首页 > IT业界 > 正文

亚马逊云科技:让云中安全成为企业创新助推器 构建“洋葱”式多层防护

2022-07-21 15:56:38  来源:

摘要:北京2022年7月21日 美通社 -- 上云已成为企业数字化建设的新常态,企业在云中加速创新的同时更需要确保云中安全。
关键词: 亚马逊云科技
北京2022年7月21日 /美通社/ -- 上云已成为企业数字化建设的新常态,企业在云中加速创新的同时更需要确保云中安全。云中安全,是如同妨碍创新的"守门人"?还是如同水和空气般的存在,助推创新更好地发生?

云计算已经重塑了企业数字化进程的各个方面,在安全领域也是一样。通过构建良好的云中安全机制,企业不必再从安全与创新之中进行取舍 -- 二者并行,才能更好地应对深度数字化时期的目标和挑战。

要成为创新的助力而非限制,安全机制应该做到"无感"且触手可得,就如同水和空气般的存在。这一理念也体现在亚马逊云科技提出的"安全责任共担模型"中:亚马逊云科技负责云本身的安全,用户为其自身云业务安全负责,亚马逊云科技帮助用户构建云中的安全防护。为了让云上安全能有效服务于创新,亚马逊云科技在规划安全服务时一直秉持三个理念:

第一,利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。自动化是实现云上规模化安全的重要一环。基于云上统一的API管理以及集中的事件管理,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,才能在实现安全的同时解放开发团队的精力,使之专注于业务创新。

第二,云中安全是主动设计出来的,而不仅是被动响应。主动设计意味着企业是从自身的业务、实际需求出发,设计适合自己的安全方案,将安全建设的主动权掌握在自己手中,避免过多的被动响应和改造。

第三,云中安全必须是一个洋葱型的多层防护,而非一个鸡蛋。相比于鸡蛋那样仅有一层看似坚硬的外壳,洋葱式的多层柔韧防护更适合云上环境的安全要求。亚马逊云科技把云中的安全建设分成不同的类别,像洋葱一样层层防护,用户可以基于洋葱模型快速构建云中安全。

基于以上理念,亚马逊云科技已经能够为用户提供超过280项安全、合规服务和功能,在用户对其数据完全拥有和控制的前提下,为用户提供一系列安全保护。

"洋葱模型"多层防护,提供五大领域安全服务

"洋葱模型"是对亚马逊云科技多层安全防护的系统性归纳,涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。

1、 威胁检测与事件响应

安全风险的最重要特征之一,在于其攻击来源的未知性,成功的安全防护,应该能够对攻击做出正确的预判。在新冠疫情之后,由于远程办公、自带设备等场景大幅增长,诸如网络钓鱼、身份盗用等安全风险也水涨船高,种种不确定性愈发加剧了云中安全的"阴晴不定"。这种情况下,企业需要如"专业的天气预报员一样"的预判工具,企业自身并不需要成为专业的天气预报员,因为这通常是一个与企业业务无关的领域。亚马逊云科技提供的威胁检测和事件响应就如同"专业的天气预报员",为企业自动甄别、定位风险,并自动做出快速响应。

这其中的一个关键服务是Amazon GuardDuty,可实现对威胁的精准定位与快速反应。Amazon GuardDuty可以一键开启,内嵌了来自于Amazon电商平台收集的第一手情报源,并集成行业顶尖的CrowdStrike和Proofpoint 情报源,同时与一系列世界顶尖的安全公司持续合作以丰富情报源。此外,Amazon GuardDuty内置了机器学习能力,在提升预警准确度的同时将可疑警报量降低了50%。Amazon GuardDuty还可对安全风险事件做出快速反应,即发挥"事件驱动的自动化防护栏"作用。

另一项重要服务是Amazon Security Hub,可对安全合规风险和威胁进行7x24小时全天候监测,针对威胁及时响应,自动执行合规性检查,快速发现技术差异并提供修复方案。

Amazon GuardDuty与Amazon Security Hub不仅提供给用户周密的安全防线,而且还通过全程自动化显著优化安全工作效率。例如在线游戏企业风林火山,此前由于人手不足,一直受困于海量日志数据分析和合规的持续性。现在这些工作已经全部交给Amazon GuardDuty与Amazon Security Hub来完成,既带来了可持续的安全保障,也解放了企业人力。

2、 身份认证与访问控制

在云环境的安全体系中,身份认证就如同坚固城墙上的城门。而实际使用场景中,弱口令、使用个人设备、个人邮箱等,都存在着身份认证在某一环节被攻破的风险,导致其它安全措施形同虚设。

