2022年7月21日北京/美通社/--上云已经成为企业数字化建设的新常态,企业需要在加速云端创新的同时保证云安全。云中的安全,是否像“看门人”一样阻碍创新?还是像水和空气一样,帮助创新更好的发生?
云计算重塑了企业数字化的方方面面,在安全领域也是如此。通过在云中建立良好的安全机制,企业不必在安全和创新之间做出选择——他们可以更好地应对深度数字化时代的目标和挑战。
要成为创新的帮助而不是限制,安全机制应该是“不敏感的”和可访问的,就像水和空气体一样。亚马逊云技术提出的“安全责任分担模式”也体现了这一理念:亚马逊云技术负责云本身的安全,用户负责自己云服务的安全,亚马逊云技术帮助用户在云端构建安全防护。为了让云安全有效服务于创新,亚马逊云技术在规划安全服务时,一直坚持三个理念:
首先,使用云上的事件驱动架构来构建自动化围栏,而不是设置检查点。自动化是在云上实现大规模安全的重要组成部分。基于云中统一的API管理和集中的事件管理,可以建立一套从威胁检测到事件响应、原因分析和恢复的自动防护,从而实现安全,解放开发团队的精力专注于业务创新。
第二,云中的安全性是主动设计的,而不仅仅是被动响应。主动设计是指企业根据自身的业务和实际需求设计自己的安全方案,将安全建设的主动权掌握在自己手中,避免过多的被动应对和改造。
第三,云安全一定是洋葱式的多层防护,而不是鸡蛋。相比鸡蛋只有一个看似坚硬的外壳,洋葱式的多层柔性防护更适合云环境的安全要求。亚马逊技术把云中的安全建设分成不同的类别,像洋葱一样一层一层的保护。用户可以基于洋葱模型快速构建云中的安全性。
基于以上思路,亚马逊云技术已经能够为用户提供超过280项安全合规的服务和功能,在用户对其数据拥有完全所有权和控制权的前提下,为用户提供一系列的安全保护。
“洋葱模型”具有多层保护,在五个方面提供安全服务。
“洋葱模型”是对亚马逊云技术多层安全防护的系统总结,涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护和隐私、风险管理和合规五个领域。
1.威胁检测和事件响应
安全最重要的特征之一在于其攻击来源未知。成功的安全保护应该能够对攻击做出正确的预测。新冠肺炎疫情爆发后,由于远程办公和自带设备的急剧增长,网络钓鱼和身份盗窃等安全风险也有所上升。种种不确定性加剧了云安全的“不确定性”。在这种情况下,企业需要一个类似“专业天气预报员”的预报工具,而企业本身并不需要成为专业的天气预报员,因为这通常是与企业业务无关的领域。亚马逊技术提供的威胁检测和事件响应,就像一个“专业的天气预报员”,可以为企业自动识别和定位风险,自动快速响应。
其中一项关键服务是亚马逊GuardDuty,它可以准确定位并快速应对威胁。亚马逊GuardDuty可一键开启,内嵌从亚马逊电商平台收集的一手情报源,整合业界领先的CrowdStrike和Proofpoint情报源,持续与一系列世界级安全公司合作,丰富情报源。此外,亚马逊GuardDuty内置了机器学习能力,可以提高预警的准确性,减少50%的可疑警报。亚马逊值班还可以快速响应安全风险事件,即充当“事件驱动的自动围栏”。
另一项重要服务是亚马逊安全中心(Amazon Security Hub),它可以全天候监控安全合规风险和威胁,及时响应威胁,自动执行合规检查,快速发现技术差异并提供修复解决方案。
Amazon Duty和Amazon Security Hub不仅为用户提供了彻底的安全防线,还通过全自动化显著优化了安全工作效率。例如,在线游戏公司林峰火山,由于缺乏人力,一直面临着海量日志数据分析和合规性的持续问题。现在,这些任务都交给了亚马逊GuardDuty和亚马逊安全中枢,不仅带来了可持续的安全,也解放了企业人力。
2.身份认证和访问控制
在云环境的安全体系中,身份认证就像是坚固城墙上的大门。但在实际使用场景中,弱密码、使用个人设备、个人邮箱等。所有这些都存在身份认证在某个时候被破坏的风险,从而导致其他安全措施失效。
