云的安全性从未像今天这样凸显,据IDC调查数据显示在过去的18个月中,有近80%的企业至少经历了一次云数据泄露。突如其来的疫情,极大的改变了人们的生活和工作方式。在全球范围内,企业几乎在一夜之间改变了原来的IT模式,通过云来应对远程工作的挑战。
企业在迈入云端时,如果没有妥善解决安全问题,企业将更为谨慎的采用云服务和功能。稳健的云安全服务选择,不仅能够保障企业在全球市场开展业务,也能够支持到远程办公所需的可用性、可靠性、灵活性和安全。
云安全成“新常态”
根据Gartner的调查,到2022年向云计算的转型将产生约1.3万亿美元的IT支出。现在绝大多数企业工作负载都在公有、私有或混合云环境上运行。
可见未来有效应对云上安全威胁将成为企业的“新常态”,尤其伴随着企业在疫情期间加速上云来推动远程工作的能力,远程办公更容易受到来自恶意软件攻击和网络钓鱼的影响。比如导致内部安全威胁的增加,员工账户被劫持等安全隐患。
而更为紧迫的云安全挑战在于,企业通常不完全了解在云中进行操作的含义。比如,企业可能会尝试将传统的安全模型想当然的映射到新平台上,而忽视了利用云所提供的功能。
IDC的报告指出,云上安全相关的配置错误,对访问设置和活动缺乏足够的可见性,以及身份和访问管理(IAM)许可错误是企业最关注的云生产环境安全问题。
事实证明,企业采用激进的上云策略获取弹性和计算资源的同时,恰恰忽视了云平台的整体安全能力所带来的价值。
云业务的“生命线”
今年2月份,AWS创纪录的抵御住了2.3 Tbps的DDoS攻击。AWS透露,身份不明的攻击者每秒向其服务器发送2.3万亿字节的数据,规模惊人。这次攻击的规模比2018年导致GitHub宕机的1.3 Tbps攻击大近一倍,比2016年导致Dyn瘫痪的大约1 Tbps的Mirai僵尸网络DDoS大一倍多。
正因于此,云供应商需要向企业保证安全性是云基础架构的核心,能够提供与本地IT基础架构相同甚至超越的安全能力。这次事件从一个侧面印证了AWS作为云计算领航者的安全实力。
与客户重视云应用可靠性和数据安全性一样,安全的重要性在AWS比所有的优先级都高,如果存在任何已知的安全问题,AWS都会及时解决,如果没有解决安全的隐患,绝不会勉强将新的云服务推向商用,高优先级的安全责任,成为了AWS保障云上业务的“生命线”。
AWS采用了共享安全责任模型的运营方式,其中AWS负责底层云基础设施的安全,一方面AWS负责保护云端包括计算、存储、网络和数据库等云服务基础设施中部署的工作负载,也就是如果AWS没能抗住2.3 Tbps的DDoS攻击,那么给用户带来的影响将由AWS承担责任,一方面AWS要为云环境中用户的业务功能实施提供最适用的安全控制措施所需的灵活性和敏捷性,这通过AWS的超过200种安全功能和服务实现。
AWS共享安全责任模式
AWS所提供的云基础设施是目前市场上最灵活、最安全的云计算环境之一,已经连续10年获评Gartner魔力象限领导者。AWS不仅具有安全最佳实践和标准,而且使用冗余和分层控制、持续验证和测试以及大量自动化,来确保7*24全天候监控和保护底层基础设施。
而企业负责制定严格限制对处理敏感数据环境的访问策略,或者为要公开的信息部署灵活的控制策略,因为AWS推崇并遵循客户对自己的系统和数据拥有完全的自主权。
目前这种安全责任共担的模式已经得到了大多数企业的认同,因为在云计算的普及过程中,有诸多因云安全所引发的责任归属的争论,AWS所倡导的安全责任共担模式为云安全“责权利”划出了清晰的边界。
同时,在AWS内部,安全的优先级高于任何的任务,AWS的每位员工都有责任确保安全性是所有业务不可或缺的组成部分,每个员工都知道如何报告安全问题,并且有权在必要时将安全问题升级到最高级别。同时,AWS每一项安全功能和服务的创新都来自客户的声音,来满足大多数风险敏感的用户和企业的安全性和合规性需求。
云安全“三驾马车”
