云计算>业界新闻

亚马逊云科技:云计算赋能企业安全上云

作者:高溪   责任编辑:高溪 2022-04-19 15:18:25
来源:电脑商情在线关键字:亚马逊云科技 顾凡 安全 合规 云计算

随着数字化时代的发展,大量企业在加速上云,企业放到云上的数据类型、数据的数量将会持续增加,如何做到上云安全是大部分企业最担心的问题。当下安全环境日益复杂,全球有132个国家跟地区制定了数据保护和隐私相关的法律法规,加上越来越多的中国企业出海,大量企业业务在全球范围拓展,甚至有很多企业是跨若干行业赛道做竞争,这些都给企业在如何实现上云方面的安全合规带来更加严峻的挑战。亚马逊是如何通过云计算赋能实现企业安全合规的上云?

首创安全责任共担模型确保自身实现安全合规

亚马逊云科技从创始之初便有了以安全为本的Job Zero文化,意思就是安全作为最高优先级的工作比任何事情都要更重要。亚马逊云科技的Job Zero安全文化,创造了像“水和空气”一样的安全服务。亚马逊云科技不断加大安全方面的投入,但不会靠“水和空气”产生运营,真正的目的是要给用户提供像“水和空气”一样安全的优质环境。在这样的安全文化下,亚马逊云科技首创了安全责任共担模型,为业界提供了云计算安全模型的标准。正因众多云厂商都遵循着这一标准,用户才敢放心上云。云厂商责任共担的分界线,在不同的场景下分界线会有所移动,随着客户采用IaaS服务、到PaaS服务、到SaaS服务,责任共担模型的分界线会上浮,云厂商肩负的责任会越多。亚马逊云科技通过提供更多的云安全服务、引入丰富的安全合作伙伴以及跨行业总结各种各样的安全最佳实践实现了云基础设施和云服务的安全,也实现了客户可以根据实际的业务情况以及数据的重要性来采取更契合的安全合规方案。

打铁还需自身硬,亚马逊云科技从安全的基础设施、安全的云服务、坚持客户拥有和控制数据的原则以及全球化的合规认证这四个方面来确保自身实现安全合规。

第一,云安全的地基是基础设施,亚马逊云科技拥有自己的核心基础设施,并且提供极具扩展性和高度可靠的基础设施,像大家最熟知的一个Region(区域),3AZ(3个可用区)部署的理念。同时,亚马逊云科技大量使用了自动化,目的是确保底层基础设施7×24小时的监控和保护,并且亚马逊云科技的数据中心和网络以最高安全标准构建,所有客户无论规模大小都可以获得一致的云基础安全性,同时不必花费传统数据中心那样巨大的资本支出和运营开销。

第二,云安全不止安全服务。云自身安全不能只看亚马逊云科技有多少种安全服务,同时要考虑亚马逊云科技服务的安全。安全服务既通过深度集成的服务实现自动化并降低风险,又要通过亚马逊云科技自有的完整安全运维流程、制度和最佳实践,来保证做到云自身的安全。

第三,亚马逊云科技坚持客户拥有和控制数据的理念,这也是支撑亚马逊云科技云自身安全的一个重要的核心理念。亚马逊云科技自身数据的加密是无处不在的,无论是数据流动的时候,还是离开亚马逊云科技基础设施的时候,都必须经过物理层自动加密。亚马逊云科技所提供的控制权和可见性理念,可以帮助客户证明在遵守本区域和本地数据隐私法律法规下,在可行区域帮助客户实现数据本地化的要求。

第四,亚马逊云科技支持众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。目前,亚马逊云科技在全球已经获得了98项安全标准和合规认证,用户可以直接继承。亚马逊云科技有一家互联网跨境电商的客户——细刻科技,这家公司为了实现对海外主要业务市场的覆盖,降低拓展海外跨境电商市场成本,同时提供高质量、低延迟的网络服务选择了亚马逊云科技,依托于亚马逊云科技全球安全合规的基础设施实现对主要市场区域的能力覆盖,海外跨境电商B2C 网站已经覆盖了包括欧洲、美洲、中东、亚洲和澳新等主要市场区域,帮助企业通过依托于云厂商的安全合规从而快速构建拓展。

亚马逊云科技坚信安全建设必须要未雨绸缪,要主动从规划预防、检测、响应、修复四个方面来设计,利用云上的事件驱动型架构去构建自动化防护栏。

亚马逊云科技大中华区战略业务发展部总经理顾凡

构建洋葱形态多层防护 赋能各行企业安全上云

“云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。”这是亚马逊云科技大中华区战略业务发展部总经理,顾凡先生所说到的理念,云安全并非是鸡蛋那样脆弱的单层防护,而是像洋葱一样层层递进的防护机制。亚马逊云科技的洋葱模型分为五层:威胁检测与事件响应;身份认证与访问控制;网络与基础设施安全;数据保护与隐私;风险管控及合规。

  • 洋葱模型第一层:威胁检测与事件响应。

威胁检测需要明确威胁是什么,威胁是否影响业务正常运行,是否影响性能,威胁的来源在哪儿,事故原因是否能够定位准确。整个威胁检测服务需要有全面的情报,并非只发现问题及时止损,需要从根本上去解决问题,亚马逊云科技是如何解决这个问题的?

