上云已成为企业数字化建设的新常态,企业在云中加速创新的同时更需要确保云中安全。云中安全,是如同妨碍创新的“守门人”?还是如同水和空气般的存在,助推创新更好地发生?
云计算已经重塑了企业数字化进程的各个方面,在安全领域也是一样。通过构建良好的云中安全机制,企业不必再从安全与创新之中进行取舍——二者并行,才能更好地应对深度数字化时期的目标和挑战。
要成为创新的助力而非限制,安全机制应该做到“无感”且触手可得,就如同水和空气般的存在。这一理念也体现在亚马逊云科技提出的“安全责任共担模型”中:亚马逊云科技负责云本身的安全,用户为其自身云业务安全负责,亚马逊云科技帮助用户构建云中的安全防护。为了让云上安全能有效服务于创新,亚马逊云科技在规划安全服务时一直秉持三个理念:
第一, 利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。自动化是实现云上规模化安全的重要一环。基于云上统一的API管理以及集中的事件管理,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,才能在实现安全的同时解放开发团队的精力,使之专注于业务创新。
第二, 云中安全是主动设计出来的,而不仅是被动响应。主动设计意味着企业是从自身的业务、实际需求出发,设计适合自己的安全方案,将安全建设的主动权掌握在自己手中,避免过多的被动响应和改造。
第三, 云中安全必须是一个洋葱型的多层防护,而非一个鸡蛋。相比于鸡蛋那样仅有一层看似坚硬的外壳,洋葱式的多层柔韧防护更适合云上环境的安全要求。亚马逊云科技把云中的安全建设分成不同的类别,像洋葱一样层层防护,用户可以基于洋葱模型快速构建云中安全。
基于以上理念,亚马逊云科技已经能够为用户提供超过280项安全、合规服务和功能,在用户对其数据完全拥有和控制的前提下,为用户提供一系列安全保护。
“洋葱模型”多层防护,提供五大领域安全服务
“洋葱模型”是对亚马逊云科技多层安全防护的系统性归纳,涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。
1、威胁检测与事件响应
安全风险的最重要特征之一,在于其攻击来源的未知性,成功的安全防护,应该能够对攻击做出正确的预判。在新冠疫情之后,由于远程办公、自带设备等场景大幅增长,诸如网络钓鱼、身份盗用等安全风险也水涨船高,种种不确定性愈发加剧了云中安全的“阴晴不定”。这种情况下,企业需要如“专业的天气预报员一样“的预判工具,企业自身并不需要成为专业的天气预报员,因为这通常是一个与企业业务无关的领域。亚马逊云科技提供的威胁检测和事件响应就如同“专业的天气预报员”,为企业自动甄别、定位风险,并自动做出快速响应。
这其中的一个关键服务是Amazon GuardDuty,可实现对威胁的精准定位与快速反应。Amazon GuardDuty可以一键开启,内嵌了来自于Amazon电商平台收集的第一手情报源,并集成行业顶尖的CrowdStrike和Proofpoint 情报源,同时与一系列世界顶尖的安全公司持续合作以丰富情报源。此外,Amazon GuardDuty内置了机器学习能力,在提升预警准确度的同时将可疑警报量降低了50%。Amazon GuardDuty还可对安全风险事件做出快速反应,即发挥“事件驱动的自动化防护栏”作用。
另一项重要服务是Amazon Security Hub,可对安全合规风险和威胁进行7x24小时全天候监测,针对威胁及时响应,自动执行合规性检查,快速发现技术差异并提供修复方案。
Amazon GuardDuty与Amazon Security Hub不仅提供给用户周密的安全防线,而且还通过全程自动化显著优化安全工作效率。例如在线游戏企业风林火山,此前由于人手不足,一直受困于海量日志数据分析和合规的持续性。现在这些工作已经全部交给Amazon GuardDuty与Amazon Security Hub来完成,既带来了可持续的安全保障,也解放了企业人力。
2、 身份认证与访问控制
在云环境的安全体系中,身份认证就如同坚固城墙上的城门。而实际使用场景中,弱口令、使用个人设备、个人邮箱等,都存在着身份认证在某一环节被攻破的风险,导致其它安全措施形同虚设。
