本文将对亚马逊云科技构建的云上平安堡垒一窥全貌,进而解构其提出的三大平安理念,以飨读者。
上云是大势所趋,但上云平安吗?
在云计算逐渐衰亡的倒退历程中,这一疑难始终如影随形。时至今日,数字化转型换挡提速,诸如平台本身的平安合规、数据隐衷平安等要求也在一直降级,“平安”在一众企业的上云旅程中成为贯通始终、重中之重的思考因素:上云前,要确保云平台本身的安全性;上云中,要保证数据迁徙过程中的安全性;上云后,要综合考量云中的平安建设,如何利用云原生的服务晋升安全性和进步合规效率。
作为寰球云计算的头等玩家,亚马逊云科技在云上平安畛域积攒了泛滥方法论和实践经验。本文将对亚马逊云科技构建的云上平安堡垒一窥全貌,进而解构其提出的三大平安理念,以飨读者。
一、企业上云,其实更平安
1.1 相较自建数据中心,上云的平安体验如何?
过来很多年,企业都认为自建数据中心才是最平安的。然而亚马逊云科技认为:企业上云,平安体验可能比前者再上一个台阶。
对企业来说,如果自建数据中心须要由本身构建所有,包含安全设备治理、合同签订、老本等问题。但如果是利用上云,企业并不需要在底层基础设施的平安问题上投入精力,而且它在云端的平安治理无望更进一步。具体体现在以下四个方面:
第一,自动化。本地环境下采纳的是不同厂商的产品,平安数据的整合会极其简单。而在云上,云端平安服务之间的超高集成度,会让数据整合变得更简略,更好地做到自动化。
第二,可视化。当有了更好的数据整合之后,在云上也更有机会用一个集中的平台做平安的可视化治理。透过对立的日志平台,身份治理,以及对立的API,用户能够实现更好的可视化。
第三,老本。云端平安没有后期投入老本,是按使用量付费,企业在老本管制方面更具备灵活性。
第四,能够帮忙企业在云上实现主动执行合规工作,更高效做合规。就亚马逊云科技来说,用户既能够主动继承亚马逊云在基础架构层面的合规认证,还能够参考亚马逊云提供的合规最佳实际,来进行平安合规建设。
简言之,如果自建数据中心做合规是从0做起,那上云的话可能就是从50分做起。因为云厂商曾经做好另外50分,企业能够间接继承。上云后,企业在自动化、可见性、老本管制,以及更高效地实现合规方面都能享有劣势。
1.2 云平台自身是否平安合规?
无论企业身处哪个行业,规模如何,其对云平台平安合规的诉求同样迫切。云本身的安全性是信赖的根底,是企业决定迁徙上云的前提条件,是企业在云上构建应用程序的基石。但问题在于,目前很多云厂商在云本身的安全性上解释有余,云厂商如何建设本身的平安合规,对企业而言就是一片盲区。
就亚马逊云科技来说,寰球已有数百万用户把数据和业务放在亚马逊云上,其中不乏金融、电信等很多强监管的行业。比方,世界最大的股票交易所纳斯达克会分阶段把全副业务迁徙到亚马逊云科技,日本最大的电信运营商NTT docomo会把PB级别的数据仓库迁徙上云。能取得如此多的企业信赖,亚马逊云科技次要通过以下四点确保本身的平安合规:
其一,平安的基础设施。
提供极具扩展性和高度牢靠的基础设施,比方1个区域(Region)中通常3个可用区(3AZ),这种部署理念就是为了搭建高可用架构。而可用区和可用区之间会有十分严格的物理间隔的规定,达到容灾。
采纳十分多的冗余和分层管制,大量应用了自动化,确保底层基础设施7×24小时的监控和爱护。这一点尤其在疫情防控期间对保障业务连续性至关重要。
亚马逊云科技的数据中心和网络以最高平安规范构建,所有企业都能够取得统一的云根底安全性,同时不用破费传统数据中心那样微小的资本收入和经营开销。
其二,平安的云服务。
云本身平安不能只看亚马逊云科技有多少种平安服务,同时要思考其服务的平安。任何新服务的研发,平安团队从一开始就会染指。研发的过程中如果存在任何已知的平安问题,这项服务就不可能公布。另外,通过深度集成的服务实现自动化并升高危险。亚马逊云科技本身有一套残缺的API治理和平安工具,可实现主动执行平安工作,包含继续进行的运行状态检测和爱护、威逼修复和响应等,以上措施既确保了服务的安全性,还保障了利用服务来构建的解决方案的安全性。
