上云是大势所趋,但上云安全吗? 在云计算逐渐兴起的发展过程中,这个问题一直伴随着我们。在数字化转型换挡提速的今天,平台安全合规、数据隐私安全等要求也在不断升级。“安全”已经成为众多企业上云之旅中始终如一的重中之重。因素:上云前,需要保证云平台本身的安全;迁移到云端时,需要保证数据迁移过程的安全性;上云后,需要综合考虑云端的安全建设,如何利用云原生服务提升安全性,提高合规效率。 作为全球云计算的第一大玩家,亚马逊云科技在云安全领域积累了很多方法论和实践经验。本文将一窥亚马逊云技术构建的云安全堡垒,然后为读者解构其提出的三大安全概念。1、企业上云其实更安全1.1与自建数据中心相比,上云的安全体验如何? 过去很多年,企业都认为自建数据中心是最安全的。不过,亚马逊云科技认为,企业上云后,安全体验可以比前者提升一个档次。 对于企业来说,如果自建数据中心,一切都需要自己来建设,包括安全设备管理、合同签订、成本等问题。但如果应用在云端,企业就不需要在底层基础设施的安全上投入精力,其在云端的安全治理有望更进一步。具体体现在以下四个方面: 一是自动化。本地环境使用不同厂商的产品,安全数据的整合将异常复杂。在云端,云安全服务之间的超高集成将使数据集成更容易,自动化程度更高。 第二,观想。当有更好的数据集成时,就有更多机会使用集中式平台在云端进行安全可视化管理。通过统一的日志平台、身份管理、统一的API,用户可以实现更好的可视化。 第三,成本。云安全没有前期投资成本,按使用量付费。企业在成本控制上有更大的灵活性。 第四,可以帮助企业在云端实现自动化合规任务,让合规更加高效。就亚马逊云技术而言,用户不仅可以在基础设施层面自动继承亚马逊云的合规认证,还可以参考亚马逊云提供的合规最佳实践进行安全合规建设。 简而言之,如果自建数据中心的合规性从0开始,那么云可能从50分开始。因为云厂商已经做了另外50个点,企业可以直接继承。上云后,企业可以在自动化、可视化、成本控制和更高效的合规性方面享有优势。1.2云平台本身是否安全合规? 无论是什么行业、什么规模的企业,对云平台安全合规的诉求都同样迫切。云本身的安全是信任的基础,是企业决定上云的前提,是企业在云上构建应用的基石。但问题在于,目前很多云厂商对云本身的安全性没有进行足够的说明。云厂商如何建立自己的安全合规性是企业的盲点。 就亚马逊云技术而言,全球数以百万计的用户已经将他们的数据和业务放在了亚马逊云上,其中包括金融和电信等许多高度监管的行业。例如,全球最大的证券交易所纳斯达克将分阶段将其所有业务迁移至亚马逊云技术,日本最大的电信运营商NTTdocomo将其PB级数据仓库迁移至云端。亚马逊云科技要获得这么多企业的信任,主要通过以下四点来保证自身的安全合规性: 第一,安全的基础设施。 l提供极具扩展性和高可靠性的基础设施,例如一个区域(Region)的三个可用区(3AZ)。这种部署理念是构建一个高可用的架构。可用区与可用区之间会有非常严格的物理距离规定,以实现容灾。 l大量采用冗余和分层管控,大量自动化,保证7×24小时对底层基础设施的监控和保护。这对于确保疫情防控期间的业务连续性尤为重要。 l亚马逊云科技的数据中心和网络均以最高安全标准打造,所有企业无需花费传统数据中心的巨额资金和运营费用,即可获得一致的云端安全。 第二,安全的云服务。 云本身的安全性,不应仅基于亚马逊云技术提供的安全服务数量,还要考虑其服务的安全性。在任何新服务的开发中,安全团队将从一开始就参与其中。如果在开发过程中存在任何已知的安全问题,则不会发布此服务。此外,通过深度集成的服务实现自动化并降低风险。亚马逊云技术本身拥有一套完整的API管理和安全工具,可以自动执行安全任务,包括持续运行状态检测和保护、威胁修复和响应等。