北京2022年7月21日 /美通社/ -- 上云已成為企(qi)業(ye)(ye)數字化建設的新(xin)常態,企(qi)業(ye)(ye)在云中加(jia)速創(chuang)新(xin)的同時更需(xu)要確(que)保云中安全。云中安全,是如(ru������)同妨礙創(chuang)新(xin)的"守(shou)門人"?還是如(ru)同水�������和空氣般的存在,助(zhu)推(tui)創(chuang)新(xin)更好(hao)地發生(sheng)?
云計算(suan)已(yi)經(jing)重塑了企(qi)業數(shu)字化進程(cheng)的各個方面(mian),在安(an)(an)全領域(yu)也是(shi)一樣。通過構建良好的云中(zhong)安(an)(an)全機制,企(qi)業不必再(zai)從安(an)(an)全與創新之(zhi)中(zhong)進行(xing)取舍 -- 二(er)者并行(xing),才能更好地應對深度數(shu)字化時(shi)期的目標和挑戰(zh������an)。
要成為創新的(de)助(zhu)力而非限(xian)制(zhi),安(an������)全(quan)(quan)機制(zhi)應(ying)該做到"無(wu)感(gan)"且觸手(shou)可得,就如同(tong)水(shui)和空氣般的(de)存在。這一(yi)理念也(ye)體現在亞(ya)馬(ma)遜(xun)(xun)云(yun)(yun)科技提出(chu)的(de)"安(an)全(quan)(quan)責任(ren)共擔(dan)模型"中:亞(ya)馬(ma)遜(xun)(xun)云(yun)(yun)科技負(fu)責云(yun)(yun)本身(shen)的(de)安(an)全(quan)(quan),用(yong)戶(hu)為其自身(shen)云(yun)(yun)業務(wu)安(an)全(quan)(quan)負(fu)責,亞(ya)馬(ma)遜(xun)(xun)云(yun)(yun)科技幫助(zhu)用(yong)戶(hu)構建云(yun)(yun)中的(de)安(an)全(quan)(quan)防(fang)護。為了讓(rang)云(yun)(yun)上安(an)全(quan)(quan)能有效服務(wu)于創新,亞(ya)馬(ma)遜(xun)(xun)云(yun)(yun)科技在規劃安(an)全(quan)(quan)服務(wu)時一(yi)直(zhi)秉持(chi)三個理念:
第一,利用云上的事件驅動型架構去構建自動化防護欄,而非設立關卡。自(zi)動(dong)化(hua)是實現(xian)云(yun)上規模化(hua)安(an)全(quan)的(de)(de)重(zhong)要一環。基(ji)于云(yun)上統一的(de)(de)API管理以及集中(zhong)的�������(de)(de)事件管理,建立(li)起(qi)一套從威脅檢測到事件反(fan)應(ying)、原(yuan)因分(fen)析、恢復的(de)(de)自(zi)動(dong)化(hua)防護(hu),才能(neng)在實現(xian)安(an)全(quan)的(de)(de)同時解放(fang)開發團隊(dui)的(de)(de)精(jing)力,使之專注于業(ye)務(wu)創(chuang)新(xin)。
第二,云中安全是主動設計出來的,而不僅是被動響應。主動(dong)設計意味著企業(ye)是從自(zi)(zi)身的業(ye)務、實際需求(qiu)出發(fa),設計適合自(zi)(zi)己的安(an)全方(fang)案,將(jiang)安(a�����n����)全建(jian)設的主動(dong)權(quan)掌(zhang)握在自(zi)(zi)己手中,避免過多的被動(dong)響應和改造。
第三,云中安全必須是一個洋蔥型的多層防護,而非一個雞蛋。相比于雞蛋(dan)那樣僅(jin)有一(yi)層(ceng)看似(si)堅硬的(de)外殼(ke),洋(yang)蔥(cong)式(���shi)的(de)多層(cen�����g)柔韌(ren)防護(hu)更適(shi)合云(yun)上(shang)環境的(de)安全要求。亞馬遜云(yun)科(ke)技把(ba)云(yun)中的(de)安全建(jian)設分成不同的(de)類別,像洋(yang)蔥(cong)一(yi)樣層(ceng)層(ceng)防護(hu),用戶(hu)可以基于洋(yang)蔥(cong)模型(xing)快速構建(jian)云(yun)中安全。