Amazon GuardDuty为客户提供了第一手威胁情报源,可持续检测在亚马逊云科技中发生的威胁。Amazon GuardDuty集成了机器学习的能力,实现威胁的精准定位,能够对事件做出快速反应,并且自动对这些威胁进行分级,快速高效地降低安全事件的影响,及时地进行修复,如同事故发生时汽车里面第一时间弹出的安全气囊。另一方面,Amazon Security Hub实现威胁检测7X24小时全天候在线实时监测。它有三种扫描检测标准:一是亚马逊总结出来的最佳实践,支持150多项检测,并且持续更新;二是互联网安全中心 (CIS)的标准;三是PCI-DSS(第三方支付行业数据安全标准)。任何偏离以上基线的行为都会被快速检出,并且以计分的形式展现,提供针对性的修复措施。Amazon Security Hub作为一个集中的安全管控平台,还连接了威胁事件的上下游,试着去做根因的分析。Amazon Security Hub还有一个卓越的能力,就是它可以将数据发送给用Splunk或者用Splunk架构的SIEM的平台,去做更进一步的分析和可视化。亚马逊通过帮客户建立一个自动化护栏,实现赋能各行企业安全上云。

  • 洋葱模型第二层:身份认证与访问控制。

针对这一部分,亚马逊云科技最核心的就是保持最小授权原则,每一次授权都要去确认是否必须是否与业务和职责相关,其次,所有授权都必须要有时效性,通过反复地定期审计,提高安全保障。技术方面,亚马逊云科技选择尽可能细化访问的颗粒度,根据时间、地点、服务等去设置访问条件,同时结合MFA来做加强身份认证,并且减少长期凭证的使用来实现访问控制。

Amazon Identity and Access Management (IAM)是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。除了Amazon IAM这样一个核心服务之外,另外一个在访问控制方面的利器就是亚马逊云科技的Amazon Organizations,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。这个服务降低了账户运维的管理时间,节省了人力成本,提升了IT运维效率。

  • 洋葱模型第三层:网络与基础设施安全。

Amazon Shield advanced是网络的边缘侧非常重要的防的产品,提供的是像保险一样的服务,可以防御DDoS的攻击,只要用户把资源加载到Amazon Shield Advanced,就会得到全天候的保护,而且收费和攻击的流量大小以及次数是无关的。第二个在网络边缘的安全防护的重要产品就是Amazon WAF。Amazon WAF针对于应用层的攻击,不仅提供了丰富的规则库,还有亚马逊安全团队自研的全托管规则,客户也可以自定义规则。

  • 洋葱模型第四层:数据保护与隐私。

敏感数据是客户自己业务数据的核心资产。亚马逊云科技提供了一个数据全生命周期的加密服务,Amazon KMS和亚马逊云科技其他的140个服务做了深度集成,支持存储在这些服务中的数据加密,大大提高了数据加密的可操作性。不光是在数据存储阶段,包括在数据使用的整个链条、传输以及真正被调取出来做计算使用阶段的加密都要考虑。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。

  • 洋葱模型第五层:风险管控及合规。

亚马逊云科技从四个维度帮助客户风险管控和合规。一个是亚马逊云科技服务自身的合规性,第二是亚马逊云科技会提供一整套成熟且完整的合规方案最佳实践,第三就是通过Amazon Audit Manager帮助客户持续评估使用情况,简化合规和审计流程。第四就是合作伙伴的咨询和落地能力。亚马逊云科技所有的安全合规经验,都会对客户倾囊分享出来,并且通过安全合规的社区,为客户提供各类安全合规解答。

亚马逊云科技提供了280多种安全及合规的服务及功能,涵盖认证、保护、检测、响应及恢复,着力构建的是1+1大于2的安全合作的生态,真正帮助客户在云中提供一个闭环的安全能力,让企业放心上云。亚马逊云科技通过最高的安全与隐私保护标准构建、更加自动化的程序、更好的可视化管理、更灵活的成本控制、更高效地合规范围,更丰富的安全、合规合作伙伴,使用户的安全体验能够比自建数据中心再上一个台阶。正因如此,全球有数百万的用户已经选择并且信赖亚马逊云科技。

基于对中国云安全市场现状与趋势的最新研究,计世资讯首席分析师任伟巍评论道:“根据计世资讯的研究,在云安全的实际技术应用中,目前身份与访问控制、监控与检测、基础架构防护、数据保护、事件响应、合规审计等是云安全热点领域。亚马逊云科技的基础设施以及云服务是按照数据安全和隐私保护的最高标准构建,而且重量级的安全产品均已经在中国区域推出,这些都能确保客户在上云和用云的所有环节获得高效的安全服务。”

亚马逊云科技也始终在加强安全服务的建设,对于中国大陆的两个区域提供的云服务和其他亚马逊云科技区域提供的云服务,从功能上来说都是一样的,但是很重要的是,它又跟亚马逊云科技其他区域是物理隔离的。亚马逊云科技中国(北京)区域和亚马逊云科技中国(宁夏)区域通过独立的第三方机构验证其标准符合能力,已经完成了网络安全等级保护三级测评等。针对中国出海企业,继承亚马逊云科技全球基础设施覆盖区域的各地安全合规认证,可帮助中国出海企业尽快满足各地合规性控制要求,实现海外业务快速扩张。亚马逊云科技也会继续去引入全球跟亚马逊云科技紧密配合的安全合作伙伴到中国,加强在本土的合作,更好地满足客户在国内安全合规方面的需求,帮助中国云安全市场构建云安全文化,为企业提供云安全的最佳实践和培训,助力客户构建云安全文化和战略,使得他们能够成为未来的安全业务领导者。

意见反馈:zhanheng@cbigroup.com

稿件投诉:zhanglin@cbigroup.com

内容合作QQ:2291221

商务合作:13391790444 詹老师

ICP备案号:川B2-20070068-15

川公网安备:51010602001511号

关注我们