omniture

亞馬遜云科技:讓云中安全成為企業(yè)創(chuàng)新助推器 構(gòu)建“洋蔥”式多層防護

亞馬遜云科技
2022-07-21 14:18 4408

北京2022年7月21日 /美通社/ -- 上云已成為企業(yè)數(shù)字化建設(shè)的新常態(tài),企業(yè)在云中加速創(chuàng)新的同時更需要確保云中安全。云中安全,是如同妨礙創(chuàng)新的"守門人"?還是如同水和空氣般的存在,助推創(chuàng)新更好地發(fā)生?

云計算已經(jīng)重塑了企業(yè)數(shù)字化進程的各個方面,在安全領(lǐng)域也是一樣。通過構(gòu)建良好的云中安全機制,企業(yè)不必再從安全與創(chuàng)新之中進行取舍 -- 二者并行,才能更好地應(yīng)對深度數(shù)字化時期的目標和挑戰(zhàn)。

要成為創(chuàng)新的助力而非限制,安全機制應(yīng)該做到"無感"且觸手可得,就如同水和空氣般的存在。這一理念也體現(xiàn)在亞馬遜云科技提出的"安全責(zé)任共擔(dān)模型"中:亞馬遜云科技負責(zé)云本身的安全,用戶為其自身云業(yè)務(wù)安全負責(zé),亞馬遜云科技幫助用戶構(gòu)建云中的安全防護。為了讓云上安全能有效服務(wù)于創(chuàng)新,亞馬遜云科技在規(guī)劃安全服務(wù)時一直秉持三個理念:

第一,利用云上的事件驅(qū)動型架構(gòu)去構(gòu)建自動化防護欄,而非設(shè)立關(guān)卡。自動化是實現(xiàn)云上規(guī)?;踩闹匾画h(huán)?;谠粕辖y(tǒng)一的API管理以及集中的事件管理,建立起一套從威脅檢測到事件反應(yīng)、原因分析、恢復(fù)的自動化防護,才能在實現(xiàn)安全的同時解放開發(fā)團隊的精力,使之專注于業(yè)務(wù)創(chuàng)新。

第二,云中安全是主動設(shè)計出來的,而不僅是被動響應(yīng)。主動設(shè)計意味著企業(yè)是從自身的業(yè)務(wù)、實際需求出發(fā),設(shè)計適合自己的安全方案,將安全建設(shè)的主動權(quán)掌握在自己手中,避免過多的被動響應(yīng)和改造。

第三,云中安全必須是一個洋蔥型的多層防護,而非一個雞蛋。相比于雞蛋那樣僅有一層看似堅硬的外殼,洋蔥式的多層柔韌防護更適合云上環(huán)境的安全要求。亞馬遜云科技把云中的安全建設(shè)分成不同的類別,像洋蔥一樣層層防護,用戶可以基于洋蔥模型快速構(gòu)建云中安全。

基于以上理念,亞馬遜云科技已經(jīng)能夠為用戶提供超過280項安全、合規(guī)服務(wù)和功能,在用戶對其數(shù)據(jù)完全擁有和控制的前提下,為用戶提供一系列安全保護。

"洋蔥模型"多層防護,提供五大領(lǐng)域安全服務(wù)

"洋蔥模型"是對亞馬遜云科技多層安全防護的系統(tǒng)性歸納,涵蓋威脅檢測和事件響應(yīng)、身份認證和訪問控制、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全、數(shù)據(jù)保護與隱私以及風(fēng)險管控及合規(guī)五大領(lǐng)域。

1、 威脅檢測與事件響應(yīng)

安全風(fēng)險的最重要特征之一,在于其攻擊來源的未知性,成功的安全防護,應(yīng)該能夠?qū)糇龀稣_的預(yù)判。在新冠疫情之后,由于遠程辦公、自帶設(shè)備等場景大幅增長,諸如網(wǎng)絡(luò)釣魚、身份盜用等安全風(fēng)險也水漲船高,種種不確定性愈發(fā)加劇了云中安全的"陰晴不定"。這種情況下,企業(yè)需要如"專業(yè)的天氣預(yù)報員一樣"的預(yù)判工具,企業(yè)自身并不需要成為專業(yè)的天氣預(yù)報員,因為這通常是一個與企業(yè)業(yè)務(wù)無關(guān)的領(lǐng)域。亞馬遜云科技提供的威脅檢測和事件響應(yīng)就如同"專業(yè)的天氣預(yù)報員",為企業(yè)自動甄別、定位風(fēng)險,并自動做出快速響應(yīng)。