上述措施不仅保证了服务的安全性,还保证使用服务构建的解决方案的安全性。 第三,坚持客户拥有和控制数据的理念。 只有用户始终拥有自己的数据,并且能够自主操作数据,用户才能放心地将自己的应用上云。亚马逊云技术不涉及用户上传至云端的数据,这意味着亚马逊不知道或不了解用户上传至亚马逊的数据是否包含个人数据。同时保证客户对数据拥有完全的控制权。用户可以自主决定哪些数据可以上传到亚马逊云,以及何时、何地以及如何保护这些数据。 此外,亚马逊云技术自身的数据加密无处不在,所有数据流在离开其基础设施之前都必须在物理层自动加密。此外,还有其他加密层。例如,VPC区域之间的所有流量也会被加密,服务之间会有很多TLS连接。此外,亚马逊云技术在全球的区域可以帮助客户实现数据本地化需求。 第四,支持众多的安全标准和合规认证,满足全球几乎所有监管机构的合规要求。 目前,亚马逊云技术已获得全球98项安全标准与合规认证,用户可直接继承。比如ISO/IEC27018:2019认证,主要是为了保护个人数据在云端的安全。AmazonCloudTechnologies遵守这一国际公认的行为准则,并已获得独立的第三方评估,证明AmazonCloud尊重隐私和保护用户内容的承诺。 另外,北京地区和宁夏地区是在中国提供服务的两个亚马逊云技术区域。为确保更好的用户体验并遵守中国法律法规,亚马逊与在中国持有相关电信牌照的当地合作伙伴进行技术合作,由当地合作伙伴为客户提供云服务。北京光环新网科技有限公司是亚马逊云技术北京区域云的服务运营商和提供商,宁夏西云数据技术有限公司是亚马逊云技术宁夏区域云的服务运营商和提供商。1.3如何应对数据保护法? 放眼全球,已有132个国家和地区制定了与数据保护和隐私相关的法律法规。在国内,自2017年以来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继推出,也对企业的数据安全提出了更高的要求。对安全合规的重视程度的提高,不仅可以帮助企业规避和防范行政处罚甚至刑事处罚的诸多风险,而且从另一个角度来看,安全合规也成为了企业的核心竞争力之一。 数据安全建设是分层的。亚马逊云技术提供多种云原生安全服务,客户可以快速使用和提升安全等级,中国独有:在访问控制层面,有MultiFactorAuthentication、API-RequestAuthentication、TemporaryAccessToken;在日志请求管理层面,有CloudTrail、Config、GuardDuty;在数据加密层面,使用KMS对EBS/S3/Glacier/RDS进行加密。 此外,亚马逊云科技还有一个信息安全计划(InformationSecurityProgram),旨在帮助用户保护数据免受意外或非法丢失和访问,识别内部安全风险和未授权网络访问,并通过风险评估和定期测试以尽量减少安全风险。该计划主要包括5类措施: 网络安全。员工、承包商和服务提供商都可以被授权访问亚马逊云技术网络。AmazonWebServices负责管理和维护访问控制策略,这些策略管理每个网络连接和用户对Amazon网络的访问,包括通过使用防火墙和其他身份验证控制。亚马逊还将负责政策修正和安全威胁事件的响应。 人身安全。AmazonCloudTechnologies的物理设施位于未公开的区域。在周边和建筑物入口处使用了物理屏障,以防止未经授权访问亚马逊云技术区域。 限制员工和承包商的访问。AmazonWebServices为具有合法业务需求的员工和承包商提供对这些区域的访问。当员工或承包商不再有业务需要时,访问权限将立即撤销。 物理安全防护。