在亚马逊云科技看来,身份认证与访问控制的安全性是"三分技术、七分管理"。在管理上,亚马逊云科技建议用户关注两个原则:第一是最小授权原则,确保每一次授权都与业务职责相关且必须。客户尽可能细化访问的颗粒度,例如根据时间、地点、角色和服务来设置访问条件。第二是对最小授权原则进行定期审计,根据业务动态对授权进行时效性调整。在相关的安全服务方面,Amazon Identity and Access Management (Amazon IAM) 是身份认证与访问控制的核心服务,以细颗粒度的身份认证与访问控制机制,结合对安全事件的持续监控和精准的安全权限设置,保障正确资源被相应正确人员访问。另一项服务是Amazon Organizations,能够让用户使用服务控制策略 (SCP) 来建立组织账户中所有IAM用户和角色都要遵守的权限防护机制及数据边界 -- 例如将公司的所有账户分为不同群组,并为其分别下发不同的访问控制策略。汽车数字服务企业WirelessCar在Amazon Organizations的帮助下,就有效降低了账户运维管理的时间,节省了人力成本,提高了IT运维效率,使团队可专注于业务开发和创新。

3、 网络与基础设施安全

纵观亚马逊云科技所观测到的攻击数据,在近几年中DDoS攻击呈现出指数级增长。因此,网络边缘,也就是CDN侧的安全防护愈发严峻且重要。并且防御DDoS需要保持全天候自始至终,而不能像"看急诊"一样对待。否则,偶发性攻击也可能给业务带来巨大损失。

因此,亚马逊云科技在主机、网络和应用程序级别边界为客户提供细粒度的保护。Amazon Shield Advanced是亚马逊云科技提供的网络边缘侧防护服务。用户可将所有面向网络的资源加载到Amazon Shield Advanced,以获得全天候保护。

另一个重要产品是已经被众多客户作为标准配置的Amazon WAF。Amazon WAF的特点在于提供了丰富的规则库,其中既有亚马逊云科技安全专家团队自研的全托管的规则,也可由用户依据需求来自定义规则。用户还可以将亚马逊云科技的APN合作伙伴网络成员 -- 众多国际一线安全厂商的托管规则加载到Amazon WAF。

4、 数据保护与隐私

亚马逊云科技数据保护服务提供加密、密钥管理和威胁检测功能,可以持续保护客户数据、监控和保护客户的账户和工作负载。亚马逊云科技使用很多不同的方法实施数据保护。

其中,自动识别和分类数据可以帮助客户快速地根据合规的需要,发现并定位包括个人数据在内的敏感数据。Amazon Macie 使用机器学习技术来自动发现和保护客户的敏感数据并对其分类,可以识别个人可识别信息 (PII) 或知识产权之类的敏感数据,并为客户提供控制面板和警报,让客户了解此类数据的访问或移动方式。

对于数据加密,亚马逊云科技秉持通过服务集成实现全生命周期数据加密。Amazon Key Management Service(AmazonKMS)是亚马逊云科技最常用的数据加密服务,这项服务与亚马逊云科技的140多项服务深度集成,可帮助用户大幅减少人工操作,降低出错概率。

对于数据保密要求更高的用户,还可使用Amazon CloudHSM来获得云上专属加密机服务。全球领先的智能终端制造商OPPO就通过Amazon CloudHSM来获得基于行业安全标准的加密机硬件,构建自己独特的数据保护体系。Amazon CloudHSM还可让OPPO根据业务变化随时扩展加密机硬件容量,并利用亚马逊云科技的托管服务自动执行耗时的管理任务。

在数据计算过程中,用户可使用Amazon Nitro Enclaves的云端机密计算的技术,创建严密隔离的环境处理敏感数据。这项技术在确保数据安全之外,也让用户能够开拓新的创新应用场景,例如可在完全不触碰数据的前提下,与一些持有重要数据的机构利用Amazon Nitro Enclaves创建的数据"密室"进行与外界完全隔绝的联合计算分析。

5、风险管控及合规

亚马逊云科技可帮助客户全面了解合规状况,并使用自动合规性检查,持续监控客户的环境。例如,Amazon Artifact自助门户,允许客户按需访问并获取亚马逊云科技的合规性报告。为避免用户在合规审计与评估中消耗过多成本,亚马逊云科技提供Amazon Audit Manager,可自动扫描、搜集证据,还提供了各种合规认证的模板,简化合规审计的证据收集工作,实现高效的自动化合规审计与评估。

目前,亚马逊云科技正不断将领先的安全服务引入中国(西云数据运营宁夏区域,光环新网运营北京区域),进一步帮助用户完善云上安全建设。依托亚马逊云科技的云自身安全及云中安全服务,用户能够在云上开展业务的同时获得自动化、规模化的安全保障,让安全成为企业创新助推器。

关于亚马逊云科技

超过15年以来,亚马逊云科技 (Amazon Web Services)一直以技术创新、服务丰富、应用广泛而享誉业界。亚马逊云科技一直不断扩展其服务组合以支持几乎云上任意工作负载,目前提供超过200项全功能的服务,涵盖计算、存储、数据库、网络、数据分析、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及26个地理区域的84个可用区,并已公布计划在澳大利亚、加拿大、印度、以色列、新西兰、西班牙、瑞士和阿联酋新建8个区域、24个可用区。全球数百万客户,包括发展迅速的初创公司、大型企业和领先的政府机构,都信赖亚马逊云科技,通过亚马逊云科技的服务支撑其基础设施,提高敏捷性,降低成本。要了解更多关于亚马逊云科技的信息,请访问: www.amazonaws.cn



第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。