這其中的一個關(guān)鍵服務(wù)是Amazon GuardDuty,可實現(xiàn)對威脅的精準定位與快速反應(yīng)。Amazon GuardDuty可以一鍵開啟,內(nèi)嵌了來自于Amazon電商平臺收集的第一手情報源,并集成行業(yè)頂尖的CrowdStrike和Proofpoint 情報源,同時與一系列世界頂尖的安全公司持續(xù)合作以豐富情報源。此外,Amazon GuardDuty內(nèi)置了機器學(xué)習(xí)能力,在提升預(yù)警準確度的同時將可疑警報量降低了50%。Amazon GuardDuty還可對安全風(fēng)險事件做出快速反應(yīng),即發(fā)揮"事件驅(qū)動的自動化防護欄"作用。

另一項重要服務(wù)是Amazon Security Hub,可對安全合規(guī)風(fēng)險和威脅進行7x24小時全天候監(jiān)測,針對威脅及時響應(yīng),自動執(zhí)行合規(guī)性檢查,快速發(fā)現(xiàn)技術(shù)差異并提供修復(fù)方案。

Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安全防線,而且還通過全程自動化顯著優(yōu)化安全工作效率。例如在線游戲企業(yè)風(fēng)林火山,此前由于人手不足,一直受困于海量日志數(shù)據(jù)分析和合規(guī)的持續(xù)性?,F(xiàn)在這些工作已經(jīng)全部交給Amazon GuardDuty與Amazon Security Hub來完成,既帶來了可持續(xù)的安全保障,也解放了企業(yè)人力。

2、 身份認證與訪問控制

在云環(huán)境的安全體系中,身份認證就如同堅固城墻上的城門。而實際使用場景中,弱口令、使用個人設(shè)備、個人郵箱等,都存在著身份認證在某一環(huán)節(jié)被攻破的風(fēng)險,導(dǎo)致其它安全措施形同虛設(shè)。

在亞馬遜云科技看來,身份認證與訪問控制的安全性是"三分技術(shù)、七分管理"。在管理上,亞馬遜云科技建議用戶關(guān)注兩個原則:第一是最小授權(quán)原則,確保每一次授權(quán)都與業(yè)務(wù)職責(zé)相關(guān)且必須??蛻舯M可能細化訪問的顆粒度,例如根據(jù)時間、地點、角色和服務(wù)來設(shè)置訪問條件。第二是對最小授權(quán)原則進行定期審計,根據(jù)業(yè)務(wù)動態(tài)對授權(quán)進行時效性調(diào)整。在相關(guān)的安全服務(wù)方面,Amazon Identity and Access Management (Amazon IAM) 是身份認證與訪問控制的核心服務(wù),以細顆粒度的身份認證與訪問控制機制,結(jié)合對安全事件的持續(xù)監(jiān)控和精準的安全權(quán)限設(shè)置,保障正確資源被相應(yīng)正確人員訪問。另一項服務(wù)是Amazon Organizations,能夠讓用戶使用服務(wù)控制策略 (SCP) 來建立組織賬戶中所有IAM用戶和角色都要遵守的權(quán)限防護機制及數(shù)據(jù)邊界 -- 例如將公司的所有賬戶分為不同群組,并為其分別下發(fā)不同的訪問控制策略。汽車數(shù)字服務(wù)企業(yè)WirelessCar在Amazon Organizations的幫助下,就有效降低了賬戶運維管理的時間,節(jié)省了人力成本,提高了IT運維效率,使團隊可專注于業(yè)務(wù)開發(fā)和創(chuàng)新。

3、 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全

縱觀亞馬遜云科技所觀測到的攻擊數(shù)據(jù),在近幾年中DDoS攻擊呈現(xiàn)出指數(shù)級增長。因此,網(wǎng)絡(luò)邊緣,也就是CDN側(cè)的安全防護愈發(fā)嚴峻且重要。并且防御DDoS需要保持全天候自始至終,而不能像"看急診"一樣對待。否則,偶發(fā)性攻擊也可能給業(yè)務(wù)帶來巨大損失。

因此,亞馬遜云科技在主機、網(wǎng)絡(luò)和應(yīng)用程序級別邊界為客戶提供細粒度的保護。Amazon Shield Advanced是亞馬遜云科技提供的網(wǎng)絡(luò)邊緣側(cè)防護服務(wù)。用戶可將所有面向網(wǎng)絡(luò)的資源加載到Amazon Shield Advanced,以獲得全天候保護。