其三,保持客户领有和控制数据的理念。
只有让用户始终领有本人的数据,可能对数据进行自主操作,用户才会释怀地把它的利用放在云上。亚马逊云科技不接触用户上传到云中的数据,是指亚马逊不晓得也不理解用户上传到亚马逊的数据是否包含集体数据。同时保障客户领有数据的残缺控制权,用户能够自主决定哪些数据能够上传到亚马逊云,以及决定工夫,地点和保护方式。
而且亚马逊云科技本身数据加密无处不在,所有的数据流动在来到其基础设施之前必须通过物理层主动加密。另外,还有其余的加密层存在,比方,所有VPC跨区域之间的流量也会进行加密,服务之间也会有很多的TLS连贯。此外,亚马逊云科技遍布寰球的区域能够帮忙客户实现数据本地化的要求。
其四,反对泛滥平安规范与合规性认证,简直满足寰球所有监管机构的合规性要求。
目前,亚马逊云科技在寰球曾经取得了98项平安规范和合规认证,用户能够间接继承。比方ISO/IEC 27018:2019认证,这是次要针对爱护云中集体数据安全的准则。亚马逊云科技听从这一国内公认的行为准则,并取得了独立的第三方评估,证实了亚马逊云在尊重隐衷和爱护用户内容方面所作出的承诺。
此外,北京区域和宁夏区域是两个位于中国境内提供服务的亚马逊云科技区域。为保障更好的用户体验并恪守中国的法律法规,亚马逊在中国与持有相干电信牌照的本地合作伙伴发展技术单干,由本地合作伙伴向客户提供云服务。北京光环新网科技股份有限公司是亚马逊云科技北京区域云的服务经营方和提供方,宁夏西云数据科技有限公司是亚马逊云科技宁夏区域云的服务经营方和提供方。
1.3 如何应答数据保护相干法律?
放眼寰球,以后已有132个国家和地区制订了数据保护和隐衷相干的法律法规。在国内,自2017年起,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的相继出台,也对企业的数据安全提出更高要求。晋升对平安合规的器重不仅能帮忙企业躲避和预防很多行政甚至刑事处罚危险,另一个角度,平安合规也成为企业的外围竞争力之一。
数据安全建设是分档次的,亚马逊云科技提供了多种云原生平安服务,客户能够疾速应用并进步平安程度,仅以中国地区来看:在访问控制层面,有Multi Factor Authentication, API-Request Authentication, Temporary Access Token;在日志申请治理层面,有CloudTrail, Config, GuardDuty;在数据加密层面,有利用KMS对EBS/S3/Glacier/RDS加密。
另外,亚马逊云科技有一项信息安全打算(Information Security Program),专门用于帮忙用户爱护数据免受意外或非法失落、拜访,辨认外部平安危险及未经受权的网络拜访,通过危险评估和定期测试来最大限度地升高平安危险。该打算次要包含5类措施:
网络安全。员工、承包商和服务提供商都能够通过受权来拜访亚马逊云科技网络。亚马逊云科技负责管理和保护拜访控制策略,治理每个网络连接和用户对亚马孙网络的拜访权限,伎俩包含应用防火墙和其余身份验证管制。亚马逊还将负责策略纠正和对平安威逼事件的响应。
物理平安。亚马逊云科技的物理设施位于不对外披露的区域中。在周边和建筑物入口处应用了物理屏障来避免未经受权者进入亚马逊云科技的区域。
无限的员工和承包商拜访权限。亚马逊云科技对有非法业务需要的员工和承包商提供拜访这些区域的权限。当员工或承包商不再有业务需要时,拜访权限会立刻撤销。
物理平安爱护。所有接入点(主入口门除外)都放弃平安(锁定)状态。物理设施的接入点由旨在记录所有进入设施的集体的视频监控摄像头进行监控。
