亞馬遜云科技：讓云中安全成為企業(yè)創(chuàng)新助推器 構建“洋蔥”式多層防護

北京2022年7月21日 /美通社/ -- 上云已成為企業(yè)數字化建設的新常態(tài)，企業(yè)在云中加速創(chuàng)新的同時更需要確保云中安全。云中安全，是如同妨礙創(chuàng)新的"守門人"？還是如同水和空氣般的存在，助推創(chuàng)新更好地發(fā)生？

云計算已經重塑了企業(yè)數字化進程的各個方面，在安全領域也是一樣。通過構建良好的云中安全機制，企業(yè)不必再從安全與創(chuàng)新之中進行取舍 -- 二者并行，才能更好地應對深度數字化時期的目標和挑戰(zhàn)。

要成為創(chuàng)新的助力而非限制，安全機制應該做到"無感"且觸手可得，就如同水和空氣般的存在。這一理念也體現在亞馬遜云科技提出的"安全責任共擔模型"中：亞馬遜云科技負責云本身的安全，用戶為其自身云業(yè)務安全負責，亞馬遜云科技幫助用戶構建云中的安全防護。為了讓云上安全能有效服務于創(chuàng)新，亞馬遜云科技在規(guī)劃安全服務時一直秉持三個理念：

第一，利用云上的事件驅動型架構去構建自動化防護欄，而非設立關卡。自動化是實現云上規(guī)?；踩闹匾画h(huán)?；谠粕辖y(tǒng)一的API管理以及集中的事件管理，建立起一套從威脅檢測到事件反應、原因分析、恢復的自動化防護，才能在實現安全的同時解放開發(fā)團隊的精力，使之專注于業(yè)務創(chuàng)新。

第二，云中安全是主動設計出來的，而不僅是被動響應。主動設計意味著企業(yè)是從自身的業(yè)務、實際需求出發(fā)，設計適合自己的安全方案，將安全建設的主動權掌握在自己手中，避免過多的被動響應和改造。

第三，云中安全必須是一個洋蔥型的多層防護，而非一個雞蛋。相比于雞蛋那樣僅有一層看似堅硬的外殼，洋蔥式的多層柔韌防護更適合云上環(huán)境的安全要求。亞馬遜云科技把云中的安全建設分成不同的類別，像洋蔥一樣層層防護，用戶可以基于洋蔥模型快速構建云中安全。

基于以上理念，亞馬遜云科技已經能夠為用戶提供超過280項安全、合規(guī)服務和功能，在用戶對其數據完全擁有和控制的前提下，為用戶提供一系列安全保護。

"洋蔥模型"多層防護，提供五大領域安全服務

"洋蔥模型"是對亞馬遜云科技多層安全防護的系統(tǒng)性歸納，涵蓋威脅檢測和事件響應、身份認證和訪問控制、網絡和基礎設施安全、數據保護與隱私以及風險管控及合規(guī)五大領域。

1、 威脅檢測與事件響應

安全風險的最重要特征之一，在于其攻擊來源的未知性，成功的安全防護，應該能夠對攻擊做出正確的預判。在新冠疫情之后，由于遠程辦公、自帶設備等場景大幅增長，諸如網絡釣魚、身份盜用等安全風險也水漲船高，種種不確定性愈發(fā)加劇了云中安全的"陰晴不定"。這種情況下，企業(yè)需要如"專業(yè)的天氣預報員一樣"的預判工具，企業(yè)自身并不需要成為專業(yè)的天氣預報員，因為這通常是一個與企業(yè)業(yè)務無關的領域。亞馬遜云科技提供的威脅檢測和事件響應就如同"專業(yè)的天氣預報員"，為企業(yè)自動甄別、定位風險，并自動做出快速響應。

這其中的一個關鍵服務是Amazon GuardDuty，可實現對威脅的精準定位與快速反應。Amazon GuardDuty可以一鍵開啟，內嵌了來自于Amazon電商平臺收集的第一手情報源，并集成行業(yè)頂尖的CrowdStrike和Proofpoint 情報源，同時與一系列世界頂尖的安全公司持續(xù)合作以豐富情報源。此外，Amazon GuardDuty內置了機器學習能力，在提升預警準確度的同時將可疑警報量降低了50%。Amazon GuardDuty還可對安全風險事件做出快速反應，即發(fā)揮"事件驅動的自動化防護欄"作用。

另一項重要服務是Amazon Security Hub，可對安全合規(guī)風險和威脅進行7x24小時全天候監(jiān)測，針對威脅及時響應，自動執(zhí)行合規(guī)性檢查，快速發(fā)現技術差異并提供修復方案。

Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安全防線，而且還通過全程自動化顯著優(yōu)化安全工作效率。例如在線游戲企業(yè)風林火山，此前由于人手不足，一直受困于海量日志數據分析和合規(guī)的持續(xù)性?，F在這些工作已經全部交給Amazon GuardDuty與Amazon Security Hub來完成，既帶來了可持續(xù)的安全保障，也解放了企業(yè)人力。

2、 身份認證與訪問控制

在云環(huán)境的安全體系中，身份認證就如同堅固城墻上的城門。而實際使用場景中，弱口令、使用個人設備、個人郵箱等，都存在著身份認證在某一環(huán)節(jié)被攻破的風險，導致其它安全措施形同虛設。

