云计算技术在发展的同时,安全环境也在不断发展,大量的信息通过云端在传递着,对于安全的关注点也从原来的端点安全转移到了应用安全、数据安全、以及传输安全等方面。传统安全边界正在被“云”重塑,云安全面临着越来越严峻的挑战。AWS在为客户提供全面、广泛的云服务同时,也为其构筑了一道云安全防线。
AWS 云安全时代的更优选择
云计算已经成为影响整个IT行业的关键性技术,而云安全则是云计算能否成功应用的关键。上云已经成为企业驱动流程创新、拓展业务的重要发展战略,但是在上云的同时,企业对安全会存在一定的迟疑,特别是在关键数据和隐私方面,都希望实现“云”的可管可控。
作为功能最全面、应用最广泛的云服务提供商,AWS 在全球拥有非常广泛的云基础设施,其安全性便始于这些核心基础设施。AWS核心基础设施是为了满足军事、银行和其他高度敏感性组织的安全要求而构建,因而符合全球最为严格的安全要求,处于全天候监控之下,确保了数据的机密性、完整性和可用性。AWS十几年来一直以客户为中心,遵循客户至尚的理念,不断地进行创新,升级优化核心基础设施技术,通过先进的架构设计,提供更全面的云服务,确保数据的安全和可控。因此,AWS赢得了全球数百万用户的认可和信赖,几乎涵盖了所有行业和规模的组织。
企业将其业务从传统数据中心迁移至云计算数据中心时,将面临一些新的安全挑战,其中一方面就是需要应对各级主管部门的合规要求。针对此种情况,AWS制定了完备的应对策略, AWS的云安全工具包括了230 项安全、合规性和监管服务及功能,还支持90个安全标准和合规性认证,而且存储客户数据的全部 117 项 AWS 服务都具有加密该数据的能力。所以,AWS在帮助用户提升满足核心安全性和合规性要求的能力方面无可置疑。
五大优势 高效应对云安全威胁
在安全与数据稳私保护方面,AWS一直秉承客户拥有和控制数据的理念,由客户来控制自己的数据,并且提供复杂的技术和物理措施来防止未经授权的访问。此外,AWS还坚持安全责任共担,AWS负责主机操作系统、虚拟化层、物理基础设施的安全,客户负责上层操作系统以及相关应用程序的安全,负责配置AWS提供的安全组防火墙,通过安全责任共担,集合多方面的力量,共同应对云安全威胁。AWS云安全五大优势可以帮助用户有效应对愈加复杂且严峻的云安全挑战。
(一)打造云端深度可视化和控制力,实现扩展安全
在每一个IT环境内,可视化是确保安全性的关键所在。AWS用户可以控制数据的存储位置、有权访问用户在任何给定时刻消耗的资源。如每一位AWS用户都有一个用于确保AWS账户安全性的秘密访问密钥和访问密钥ID,使用一个AWS安全令牌服务就可以向一个账号授予临时访问权限。另外,AWS身份和访问管理服务还提供了基于角色的访问,用户和应用程序都被赋予了预定义的角色,非常有助于控制对特定资源和应用程序的访问。
AWS还提供多元的身份验证选项,还可实现合规性检查的自动化,可以捕获资源的当前状态和跟踪变更,然后向用户警告那些不符合AWS安全性最佳实践的变更。通过使用安全自动化和活动监控服务,来检测整个生态系统中的可疑安全事件,从而实现扩展安全。
(二)通过深度集成的服务实现自动化并降低风险
众所周知,云端自动化部署服务一直深受用户欢迎,创建一个自动化和可重复的部署流程能够提升业务配置效率,并且有效地扩展和升级。执行安全任务的流程也是如此,实现自动化可以通过减少人工配置错误,将工作人员从日常繁琐的工作和加班中解放出来,从而有更多的精力和时间投入到安全业务的创新之中。AWS为各种应用场景提供了不同的解决方案,针对的应用场景不同,这些服务的关注点也不同。用户可以从各种深度集成的解决方案中进行选择然后重新组合,让其以新颖的方式自动执行任务,从而加强安全团队与其他团队密切合作,以便更高效安全地完成工作。
以机器学习为例,在传统的机器学习中,用户通过自己搭建模型训练数据需要耗费大量的时间成本和人力成本,而通过AWS控制台,开发人员只需要将训练所需的数据上传,便能自动以几十种不同的训练模型建立机器学习任务自动训练,还可以自动连续地发现、分类和保护 AWS 中的敏感数据,并给出可视化结果,节省了大量的开发成本,并且迅速提升了数据保护能力。
(三)以最高的隐私和数据安全标准进行构建
数据不仅是数字经济的关键要素,也是信息时代重要的生产要素,数据安全更是被上升为与国家安全同等重要的地位。对于企业而言,数据安全也是其持续发展的基础。大量企业的数据存在云端,数据安全面临着十分严峻的挑战。AWS针对用户对数据安全的担忧,组建了一支世界一流的安全专家团队,并构建了全天候监控系统。此外,AWS 还拥有全球云基础设施,这个高安全性、高扩展性和高可靠性的云平台可提供来自全球数据中心的 175 多种功能全面的服务,用户可以在平台上加密、移动以及管理保留自己的数据。另外,在数据中心和区域互连的 AWS 全球网络中,所有的数据流动在离开AWS的安全设施之前,都经过物理层自动加密。
另外,AWS全球基础设施可以让用户完全控制数据实际所在的区域。比如AWS将物理数据中心分为多个逻辑单元,这些逻辑单元称为“可用区”,把可用区想象成一个逻辑数据中心。数据中心通过完全冗余的专用低延迟连接相互连接,然后把多个可用区域组成一个AWS区域,但是它们在物理上是彼此分开并相互隔离的,因此,如果一个可用区出现故障,其他可用区不会受到影响,从而确保了数据安全性,并满足了用户数据驻留要求。