基于(yu)以上理念,亞(ya)馬������(ma)遜云科技(ji)已經能夠為(wei)用戶提供超過280項安(an)全、合規(gui)服務和功能,在用戶對其數據完全擁有和控制的前提下,為(wei)用戶提供一系(xi)����列安(an)全保(bao)護。
"洋蔥模型"多層防護,提供五大領域安全服務
"洋蔥模型"是對亞(ya)馬遜云科技多層安(an)全防護(hu)的系統性歸納,涵蓋威脅檢測和(he)(he)事件響應�������(ying)、身(shen)份(fen)認證和(he)(he)訪問控制、網(wang)絡和(he)(h�������e)基礎設施安(an)全、數據(ju)保護(hu)與隱(yin)私以(yi)及風(feng)險(xian)管控及合規五大領(ling)域。
1、 威脅檢測與事件響應
安全(quan)(quan)風險(xian)(xian)的(de)(de)最重要特征之一,在于其攻擊(ji)來源(yuan)的(de)(de)未知性,成功(gong)的(de)(de)安全(quan)(quan)防護,應該能(neng)夠對(dui)攻擊(ji)做出正確的(de)(de)預(yu)(yu)判(pan)。在新冠疫情之后,由于遠程辦公、自帶(dai)設備等(deng)場景(jing)大(da)幅(fu)增長,諸如網絡釣魚、身份盜(dao)用等(deng)安全(quan)(quan)風險(xian)(xian)也水漲船(chuan)高,種(zhong)種(zhong)不確定性愈發加劇了云中安全(quan)(quan)的(de)(de)"陰晴不定"。這(zhe)種(zhong)情況(kuang)下,企業(ye)(ye)(ye)需要�������如"專業(ye)(ye)(ye)的(de)(de)天氣(qi)預(yu)(yu)報(bao)員(yuan)(yuan)一樣"的(de)(de)預(yu)(yu)判(pan)工(gong)具,企業(ye)(ye)(ye)自身并(bing)不需要成為專業(ye)(ye)(ye)的(de)(de)天氣(qi)預(yu)(yu)報(bao)員(yuan)(yuan),因為�������這(zhe)通常是(shi)一個與企業(ye)(ye)(ye)業(ye)(ye)(ye)務(wu)無關的(de)(de)領域(yu)。亞馬遜云科技提(ti)供的(de)(de)威(wei)脅檢測(ce)和事件(jian)響應就(jiu)如同"專業(ye)(ye)(ye)的(de)(de)天氣(qi)預(yu)(yu)報(bao)員(yuan)(yuan)",為企業(ye)(ye)(ye)自動(dong)甄別、定位風險(xian)(xian),并(bing)自動(dong)做出快(kuai)速響應。
這其中的(de)一個關鍵服務(wu)是,可實(shi)現(xian)對威脅的(de)精準(zhun)定位(wei)與(yu)快速(su)反應。Amazon GuardDuty可以一鍵開啟,內(nei)嵌了來自于Amazon電商平臺收集的(de)第一手情報(bao)源,并集成行(xing)業頂(ding)尖的(de)CrowdStrike和Proofpoint 情報(bao)源,同(tong)時(shi)與(yu)一系列世界(jie)頂(ding)尖的(de)安全公司持(chi)續合(he)作(zuo)以豐(feng)富情報(bao)源。此外,Amazon GuardDuty內(nei)置了機器學習能力,在提升預警準(z��������hun)確度(du)的(de)同(tong)時(shi)將可疑警報(bao)量(liang)降低了50%。Ama�����zon GuardDuty還(huan)可對安全風險事(shi)件(jian)做出快速(su)反應,即發(fa)揮"事(shi)件(jian)驅動的(de)自動化(hua)防護欄"作(zuo)用。
另一項重要服(fu)務是(shi),可對安全合規風險和威(wei)脅(xie)進行(xing)7x24小時�������������全天候監(jian)測,針對威(wei)脅(xie)及時響(xiang)應(ying),自(zi)動執行(xing)合規性檢查,快(kuai)速發現技術差異并提(ti)供修復方案。
Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安(an)全(quan)防線,而且還通過全(quan)程(chen������g)自動(dong)化顯(xian)著優化安(an)全(quan)工作效率。例如在線游戲企業風林火山(shan),此前由于(yu)人手不足,一直受困于(yu)海量日(ri)志數據分析和合規的持續(xu)性(xing)。現在這(zhe)些(xie)工作已經全(quan)部交給Amazon GuardDuty與Amazon Security Hub來(lai)完成,既帶來(lai)了可持續(xu)的安(an)全(quan)保障,也解放��������了企業人力。
