云安全从未像今天这样突出。根据IDC调查数据,近80%的企业在过去18个月中至少经历过一次云数据泄露。突如其来的疫情,极大地改变了人们的生活和工作方式。在全球范围内,企业几乎在一夜之间改变了他们的IT范式,以通过云解决远程工作挑战。企业进入云端后,如果安全问题得不到妥善解决,企业在采用云服务和功能时会更加谨慎。稳健的云安全服务选择,不仅可以保障企业在全球市场的业务,还支持远程办公所需的可用性、可靠性、灵活性和安全性。云安全已成为“新常态”据Gartner称,到2022年,向云计算的过渡将产生约1.3万亿美元的IT支出。如今,绝大多数企业工作负载都在公共、私有或混合云环境中运行。可见,在云端有效应对安全威胁将成为未来企业的“新常态”,尤其是随着企业在疫情期间加快上云能力推进远程办公,远程办公更加容易受到恶意软件攻击和网络钓鱼。例如,导致内部安全威胁增加、员工账号被劫持等安全风险。一个更紧迫的云安全挑战是组织通常不完全理解在云中运行的影响。例如,企业可能会想当然地将传统安全模型映射到新平台,而忽略了利用云提供的功能。根据IDC报告,云上与安全相关的错误配置、对访问设置和活动缺乏足够的可见性以及身份和访问管理(IAM)权限错误是企业最关心的云生产环境安全问题。事实证明,企业在采取激进的云策略获取弹性和计算资源的同时,却忽略了云平台整体安全能力带来的价值。云业务的“生命线”今年2月,AWS打破纪录,抵御了2.3Tbps的DDoS攻击。AWS透露,身份不明的攻击者每秒向其服务器发送惊人的2.3TB数据。这次攻击的规模几乎是2018年导致GitHub宕机的1.3Tbps攻击的两倍,也是2016年导致Dyn宕机的大约1TbpsMirai僵尸网络DDoS攻击的两倍多。因此,云提供商需要向企业保证安全性处于云基础设施的核心,可以提供与本地IT基础设施相同甚至更好的安全能力。这一事件从一个方面印证了AWS作为云计算龙头的安全实力。正如客户重视云应用可靠性和数据安全一样,安全的重要性在AWS中高于一切优先级。如果有任何已知的安全问题,AWS会及时解决。安全隐患得不到解决,永远不会勉强将新的云服务推向商用,高优先级的安全责任成为AWS保障云业务的“生命线”。AWS采用共享安全责任模型的运营模式,其中AWS负责底层云基础设施的安全。一方面,AWS负责保护部署在包括计算、存储、网络和数据库在内的云服务基础设施中的工作负载。如果无法抵挡2.3Tbps的DDoS攻击,对用户造成的影响将由AWS承担。一方面,AWS必须为在云环境中实现用户业务功能提供最合适的安全控制措施所需的灵活性和敏捷性,这是通过AWS的200多项安全功能和服务实现的。AWS共享安全责任模型AWS提供的云基础设施是目前市场上最灵活、最安全的云计算环境之一,连续10年被评为Gartner魔力象限领导者。AWS不仅拥有安全最佳实践和标准,还使用冗余和分层控制、持续验证和测试以及大量自动化来确保底层基础设施的24/7全天候监控和保护。企业有责任制定政策,严格限制对处理敏感数据的环境的访问,或者对要披露的信息部署灵活的控制政策,因为AWS尊重并遵循客户对自己的系统和数据拥有完全的自主权。目前,这种分担安全责任的模式已经被大多数企业所认可,因为在云计算的普及过程中,因云安全而引发的责任归属纠纷不胜枚举。AWS倡导的安全责任分担模式,为云安全“责任与权利”划清界限。同时,在AWS内部,安全优先于任何任务。AWS的每位员工都有责任确保安全是所有业务不可或缺的一部分。每个员工都知道如何报告安全问题,并有权在必要时将安全问题升级到最高级别。同时,AWS每一项安全功能和服务的创新都来自于客户的心声,以满足大多数对风险敏感的用户和企业的安全和合规需求。云安全“三驾马车”AWS提供200多项安全功能和服务,并与合作伙伴一起提供各种工具和功能,帮助企业实现安全目标。