所有访问点(主入口门除外)都保持安全(锁定)。物理设施的接入点由视频监控摄像头监控,旨在记录所有进入设施的人员。 持续评价。亚马逊云科技根据行业安全标准及其政策和程序对其网络安全和信息安全进行定期审查,持续评估其网络和相关服务的安全性,并判断是否需要额外或不同的安全措施来应对常规审查已识别的安全风险。 关于云本身的安全和亚马逊云技术本身的安全,本文不作进一步说明。在当前的市场环境下,数字化转型的加速与安全合规的加严让企业似乎时刻处于矛盾之中,但快速创新与安全对企业来说并不是二选一的关系。如何保证安全?前提下促进业务快速创新才是正确答案。针对这一痛点,亚马逊云科技提出了三大安全概念和洋葱模型,帮助企业提升云安全能力建设。2.拆解亚马逊云技术的三大安全概念2.1概念一:在云端使用事件驱动架构构建自动化护栏,而不是设置检查点。 网络安全最大的威胁还是来自于人,比如由于缺乏安全意识而被利用,由于人员疏忽导致的配置错误,或者其他人为原因导致网络安全工作没有得到有效落实。而且,传统的企业安全体系基本上是事后驱动,网络安全团队往往承担着靠山和救火员的角色,常常陷入两手空空的局面。 亚马逊云科技认为,推进标准化、自动化势在必行。过多的人为参与会导致新的安全风险,因此应该建立自动化的安全流程,同时让人们远离数据。通过自动化实现安全标准化和一致性。 通过在亚马逊云上自动化安全任务,用户可以通过减少手动配置错误来提高安全性,让开发人员有更多时间专注于业务本身。从各种深度集成的解决方案中进行选择,这些解决方案可以组合起来以新颖的方式自动执行任务,使您的安全团队更容易与您的开发人员和运营团队密切合作,以更快地取得成果。,更安全地创建和部署代码。 比如结合AmazonCloudWatch和AmazonGuardDuty,再结合AmazonLambda做一个整合。AmazonGuardDuty可以分析来自亚马逊云技术众多数据源的日志事件,例如AmazonCloudTrail事件日志、AmazonVPC流日志、域名系统服务(DNS)日志和AmazonS3数据事件日志,有数百亿个事件可供分析,能够检测100多种安全威胁,并自动对这些威胁进行分类。对于这些检测到的威胁,用户可以使用Lambda进行快速响应,从而快速高效地降低安全事件的影响并及时修复。 在实际应用中,SaaS平台安智联365利用AmazonIoTCore构建设备物联网平台,实现智能安防硬件的状态采集和双向消息传递,并引入基于微服务架构的AmazonLambda服务,使开发团队可以使用简单的代码处理缓存等应用场景。与AmazonCloudWatch合作实现自动化运维和监控后,安威士仅需一名工程师即可完成安知联365全球基础设施的运维管理,让企业可以将更多的人力资源投入到业务链中台的开发中.2.2概念2:云中的安全性是主动设计的,而不仅仅是被动设计的。 中国用户的习惯是根据合规要求或社保事件触发建立安全合规。这种建设思路通常滞后,会让企业疲于奔命,忙于各种应对。 亚马逊云科技认为,首先,安全合规性与用户的业务发展和持续运营息息相关。安全不是独立存在的,而应该作为业务发展的首要条件与企业业务充分结合。同样,安全合规性是基于设计而不是对事件的响应。安全建设要未雨绸缪。根据业务情况和系统特点,从技术和管理层面积极建设。最后,亚马逊云技术的安全服务构建基于预防、检测、响应和修复。用户也可以以此为参考,构建安全体系。 l预防:确定用户权限和身份、基础设施保护和数据保护措施,以制定顺利且计划周密的安全策略。 l检测:通过日志和监控服务了解企业的??安全状况。将这些信息提取到一个可扩展的平台中,用于事件管理、测试和审计。 l响应:自动化事件响应,帮助安全团队将注意力从响应转移到根本原因分析。 l补救:通过事件驱动的自动化,近乎实时地快速补救和保护云中的环境。 以AmazonGuardDuty为例。这种智能威胁检测服务持续监控用户的AWS账户及其工作负载是否存在恶意活动,并提供详细的安全侦察结果以实现可见性和补救措施。使用AmazonGuardDuty的控制台与AmazonDetective的集成来快速确定可疑活动的根本原因。例如,如果不近乎实时地持续监控相关因素,通常很难快速发现帐户接管威胁。GuardDuty支持持续监控和分析,通过提供上下文、元数据和受影响资源详细信息的调查结果,提供对安全事件的洞察力。它还会及时停止未经授权的活动,防止使用受损凭证、AmazonSimpleStorageService(S3)中的异常数据访问、来自已知恶意IP地址的API调用等。2.3概念三:云安全必须是洋葱形的多层保护,而不是鸡蛋。 随着多云环境的广泛应用,企业的IT架构越来越复杂,云上的安全威胁广泛分布在各个环节。企业面临着越来越多的安全威胁和挑战。从CVE漏洞、非法入侵到DDoS攻击,各种安全事件层出不穷。 亚马逊云科技认为,云安全防护应该像洋葱模型一样,层层展开,而不是像鸡蛋一样。虽然鸡蛋给人的感觉是壳比洋葱还硬,但其实是单层保护,云上的安全必须像洋葱一样层层保护。 在洋葱模型中,亚马逊云技术将其分为五层,从威胁检测和事件响应开始,然后是身份认证和访问控制,然后是网络和基础设施安全,然后是数据保护和隐私,最后是风险管理和合规性。一一了解这五个领域的安全服务: 1)威胁检测与事件响应。需要能够准确定位安全威胁,快速响应,时刻监控,并能够分析原因。主要服务包括: lAmazonGuardDuty,可实现威胁精准定位。它的优势在于,一方面,它拥有丰富的情报和威胁情报来源;另一方面,融合机器学习能力,对API调用行为进行建模,结合概率预测,更准确地隔离和警告高度可疑的用户。行为。 lAmazonSecurityHub,作为统一的安全事件管理平台,不仅可以实现威胁检测24/7在线实时监控、及时响应、自动合规检查,还可以打通威胁事件的上下游,尝试做根本原因分析。点击进入AmazonSecurityHub>>>> 2)身份认证与访问控制。这个环节在企业安全管理中一直比较薄弱。据统计,80%的安全事件都是由弱密码引起的。对此,亚马逊云科技有两点经验和三点技术建议。 2条经验:保持最小授权原则,确认每一次授权是否必要,是否与业务/职责相关;定期审计最小授权原则,没有永久授权,所有授权必须时效性。 技术建议三:尽可能细化接入粒度,按时间、地点、业务设置接入条件;结合多因素认证(MFA)技术,加强身份认证;减少长期凭证的使用。 在具体的工具层面,AmazonIdentityandAccessManagement(IAM)是身份认证和访问控制的核心服务,可以提供覆盖亚马逊云技术所有服务和资源的细粒度访问控制。AmazonOrganizations是一种高效的身份认证和访问控制服务,可以集中管理和管理一个组织的多个账户,并建立权限保护机制和数据边界。 3)网络和基础设施安全。CDN侧的安全防护是这一层防护的重点。DDoS攻击的防御应该长期进行,因为任何攻击都可能导致业务中断,从而影响终端用户的体验。如果在处理之前发现DDoS攻击,将严重损害业务的稳定性和连续性。 AmazonShieldAdvanced通过快速响应和缓解措施为加载的资源提供全天候防御。另一个标准产品是AmazonWAF。作为Web应用防火墙服务,它的独特之处在于提供了丰富的规则库,包括亚马逊安全团队开发的完全托管规则,用户可以根据自己的需要进行定制。规则。 4)数据保护和隐私。