TCL 实业在云服务端采用了 AWS WAF 来防护攻击,从监测的数据上来看,一周内抵御了超过 13 万次的恶意请求,接近 10 万次的程序自动攻击,防御效果显著。”
林舜大 TCL 实业鸿鹄实验室 安全部部长
TCL 实业聚焦智能终端业务,以客户为中心,构建 AI x IoT 全场景智慧生活,致力于成为全球卓越的智能科技产业集团。产品销售种类涵盖智能屏、空调、智能移动及连接设备、冰箱、洗衣机、健康电器、智能语音等。TCL 实业的业务遍及全球 160 多个国家和地区,在 80 多个国家和地区设有销售机构,60% 的收入来自海外业务。经过不断努力,TCL 实业已形成全球相对完善的产业布局和供应链能力。
AI x IoT 安全挑战及应对之道
万物互联时代,产品的智能化不断提高。作为一家聚焦智能终端业务的公司,TCL 实业近年来大力发展 AI x IoT 全屋智能家电产品,构建智能家居生态圈。为了实现更好的用户体验,TCL 实业在云、管、边、端和连接上不懈努力。云端有 AI 平台、IoT 云平台、大数据平台等全球化部署的平台,实现万物互联、数据分析、智能服务的业务闭环。终端有跨屏幕终端 TCL+ App、TCL HOME App 和小程序等,融合多种智能场景。加之,开发性能优异、安全可靠、高性价比、即插即用的模组及协议的连接技术,共同构成了 AI x IoT 全场景智能家居生态圈。
然而,AI x IoT 全场景智能家居生态圈在更加智能化和为用户带来更多便利的同时,也带来了新的风险和挑战,网络安全和隐私保护问题愈加凸显。例如,智能终端设备的固件会被替换成非法固件,不法分子借此获取密钥及各种信息;联网产品和云端被攻击也基本从通信入手,网络劫持、中间人攻击等手段层出不穷,进而导致数据泄露;存储大量数据、掌握大量控制和服务的云端也会时不时受到攻击,这些攻击轻则导致云端服务不可用,重则导致大量用户信息,甚至是敏感信息泄露。
网络安全和隐私保护问题刻不容缓。但 TCL 实业的业务线非常广泛,每条业务线的要求也不尽相同,如何做到对症下药?TCL 实业控股 CTO 孙力表示;“一般来说,企业会采用最适合自己的工具和合作伙伴来满足业务和用户的需求。”经过业务特性、目标国家的可获取性、安全合规、技术服务、架构、综合成本等方面的多方考量,TCL 实业决定在海外主要采用 AWS 的云服务。
注入安全基因,打赢 AI x IoT 云端安全守卫战
在整个 AI x IoT 的系统和生态面临的安全问题中,最大的威胁之一是来自云服务平台的威胁。由于平台网站的目标相对固定,存储数据量大,攻击手段非常多,并且十分成熟。因此,林舜大认为,AI x IoT 智能家居生态圈的安全重点是云服务平台网站的安全性。
TCL 实业对云服务进行了详细的梳理,并采取分级策略,进行层层递进的安全管理,对级别高的平台会采用更加强劲的安全措施。TCL 实业将安全级别分为三级。一级为内部网站、测试网站、共享类或者学习类的网站,对于这类网站的策略是守住关口,基本不需要在安全产品上进行投入;二级平台为公司的主要网站,如广告、品牌形象、业务支撑和售后系统,对于这类网站需要加强端口的安全措施,识别出其中的重要数据进行保护,并定期进行安全扫描;三级平台为公司关键基础设施、存放大量用户信息的网站,比如 IoT 平台、大数据平台、AI 平台等,对于这类平台需要对关口进行全方位的加强,整体进行全方位的保护,甚至引入态势感知等安全产品。
采用这种分级策略,跟 AWS 在云服务安全方面的理念十分贴合。对于二级平台及以上的云服务,TCL 实业都会采用 AWS WAF 来进行防护。据统计,TCL 实业系统的大部分漏洞都集中在云服务端,利用 AWS WAF 定制规则,进行流量筛选,阻隔恶意的访问。从监控的数据来看,一周防护了超过 13 万次的恶意请求,接近 10 万次的程序自动攻击,效果非常不错。
AWS 云端安全方案示意图
此外,针对近年来比较猖狂的勒索病毒,TCL 实业同样采用 AWS WAF 的安全措施,并在此之上进行二次开发,监测受攻击的情况,很大程度防范了网络攻击和勒索病毒等安全事件的发生。林舜大说:“AWS 的服务非常专业,除了防范勒索病毒,我们也会购买 AWS 额外的 DDoS 服务来防范相关的安全问题。”
合规与隐私,为 TCL 实业全球化部署构筑基石
随着国际各国对用户隐私保护的法律越来越严格,对联网设备的安全规定也越来越严苛,比如欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法案》(CCPA)、国内的《个人隐私保护法》《数据安全法》《网络安全法》等网络空间相关法律的发布,都要求涉及联网产品、云端服务,必须大力加强产品系统相关的安全研发和建设。法律法规明确要求联网产品必须进行安全设计、安全测试、出现安全问题必须及时地反馈和处理。
在安全设计方面,TCL 实业携手 AWS 采用分级策略,保证安全设计的可靠性。在安全测试方面,TCL 实业在自主研发的基础上,采用 AWS 云安全漏洞检测系列工具,配合人工审计,对产品进行渗透和认证等措施。在及时反馈方面,TCL 实业建立安全应急响应中心,由专人负责运营。此外,TCL 实业的云服务还通过全球化部署,应对隐私合规和数据的问题。AWS 在美国、法兰克福、印度、新加坡等 26 个地理区域运营着 84 个可用区,服务覆盖 160 多个国家,有 3,000 多万以上的活跃用户。AWS 的云基础设施均通过了各个国家和地区的安全与合规认证,有安全与合规的基础保障,用户只需关注应用层之上的安全与合规即可。在隐私保护框架上,TCL 实业采用业界成熟的措施,从组织治理、政策流程,嵌入到业务上来保证产品的合规,进而不断提升整个组织的意识与能力,对公司的产品与业务进行有效的监控和改进,同时进行第三方认证,TCL 实业与 AWS 始终保持着密切的沟通和合作。AWS 提供了从认证、保护、检测、响应到恢复的 40 多种安全服务,TCL 实业已经采用了其中的部分服务。比如,隐私保护最离不开的其实就是数据加密,而数据加密过程中最让人担心的是密钥的安全性,包括对密钥的管理,密钥对性能的影响以及费用等等,经过一系列评估,TCL 实业决定采用 AWS Key Management Service(AWS KMS)来解决密钥安全性的问题。此外,TCL 实业还采用了 AWS Security Hub、AWS Transit Gateway、Amazon GuardDuty、Amazon CloudWatch 等服务获得全方位隐私及合规保护。
安全隐私合规问题上,木桶效益非常明显。如果有一个短板被攻破,所有努力都将付诸东流。因此,治理安全隐私合规,一定是从组织、流程、预算、产品开发流程,包括自上而下的重视程度,以及相应机制的保障,否则只能限于被动的、事件驱动型的响应机制。TCL 实业将持续与 AWS 合作,不断地学习国外的安全合规的要求和经验,整个公司正体系化地开展安全合规建设。林舜大说:“安全与合规是 TCL 品牌差异化的重要部分,AWS 的云安全是这种品牌差异化的重要助推。”
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论