋范圍、安全穩(wěn)定,以及產(chǎn)品的豐富程度來決定。”涂鴉智能技術(shù)副總裁柯都敏說,“而亞馬遜云科技完全能夠滿足這三方面的需求。”
從安全方面來說,亞馬遜云科技是行業(yè)內(nèi)最先推出密鑰管理服務(wù)(KMS)的廠商。基于KMS的密鑰保護(hù)能力和同其他亞馬遜云科技服務(wù)集成能力,涂鴉在公有云行業(yè)內(nèi)最先支持?jǐn)?shù)據(jù)庫等產(chǎn)品物理加密,這為涂鴉提供了非常好的基礎(chǔ)安全保障。
涂鴉IoT PaaS平臺作為數(shù)據(jù)的處理者,客戶在其App上的注冊信息及各種操作行為產(chǎn)生的數(shù)據(jù)也會(huì)被實(shí)時(shí)存放在公有云平臺上,這就使得數(shù)據(jù)安全問題變得尤為重要。涂鴉智能使用了KMS管理加密數(shù)據(jù)的加密秘鑰,并通過Identity and Access Management(IAM)認(rèn)證機(jī)制保障數(shù)據(jù)訪問隔離,為數(shù)據(jù)安全提供了保障。
舉個(gè)例子,“如果我們是在服務(wù)歐洲客戶的話,其所有數(shù)據(jù)都是存儲在歐洲的亞馬遜云科技上,各數(shù)據(jù)中心之間物理隔離。”在亞馬遜云科技的幫助下,涂鴉智能的IoT PaaS從上線至今,實(shí)現(xiàn)了數(shù)據(jù)零丟失。
案例3:自主品牌海外揚(yáng)帆,美的拿穩(wěn)安全合規(guī)出海船票
2006年,以在越南建設(shè)工廠為開端,美的真正開啟了海外自主品牌經(jīng)營的探索之路。在十多年的出海之路上,美的堅(jiān)持因地制宜的本土化策略,已經(jīng)形成包括美的、COLMO、東芝等在內(nèi)的品牌矩陣,據(jù)其財(cái)報(bào)顯示,其海外營收占比也連續(xù)多年超過了40%。
隨著全品類產(chǎn)品智能化的實(shí)現(xiàn),如何以較低的成本建立起安全、穩(wěn)定可靠、運(yùn)維方便、服務(wù)范圍涵蓋全球的智能家居平臺成為美的面臨的主要挑戰(zhàn)。經(jīng)過對多家云平臺的綜合評估,美的選擇了亞馬遜云科技作為其海外平臺的IT基礎(chǔ)架構(gòu)合作伙伴之一。
智能家居平臺連接著用戶的智能家電產(chǎn)品,相關(guān)用戶數(shù)據(jù)都存放在上面,而歐盟和美國對數(shù)據(jù)合規(guī)性都有嚴(yán)苛要求。在與亞馬遜云科技的合作中,美的不僅可以依托其豐富的安全服務(wù),也可以繼承其合規(guī)性,快速在海外部署自己的應(yīng)用。
“IT架構(gòu)部署在亞馬遜云科技上,這些安全合規(guī)的問題就都是他們幫助解決,無需我們操心。如果我們自己去做這些工作,可能需要一個(gè)無比龐大的團(tuán)隊(duì)。”美的集團(tuán)副總裁、美的國際總裁王建國說。
此外,亞馬遜云科技成熟和豐富的全球客戶經(jīng)驗(yàn),也是選擇合作的一個(gè)驅(qū)動(dòng)力,“亞馬遜云科技的經(jīng)驗(yàn)很豐富,已經(jīng)有很多全球成功公司跑在它的云平臺上,包括我們的很多上下游全球合作伙伴也在上面,這樣就形成了一個(gè)很好的數(shù)據(jù)生態(tài)鏈。”
結(jié)語
1. 當(dāng)前在云安全領(lǐng)域,云自身安全合規(guī)是用戶選型時(shí)首要考量因素。如何確保云基礎(chǔ)架構(gòu)以及所提供的各種云服務(wù)本身的安全性是云平臺服務(wù)商首先要溝通清楚的。
2. 對于跨國公司和出海企業(yè)來說,云平臺服務(wù)商的全球化安全和合規(guī)能力逐是這些企業(yè)關(guān)注的重點(diǎn)。像亞馬遜云科技這樣具有全球基礎(chǔ)設(shè)施和合作伙伴網(wǎng)絡(luò)成員的云服務(wù)商,提供的安全性和合規(guī)性,能幫助用戶滿足全球幾乎所有監(jiān)管機(jī)構(gòu)的合規(guī)性要求。
3. 云上安全場景比傳統(tǒng)數(shù)據(jù)中心復(fù)雜和豐富很多,傳統(tǒng)IT安全廠商要快速切入云安全市場,不僅要依靠長期的技術(shù)積累和客戶基礎(chǔ),還要選擇強(qiáng)大的云平臺服務(wù)商進(jìn)行合作。亞馬遜云科技不僅在持續(xù)引入全球最新的安全合作伙伴的技術(shù)到中國,同時(shí)也在加強(qiáng)和本土安全合作伙伴的合作。這種強(qiáng)強(qiáng)聯(lián)手的安全合作的生態(tài)也正在成為未來的一種趨勢。
4. 對于云安全服務(wù)提供商來說,如何在構(gòu)筑安全合規(guī)的同時(shí),不影響用戶業(yè)務(wù)創(chuàng)新,是需要仔細(xì)規(guī)劃的。亞馬遜云科技提供了新解: 三大安全理念的布局,分別從自動(dòng)化、主動(dòng)設(shè)計(jì)、多層防護(hù)的角度充分詮釋了其兼顧安全與創(chuàng)新的實(shí)踐標(biāo)準(zhǔn)。
??點(diǎn)擊進(jìn)入Amazon Security Hub >>>> ??
??點(diǎn)擊進(jìn)入Amazon KMS >>>> ??
