写点什么

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航

  • 2022-04-01
  • 本文字数:3876 字

    阅读完需:约 13 分钟

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航

最近几年,安全合规成了所有与数据相关的行业都绕不开的话题。全球已经有 132 个国家跟地区制定了数据保护和隐私相关的法律法规,而最近几年我国也出台了《数据安全法》、《个人信息保护法》等保障用户数据和隐私安全的法律法规。随着企业上云速度的加快,可以预见的是,企业放到云上的数据类型、数据的数量也会继续增加。

 

伴随着经济全球化趋势不可逆的态势,我国企业不断走出国门,在全球范围内拓展业务,甚至有很多企业是跨若干行业赛道做竞争,所有这一切都会加剧企业面对安全合规的挑战。为应对这些挑战,亚马逊云科技提出了“洋葱型多层防护”方法论,为企业上云保驾护航。

 

亚马逊云科技大中华区战略业务发展部总经理顾凡表示,自己在出去见客户时通常会被问到三个问题:一是从自己的数据中心,把应用迁移到云上,安全吗?二是亚马逊云科技本身是不是安全合规的?三是如果现在想上云,那么把应用放到云上之后,亚马逊云科技如何帮助企业在云中安全合规?

企业上云,真的安全吗?

 

企业自建数据中心的时候也要构建安全,只不过需要自己构建一切,需要考虑到安全设备管理、合同签订、成本问题等。当应用上云之后,企业并不需要关心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。安全再上台阶可以体现在几个方面:

 

一是更加自动化。可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化。在本地的环境下,采用的是不同厂商的产品,安全数据整合非常复杂,而在云上,服务之间的深度集成,会让数据整合变得更简单。

 

二是更好的可见性。有了更好的数据整合,在云上也会更有机会用一个集中的平台,实现安全的可视化管理。

 

三是更灵活的成本控制。云端安全是没有前期投入成本,按使用付费。

 

四是更高效地做合规。自建数据中心做合规需要从零开始做起。如果选择亚马逊云科技,客户可以继承云厂商的合规,可能是从 50 分开始做起,另外 50 分云厂商已经做好,可以直接继承。

 

正因为如此,全球有数百万的用户已经选择并且信赖亚马逊云科技,亚马逊云科技服务的客户几乎覆盖了所有行业,其中包括金融、电信等很多强监管的行业,都已经借助亚马逊云科技将业务上云。

 

值得一提的是,世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商 NTT docomo 会把 PB 级别的数据仓库迁移上云。

安全是 Job Zero

 

顾凡称,“多年来,亚马逊云科技持续不断加大安全方面的投入,而且我们从来不会给安全服务部门设定硬性收入指标,因为安全服务就跟水和空气一样,并不会靠水和空气产生运营,我们真正要给用户提供的优质的水和空气,创造一个安全的环境。当我们说安全是 Job Zero 的时候,它其实代表的不仅仅是技术问题,也是管理问题。”

 

那么,到底亚马逊云科技如何把 Job Zero 真正执行到位?据顾凡介绍,亚马逊云科技 CEO 和公司管理高层每周都会召开安全会议,而每个级别的亚马逊云科技员工都肩负安全责任的目标,定期会举办安全合规的培训、考试等等,每个亚马逊云科技的服务从设计阶段就要开始考虑安全问题。很多亚马逊云科技服务研发团队里都会有自己的安全官。此外,亚马逊云科技非常看重安全自动化,只有自动化,才有机会更好做到标准化、规模化做执行一个安全的任务。今天亚马逊云科技的数据中心已经能够根据事件实现自动化的响应和修复,比如水电和能源等很多问题的排查。

 

在云服务安全方面,亚马逊云科技有三个理念:

 

第一,利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业的开发团队把更多的时间放在业务创新上。

 

第二,云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。

 

第三,云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。多层次的安全防护,层层递进,层层展开。

提出了“洋葱型多层防护”方法论,为企业上云保驾护航

 

亚马逊云科技目前提供了 280 多安全、合规服务及功能,在五大领域为客户提供全方位的安全服务。亚马逊云科技为客户打造五层防护体系。

 

洋葱模型第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。重点服务包括:1)Amazon GuardDuty 为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了 50%。2)Amazon Security Hub 安全事件统一管理平台,让客户针对威胁检测 7x24 小时全天候监控,及时响应,并自动执行合规性检查。

 

洋葱模型第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破,有可能会带来意想不到的严重后果。没有好的身份认证的访问策略,就好像建了一座坚固的城堡,却把门打开给未知访客。关于身份认证,亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。三个技术建议:一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations 是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。

 

洋葱模型第三层:网络与基础设施安全。防御 DDoS(分布式拒绝服务攻击)是这一层防护的重点。DDoS 防御应全年从始至终,而不能像急诊。如果等发现 DDoS 攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced 就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web 应用防火墙服务 Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还国际一线安全厂商的托管规则。