2、 身份認證與訪問控制
在云環(huan)境的安全(quan)體系(xi)中,身份認證就如同堅固(gu)城(cheng)墻(qiang)上的城(cheng)門。而(er)實(shi)際使用(yong)場景中,弱口令、使用(yong)個人(ren)設(she)備�����、個人(ren)������郵箱等,都存在著身份認證在某一環(huan)節(jie)被(bei)攻(gong)破的風險,導(dao)致其它安全(quan)措(cuo)施形同虛設(she)。
在亞(ya)馬遜云科(ke)技(ji)(ji)看來,身(shen)份認(ren)證(zheng)與(yu)(yu)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)的(de)(de)安(an)(an)全(quan)性是(shi)(shi)(shi)"三分(fen)(fen)技(ji)(ji)術(shu)、七分(fen)(fen)管理"。在管理上,亞(ya)馬遜云科(ke)技(ji)(ji)建議用戶(hu)(hu)關(guan)注兩個(ge)原則:第一(yi)是(shi)(shi)(shi)最小(xiao)授(shou)權(quan)原則,確(que)保每一(yi)次授(shou)權(quan)都與(yu)(yu)業(ye)(ye)務(wu)(wu)職責相(xiang)關(guan)且必須。客戶(hu)(hu)盡可能細化訪(fang)問(wen)(wen)的(de)(de)顆粒度,例如(ru)根據時間(jian)、地點、角色(se)和(he)(he)服務(wu)(wu)來設置(zhi)訪(fang)問(wen)(wen)條(tiao)件。第二是(shi)(shi)(shi)對(dui)最小(xiao)授(shou)權(quan)原則進(jin)行定(ding)期(qi)審(shen)計(ji),根據業(ye)(ye)務(wu)(wu)動態對(dui)授(shou)權(quan)進(jin)行時效性調整(zheng)。在相(xiang)關(guan)的(de)(de)安(an)(an)全(quan)服務(wu)(wu)方面, 是(shi)(shi)(shi)身(shen)份認(ren)證(zheng)與(yu)(yu)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)的(de)(de)核(he)心服務(wu)(wu),以細顆粒度的(de)(de)身(shen)份認(�����ren)證(zheng)與(yu)(yu)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)機(ji)制(zhi)(zhi),結合對(dui)安(an)(an)全(quan)事件的(de)(de)持續監控(kong)(kong)和(he)(he)精準的(de)(de)安(an)(an)全(quan)權(quan)限設置(zhi),保障正確(que)資(zi)源被(bei)相(xiang)應正確(que)人(ren)員訪(fang)問(wen)(wen)。另一(yi)項服務(wu)(wu)是(shi)(shi)(shi),能夠(gou)讓(rang)用戶(hu)(hu)使用服務(wu)(wu)控(kong)(kong)制(zhi)(zhi)策(ce)(ce)略(lve) (SCP) 來建立組織賬(zhang)戶(hu)(hu)中所有IAM用戶(hu)(hu)和(he)(he)角色(se)都要遵(zun)守的(de)(de)權(quan)限防護機(ji)制(zhi)(zhi)及(ji)數(shu)據邊界 -- 例如(ru)將(jiang)公(gong)司的(de)�����(de)所有賬(zhang)戶(hu)(hu)分(fen)(fen)為不同(tong)群組,并為其(qi)分(fen)(fen)別下發(fa)(fa)不同(tong)的(de)(de)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)策(ce)(ce)略(lve)。汽車(che)數(shu)字服務(wu)(wu)企業(ye)(ye)WirelessCar在Amazon Organizations的(de)(de)幫助下,就有效降低了賬(zhang)戶(hu)(hu)運維(wei)管理的(de)(de)時間(jian),節(jie)省了人(ren)力成本,提高了IT運維(wei)效率,使團隊可專注于業(ye)(ye)務(wu)(wu)開發(fa)(fa)和(he)(he)創新。