在亚马逊云科技看来,身份认证与访问控制的安全性是“三分技术、七分管理”。在管理上,亚马逊云科技建议用户关注两个原则:第一是最小授权原则,确保每一次授权都与业务职责相关且必须。客户尽可能细化访问的颗粒度,例如根据时间、地点、角色和服务来设置访问条件。第二是对最小授权原则进行定期审计,根据业务动态对授权进行时效性调整。在相关的安全服务方面,Amazon Identity and Access Management (Amazon IAM) 是身份认证与访问控制的核心服务,以细颗粒度的身份认证与访问控制机制,结合对安全事件的持续监控和精准的安全权限设置,保障正确资源被相应正确人员访问。另一项服务是Amazon Organizations,能够让用户使用服务控制策略 (SCP) 来建立组织账户中所有IAM用户和角色都要遵守的权限防护机制及数据边界——例如将公司的所有账户分为不同群组,并为其分别下发不同的访问控制策略。汽车数字服务企业WirelessCar在Amazon Organizations的帮助下,就有效降低了账户运维管理的时间,节省了人力成本,提高了IT运维效率,使团队可专注于业务开发和创新。
3、 网络与基础设施安全
纵观亚马逊云科技所观测到的攻击数据,在近几年中DDoS攻击呈现出指数级增长。因此,网络边缘,也就是CDN侧的安全防护愈发严峻且重要。并且防御DDoS需要保持全天候自始至终,而不能像“看急诊”一样对待。否则,偶发性攻击也可能给业务带来巨大损失。
因此,亚马逊云科技在主机、网络和应用程序级别边界为客户提供细粒度的保护。Amazon Shield Advanced是亚马逊云科技提供的网络边缘侧防护服务。用户可将所有面向网络的资源加载到Amazon Shield Advanced,以获得全天候保护。
另一个重要产品是已经被众多客户作为标准配置的Amazon WAF。Amazon WAF的特点在于提供了丰富的规则库,其中既有亚马逊云科技安全专家团队自研的全托管的规则,也可由用户依据需求来自定义规则。用户还可以将亚马逊云科技的APN合作伙伴网络成员——众多国际一线安全厂商的托管规则加载到Amazon WAF。
4、 数据保护与隐私
亚马逊云科技数据保护服务提供加密、密钥管理和威胁检测功能,可以持续保护客户数据、监控和保护客户的账户和工作负载。亚马逊云科技使用很多不同的方法实施数据保护。
其中,自动识别和分类数据可以帮助客户快速地根据合规的需要,发现并定位包括个人数据在内的敏感数据。Amazon Macie 使用机器学习技术来自动发现和保护客户的敏感数据并对其分类,可以识别个人可识别信息 (PII) 或知识产权之类的敏感数据,并为客户提供控制面板和警报,让客户了解此类数据的访问或移动方式。
对于数据加密,亚马逊云科技秉持通过服务集成实现全生命周期数据加密。Amazon
Key Management Service(AmazonKMS)是亚马逊云科技最常用的数据加密服务,这项服务与亚马逊云科技的140多项服务深度集成,可帮助用户大幅减少人工操作,降低出错概率。
对于数据保密要求更高的用户,还可使用Amazon CloudHSM来获得云上专属加密机服务。全球领先的智能终端制造商OPPO就通过Amazon
CloudHSM来获得基于行业安全标准的加密机硬件,构建自己独特的数据保护体系。Amazon
CloudHSM还可让OPPO根据业务变化随时扩展加密机硬件容量,并利用亚马逊云科技的托管服务自动执行耗时的管理任务。
在数据计算过程中,用户可使用Amazon Nitro Enclaves的云端机密计算的技术,创建严密隔离的环境处理敏感数据。这项技术在确保数据安全之外,也让用户能够开拓新的创新应用场景,例如可在完全不触碰数据的前提下,与一些持有重要数据的机构利用Amazon Nitro Enclaves创建的数据“密室”进行与外界完全隔绝的联合计算分析。
5、风险管控及合规
亚马逊云科技可帮助客户全面了解合规状况,并使用自动合规性检查,持续监控客户的环境。例如,Amazon Artifact自助门户,允许客户按需访问并获取亚马逊云科技的合规性报告。为避免用户在合规审计与评估中消耗过多成本,亚马逊云科技提供Amazon Audit Manager,可自动扫描、搜集证据,还提供了各种合规认证的模板,简化合规审计的证据收集工作,实现高效的自动化合规审计与评估。
目前,亚马逊云科技正不断将领先的安全服务引入中国(西云数据运营宁夏区域,光环新网运营北京区域),进一步帮助用户完善云上安全建设。依托亚马逊云科技的云自身安全及云中安全服务,用户能够在云上开展业务的同时获得自动化、规模化的安全保障,让安全成为企业创新助推器。