北京2022年7月21日 /美通社/ -- 上云已成為企業(yè)數(shù)字化建設(shè)的新常態(tài)�,企業(yè)在云中加速創(chuàng)新的同時(shí)更需要確保云中安全。云中安全�����,是如同妨礙創(chuàng)新的"守門人"�����?還是如同水和空氣般的存在�����,助推創(chuàng)新更好地發(fā)生��?
云計(jì)算已經(jīng)重塑了企業(yè)數(shù)字化進(jìn)程的各個(gè)方面�����,在安全領(lǐng)域也是一樣��。通過(guò)構(gòu)建良好的云中安全機(jī)制����,企業(yè)不必再?gòu)陌踩c創(chuàng)新之中進(jìn)行取舍 -- 二者并行,才能更好地應(yīng)對(duì)深度數(shù)字化時(shí)期的目標(biāo)和挑戰(zhàn)�����。
要成為創(chuàng)新的助力而非限制�����,安全機(jī)制應(yīng)該做到"無(wú)感"且觸手可得�����,就如同水和空氣般的存在。這一理念也體現(xiàn)在亞馬遜云科技提出的"安全責(zé)任共擔(dān)模型"中:亞馬遜云科技負(fù)責(zé)云本身的安全����,用戶為其自身云業(yè)務(wù)安全負(fù)責(zé),亞馬遜云科技幫助用戶構(gòu)建云中的安全防護(hù)���。為了讓云上安全能有效服務(wù)于創(chuàng)新�����,亞馬遜云科技在規(guī)劃安全服務(wù)時(shí)一直秉持三個(gè)理念:
第一���,利用云上的事件驅(qū)動(dòng)型架構(gòu)去構(gòu)建自動(dòng)化防護(hù)欄,而非設(shè)立關(guān)卡�����。自動(dòng)化是實(shí)現(xiàn)云上規(guī)?;踩闹匾画h(huán)?��;谠粕辖y(tǒng)一的API管理以及集中的事件管理,建立起一套從威脅檢測(cè)到事件反應(yīng)、原因分析�����、恢復(fù)的自動(dòng)化防護(hù)����,才能在實(shí)現(xiàn)安全的同時(shí)解放開發(fā)團(tuán)隊(duì)的精力,使之專注于業(yè)務(wù)創(chuàng)新��。
第二�����,云中安全是主動(dòng)設(shè)計(jì)出來(lái)的�,而不僅是被動(dòng)響應(yīng)。主動(dòng)設(shè)計(jì)意味著企業(yè)是從自身的業(yè)務(wù)�����、實(shí)際需求出發(fā)��,設(shè)計(jì)適合自己的安全方案���,將安全建設(shè)的主動(dòng)權(quán)掌握在自己手中�,避免過(guò)多的被動(dòng)響應(yīng)和改造。
第三�,云中安全必須是一個(gè)洋蔥型的多層防護(hù),而非一個(gè)雞蛋�。相比于雞蛋那樣僅有一層看似堅(jiān)硬的外殼,洋蔥式的多層柔韌防護(hù)更適合云上環(huán)境的安全要求����。亞馬遜云科技把云中的安全建設(shè)分成不同的類別,像洋蔥一樣層層防護(hù)��,用戶可以基于洋蔥模型快速構(gòu)建云中安全�����。
基于以上理念�,亞馬遜云科技已經(jīng)能夠?yàn)橛脩籼峁┏^(guò)280項(xiàng)安全、合規(guī)服務(wù)和功能���,在用戶對(duì)其數(shù)據(jù)完全擁有和控制的前提下���,為用戶提供一系列安全保護(hù)。
"洋蔥模型"多層防護(hù)����,提供五大領(lǐng)域安全服務(wù)
"洋蔥模型"是對(duì)亞馬遜云科技多層安全防護(hù)的系統(tǒng)性歸納���,涵蓋威脅檢測(cè)和事件響應(yīng)、身份認(rèn)證和訪問(wèn)控制����、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全�、數(shù)據(jù)保護(hù)與隱私以及風(fēng)險(xiǎn)管控及合規(guī)五大領(lǐng)域。
1��、 威脅檢測(cè)與事件響應(yīng)