3、 網絡與基礎設施安全
縱觀亞(ya)馬遜(xun)云(yun)科技所觀測到(dao)的攻擊數據(ju),在(zai)近幾年中DDoS攻擊呈現出指數級增長。因此,網(wang)絡邊緣,也就是CDN側的安全(quan)防護愈發嚴峻���������且(qie)重要(yao)。并且(qie)防御DDoS需要(yao)保持全(quan)天候(hou)自始至終,而不(bu)能像"看急診"一樣對待。否則,偶發性攻擊也可(ke)能給業務帶(dai)來巨大損(sun)失。
因此,亞馬(ma)遜云科(k�������e)技在主(zhu)機(ji)、網(wang)絡(luo)(luo)和應用(yong)程序(xu)級別邊(bian)(bian)界為客戶(hu)提供(gong)細粒度的保(bao)護。Amazon Shield Advanced是亞馬(ma)遜云科(ke)技提供(gong)的網(wang)絡(luo)(luo)邊(bian)(bian)緣側防護服務。用(yong)戶(hu)可將所有面向網(wang)絡(luo)(luo)的資源加載到Amazon Shield Advanced,以(yi)獲得(de)全天候保(bao)護。
另一個(ge)重要(yao)產品是已經被眾多客戶(hu)(hu)作為標準配置的。Amazon WAF的特點在于提供了豐富的規則庫,其中(zhong)既有亞馬遜云(yun)科(ke)技安(an)全(quan)專家團隊(dui)自研的全(quan)托管的規則,也可(ke)由用(yong)戶(hu)(hu)依(yi)據需求(qiu)來(lai)自定義(yi)規則。用(yong)戶������(hu)(hu)還可(ke)以(yi)將亞馬遜云(yun)科(ke)技的APN合(he)作伙(huo)伴網(wang)絡成員 -- 眾多國際一線安(an)全(quan)廠商的托管規則加(ji������a)載(zai)到(dao)Amazon WAF。
4、 數據保護與隱私
亞(ya)馬遜(xun)云科技數(shu)據(ju)保(bao)(bao)護(hu)(hu)服(fu)務(wu)提供加(jia)密(mi)、密(mi)鑰管理(li)和(he�����)威(wei)脅檢測功(gong)能,可以持(chi)續(xu)保(bao)(bao)護(hu)(hu)客(ke)戶數(shu)據(ju)、監控和(he)保(bao)(bao)護(hu)(hu)客(ke)戶的賬戶和(he)工作(zuo)負載。亞(ya)馬遜(xun)云科技�����使用很多不同的方法實(shi)施數(shu)據(ju)保(bao)(bao)護(hu)(hu)。
其中(zhong),自(zi)動識(shi)別和(he)分類數(shu)(shu)(shu)(shu)據(ju)可(ke)以幫助客戶(hu)快(kuai)速地根(gen)據(ju)合規的(de)(de)需要,發現(xian)并(bing)定位包括個(ge)人數(shu)(shu)(shu)(shu)據(ju)在內的(de)(de)敏感數(shu)(shu)(shu)(shu)據(ju)。Amazon Macie 使用(yong)機器學習技術來自(zi)動發現(xian)和(he)保護客戶(hu)的(de)(de)敏感數(shu)(shu)(shu)(shu)據(ju)并(bing)對其分類,可(ke)以識�������(shi)別個(ge)人可(ke)識(shi)別信息 (PII) 或知識(shi)�����產權(quan)之類的(de)(de)敏感數(shu)(shu)(shu)(shu)據(ju),并(bing)為客戶(hu)提供控制(zhi)面板和(he)警(jing)報,讓(rang)客戶(hu)了解此類數(shu)(shu)(shu)(shu)據(ju)的(de)(de)訪問或移(yi)動方式。
對于數據(ju)加密,亞馬(ma)(ma)遜(xun)(xun)云(yun)科技秉持通過服(fu)(fu)務集成�����實(shi)現全(quan)生命周期數據(ju)加密。是亞馬(ma)(ma)遜(xun)(xun)云(yun)科技最常用的數據(ju)加密服(fu)(fu)������務,這(zhe)項(xiang)服(fu)(fu)務與亞馬(ma)(ma)遜(xun)(xun)云(yun)科技的140多項(xiang)服(fu)(fu)務深度(du)集成,可(ke)幫助(zhu)用戶(hu)大幅減少(shao)人工操作,降低出錯(cuo)概(gai)率(lv)。