在亞馬遜云科技看來，身份認證與訪問控制的安全性是"三分技術、七分管理"。在管理上，亞馬遜云科技建議用戶關注兩個原則：第一是最小授權原則，確保每一次授權都與業(yè)務職責相關且必須。客戶盡可能細化訪問的顆粒度，例如根據時間、地點、角色和服務來設置訪問條件。第二是對最小授權原則進行定期審計，根據業(yè)務動態(tài)對授權進行時效性調整。在相關的安全服務方面，Amazon Identity and Access Management (Amazon IAM) 是身份認證與訪問控制的核心服務，以細顆粒度的身份認證與訪問控制機制，結合對安全事件的持續(xù)監(jiān)控和精準的安全權限設置，保障正確資源被相應正確人員訪問。另一項服務是Amazon Organizations，能夠讓用戶使用服務控制策略 (SCP) 來建立組織賬戶中所有IAM用戶和角色都要遵守的權限防護機制及數據邊界 -- 例如將公司的所有賬戶分為不同群組，并為其分別下發(fā)不同的訪問控制策略。汽車數字服務企業(yè)WirelessCar在Amazon Organizations的幫助下，就有效降低了賬戶運維管理的時間，節(jié)省了人力成本，提高了IT運維效率，使團隊可專注于業(yè)務開發(fā)和創(chuàng)新。

3、 網絡與基礎設施安全

縱觀亞馬遜云科技所觀測到的攻擊數據，在近幾年中DDoS攻擊呈現出指數級增長。因此，網絡邊緣，也就是CDN側的安全防護愈發(fā)嚴峻且重要。并且防御DDoS需要保持全天候自始至終，而不能像"看急診"一樣對待。否則，偶發(fā)性攻擊也可能給業(yè)務帶來巨大損失。

因此，亞馬遜云科技在主機、網絡和應用程序級別邊界為客戶提供細粒度的保護。Amazon Shield Advanced是亞馬遜云科技提供的網絡邊緣側防護服務。用戶可將所有面向網絡的資源加載到Amazon Shield Advanced，以獲得全天候保護。

另一個重要產品是已經被眾多客戶作為標準配置的Amazon WAF。Amazon WAF的特點在于提供了豐富的規(guī)則庫，其中既有亞馬遜云科技安全專家團隊自研的全托管的規(guī)則，也可由用戶依據需求來自定義規(guī)則。用戶還可以將亞馬遜云科技的APN合作伙伴網絡成員 -- 眾多國際一線安全廠商的托管規(guī)則加載到Amazon WAF。

4、 數據保護與隱私

亞馬遜云科技數據保護服務提供加密、密鑰管理和威脅檢測功能，可以持續(xù)保護客戶數據、監(jiān)控和保護客戶的賬戶和工作負載。亞馬遜云科技使用很多不同的方法實施數據保護。

其中，自動識別和分類數據可以幫助客戶快速地根據合規(guī)的需要，發(fā)現并定位包括個人數據在內的敏感數據。Amazon Macie 使用機器學習技術來自動發(fā)現和保護客戶的敏感數據并對其分類，可以識別個人可識別信息 (PII) 或知識產權之類的敏感數據，并為客戶提供控制面板和警報，讓客戶了解此類數據的訪問或移動方式。

對于數據加密，亞馬遜云科技秉持通過服務集成實現全生命周期數據加密。Amazon Key Management Service（AmazonKMS）是亞馬遜云科技最常用的數據加密服務，這項服務與亞馬遜云科技的140多項服務深度集成，可幫助用戶大幅減少人工操作，降低出錯概率。

對于數據保密要求更高的用戶，還可使用Amazon CloudHSM來獲得云上專屬加密機服務。全球領先的智能終端制造商OPPO就通過Amazon CloudHSM來獲得基于行業(yè)安全標準的加密機硬件，構建自己獨特的數據保護體系。Amazon CloudHSM還可讓OPPO根據業(yè)務變化隨時擴展加密機硬件容量，并利用亞馬遜云科技的托管服務自動執(zhí)行耗時的管理任務。

在數據計算過程中，用戶可使用Amazon Nitro Enclaves的云端機密計算的技術，創(chuàng)建嚴密隔離的環(huán)境處理敏感數據。這項技術在確保數據安全之外，也讓用戶能夠開拓新的創(chuàng)新應用場景，例如可在完全不觸碰數據的前提下，與一些持有重要數據的機構利用Amazon Nitro Enclaves創(chuàng)建的數據"密室"進行與外界完全隔絕的聯(lián)合計算分析。

5、風險管控及合規(guī)

亞馬遜云科技可幫助客戶全面了解合規(guī)狀況，并使用自動合規(guī)性檢查，持續(xù)監(jiān)控客戶的環(huán)境。例如，Amazon Artifact自助門戶，允許客戶按需訪問并獲取亞馬遜云科技的合規(guī)性報告。為避免用戶在合規(guī)審計與評估中消耗過多成本，亞馬遜云科技提供Amazon Audit Manager，可自動掃描、搜集證據，還提供了各種合規(guī)認證的模板，簡化合規(guī)審計的證據收集工作，實現高效的自動化合規(guī)審計與評估。

目前，亞馬遜云科技正不斷將領先的安全服務引入中國（西云數據運營寧夏區(qū)域，光環(huán)新網運營北京區(qū)域），進一步幫助用戶完善云上安全建設。依托亞馬遜云科技的云自身安全及云中安全服務，用戶能夠在云上開展業(yè)務的同時獲得自動化、規(guī)?；陌踩Ｕ?，讓安全成為企業(yè)創(chuàng)新助推器。