继续评估。亚马逊云科技依据行业平安规范及其政策和程序对其网络的安全性及其信息安全进行定期审查,继续评估其网络和相干服务的安全性,并判断是否须要额定或不同的安全措施来应答定期审查发现的平安危险。
对于上云自身的平安,以及亚马逊云科技本身的安全性,本文不再做更多的阐释。以后的市场环境下,数字化转型的提速与平安合规的收紧让企业仿佛时刻处于矛盾之中,但疾速翻新和平安对企业来说并非是两者择其一的关系,如何在确保安全的前提下推动业务疾速翻新才是正解。针对这一痛点,亚马逊云科技提出了三大平安理念和洋葱模型,帮忙企业欠缺云平安能力建设。
二、拆解亚马逊云科技三大平安理念
2.1 理念一:利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。
网络安全最大的威逼还是来自于人,例如安全意识有余而被利用、人员忽略导致配置谬误或其他人为起因导致网络安全工作未能无效执行等。而且传统的企业平安体系根本是预先驱动型,网络安全团队往往承当着背锅侠和救火员的角色,经常陷入分身乏术的地步。
亚马逊云科技认为,推动标准化、自动化势在必行。人的过多参加会引发新的平安危险,因而应该建设起自动化的平安流程,同时让人远离数据。通过自动化来达到平安的标准化,达到一致性。
通过在亚马逊云上主动执行平安工作,用户能够通过缩小人工配置谬误并让开发人员有更多工夫专一于业务自身来进步安全性。从各种深度集成的解决方案中进行抉择,这些解决方案能够组合在一起以新鲜的形式主动执行工作,从而使用户的平安团队能够更轻松地与开发人员团队和经营团队密切合作,以更快、更平安地创立和部署代码。
举个例子,用Amazon GuardDuty组合Amazon CloudWatch,再组合Amazon Lambda做一个集成,Amazon GuardDuty能够对亚马逊云科技的很多数据源做日志事件的剖析,针对诸如Amazon CloudTrail事件日志、Amazon VPC流日志、域名零碎服务(DNS)日志、Amazon S3数据事件日志的数百亿事件都去做剖析,有能力检测到100多种平安威逼,并且主动对这些威逼进行分级,针对这些检测进去的威逼,用户能够通过Lambda来快速反应,从而疾速高效地升高安全事件的影响,并且及时地修复。
在理论利用中,SaaS平台安智联365采纳了Amazon IoT Core构建设施物联平台,实现智能安防硬件的状态采集和双向消息传递,并基于微服务架构引入Amazon Lambda服务让开发团队能够用简略的代码解决缓存等利用场景。配合Amazon CloudWatch实现自动化的运维与监控后,安威士只需一名工程师就可能解决安智联365寰球基础设施的运维管理工作,使企业能够将更多的人力资源投入到业务链的开发工作中。
2.2 理念二:云中平安是被动设计进去的,而不仅是被动响应。
中国用户的习惯是基于合规要求,或者社会性的安全事件触发进行平安合规建设,这种建设思路通常会滞后,会让企业疲于奔命,忙于各种应答。
亚马逊云科技认为,首先,平安合规与用户的业务发展与继续进行严密相干,平安不是独立的存在,而应与企业业务充沛联合,作为业务发展的首要条件。再者,平安合规是基于设计而不是基于对事件的响应。平安的建设应该是防患未然,依据业务的状况和零碎的特点,被动从技术和治理的层面去建设。最初,亚马逊云科技的平安服务建设就是依照预防、检测、响应、修复来开展的,用户也能够以此为参照来构建平安体系。
预防:确定用户权限和身份、基础设施爱护和数据保护措施,以制订安稳且通过良好打算的安全策略。
检测:通过日志和监控服务来理解企业的平安情况。将这些信息提取到可扩大的平台中,以进行事件治理、测试和审计。
响应:自动化事件响应,以帮忙平安团队将重点从响应转移到剖析根本原因上。
修复:利用事件驱动的自动化性能,以近乎实时的形式疾速修复和爱护云中环境。