對于(yu)(yu)數據(ju)保密(mi)(mi)要求更高的用(yong)(yong)�������戶,還(huan)可使用(yong)(yong)Amazon CloudHSM來獲(huo)得云上專屬加(jia)(jia)密(mi)(mi)機服務(wu)。全球領先(xian)的智能終(zhong)端(duan)制造商OPPO就(jiu)通過Amazon CloudHSM來獲(huo)得基于(yu)(yu)行業(ye)安全標準的加(jia)(jia)密(mi)(mi)機硬件,構(gou)建自己獨特的數據(ju)保護體系。Amazon CloudHSM還(huan)可讓OPPO根據(ju)業(ye)務(wu)變(bian)化隨時(shi)擴展加(jia)(jia)密(mi)(mi)機硬件容(rong)量,并利用(yong)(yong)亞(ya)馬(ma)遜云科(ke)技的托管(guan)服務(wu)自動執(zhi)行耗時(shi)的管(guan)理(li)任務(wu)。
在(zai)數(shu)(shu)據(ju)計(ji)算(suan)過程中,用戶(hu)可(ke)使用Amazon Nitro Enclaves的云端機密(mi)(mi)計(ji)算(suan)的技(ji)術,創(chuang)(chuang)建嚴(yan)密(mi)(mi)隔離的環(huan)境處理敏感(gan)數(shu)(shu)據(ju)。這項(xiang)技(ji)術在(zai)確保數(shu)(shu)據(ju)安(an)全之外,也(ye)讓用戶(hu)能(neng)夠開(kai)拓新(xin)的創(chuang)(chuang)新(xin)應(ying)用場景,例如(ru)可(ke)在(zai������)完全不觸碰數(shu)(shu)據(ju)的前提下,與(yu)一(yi)些持有重要數(shu)(shu)據(ju)的機��������構利用Amazon Nitro Enclaves創(chuang)(chuang)建的數(shu)(shu)據(ju)"密(mi)(mi)室"進(jin)行與(yu)外界完全隔絕的聯(lian)合(he)計(ji)算(suan)分析。
5、風險管控及合規
亞馬(ma)遜(xun)云科技可幫助客(ke)(ke)戶(hu)全面了(le)解合(he)(he)規狀況,并使用自(zi)動合(he)(he)規性檢查,持續監控客(ke)(ke)戶(h��������u)的(de)(de)環境(jing)。例如,Amazon Artifact自(zi)助門(men)戶(hu),允許客(ke)(ke)戶(hu)按需訪問并獲取亞馬(ma)遜(xun)云科技的(de)(de)������合(he)(he)規性報告。為(wei)避(bi)免用戶(hu)在合(he)(he)規審計與(yu)評(ping)估中消(xiao)耗過多成本,亞馬(ma)遜(xun)云科技提(ti)供(gong)Amazon Audit Manager,可自(zi)動掃描、搜(sou)集證(zheng)據(ju),還提(ti)供(gong)了(le)各(ge)種合(he)(he)規認證(zheng)的(de)(de)模板,簡化合(he)(he)規審計的(de)(de)證(zheng)據(ju)收(shou)集工作,實(shi)現高效的(de)(de)自(zi)動化合(he)(he)規審計與(yu)評(ping)估。
目(mu)前,亞馬遜(xun)云(yun)(yun)科技正(zheng)不斷將(jiang)領先的(de)(de)(de)安全(quan)(quan)服務引(yin)入中(zhong)國(西云(yun)(yun)數據運營寧夏區域,光環新(xin)網運營北京區域),進(jin)一步(bu)幫助(zhu)用戶(hu)完善云(yun)(yun)上安全(quan)(quan)建設。依托(tuo)亞馬遜(xun)云(yun)(yun)科技的(de)(de)(de)云(yun)(yun)自(zi)身安全(quan)(quan)及云(yun)(yun)中(zhong)安全(qua������n)(quan)服務,用戶(hu)能夠(gou)在云(yun)(yun)上開展業務的(de)(de)(de)同時獲得自(zi)動化(hua)、規模化(hua)的(de)(de)(de)安全(quan)(quan)保障,讓安全(quan)(quan)成為企業創(chuang)新(xin)助(zhu)推器。