另一個重要產(chǎn)品是已經(jīng)被眾多客戶作為標準配置的Amazon WAF。Amazon WAF的特點在于提供了豐富的規(guī)則庫,其中既有亞馬遜云科技安全專家團隊自研的全托管的規(guī)則,也可由用戶依據(jù)需求來自定義規(guī)則。用戶還可以將亞馬遜云科技的APN合作伙伴網(wǎng)絡(luò)成員 -- 眾多國際一線安全廠商的托管規(guī)則加載到Amazon WAF。

4、 數(shù)據(jù)保護與隱私

亞馬遜云科技數(shù)據(jù)保護服務(wù)提供加密、密鑰管理和威脅檢測功能,可以持續(xù)保護客戶數(shù)據(jù)、監(jiān)控和保護客戶的賬戶和工作負載。亞馬遜云科技使用很多不同的方法實施數(shù)據(jù)保護。

其中,自動識別和分類數(shù)據(jù)可以幫助客戶快速地根據(jù)合規(guī)的需要,發(fā)現(xiàn)并定位包括個人數(shù)據(jù)在內(nèi)的敏感數(shù)據(jù)。Amazon Macie 使用機器學(xué)習(xí)技術(shù)來自動發(fā)現(xiàn)和保護客戶的敏感數(shù)據(jù)并對其分類,可以識別個人可識別信息 (PII) 或知識產(chǎn)權(quán)之類的敏感數(shù)據(jù),并為客戶提供控制面板和警報,讓客戶了解此類數(shù)據(jù)的訪問或移動方式。

對于數(shù)據(jù)加密,亞馬遜云科技秉持通過服務(wù)集成實現(xiàn)全生命周期數(shù)據(jù)加密。Amazon Key Management Service(AmazonKMS)是亞馬遜云科技最常用的數(shù)據(jù)加密服務(wù),這項服務(wù)與亞馬遜云科技的140多項服務(wù)深度集成,可幫助用戶大幅減少人工操作,降低出錯概率。

對于數(shù)據(jù)保密要求更高的用戶,還可使用Amazon CloudHSM來獲得云上專屬加密機服務(wù)。全球領(lǐng)先的智能終端制造商OPPO就通過Amazon CloudHSM來獲得基于行業(yè)安全標準的加密機硬件,構(gòu)建自己獨特的數(shù)據(jù)保護體系。Amazon CloudHSM還可讓OPPO根據(jù)業(yè)務(wù)變化隨時擴展加密機硬件容量,并利用亞馬遜云科技的托管服務(wù)自動執(zhí)行耗時的管理任務(wù)。

在數(shù)據(jù)計算過程中,用戶可使用Amazon Nitro Enclaves的云端機密計算的技術(shù),創(chuàng)建嚴密隔離的環(huán)境處理敏感數(shù)據(jù)。這項技術(shù)在確保數(shù)據(jù)安全之外,也讓用戶能夠開拓新的創(chuàng)新應(yīng)用場景,例如可在完全不觸碰數(shù)據(jù)的前提下,與一些持有重要數(shù)據(jù)的機構(gòu)利用Amazon Nitro Enclaves創(chuàng)建的數(shù)據(jù)"密室"進行與外界完全隔絕的聯(lián)合計算分析。

5、風(fēng)險管控及合規(guī)

亞馬遜云科技可幫助客戶全面了解合規(guī)狀況,并使用自動合規(guī)性檢查,持續(xù)監(jiān)控客戶的環(huán)境。例如,Amazon Artifact自助門戶,允許客戶按需訪問并獲取亞馬遜云科技的合規(guī)性報告。為避免用戶在合規(guī)審計與評估中消耗過多成本,亞馬遜云科技提供Amazon Audit Manager,可自動掃描、搜集證據(jù),還提供了各種合規(guī)認證的模板,簡化合規(guī)審計的證據(jù)收集工作,實現(xiàn)高效的自動化合規(guī)審計與評估。

目前,亞馬遜云科技正不斷將領(lǐng)先的安全服務(wù)引入中國(西云數(shù)據(jù)運營寧夏區(qū)域,光環(huán)新網(wǎng)運營北京區(qū)域),進一步幫助用戶完善云上安全建設(shè)。依托亞馬遜云科技的云自身安全及云中安全服務(wù),用戶能夠在云上開展業(yè)務(wù)的同時獲得自動化、規(guī)?;陌踩U希尠踩蔀槠髽I(yè)創(chuàng)新助推器。

消息來源:亞馬遜云科技
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection