写点什么

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航

  • 2022-04-01
  • 本文字数:3876 字

    阅读完需:约 13 分钟

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航

最近几年,安全合规成了所有与数据相关的行业都绕不开的话题。全球已经有 132 个国家跟地区制定了数据保护和隐私相关的法律法规,而最近几年我国也出台了《数据安全法》、《个人信息保护法》等保障用户数据和隐私安全的法律法规。随着企业上云速度的加快,可以预见的是,企业放到云上的数据类型、数据的数量也会继续增加。

 

伴随着经济全球化趋势不可逆的态势,我国企业不断走出国门,在全球范围内拓展业务,甚至有很多企业是跨若干行业赛道做竞争,所有这一切都会加剧企业面对安全合规的挑战。为应对这些挑战,亚马逊云科技提出了“洋葱型多层防护”方法论,为企业上云保驾护航。

 

亚马逊云科技大中华区战略业务发展部总经理顾凡表示,自己在出去见客户时通常会被问到三个问题:一是从自己的数据中心,把应用迁移到云上,安全吗?二是亚马逊云科技本身是不是安全合规的?三是如果现在想上云,那么把应用放到云上之后,亚马逊云科技如何帮助企业在云中安全合规?

企业上云,真的安全吗?

 

企业自建数据中心的时候也要构建安全,只不过需要自己构建一切,需要考虑到安全设备管理、合同签订、成本问题等。当应用上云之后,企业并不需要关心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。安全再上台阶可以体现在几个方面:

 

一是更加自动化。可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地的环境下,采用的是不同厂商的产品,安全数据整合非常复杂,而在云上,服务之间的深度集成,会让数据整合变得更简单。

 

二是更好的可见性。有了更好的数据整合,在云上也会更有机会用一个集中的平台,实现安全的可视化管理。

 

三是更灵活的成本控制。云端安全是没有前期投入成本,按使用付费。

 

四是更高效地做合规。自建数据中心做合规需要从零开始做起。如果选择亚马逊云科技,客户可以继承云厂商的合规,可能是从 50 分开始做起,另外 50 分云厂商已经做好,可以直接继承。

 

正因为如此,全球有数百万的用户已经选择并且信赖亚马逊云科技,亚马逊云科技服务的客户几乎覆盖了所有行业,其中包括金融、电信等很多强监管的行业,都已经借助亚马逊云科技将业务上云。

 

值得一提的是,世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商 NTT docomo 会把 PB 级别的数据仓库迁移上云。

安全是 Job Zero

 

顾凡称,“多年来,亚马逊云科技持续不断加大安全方面的投入,而且我们从来不会给安全服务部门设定硬性收入指标,因为安全服务就跟水和空气一样,并不会靠水和空气产生运营,我们真正要给用户提供的优质的水和空气,创造一个安全的环境。当我们说安全是 Job Zero 的时候,它其实代表的不仅仅是技术问题,也是管理问题。”

 

那么,到底亚马逊云科技如何把 Job Zero 真正执行到位?据顾凡介绍,亚马逊云科技 CEO 和公司管理高层每周都会召开安全会议,而每个级别的亚马逊云科技员工都肩负安全责任的目标,定期会举办安全合规的培训、考试等等,每个亚马逊云科技的服务从设计阶段就要开始考虑安全问题。很多亚马逊云科技服务研发团队里都会有自己的安全官。此外,亚马逊云科技非常看重安全自动化,只有自动化,才有机会更好做到标准化、规模化做执行一个安全的任务。今天亚马逊云科技的数据中心已经能够根据事件实现自动化的响应和修复,比如水电和能源等很多问题的排查。

 

在云服务安全方面,亚马逊云科技有三个理念:

 

第一,利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业的开发团队把更多的时间放在业务创新上。

 

第二,云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。

 

第三,云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。多层次的安全防护,层层递进,层层展开。

提出了“洋葱型多层防护”方法论,为企业上云保驾护航

 

亚马逊云科技目前提供了 280 多安全、合规服务及功能,在五大领域为客户提供全方位的安全服务。亚马逊云科技为客户打造五层防护体系。

 

洋葱模型第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。重点服务包括:1)Amazon GuardDuty 为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了 50%。2)Amazon Security Hub 安全事件统一管理平台,让客户针对威胁检测 7x24 小时全天候监控,及时响应,并自动执行合规性检查。

 

洋葱模型第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破,有可能会带来意想不到的严重后果。没有好的身份认证的访问策略,就好像建了一座坚固的城堡,却把门打开给未知访客。关于身份认证,亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。三个技术建议:一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations 是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。

 

洋葱模型第三层:网络与基础设施安全。防御 DDoS(分布式拒绝服务攻击)是这一层防护的重点。DDoS 防御应全年从始至终,而不能像急诊。如果等发现 DDoS 攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced 就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web 应用防火墙服务 Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还国际一线安全厂商的托管规则。

 

洋葱模型第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS 密钥管理服务实现存储过程中的加密,它与亚马逊云科技 140 个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM 提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves 提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。

 

洋葱模型第五层:风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过 Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager 可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了 Amazon Trusted Advisor 定制云计算专家、Amazon Security Bulletins 安全公告、Amazon Security Documentation 云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。

