云已成为企业数字化建设的新常态。企业快云创新的同时,企业需要确保云安全。云安全就像阻碍创新的守门员吗?还是像水和空气一样存在,以促进更好的创新?
云计算重塑了企业数字化进程的各个方面,在安全领域也是如此。通过建立良好的云安全机制,企业不再需要选择安全和创新——两者并行,以更好地应对深度数字时期的目标和挑战。
为了帮助创新而不是限制,安全机制应该是无感,触手可及,就像水和空气一样。这一概念也体现在亚马逊云技术提出的安全责任共享模式中:亚马逊云技术负责云本身的安全,用户负责云业务的安全,亚马逊云技术帮助用户在云中建立安全保护。亚马逊云科技在规划安全服务时,始终坚持三个理念:
第一,利用云事件驱动架构构建自动护栏,而不是设置水平。自动化是实现云规模安全的重要组成部分。基于云的统一API管理和集中的事件管理,建立一套从威胁检测到事件响应、原因分析和恢复的自动保护,解放开发团队的能源,同时实现安全,专注于业务创新。
第二,云中安全是主动设计出来的,而不仅是被动响应。主动设计意味着企业是从自身的业务、实际需求出发,设计适合自己的安全方案,将安全建设的主动权掌握在自己手中,避免过多的被动响应和改造。
第三,云安全必须是洋葱型的多层保护,而不是鸡蛋。与鸡蛋相比,只有一层看似坚硬的外壳,洋葱型的多层柔性保护更适合云环境的安全要求。亚马逊云技术将云安全建设分为不同类别,如洋葱,用户可以根据洋葱模型快速构建云安全。
基于上述概念,亚马逊云技术在用户完全拥有和控制数据的前提下,为用户提供了280多项安全、合规的服务和功能,为用户提供了一系列的安全保护。
多层保护洋葱模型,提供五个领域的安全服务
洋葱模型是对亚马逊云技术多层安全保护的系统总结,涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护和隐私、风险控制和合规五个领域。
1、威胁检测和事件响应
安全风险最重要的特点之一是攻击来源的未知性和成功的安全防护应该能够正确预测攻击。新冠肺炎疫情过后,由于远程办公、自带设备等场景的大幅增加,网络钓鱼、身份盗用等安全风险也在上升,各种不确定性日益加剧了云中安全的阴晴不确定性。在这种情况下,企业需要像专业天气预报员一样的预测工具,企业本身不需要成为专业天气预报员,因为这通常是一个与企业业务无关的领域。亚马逊云技术提供的威胁检测和事件响应就像专业天气预报员
其中一个关键服务是Amazon GuardDuty,对威胁的准确定位和快速反应可以实现。Amazon GuardDuty可以一键打开,嵌入来自Amazon电子商务平台收集的第一手信息源,整合行业顶级信息源CrowdStrike和Proofpoint同时,与一系列世界顶级安全公司合作,丰富情报源。此外,Amazon GuardDuty在提高预警准确性的同时,内置机器学习能力将可疑报警量降低50%。Amazon GuardDuty它还可以快速响应安全风险事件,即发挥事件驱动的自动化护栏的作用。
另一项重要服务是Amazon Security Hub,7.安全合规风险和威胁x24小时全天候监测,及时响应威胁,自动进行合规检查,快速发现技术差异,提供修复方案。
Amazon GuardDuty与Amazon Security Hub它不仅为用户提供了周密的安全防线,而且通过全自动化显著优化了安全工作效率。比如在线游戏企业风林火山,由于人力不足,一直被大量日志数据分析和合规的可持续性所困扰。现在这些工作已经全部交给我们了Amazon GuardDuty与Amazon Security Hub既带来了可持续的安全保障,又解放了企业人力。
2、身份认证和访问控制
在云环境的安全系统中,身份认证就像城墙上坚固的大门。在实际使用场景中,弱密码、个人设备、个人电子邮件等,有身份认证在某一环节被打破的风险,导致其他安全措施无用。