 

洋葱模型第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS 密钥管理服务实现存储过程中的加密,它与亚马逊云科技 140 个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM 提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves 提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。

 

洋葱模型第五层:风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过 Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager 可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了 Amazon Trusted Advisor 定制云计算专家、Amazon Security Bulletins 安全公告、Amazon Security Documentation 云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。

 

亚马逊云科技也首创了安全责任共担模型,推动安全及合规建设。亚马逊云科技不仅要负责云基础设施和云服务的安全,更重要的一点是要为云基础设施和云服务拿到全球各种各样的合规认证,让客户继承这些合规认证。

 

责任共担也是有分界线的。在 IaaS、PaaS、SaaS 不同的场景分界线会有所移动。如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、计算,用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密。如果客户在云上采用的是 PaaS 服务,亚马逊云科技肩负的责任会更多。到 SaaS 服务的时候,客户主要负责的就是数据,以及数据的访问权限。

 

老话说“打铁还需自身硬”,当然,亚马逊云科技云也通过四个方面保证了自身的安全合规。

 

  • 安全的基础设施。亚马逊云科技的数据中心和网络架构以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户无论规模大小都可以受益于这样具有高安全性的基础设施。

 

  • 安全的云服务。亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。

 

  • 坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。

 

  • 亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证。亚马逊云科技获得的安全标准及合规认证,用户可以继承。亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域。亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。

 

2022-04-01 16:503015

评论

发布
暂无评论
发现更多内容

互联网医疗领域月度观察——数字乡村建设加快,“互联网+医疗健康”带动乡村高质量发展

易观分析

数字化 互联网医疗

黄东旭:开发者的“技术无感化”时代,从 Serverless HTAP 数据库开始 | PingCAP DevCon 2022

PingCAP

TiDB

Ansible最佳实践之 AWX 构建高级作业工作流的创建和调度

山河已无恙

12月月更

多引擎可视化数据流实现方案

元年技术洞察

数据中台 数字化转型 专利解析 方舟企业数字化 PaaS 平台 #方舟平台

【python小脚本】监听日志文件异常数据发送告警短信

山河已无恙

12月月更

教你用JavaScript实现乘法游戏

小院里的霍大侠

JavaScript 前端开发 编程实战 实战案例 初学者

教育部公布2022年第一批产学合作协同育人项目,千锋教育57个项目成功立项

千锋IT教育

OpenMLDB 实时引擎性能测试报告

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

Ansible最佳实践之AWK VS Anssible Tower 界面介绍

山河已无恙

12月月更

预告|2022 星策 Summit MLOps 分论坛议程公布!

星策开源社区

人工智能 机器学习 开源 AI MLOps

Ansible最佳实践之 AWX 作业创建和启动

山河已无恙

12月月更

react源码分析:babel如何解析jsx

flyzz177

React

react源码中的生命周期和事件系统

flyzz177

React

关于 Git 重写历史的一些笔记

山河已无恙

12月月更

Ansible之Ansible Tower使用User和Team管理访问权限的笔记

山河已无恙

12月月更

新变化新营销 这些知识点你得Get!(文末有PPT福利首次放送)

字节跳动数据平台

大数据 营销 12 月 PK 榜

【Meetup 预告】OpenMLDB + MaxCompute:集成打通云上生态,高效构建 AI 应用

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

广西移动圆满完成区运会通信保障任务

Geek_2d6073

Ansible之 AWX 管理清单和凭据的一些笔记

山河已无恙

12月月更

Ansible最佳实践之Playbook高级循环任务如何操作

山河已无恙

12月月更

镕铭微电子加入龙蜥社区,推动开源 OS 在音视频产业的应用

OpenAnolis小助手

操作系统 芯片 数据存储 龙蜥社区 镕铭微电子

专访 | 徐鹏程:开源,就是酷

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

裸辞不慌!入职蚂蚁金服P6,掌握并发编程我是这样吊打面试官的

钟奕礼

Java java面试 java编程 程序员‘

Ansible最佳实践之 AWX 启用facts缓存和模板问卷调查

山河已无恙

12月月更

OpenMLDB Meetup No.7 回顾 | OpenMLDB+AutoX:整合自动特征工程,拥抱高效机器学习

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

演讲实录 | OpenMLDB 整合自动特征工程

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

OpenMLDB v0.6 新版本运维功能增强

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

react源码中的协调与调度

flyzz177

React

创业者说丨云起无垠沈凯文:构建新一代开发安全基础设施 让Fuzzing技术为企业赋能

云起无垠

安全开发 开发安全 Fuzzing技术防护

OpenMLDB 社区月报 | 2022年10月

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

专访 | 罗成:开源并非“只可远观”

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

企业上云真的安全吗?亚马逊云科技提出洋葱型多层防护方法论,为云上安全护航_AI&大模型_李冬梅_InfoQ精选文章