安全風(fēng)險(xiǎn)的最重要特征之一�����,在于其攻擊來(lái)源的未知性���,成功的安全防護(hù)�,應(yīng)該能夠?qū)糇龀稣_的預(yù)判���。在新冠疫情之后����,由于遠(yuǎn)程辦公���、自帶設(shè)備等場(chǎng)景大幅增長(zhǎng)�����,諸如網(wǎng)絡(luò)釣魚����、身份盜用等安全風(fēng)險(xiǎn)也水漲船高,種種不確定性愈發(fā)加劇了云中安全的"陰晴不定"�。這種情況下,企業(yè)需要如"專業(yè)的天氣預(yù)報(bào)員一樣"的預(yù)判工具���,企業(yè)自身并不需要成為專業(yè)的天氣預(yù)報(bào)員�,因?yàn)檫@通常是一個(gè)與企業(yè)業(yè)務(wù)無(wú)關(guān)的領(lǐng)域���。亞馬遜云科技提供的威脅檢測(cè)和事件響應(yīng)就如同"專業(yè)的天氣預(yù)報(bào)員"���,為企業(yè)自動(dòng)甄別、定位風(fēng)險(xiǎn)����,并自動(dòng)做出快速響應(yīng)。
這其中的一個(gè)關(guān)鍵服務(wù)是Amazon GuardDuty����,可實(shí)現(xiàn)對(duì)威脅的精準(zhǔn)定位與快速反應(yīng)��。Amazon GuardDuty可以一鍵開啟���,內(nèi)嵌了來(lái)自于Amazon電商平臺(tái)收集的第一手情報(bào)源,并集成行業(yè)頂尖的CrowdStrike和Proofpoint 情報(bào)源���,同時(shí)與一系列世界頂尖的安全公司持續(xù)合作以豐富情報(bào)源。此外��,Amazon GuardDuty內(nèi)置了機(jī)器學(xué)習(xí)能力���,在提升預(yù)警準(zhǔn)確度的同時(shí)將可疑警報(bào)量降低了50%��。Amazon GuardDuty還可對(duì)安全風(fēng)險(xiǎn)事件做出快速反應(yīng)��,即發(fā)揮"事件驅(qū)動(dòng)的自動(dòng)化防護(hù)欄"作用�����。
另一項(xiàng)重要服務(wù)是Amazon Security Hub�����,可對(duì)安全合規(guī)風(fēng)險(xiǎn)和威脅進(jìn)行7x24小時(shí)全天候監(jiān)測(cè)�,針對(duì)威脅及時(shí)響應(yīng),自動(dòng)執(zhí)行合規(guī)性檢查���,快速發(fā)現(xiàn)技術(shù)差異并提供修復(fù)方案�����。
Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安全防線��,而且還通過(guò)全程自動(dòng)化顯著優(yōu)化安全工作效率�����。例如在線游戲企業(yè)風(fēng)林火山����,此前由于人手不足�����,一直受困于海量日志數(shù)據(jù)分析和合規(guī)的持續(xù)性?�,F(xiàn)在這些工作已經(jīng)全部交給Amazon GuardDuty與Amazon Security Hub來(lái)完成,既帶來(lái)了可持續(xù)的安全保障�����,也解放了企業(yè)人力�����。
2��、 身份認(rèn)證與訪問(wèn)控制
在云環(huán)境的安全體系中����,身份認(rèn)證就如同堅(jiān)固城墻上的城門��。而實(shí)際使用場(chǎng)景中��,弱口令����、使用個(gè)人設(shè)備、個(gè)人郵箱等��,都存在著身份認(rèn)證在某一環(huán)節(jié)被攻破的風(fēng)險(xiǎn)�����,導(dǎo)致其它安全措施形同虛設(shè)。