在亚马逊云科技看来,身份认证和访问控制的安全性是三技术七管理。在管理方面,亚马逊云技术建议用户注意两个原则:一是最小授权原则,以确保每个授权都与业务职责有关。根据时间、地点、角色和服务,尽可能细化访问的粒度。二是定期审计最小授权原则,根据业务动态调整授权及时性。在相关安全服务方面,Amazon Identity and Access Management (Amazon IAM)它是身份认证和访问控制的核心服务。结合对安全事件的持续监控和准确的安全权限设置,确保相应正确人员访问正确的资源。另一项服务是Amazon Organizations,用户可以使用服务控制策略(SCP)来建立组织账户中所有IAM权限保护机制和数据边界,如将公司的所有账户分为不同的组,并分别发布不同的访问控制策略。汽车数字服务企业WirelessCar在Amazon Organizations在此帮助下,有效降低了账户运维管理时间,节约了人工成本,提高了IT运维效率使团队能够专注于业务发展和创新。
3、安全网络和基础设施
纵观亚马逊云技术近年来观察到的攻击数据DDoS攻击呈指数级增长。因此,网络边缘,即CDN侧面的安全防护越来越严重和重要。DDoS需要从头到尾保持全天候,而不是像看急诊一样对待。否则,偶然的攻击也可能给业务带来巨大的损失。
因此,亚马逊云技术在主机、网络和应用程序级别的边界上为客户提供细粒度保护。Amazon Shield Advanced是亚马逊云技术提供的网络边缘侧保护服务。用户可以将所有面向网络的资源加载到网络中Amazon Shield Advanced,全天候保护。
另一个重要的产品已经被许多客户作为标准配置Amazon WAF。Amazon WAF其特点是提供了丰富的规则数据库,包括亚马逊云技术安全专家团队开发的全托管规则,用户也可以根据需义规则。用户还可以将亚马逊云科技的APN合作伙伴网络成员-许多国际一线安全制造商的托管规则被加载到Amazon WAF。
4、数据保护和隐私
亚马逊云技术数据保护服务提供加密、密钥管理和威胁检测功能,可持续保护客户数据,监控和保护客户账户和工作负载。亚马逊云科技使用很多不同的方法实施数据保护。
其中,自动识别和分类数据可以帮助客户快速地根据合规的需要,发现并定位包括个人数据在内的敏感数据。Amazon Macie 使用机器学习技术来自动发现和保护客户的敏感数据并对其分类,可以识别个人可识别信息 (PII) 或知识产权之类的敏感数据,并为客户提供控制面板和警报,让客户了解此类数据的访问或移动方式。
对于数据加密,亚马逊云科技秉持通过服务集成实现全生命周期数据加密。Amazon Key Management Service(AmazonKMS)是亚马逊云科技最常用的数据加密服务,这项服务与亚马逊云科技的140多项服务深度集成,可帮助用户大幅减少人工操作,降低出错概率。
对于数据保密要求更高的用户,还可使用Amazon CloudHSM来获得云上专属加密机服务。全球领先的智能终端制造商OPPO就通过Amazon CloudHSM来获得基于行业安全标准的加密机硬件,构建自己独特的数据保护体系。Amazon CloudHSM还可让OPPO根据业务变化随时扩展加密机硬件容量,并利用亚马逊云科技的托管服务自动执行耗时的管理任务。
在数据计算过程中,用户可使用Amazon Nitro Enclaves的云端机密计算的技术,创建严密隔离的环境处理敏感数据。这项技术在确保数据安全之外,也让用户能够开拓新的创新应用场景,例如可在完全不触碰数据的前提下,与一些持有重要数据的机构利用Amazon Nitro Enclaves创建的数据“密室”进行与外界完全隔绝的联合计算分析。
5、风险管控及合规
亚马逊云科技可帮助客户全面了解合规状况,并使用自动合规性检查,持续监控客户的环境。例如,Amazon Artifact自助门户,允许客户按需访问并获取亚马逊云科技的合规性报告。为避免用户在合规审计与评估中消耗过多成本,亚马逊云科技提供Amazon Audit Manager,可自动扫描、搜集证据,还提供了各种合规认证的模板,简化合规审计的证据收集工作,实现高效的自动化合规审计与评估。
目前,亚马逊云科技正不断将领先的安全服务引入中国(西云数据运营宁夏区域,光环新网运营北京区域),进一步帮助用户完善云上安全建设。依托亚马逊云科技的云自身安全及云中安全服务,用户能够在云上开展业务的同时获得自动化、规模化的安全保障,让安全成为企业创新助推器。