部署和控制。AWS在网络安全、配置管理、访问控制和数据安全领域提供特定于安全的工具和功能。此外,AWS还提供监控和日志记录工具,使企业能够全面了解云环境中发生的情况。综合来看,AWS云服务主要集中在三个方面:身份认证、安全功能和合规性。这“三驾马车”为企业构建了可视、可控、可审计、灵活、自动化的综合安全能力。我们通过AWSIAM、AWSSecurityHub、AWSWAF、AmazonGuardDuty四大云安全服务,详细讲解了解AWS如何为企业数字化转型保驾护航。AWSIdentityandAccessManagement(IAM)是身份认证方面具有代表性的云服务。借助IAM,企业可以为每个账户定义对AWS资源的访问权限,包括基于软件和硬件的身份验证器选项。借助IAM,组织可以使用现有的身份验证系统(例如MicrosoftActiveDirectory或其他合作伙伴产品)来授予员工和应用程序对AWS管理控制台和AWS服务API的联合访问权限。IAM的优势在于其细粒度的身份认证和访问控制,结合对安全事件的持续监控,确保正确访问正确的资源。例如我爱我家、新希望草根知本、新世纪医疗等客户利用AWS完善的安全机制和IAM实现精细化的安全管理,保证系统的高可用和可靠。在合规性方面,AWSSecurityHub作为一个集成的安全和合规中心,允许企业全面查看AWS账户中的高优先级安全警报和合规状态。过去,企业需要借助一系列安全工具来完成从防火墙到端点防护,再到漏洞的合规扫描。安全团队每天需要切换不同的工具,处理大量的安全告警,大大增加了企业的安全运营。维修费用。AWSSecurityHub的优势在于,企业可以聚合、组织和优先排序来自AWS合作伙伴的不同AWS服务和解决方案的安全警报或检测结果,检测结果的可见性也大大提高。用于操作图形和表格的集成仪表板上的直观摘要。此外,企业可以使用自动合规性检查来进行持续监控。在安全功能方面,WAF和威胁检测是企业最常用的云安全服务选项。AWSWAF和AmazonGuardDuty充分展示了AWS高度集成的云服务和自动化部署的优势。AWSWAF是一种Web应用程序防火墙,可帮助组织保护Web应用程序或API免受可能影响可用性、危及安全性或消耗过多资源的常见Web漏洞的侵害。AWSWAF允许企业创建安全规则来防范常见的攻击模式,例如SQL注入或跨站点脚本,以及过滤掉企业定义的特定流量模式的规则,从而使企业能够控制流量到达应用程序的方式。AWSWAF的优势在于它包含一个功能齐全的API,可以自动创建、部署和维护安全规则。AmazonGuardDuty是一种威胁检测服务,可以持续监控恶意活动和未经授权的行为,以保护公司AWS账户、工作负载和存储在AmazonS3中的数据。虽然迁移到云后收集和汇总帐户和网络活动变得简单,但安全团队持续分析事件日志数据以发现潜在威胁非常耗时。因此,GuardDuty为企业提供了一种经济高效的智能选项,可以持续检测AWS中发生的威胁。GuardDuty的优势在于使用机器学习、异常检测和集成威胁情报来识别潜在威胁并确定其优先级。一方面,GuardDuty分析来自多个AWS数据源的数百亿事件,例如AWSCloudTrail事件日志、AmazonVPC流日志和DNS日志。其次,GuardDuty警报与AmazonCloudWatchEvents集成,具有出色的可操作性、跨多个账户的轻松聚合,并直接推送到现有的事件管理和工作流系统。结束语过去,企业继续构建和维护内部分层的“纵深防御”安全策略。如今,越来越多的企业逐渐意识到云广泛的安全优势和合规能力。卓越的安全能力关系到千万级企业的信任和持续投入,这也是AWS将安全视为“生命线”的真正原因。