以Amazon GuardDuty为例。这种智能威逼检测服务能够继续监控针对用户的AWS 账户及其工作负载的歹意流动,并提供具体的平安侦察后果以实现可见性和补救。应用 Amazon GuardDuty 的控制台与 Amazon Detective 的集成,能够疾速确定可疑流动的根本原因。比方,通常状况下,如果没有以近乎实时的形式继续监控相干因素,很难疾速发现账户盗用威逼。GuardDuty 却能够实现继续监控和剖析,通过提供上下文、元数据和受影响资源的详细信息的侦测后果,深刻理解安全事件。同时还能及时进行未经受权的流动,避免应用受损凭证、Amazon Simple Storage Service (S3) 中的异样数据拜访、来自已知歹意 IP 地址的 API 调用等。
2.3 理念三:云中平安必须是一个洋葱型的多层防护,而不是一个鸡蛋。
随着多云环境的广泛利用,企业的IT架构日益简单,云上平安威逼宽泛散布在各个环节。企业面临的平安危胁和挑战日趋宽泛,从CVE破绽,非法入侵,再到DDoS攻打,各种安全事件层出不穷。
亚马逊云科技认为,云端的平安防护应该像一个洋葱模型,层层开展,而不是象一个鸡蛋。鸡蛋尽管给人感觉外壳比洋葱更坚挺,但实际上它是单层防护,而云上平安必须是像洋葱一样层层递进的防护机制。
而在洋葱模型中,亚马逊云科技将之设定为五层,从威逼检测、事件响应开始,进而到身份认证与访问控制,之后是网络和基础设施平安,而后是数据保护和隐衷,最初是危险管控与合规。逐个理解一下这五大畛域内的平安服务:
1)威逼检测与事件响应。须要可能对平安威逼做到精准定位、快速反应、时刻监控,并且可能剖析起因。重点服务包含:
Amazon GuardDuty,能够实现威逼的精准定位。其劣势在于,一方面具备丰盛的情威逼报源,另一方面,集成了机器学习的能力,针对API的调用行为去建模,并联合概率预测,从而更精确地隔离和正告高度可疑的用户行为。
Amazon Security Hub,作为安全事件对立治理平台,不仅能够实现威逼检测7X24小时全天候在线实时监测,及时响应,并主动执行合规性查看,而且能够连贯威逼事件的上下游,试着去做根因剖析。
点击进入Amazon Security Hub >>>>
2)身份认证与访问控制。在企业平安治理中这一环节始终绝对单薄。数据统计,80%的安全事件是因为弱口令导致的。对此,亚马逊云科技有两个教训和三个技术倡议。
两个教训:放弃最小受权准则,每一次受权都要确认是否必须,是否与业务/职责相干;要对最小受权准则定期进行审计,不要有永恒受权,所有的受权都必须有时效性。
三个技术倡议:尽可能细化拜访的颗粒度,能够依据工夫,地点和服务来设置拜访条件;联合多因素认证(MFA)技术增强身份认证;缩小长期凭证的应用。
在具体工具层面,Amazon Identity and Access Management (IAM) 是身份认证与访问控制的外围服务,它能够提供涵盖整个亚马逊云科技所有服务和资源的精密访问控制。Amazon Organizations是高效的身份认证与访问控制服务,能够对一个组织的多账号进行集中管理和治理,建设权限防护机制和数据边界。
3)网络与基础设施平安。CDN侧的平安防护是这一层防护的重点。对于DDoS攻打的进攻,应该长期进行,因为任何一次的攻打都可能带来业务的中断,进而影响最终用户的体验。如果等发现DDoS攻打之后再解决,业务的稳定性和持续性必将受到重创。
Amazon Shield Advanced能够对加载的资源进行全天侯的进攻,并且实现疾速响应和缓解。另外一个标配产品是Amazon WAF,作为Web利用防火墙服务,它的独到之处在于提供了丰盛的规定库,既有亚马逊平安团队自研的全托管规定,也有用户能够依据本人的需要自定义的规定。
4)数据保护与隐衷。亚马逊云科技提供了数据全生命周期的加密服务,对数据的爱护涵盖了数据的存储、传输以及应用的各个环节。