亚马逊云技术为数据的整个生命周期提供加密服务,对数据的保护涵盖数据存储、传输和使用的各个环节。 对于数据存储时的加密,亚马逊KMS密钥管理服务集成了亚马逊云技术的140个服务,可以对存储在这些服务中的数据进行加密。高度集成减少人工操作,降低出错概率。针对对数据保密性要求较高的用户,AmazonCloudHSM提供了安全简单的云端专用加密机。 对于使用过程中的数据计算和加密,亚马逊云科技也有它的解决方案。AmazonNitroEnclaves提供了一个基于云的机密计算环境,用户可以通过它创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少数据处理过程中的敏感攻击面。点击进入AmazonKMS>>>> 5)风险管理与合规。亚马逊云技术从四个维度帮助用户遵守法规。 首先确保亚马逊云技术服务本身的合规性。亚马逊云技术的合规认证不仅在基础设施领域,更深入到每一项云服务。客户部署亚马逊云服务,其合规性得到认证机构认可;第二,成熟的合规解决方案,基于用户需求,亚马逊云技术会提供很多合规实施的最佳实践;第三,自动化审计、合规审计和评估总是需要花费大量时间,AmazonAuditManager可以简化审计管理和合规评估;第四是合作伙伴的咨询和实施能力。这些合作伙伴提供数百种行业领先的安全解决方案,帮助用户提高安全性和合规性。合作伙伴可以在多个领域为用户提供支持,包括基础设施安全、策略管理、身份管理、安全监控、漏洞管理、数据保护和咨询服务。3.三大云安全案例分享 全球数百万用户选择并信任亚马逊云技术,几乎涵盖所有行业。那些已经成功上云并在云上搭建了安全屏障的企业是如何做到的呢?以下是业界云迁移的三个经典案例。案例一:风林火用实力实现持续合规,全面提升安全效率 深圳市风林火计算机科技有限公司(以下简称“风林火”)成立于1996年,专注于网络棋牌游戏、集研发与运营为一体,产品处于国内网络棋牌游戏前列。 早期风林火的业务和游戏产品都托管在IDC,整个服务器的生命周期管理都是由企业自己手动管理。当时,当游戏产品发布或升级时,相关人员必须手动部署和配置设备。新版本从准备到正式发布通常需要一个月的时间。 随着风林火进入快速发展阶段,IDC托管的灵活性和扩展性差、计算资源受限、效率低下等缺陷开始暴露。此外,旧的IDC托管模式缺乏对客户赋能和安全威胁的及时响应,过于传统的IT架构无法给业务足够的创新空间。 看到亚马逊云技术成为众多海外游戏公司的首选,风林火最终决定与亚马逊云技术合作,并于2017年底完成了IDC所有业务向亚马逊云技术云的迁移。 全服上云后,风林火将游戏版本发布升级的频率从IDC托管时的每月一次提升到每周至少一次,大大提升了业务交付速度。在安全方面,传统威胁检测服务对海量日志数据的分析耗时耗力。不同安全时段的持续合规和聚合管理也带来了巨大的挑战。为此,风林火使用AmazonGuardDuty和AmazonSecurityHub,全面提升其安全运维效率。 风林火游戏运维工程师徐华杰说:“亚马逊云技术让我们可以将更多的精力投入到软件工程中,实现更快的交付,将事故率降低70%以上。‘救火’,现在我们有时可以‘放火’自己,不断提升平台的健壮性。”此外,在人员不足的情况下,“亚马逊云技术使我们能够实现高效的安全监控和及时的协助,我们安全地做出了响应,降低了安全风险,能够从更高的角度看待我们整个架构中的安全事件。”案例2:云端零数据丢失,涂鸦智能全力打造万物智能互联愿景 全球范围内,人工智能、物联网技术正在成为新的智能产业生态。物联网开发平台涂鸦智能也致力于成为这个生态系统中的关键一环。