在亞馬遜云科技看來(lái)�����,身份認(rèn)證與訪問(wèn)控制的安全性是"三分技術(shù)��、七分管理"�����。在管理上���,亞馬遜云科技建議用戶關(guān)注兩個(gè)原則:第一是最小授權(quán)原則���,確保每一次授權(quán)都與業(yè)務(wù)職責(zé)相關(guān)且必須?�?蛻舯M可能細(xì)化訪問(wèn)的顆粒度����,例如根據(jù)時(shí)間、地點(diǎn)����、角色和服務(wù)來(lái)設(shè)置訪問(wèn)條件���。第二是對(duì)最小授權(quán)原則進(jìn)行定期審計(jì),根據(jù)業(yè)務(wù)動(dòng)態(tài)對(duì)授權(quán)進(jìn)行時(shí)效性調(diào)整��。在相關(guān)的安全服務(wù)方面����,Amazon Identity and Access Management (Amazon IAM) 是身份認(rèn)證與訪問(wèn)控制的核心服務(wù),以細(xì)顆粒度的身份認(rèn)證與訪問(wèn)控制機(jī)制����,結(jié)合對(duì)安全事件的持續(xù)監(jiān)控和精準(zhǔn)的安全權(quán)限設(shè)置,保障正確資源被相應(yīng)正確人員訪問(wèn)��。另一項(xiàng)服務(wù)是Amazon Organizations�����,能夠讓用戶使用服務(wù)控制策略 (SCP) 來(lái)建立組織賬戶中所有IAM用戶和角色都要遵守的權(quán)限防護(hù)機(jī)制及數(shù)據(jù)邊界 -- 例如將公司的所有賬戶分為不同群組����,并為其分別下發(fā)不同的訪問(wèn)控制策略���。汽車數(shù)字服務(wù)企業(yè)WirelessCar在Amazon Organizations的幫助下��,就有效降低了賬戶運(yùn)維管理的時(shí)間�,節(jié)省了人力成本,提高了IT運(yùn)維效率�,使團(tuán)隊(duì)可專注于業(yè)務(wù)開發(fā)和創(chuàng)新。
3��、 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全
縱觀亞馬遜云科技所觀測(cè)到的攻擊數(shù)據(jù)���,在近幾年中DDoS攻擊呈現(xiàn)出指數(shù)級(jí)增長(zhǎng)��。因此���,網(wǎng)絡(luò)邊緣,也就是CDN側(cè)的安全防護(hù)愈發(fā)嚴(yán)峻且重要���。并且防御DDoS需要保持全天候自始至終��,而不能像"看急診"一樣對(duì)待�。否則���,偶發(fā)性攻擊也可能給業(yè)務(wù)帶來(lái)巨大損失�����。
因此����,亞馬遜云科技在主機(jī)、網(wǎng)絡(luò)和應(yīng)用程序級(jí)別邊界為客戶提供細(xì)粒度的保護(hù)��。Amazon Shield Advanced是亞馬遜云科技提供的網(wǎng)絡(luò)邊緣側(cè)防護(hù)服務(wù)����。用戶可將所有面向網(wǎng)絡(luò)的資源加載到Amazon Shield Advanced,以獲得全天候保護(hù)���。
另一個(gè)重要產(chǎn)品是已經(jīng)被眾多客戶作為標(biāo)準(zhǔn)配置的Amazon WAF�。Amazon WAF的特點(diǎn)在于提供了豐富的規(guī)則庫(kù)��,其中既有亞馬遜云科技安全專家團(tuán)隊(duì)自研的全托管的規(guī)則�,也可由用戶依據(jù)需求來(lái)自定義規(guī)則。用戶還可以將亞馬遜云科技的APN合作伙伴網(wǎng)絡(luò)成員 -- 眾多國(guó)際一線安全廠商的托管規(guī)則加載到Amazon WAF��。
4���、 數(shù)據(jù)保護(hù)與隱私
亞馬遜云科技數(shù)據(jù)保護(hù)服務(wù)提供加密���、密鑰管理和威脅檢測(cè)功能,可以持續(xù)保護(hù)客戶數(shù)據(jù)�、監(jiān)控和保護(hù)客戶的賬戶和工作負(fù)載。亞馬遜云科技使用很多不同的方法實(shí)施數(shù)據(jù)保護(hù)���。