根据亚马逊云技术,身份认证和访问控制的安全性是“三分技术,七分管理”。在管理上,亚马逊云技术建议用户注意两个原则:第一是最小授权原则,保证每一次授权都与业务职责相关,是必要的。客户尽可能细化接入的粒度,比如按照时间、地点、角色、服务来设置接入条件。二是定期审计最低授权原则,根据业务动态调整授权。关于相关的安全服务,亚马逊身份和访问管理是身份认证和访问控制的核心服务。通过细粒度的身份认证和访问控制机制,结合对安全事件的持续监控和准确的安全权限设置,正确的资源可以由正确的人访问。另一个服务是Amazon Organizations,它允许用户使用服务控制策略来建立组织帐户中所有IAM用户和角色必须遵守的权限保护机制和数据边界——例如,将公司的所有帐户划分为不同的组,并为其发布不同的访问控制策略。在亚马逊组织的帮助下,数字化服务公司WirelessCar有效减少了账户运维管理的时间,节约了人力成本,提高了IT运维效率,使团队能够专注于业务发展和创新。
3.网络和基础设施安全
纵观亚马逊云技术观察到的攻击数据,近年来DDoS攻击呈指数级增长。因此,网络边缘,即CDN侧的安全防护越来越严峻和重要。而且防御DDoS需要自始至终全天候,而不是像“看急诊”一样对待。否则,零星的攻击也可能给业务带来巨大的损失。
因此,亚马逊云技术为客户提供了主机、网络和应用程序级别边界的细粒度保护。Amazon Shield Advanced是亚马逊云技术提供的网络边缘防护服务。用户可以将所有面向网络的资源加载到Amazon Shield Advanced中进行全天候保护。
另一个重要的产品是亚马逊WAF,它已经被许多客户用作标准配置。亚马逊WAF的特点是提供了丰富的规则库,既包括亚马逊云技术安全专家团队开发的完全托管的规则,也包括用户根据需求定义的规则。用户还可以将众多国际一线安全厂商、亚马逊云技术APN合作伙伴网络成员的托管规则加载到亚马逊WAF中。
4.数据保护和隐私
亚马逊数据保护服务提供加密、密钥管理和威胁检测功能,可以持续保护客户数据,监控和保护客户的账户和工作负载。Amazon使用许多不同的方法来实现数据保护。
其中,数据的自动识别和分类可以帮助客户根据合规的要求快速找到和定位包括个人数据在内的敏感数据。亚马逊Macie使用机器学习技术来自动发现、保护和分类客户的敏感数据。它可以识别个人身份信息或知识产权等敏感数据,并为客户提供控制面板和警报,让他们知道这些数据是如何被访问或移动的。
对于数据加密,亚马逊云技术通过服务集成,坚持全生命周期数据加密。亚马逊密钥管理服务是亚马逊云技术最常用的数据加密服务。这项服务与亚马逊云技术的140多项服务深度融合,可以帮助用户大大减少人工操作和出错概率。
对于数据保密性要求较高的用户,还可以使用亚马逊CloudHSM在云上获取专用的加密机服务。全球领先的智能终端厂商OPPO通过亚马逊CloudHSM获得了基于行业安全标准的加密机硬件,构建了自己独有的数据保护体系。亚马逊CloudHSM还允许OPPO根据业务变化随时扩展加密机的硬件容量,使用亚马逊云技术的托管服务自动执行耗时的管理任务。
在数据计算过程中,用户可以使用亚马逊Nitro Enclaves的云机密计算技术,创建一个紧密隔离的环境来处理敏感数据。这项技术不仅可以确保数据安全,还可以让用户开辟新的创新应用场景,例如,它可以通过使用亚马逊Nitro Enclaves创建的数据“密室”,在完全不接触数据的情况下,与一些掌握重要数据的组织进行完全隔离的联合计算分析。
5.风险控制和合规
云技术可以帮助客户全面了解合规性状态,并通过使用自动合规性检查来持续监控客户的环境。例如,亚马逊工件自助服务门户允许客户按需访问和获取亚马逊云技术的合规性报告。为了避免用户在合规审计和评估上消耗过多成本,亚马逊云技术提供了亚马逊审计管理器,可以自动扫描取证。还提供了多种合规认证模板,简化了合规审核的证据收集,实现了高效、自动化的合规审核和评估。
目前,亚马逊云技术正在不断将领先的安全服务引入中国,进一步帮助用户完善云上的安全建设。依托亚马逊云技术自身的云安全和云安全服务,用户在云上办公的同时,可以获得自动化、规模化的安全保障,让安全成为企业创新的助推器。