然而,物联网行业中下游应用场景和需求高度碎片化,往往导致网络通信方式和平台多样化,对设备互联互通的实现提出了巨大挑战。 为此,涂鸦智能不仅要着力推动软硬件协同优化,还需要部署全球云网络,使其云服务能力遍布五大洲。截至目前,涂鸦物联网开发平台已为全球220个国家和地区提供基于全球主流公有云的物联网服务,依托全球基础设施和包括亚马逊云技术在内的丰富云产品。 “在选择云厂商时,我们会根据基础设施的覆盖范围、安全稳定程度、产品的丰富程度来做决定。”涂鸦智能科技副总裁柯杜民表示,“亚马逊云技术完全可以满足这三个方面的需求。” 从安全的角度来说,亚马逊云科技是业内率先推出KeyManagementService(KMS)的厂商。基于KMS的密钥保护能力以及与其他亚马逊云技术服务的集成能力,涂鸦公有云在业界率先支持对数据库等产品进行物理加密,为涂鸦提供了非常好的基础安全保障.数据也会实时存储在公有云平台上,这就使得数据安全问题显得尤为重要。涂鸦智能使用KMS管理加密数据的加密密钥,通过身份与访问管理(IAM)认证机制对数据进行保护,访问隔离为数据安全提供保障。 例如,“如果我们服务的是欧洲客户,“他们所有的数据都存储在欧洲的亚马逊云技术上,每个数据中心都是物理隔离的。”借助亚马逊云技术,涂鸦智能的物联网PaaS自上线以来就实现了数据零丢失。案例三:自主品牌出海,美的获得安全合规的船票 2006越南以工厂建设为开端,美的真正开启了海外自主品牌经营的探索之路。在十余年的出海之路上,美的坚持因地制宜的本土化战略,形成了包括美的、COLMO、东芝等在内的品牌矩阵。根据其财报,其海外营收占比也连续多年超过40%。 随着全品类产品智能化的实现,如何以更低的成本建立安全、稳定可靠、运维便捷、服务周到的服务体系?全球化的智能家居平台成为美的的一大挑战。经过对多个云平台的综合评估,美的选择了亚马逊云科技作为其海外平台IT基础设施合作伙伴之一。 智能家居平台连接相关用户数据存储在用户的智能家电上,而欧盟和美国对数据合规性有严格的要求。与亚马逊云科技合作,美的不仅可以依托其丰富的安全服务,还可以继承其合规性,快速将自己的应用部署到海外。 ”IT架构部署在亚马逊云技术上,这些安全合规问题都由他们解决,我们不用担心。如果我们自己来做这些工作,可能需要一个极其庞大的团队”美的集团副总裁、美的国际总裁王建国说。 另外,亚马逊云技术成熟丰富的全球客户体验也是选择合作的推动力,“亚马逊云技术经验丰富,全球众多成功企业都在其云平台上运行,包括我们的众多上下游全球合作伙伴也在其中,形成了良好的数据生态链。”结语 1.目前在云安全领域,云自身的安全合规性是用户选择模型的首要考虑因素。如何保证云基础设施和提供的各种云服务的安全,是云平台服务商首先需要沟通清楚的。 2.对于跨国公司和海外公司来说,云平台服务提供商的全球安全和合规能力是这些公司关注的重点。具有全球基础设施和合作伙伴网络成员(如亚马逊云技术)的云服务提供商提供的安全性和合规性可以帮助用户满足全球几乎所有监管机构的合规性要求。 3.云安全场景远比传统数据中心复杂和丰富。传统IT安全厂商要快速切入云安全市场,不仅要依靠长期的技术积累和客户基础,还要选择有实力的云平台服务商。合作。亚马逊云科技不仅不断将全球安全合作伙伴的最新技术引入中国,同时也在加强与本土安全合作伙伴的合作。这种强强联合的安全合作生态,也正在成为未来的趋势。 4.对于云安全服务商而言,如何在不影响用户业务创新的情况下构建安全合规性,需要精心谋划。亚马逊云技术提供了全新的解决方案:三大安全理念的布局从自动化、主动设计、多层防护等角度充分诠释了其安全与创新并重的实践标准。点击进入AmazonSecurityHub>>>>点击进入AmazonKMS>>>>