其中��,自動(dòng)識(shí)別和分類數(shù)據(jù)可以幫助客戶快速地根據(jù)合規(guī)的需要���,發(fā)現(xiàn)并定位包括個(gè)人數(shù)據(jù)在內(nèi)的敏感數(shù)據(jù)。Amazon Macie 使用機(jī)器學(xué)習(xí)技術(shù)來(lái)自動(dòng)發(fā)現(xiàn)和保護(hù)客戶的敏感數(shù)據(jù)并對(duì)其分類�,可以識(shí)別個(gè)人可識(shí)別信息 (PII) 或知識(shí)產(chǎn)權(quán)之類的敏感數(shù)據(jù),并為客戶提供控制面板和警報(bào)��,讓客戶了解此類數(shù)據(jù)的訪問(wèn)或移動(dòng)方式��。
對(duì)于數(shù)據(jù)加密���,亞馬遜云科技秉持通過(guò)服務(wù)集成實(shí)現(xiàn)全生命周期數(shù)據(jù)加密�����。Amazon Key Management Service(AmazonKMS)是亞馬遜云科技最常用的數(shù)據(jù)加密服務(wù)�����,這項(xiàng)服務(wù)與亞馬遜云科技的140多項(xiàng)服務(wù)深度集成���,可幫助用戶大幅減少人工操作���,降低出錯(cuò)概率。
對(duì)于數(shù)據(jù)保密要求更高的用戶����,還可使用Amazon CloudHSM來(lái)獲得云上專屬加密機(jī)服務(wù)。全球領(lǐng)先的智能終端制造商OPPO就通過(guò)Amazon CloudHSM來(lái)獲得基于行業(yè)安全標(biāo)準(zhǔn)的加密機(jī)硬件����,構(gòu)建自己獨(dú)特的數(shù)據(jù)保護(hù)體系。Amazon CloudHSM還可讓OPPO根據(jù)業(yè)務(wù)變化隨時(shí)擴(kuò)展加密機(jī)硬件容量����,并利用亞馬遜云科技的托管服務(wù)自動(dòng)執(zhí)行耗時(shí)的管理任務(wù)。
在數(shù)據(jù)計(jì)算過(guò)程中�����,用戶可使用Amazon Nitro Enclaves的云端機(jī)密計(jì)算的技術(shù),創(chuàng)建嚴(yán)密隔離的環(huán)境處理敏感數(shù)據(jù)���。這項(xiàng)技術(shù)在確保數(shù)據(jù)安全之外,也讓用戶能夠開拓新的創(chuàng)新應(yīng)用場(chǎng)景�����,例如可在完全不觸碰數(shù)據(jù)的前提下�,與一些持有重要數(shù)據(jù)的機(jī)構(gòu)利用Amazon Nitro Enclaves創(chuàng)建的數(shù)據(jù)"密室"進(jìn)行與外界完全隔絕的聯(lián)合計(jì)算分析。
5�����、風(fēng)險(xiǎn)管控及合規(guī)
亞馬遜云科技可幫助客戶全面了解合規(guī)狀況���,并使用自動(dòng)合規(guī)性檢查����,持續(xù)監(jiān)控客戶的環(huán)境���。例如����,Amazon Artifact自助門戶����,允許客戶按需訪問(wèn)并獲取亞馬遜云科技的合規(guī)性報(bào)告���。為避免用戶在合規(guī)審計(jì)與評(píng)估中消耗過(guò)多成本,亞馬遜云科技提供Amazon Audit Manager�����,可自動(dòng)掃描�����、搜集證據(jù)�����,還提供了各種合規(guī)認(rèn)證的模板���,簡(jiǎn)化合規(guī)審計(jì)的證據(jù)收集工作�����,實(shí)現(xiàn)高效的自動(dòng)化合規(guī)審計(jì)與評(píng)估���。
目前��,亞馬遜云科技正不斷將領(lǐng)先的安全服務(wù)引入中國(guó)(西云數(shù)據(jù)運(yùn)營(yíng)寧夏區(qū)域�����,光環(huán)新網(wǎng)運(yùn)營(yíng)北京區(qū)域),進(jìn)一步幫助用戶完善云上安全建設(shè)�����。依托亞馬遜云科技的云自身安全及云中安全服務(wù)��,用戶能夠在云上開展業(yè)務(wù)的同時(shí)獲得自動(dòng)化���、規(guī)?���;陌踩U?��,讓安全成為企業(yè)創(chuàng)新助推器�����。