(四)更繁荣的安全合作伙伴和解决方案生态系统
当前,越来越多的企业需要在云上构建更敏捷、更弹性和更安全的企业IT系统。为了更好的提升用户的体验,解决用户上云的安全担忧, AWS 通过使用用户了解和信任的熟悉解决方案提供商提供的安全技术和咨询服务来扩展自身的优势。因此,AWS在逐步壮大合作伙伴生态系统,与百家APN合作伙伴开展联合解决方案,重点覆盖了金融、制造、汽车、零售与电商、医疗与生命科学、媒体、教育、游戏、能源与电力九大行业。尤其在安全领域,AWS精心挑选了具有深厚专业知识和经过证实的成功经验的提供商,构建了端到端的解决方案和服务,以确保云采用的每个阶段的安全及合规。AWS的APN合作伙伴提供了几百个工具和功能,涵盖网络安全、配置管理、访问控制和数据加密的方方面面,以帮助AWS用户实现安全目的。
(五)继承最为全面的安全性与合规性控制
云计算作为一种新兴服务模式,已经成为企业发展的关键因素,使用云计算,可以让其摆脱数据中心、节省成本、加快迁移速度,并且享受云上的无限资源,但是在此过程中,面临着一个重要问题就是要满足安全合规要求。为了帮助用户实现合规,AWS 会定期对数千个全球合规性要求进行第三方验证,并进行持续监控,同时还不断加强用户自己的合规性和认证计划。AWS 支持数十种安全标准和合规性认证,满足全球几乎所有监管机构的合规性要求。
在中国,AWS还将安全技术和服务与APN合作伙伴的技术和服务融合在一起,为各行业的用户提供基于中国网络安全法规要求、等级保护国家标准、欧洲GDPR等方面的端到端服务。这些服务可以从三个方面体现:第一是通过提供安全合规类型的产品和技术解决方案,帮助客户搭建符合法律法规要求的安全技术架构;第二是提供针对各类型安全合规要求的咨询服务,为客户搭建安全架构提供咨询方案,帮助客户建立和维护安全管理体系;第三是针对网络安全等级保护国家标准,帮助客户提供等级保护认证服务。
四个层面 全方位护航云上安全
随着云计算的快速发展,恶意软件、数据泄露、用户身份认证等安全问题也成为云时代的安全挑战。AWS 可以帮助用户为应用程序构建安全、高性能、弹性和高效的基础设施,并维护丰富多样的创新安全服务,帮助用户简化满足自己的安全和法规要求。AWS从预防、检测、响应和修复四个层面对云安全提供了相应的服务和解决方案,四个层面包含了ID访问控制,检测式控制,基础设置保护和数据保护等方面,每个方面都提供了对应的服务来帮助用户实现云上的安全。
ID访问控制方面包括AWS Identity & Access Management (IAM)、AWS Single Sign-On、AWS Directory Service、Amazon Cognito等服务。通过这些服务,用户可以设置访问权限,创建并管理用户身份,还包括为 AWS 以外的联合用户授权,为 Web 和移动应用程序添加用户注册、登录和访问控制等功能,并将用户规模扩展到数百万。此外,还可帮助用户保护访问应用程序、服务和 IT 资源所需的密钥,以便能够轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。
检测式控制方面包括AWS Security Hub、Amazon GuardDuty、Amazon Inspector、Amazon Detective等服务。通过这些服务,用户可以收集各种资源的状态及事件,以便持续的审计及合规检查,还能够发现来自异常地理位置的请求,以API调用模式侦测错误配置的存储桶权限等安全威胁,并在整个开发和部署流程中针对静态生产系统实现安全漏洞评估自动化。还可帮助用户自动化处理大量AWS日志资料,找出可能造成安全性问题的原因和影响范围,以便用户进行事件管理、测试和审核。
基础设置保护方面包括AWS Shield、AWS Web 应用程序防火墙 (WAF)和AWS Firewall Manager等服务。这些服务可以为用户提供针对分布式拒绝服务(DDoS)攻击的防护,帮助用户保护 Web 应用程序免受常见的 Web 漏洞攻击,用户可以自由地使用多个 AWS 账户并在所需的任何地区托管应用程序,同时保持对其组织的安全设置和配置文件的集中控制。
数据保护方面包括AWS Key Management Service (KMS)、AWS CloudHSM、AWS Certificate Manager等服务。通过这些服务,可为用户提供可用性高的密钥生成、存储、管理和审计解决方案,可以安全地生成、存储和管理数据加密的密钥,能够让用户使用专业的硬件安全模块设备来提升数据安全并满足法规遵从需求,还可帮助用户轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性 (SSL/TLS) 证书,以便用于 AWS 服务和用户自身互联资源。
以上这些服务只是AWS云安全服务体系中的冰山一角,面对海量的云上数据、愈加严峻的云安全挑战,以及不断增加的用户需求,AWS将不断创新技术、提升服务,同时集合多方力量,为用户提供更安全的解决方案,护航云上安全。