AWS提供了超过200种安全功能和服务,并与合作伙伴一起提供了各种工具和功能,帮助企业实现安全目标,这些工具和功能可以镜像企业本地环境中已经驾轻就熟的部署和控制。AWS提供的安全专用工具和功能涉及网络安全、配置管理、访问权限控制和数据安全这些领域。此外,AWS还提供了监控和日志记录工具,让企业可以全面了解云环境中正在发生的情况。
综合来看,AWS的云服务聚焦于身份认证,安全功能及合规三个方面。这“三驾马车”为企业构建了可见、可控、可审计、灵活、自动化的全方位安全能力,我们通过AWS IAM、AWS Security Hub、AWS WAF和Amazon GuardDuty这四项云安全服务,来详细了解AWS如何为企业数字化转型保驾护航。
AWS Identity and Access Management (IAM)是身份认证方面的代表性云服务,借助IAM企业可以为各个账户定义对AWS资源的访问权限,包括基于软件和硬件的身份验证器选项。通过IAM,企业可以使用现有的身份验证系统(如微软Active Directory或其他合作伙伴的产品)向员工和应用程序授予对AWS管理控制台和AWS服务API的联合访问权限。
IAM的优势在于其细粒度的身份认证和访问控制,同时结合对安全事件的持续监控,来确保正确的资源得到正确的访问。比如我爱我家、新希望草根知本、新世纪医疗等客户利用AWS健全的安全机制和IAM,实现了精细化的安全管理,确保系统的高可用性和可靠性。
在合规性方面,AWS Security Hub作为一体化安全性与合规性中心,可让企业全面查看AWS账户中的高优先级安全警报与合规性状态。
过往企业需要使用一系列的安全工具,来完成从防火墙到端点保护,再到漏洞的合规性扫描,安全团队需要在不同工具间切换,每天处理大量安全警报,这大大增加了企业的安全运维成本。
AWS Security Hub的优势在于企业能够对来自不同AWS服务,以及来自AWS合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级,检测结果的可视性也大大提升,可在具有可操作图形和表格的集成控制面板上进行直观汇总。此外,企业还可以使用自动合规性检查进行持续监控。
在安全功能方面,WAF和威胁检测是企业最为常用的云安全服务选项。AWS WAF和Amazon GuardDuty充分体现了AWS在云服务之间的高度集成,自动化布署的优势。
AWS WAF是一种Web应用防火墙,可帮助企业保护Web应用或API免遭常见Web漏洞的攻击,这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。
AWS WAF允许企业创建防范常见攻击模式,例如SQL注入或跨站点脚本的安全规则,以及滤除企业定义的特定流量模式的规则,从而让企业可以控制流量到达应用程序的方式。AWS WAF的优势在于其包含功能全面的API,可以让安全规则的创建、部署和维护实现自动化。
Amazon GuardDuty是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护企业AWS账户、工作负载和Amazon S3中存储的数据。
虽然迁移到云后,账户和网络活动的收集与聚合变得简单,但安全团队对事件日志数据进行持续的分析来发现潜在的威胁,则十分耗时。所以GuardDuty为企业提供了经济高效的智能选项,从而持续检测在AWS中发生的威胁。
GuardDuty的优势在于使用机器学习、异常检测和集成威胁情报等手段,识别潜在的威胁并确定优先级别。一方面,GuardDuty会对来自多个AWS数据源,例如AWS CloudTrail事件日志、Amazon VPC流日志和DNS日志的数百亿事件进行分析。其次,GuardDuty警报与Amazon CloudWatch Events集成,具有极好的可行动性,非常便于跨多个账户聚合,并且可以直接推送到现有的事件管理和工作流程系统。
结语
过往,企业不断构建和维护内部的分层“深度防御”安全策略。而今天,已经有越来越多的企业逐渐意识到云的广泛安全优势以及合规能力。过硬的安全能力关乎千万企业的信任和持续投入,这也是为什么AWS将安全视“生命线”的真正原因。