对于数据存储过程中的加密,Amazon KMS密钥治理服务与亚马逊云科技140个服务集成,能够对存储在这些服务中的数据加密。高集成度缩小了人工操作,升高了出错的概率。针对数据保密性要求更高的用户,Amazon CloudHSM提供了平安、简略的云上专属加密机。
对于数据计算和应用过程中的加密,亚马逊云科技也有其解决方案。Amazon Nitro Enclaves提供了一个云端的秘密计算环境,通过它,用户能够创立一个隔离的环境来解决敏感数据,而无需向他们本人的系统管理员、开发人员和应用程序提供拜访权限,从而缩小了敏感数据处理过程中的攻击面。
点击进入Amazon KMS >>>>
5)危险管控及合规。亚马逊云科技从四个维度帮忙用户合规。
其一,确保亚马逊云科技服务自身的合规性。亚马逊云科技的合规认证不仅在基础设施区域,还会深刻到每一项云服务,客户部署亚马逊云服务,其合规性可能失去认证机构的认可;其二,成熟的合规计划,基于用户诉求,亚马逊云科技会提供很多合规落地的最佳实际;其三,自动化审计,合规的审计和评估总是要花费大量工夫,通过Amazon Audit Manager 能够简化审计治理和合规性评估;四是合作伙伴的征询和落地能力,这些合作伙伴提供数百种行业当先的平安解决方案,可帮忙用户进步其安全性和合规性,合作伙伴可能在多个畛域为用户提供反对,其中包含基础设施平安、策略管理、身份治理、安全监控、破绽治理、数据保护和咨询服务。
三、三大云平安案例分享
寰球有数百万的用户曾经抉择并且信赖亚马逊云科技,笼罩了简直所有的行业。那些胜利上云并曾经建好云上平安屏障的企业是怎么做的呢?在此分享三个经典的业界上云案例。
案例1:风林火山借力实现持续性合规,全面晋升平安效率
深圳市风林火山电脑技术有限公司(以下简称“风林火山”)成立于1996年,专一于在线棋牌类游戏,集研发、经营于一体,产品在国内在线棋牌游戏中位居前列。
晚期,风林火山业务与游戏产品托管在IDC中,而整个服务器生命周期治理则全靠企业本人手动治理。彼时,公布一个游戏产品或进行一次降级时,相干人员要手动部署、配置设施,新版本从筹备到正式公布通常须要破费1个月工夫。
随着风林火山进入疾速倒退阶段,IDC托管的灵便扩展性差、计算资源受限和效率低等缺点开始裸露。而且老旧的IDC托管模式不足对客户赋能和平安威逼的及时响应,过于传统的IT架构无奈给业务足够的翻新空间。
当看到亚马逊云科技已成为泛滥海内游戏公司的优选时,风林火山最终决定与亚马逊云科技单干,并于2017年底实现全副业务从IDC向亚马逊云科技云的迁徙。
全服上云后,风林火山对游戏版本的公布、降级频率,从IDC托管时的每月1次,晋升到每周至多1次,大大提高了业务交付速度。在平安方面,传统威逼探测服务对海量日志数据进行剖析耗时耗力,持续性合规以及不同平安工夫的汇聚治理也带来了很大的挑战。为此,风林火山利用Amazon GuardDuty与Amazon Security Hub,全面晋升了其平安运维的效率。
风林火山游戏运维工程师许华杰示意:“亚马逊云科技让咱们能够将更多精力投入到软件工程中去,实现更快地交付,将事故率升高了70%以上。以前咱们是一直‘救火’,当初咱们时而还能够本人‘放火’,来一直晋升平台的健壮性。” 另外,在人员不足的状况下,“亚马逊云科技为咱们平安赋能,实现高效的平安监测,及时帮助咱们平安响应,升高了平安危险,能够从更高视角去看咱们整个架构的安全事件。”
案例2:云上数据零失落,涂鸦智能蓄力打造万物智能互联愿景
寰球范畴内,人工智能和物联网技术正在合围成为一个全新的智能产业生态。IoT开发平台涂鸦智能也致力于成为这个生态中的关键环节。不过,物联网行业中下游利用场景与需要的高度碎片化,往往会导致网络通信形式与平台的多样化,对实现设施的互联互通造成较大挑战。