 

亚马逊云科技也首创了安全责任共担模型,推动安全及合规建设。亚马逊云科技不仅要负责云基础设施和云服务的安全,更重要的一点是要为云基础设施和云服务拿到全球各种各样的合规认证,让客户继承这些合规认证。

 

责任共担也是有分界线的。在 IaaS、PaaS、SaaS 不同的场景分界线会有所移动。如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。如果客户在云上采用的是 PaaS 服务,亚马逊云科技肩负的责任会更多。到 SaaS 服务的时候,客户主要负责的就是数据,以及数据的访问权限。

 

老话说“打铁还需自身硬”,当然,亚马逊云科技云也通过四个方面保证了自身的安全合规。

 

  • 安全的基础设施。亚马逊云科技的数据中心和网络架构以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。

 

  • 安全的云服务。亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。

 

  • 坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。

 

  • 亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。亚马逊云科技获得的安全标准及合规认证,用户可以继承。亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。

 

2022-04-01 16:503217

评论

发布
暂无评论
发现更多内容

代码质量与安全 | 使用Incredibuild加速Klocwork静态代码分析

龙智—DevSecOps解决方案

代码静态分析 SAST工具 SAST 编译器 加速器 编程语言

即时通讯技术文集(第7期):长连接网关、P2P等 [共10篇]

JackJiang

网络编程 IM 即时通讯IM

四项发明专利布局国际市场 申威睿思层级化数据库操作加速系统和方法获肯定

科技热闻

2022中国区Cyber Monday限时优惠来袭,Linux基金会开源软件学园带来优惠

kk-OSC

k8s Linux基金会 CKA CKS

软件测试自动化“领导者”SmartBear举办首场中国线上研讨会:洞悉全球自动化测试走向,探讨降本增效之策

龙智—DevSecOps解决方案

自动化测试 API测试 UI测试 软件测试自动化

技术指南 | 如何集成Perforce版本控制系统Helix Core (P4V) 与敏捷规划工具Hansoft

龙智—DevSecOps解决方案

敏捷 版本管理

PGL图学习之项目实践(UniMP算法实现论文节点分类、新冠疫苗项目实战,助力疫情)[系列九]

汀丶人工智能

图神经网络 图学习 11月月更 论文节点分类任务 新冠疫苗任务

金九银十已过,总结了阿里面试官常问九大项面试题!

钟奕礼

Java java面试 java编程 程序员‘

Spring6正式发布!重磅更新,是否可以拯救Java

宋小生

A/B测试有哪些常见应用场景?——火山引擎DataTester科普

字节跳动数据平台

大数据 AB testing实战

华为开发者联盟学堂上线超1800门课程,为开发者提供一站式赋能

最新动态

深度 | 新兴软件研发范式崛起,云计算全面走向 Serverless 化

Serverless Devs

阿里云 Serverless

从零开始学习Java系列之Java运行机制与跨平台特性

千锋IT教育

《鸿蒙生态应用开发白皮书》正式发布,携手更多开发者迈入鸿蒙世界

最新动态

一次MTU问题导致的RDS访问故障

京东科技开发者

数据库 Linux MTU RDS vpn

东莞理工学院-网安学院举办第二届“火焰杯”软件测试高校就业选拔赛颁奖典礼

测试人

软件测试 自动化测试 测试发开 测试比赛

车间工厂看板还搞不定,数据可视化包教包会

葡萄城技术团队

数据可视化 看板 智能工厂

观察者模式在spring中的应用

京东科技开发者

Java spring 编程 观察者模式

JVM 核心知识体系

钟奕礼

Java java面试 java编程 程序员‘

高管对上新老板的 Twitter

HoneyMoose

咱也不知道这份牛P哄哄的【Nginx实战】资料是不是你们想要的

钟奕礼

Java 程序员 java面试 java编程

集群部署看过来,低代码@AWS智能集群的架构与搭建方案

葡萄城技术团队

负载均衡 部署 集群 亚马逊

《鸿蒙生态应用开发白皮书》正式发布,携手更多开发者迈入鸿蒙世界

最新动态

单体分层应用架构剖析

京东科技开发者

架构 模块 应用架构 服务层 业务层

DHorse系列文章之操作手册

tiandizhiguai

微服务 云原生 k8s管理 微服务治理 Serverless Kubernetes

【实用工具】解决PCB设计难题,痛击风险漏洞!

华秋PCB

工具 PCB PCB设计

ITSM | 对话——从业务场景、中国市场策略角度解读Atlassian ITSM解决方案

龙智—DevSecOps解决方案

ITSM ITIL

这可能是最全的SpringBoot3新版本变化了!

艾小仙

Java spring could spring-boot

高效!启科量子线路模拟器 QuSprout 与 Amazon HPC 集成,赋能量子计算

亚马逊云科技 (Amazon Web Services)

量子计算 Hero 专栏

“鸿蒙开发套件”焕新升级 端到端赋能助力开发运维事半功倍

最新动态

端云一体开发,助力鸿蒙应用开发效率全面提升

最新动态

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航_AI&大模型_李冬梅_InfoQ精选文章