为此,涂鸦智能不仅要致力推动实现软硬协同优化,还须要在寰球布局云网络,使其云端服务能力遍布五大洲。到目前为止,涂鸦IoT开发平台曾经为寰球220个国家和地区提供基于寰球支流私有云的IoT服务,而这得益于包含亚马逊云科技在内的笼罩寰球的基础设施及丰盛的云产品。
“在选云厂商时,咱们会依据基础设施的覆盖范围、平安稳固,以及产品的丰盛水平来决定。”涂鸦智能技术副总裁柯都敏说,“而亚马逊云科技齐全可能满足这三方面的需要。”
从平安方面来说,亚马逊云科技是行业内最先推出密钥治理服务(KMS)的厂商。基于KMS的密钥爱护能力和同其余亚马逊云科技服务集成能力,涂鸦在私有云行业内最先反对数据库等产品物理加密,这为涂鸦提供了十分好的根底平安保障。
涂鸦IoT PaaS平台作为数据的解决者,客户在其App上的注册信息及各种操作行为产生的数据也会被实时寄存在私有云平台上,这就使得数据安全问题变得尤为重要。涂鸦智能应用了KMS治理加密数据的加密秘钥,并通过Identity and Access Management(IAM)认证机制保障数据拜访隔离,为数据安全提供了保障。
举个例子,“如果咱们是在服务欧洲客户的话,其所有数据都是存储在欧洲的亚马逊云科技上,各数据中心之间物理隔离。”在亚马逊云科技的帮忙下,涂鸦智能的IoT PaaS从上线至今,实现了数据零失落。
案例3:自主品牌海内扬帆,美的拿稳平安合规出海船票
2006年,以在越南建设工厂为开始,美的真正开启了海内自主品牌经营的摸索之路。在十多年的出海之路上,美的保持就地取材的本土化策略,曾经造成包含美的、COLMO、东芝等在内的品牌矩阵,据其财报显示,其海内营收占比也间断多年超过了40%。
随着全品类产品智能化的实现,如何以较低的老本建设起平安、稳固牢靠、运维不便、服务范畴涵盖寰球的智能家居平台成为美的面临的次要挑战。通过对多家云平台的综合评估,美的抉择了亚马逊云科技作为其海内平台的IT基础架构合作伙伴之一。
智能家居平台连贯着用户的智能家电产品,相干用户数据都寄存在下面,而欧盟和美国对数据合规性都有严苛要求。在与亚马逊云科技的单干中,美的不仅能够依靠其丰盛的平安服务,也能够继承其合规性,疾速在海内部署本人的利用。
“IT架构部署在亚马逊云科技上,这些平安合规的问题就都是他们帮忙解决,无需咱们操心。如果咱们本人去做这些工作,可能须要一个无比宏大的团队。”美的团体副总裁、美的国内总裁王建国说。
此外,亚马逊云科技成熟和丰盛的寰球客户教训,也是抉择单干的一个驱动力,“亚马逊云科技的教训很丰盛,曾经有很多寰球胜利公司跑在它的云平台上,包含咱们的很多上下游寰球合作伙伴也在下面,这样就造成了一个很好的数据生态链。”
结语
- 以后在云平安畛域,云本身平安合规是用户选型时首要考量因素。如何确保云基础架构以及所提供的各种云服务自身的安全性是云平台服务商首先要沟通分明的。
- 对于跨国公司和出海企业来说,云平台服务商的全球化平安和合规能力逐是这些企业关注的重点。像亚马逊云科技这样具备寰球基础设施和合作伙伴网络成员的云服务商,提供的安全性和合规性,能帮忙用户满足寰球简直所有监管机构的合规性要求。
- 云上平安场景比传统数据中心简单和丰盛很多,传统IT平安厂商要疾速切入云平安市场,不仅要依附长期的技术积攒和客户根底,还要抉择弱小的云平台服务商进行单干。亚马逊云科技不仅在继续引入寰球最新的平安合作伙伴的技术到中国,同时也在增强和外乡平安合作伙伴的单干。这种强强联手的平安单干的生态也正在成为将来的一种趋势。
- 对于云平安服务提供商来说,如何在构筑平安合规的同时,不影响用户业务翻新,是须要认真布局的。亚马逊云科技提供了新解: 三大平安理念的布局,别离从自动化、被动设计、多层防护的角度充沛诠释了其兼顾平安与翻新的实际规范。
点击进入Amazon Security Hub >>>>
点击进入Amazon KMS >>>>