亚马逊云科技：让云中安全成为企业创新助推器 构建“洋葱”式多层防护

北京2022年7月21日 -- 上云已成为企业数字化建设的新常态，企业在云中加速创新的同时更需要确保云中安全。云中安全，是如同妨碍创新的"守门人"？还是如同水和空气般的存在，助推创新更好地发生？

云计算已经重塑了企业数字化进程的各个方面，在安全领域也是一样。通过构建良好的云中安全机制，企业不必再从安全与创新之中进行取舍 -- 二者并行，才能更好地应对深度数字化时期的目标和挑战。

要成为创新的助力而非限制，安全机制应该做到"无感"且触手可得，就如同水和空气般的存在。这一理念也体现在亚马逊云科技提出的"安全责任共担模型"中：亚马逊云科技负责云本身的安全，用户为其自身云业务安全负责，亚马逊云科技帮助用户构建云中的安全防护。为了让云上安全能有效服务于创新，亚马逊云科技在规划安全服务时一直秉持三个理念：

第一，利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡。自动化是实现云上规模化安全的重要一环。基于云上统一的API管理以及集中的事件管理，建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护，才能在实现安全的同时解放开发团队的精力，使之专注于业务创新。

第二，云中安全是主动设计出来的，而不仅是被动响应。主动设计意味着企业是从自身的业务、实际需求出发，设计适合自己的安全方案，将安全建设的主动权掌握在自己手中，避免过多的被动响应和改造。

第三，云中安全必须是一个洋葱型的多层防护，而非一个鸡蛋。相比于鸡蛋那样仅有一层看似坚硬的外壳，洋葱式的多层柔韧防护更适合云上环境的安全要求。亚马逊云科技把云中的安全建设分成不同的类别，像洋葱一样层层防护，用户可以基于洋葱模型快速构建云中安全。

基于以上理念，亚马逊云科技已经能够为用户提供超过280项安全、合规服务和功能，在用户对其数据完全拥有和控制的前提下，为用户提供一系列安全保护。

"洋葱模型"多层防护，提供五大领域安全服务

"洋葱模型"是对亚马逊云科技多层安全防护的系统性归纳，涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。

1、 威胁检测与事件响应

安全风险的最重要特征之一，在于其攻击来源的未知性，成功的安全防护，应该能够对攻击做出正确的预判。在新冠疫情之后，由于远程办公、自带设备等场景大幅增长，诸如网络钓鱼、身份盗用等安全风险也水涨船高，种种不确定性愈发加剧了云中安全的"阴晴不定"。这种情况下，企业需要如"专业的天气预报员一样"的预判工具，企业自身并不需要成为专业的天气预报员，因为这通常是一个与企业业务无关的领域。亚马逊云科技提供的威胁检测和事件响应就如同"专业的天气预报员"，为企业自动甄别、定位风险，并自动做出快速响应。

这其中的一个关键服务是Amazon GuardDuty，可实现对威胁的精准定位与快速反应。Amazon GuardDuty可以一键开启，内嵌了来自于Amazon电商平台收集的第一手情报源，并集成行业顶尖的CrowdStrike和Proofpoint 情报源，同时与一系列世界顶尖的安全公司持续合作以丰富情报源。此外，Amazon GuardDuty内置了机器学习能力，在提升预警准确度的同时将可疑警报量降低了50%。Amazon GuardDuty还可对安全风险事件做出快速反应，即发挥"事件驱动的自动化防护栏"作用。

另一项重要服务是Amazon Security Hub，可对安全合规风险和威胁进行7x24小时全天候监测，针对威胁及时响应，自动执行合规性检查，快速发现技术差异并提供修复方案。

Amazon GuardDuty与Amazon Security Hub不仅提供给用户周密的安全防线，而且还通过全程自动化显著优化安全工作效率。例如在线游戏企业风林火山，此前由于人手不足，一直受困于海量日志数据分析和合规的持续性。现在这些工作已经全部交给Amazon GuardDuty与Amazon Security Hub来完成，既带来了可持续的安全保障，也解放了企业人力。

2、 身份认证与访问控制

在云环境的安全体系中，身份认证就如同坚固城墙上的城门。而实际使用场景中，弱口令、使用个人设备、个人邮箱等，都存在着身份认证在某一环节被攻破的风险，导致其它安全措施形同虚设。

在亚马逊云科技看来，身份认证与访问控制的安全性是"三分技术、七分管理"。在管理上，亚马逊云科技建议用户关注两个原则：第一是最小授权原则，确保每一次授权都与业务职责相关且必须。客户尽可能细化访问的颗粒度，例如根据时间、地点、角色和服务来设置访问条件。第二是对最小授权原则进行定期审计，根据业务动态对授权进行时效性调整。在相关的安全服务方面，Amazon Identity and Access Management (Amazon IAM) 是身份认证与访问控制的核心服务，以细颗粒度的身份认证与访问控制机制，结合对安全事件的持续监控和精准的安全权限设置，保障正确资源被相应正确人员访问。另一项服务是Amazon Organizations，能够让用户使用服务控制策略 (SCP) 来建立组织账户中所有IAM用户和角色都要遵守的权限防护机制及数据边界 -- 例如将公司的所有账户分为不同群组，并为其分别下发不同的访问控制策略。汽车数字服务企业WirelessCar在Amazon Organizations的帮助下，就有效降低了账户运维管理的时间，节省了人力成本，提高了IT运维效率，使团队可专注于业务开发和创新。

3、 网络与基础设施安全

纵观亚马逊云科技所观测到的攻击数据，在近几年中DDoS攻击呈现出指数级增长。因此，网络边缘，也就是CDN侧的安全防护愈发严峻且重要。并且防御DDoS需要保持全天候自始至终，而不能像"看急诊"一样对待。否则，偶发性攻击也可能给业务带来巨大损失。

因此，亚马逊云科技在主机、网络和应用程序级别边界为客户提供细粒度的保护。Amazon Shield Advanced是亚马逊云科技提供的网络边缘侧防护服务。用户可将所有面向网络的资源加载到Amazon Shield Advanced，以获得全天候保护。

另一个重要产品是已经被众多客户作为标准配置的Amazon WAF。Amazon WAF的特点在于提供了丰富的规则库，其中既有亚马逊云科技安全专家团队自研的全托管的规则，也可由用户依据需求来自定义规则。用户还可以将亚马逊云科技的APN合作伙伴网络成员 -- 众多国际一线安全厂商的托管规则加载到Amazon WAF。

4、 数据保护与隐私

亚马逊云科技数据保护服务提供加密、密钥管理和威胁检测功能，可以持续保护客户数据、监控和保护客户的账户和工作负载。亚马逊云科技使用很多不同的方法实施数据保护。

其中，自动识别和分类数据可以帮助客户快速地根据合规的需要，发现并定位包括个人数据在内的敏感数据。Amazon Macie 使用机器学习技术来自动发现和保护客户的敏感数据并对其分类，可以识别个人可识别信息 (PII) 或知识产权之类的敏感数据，并为客户提供控制面板和警报，让客户了解此类数据的访问或移动方式。

对于数据加密，亚马逊云科技秉持通过服务集成实现全生命周期数据加密。Amazon Key Management Service（AmazonKMS）是亚马逊云科技最常用的数据加密服务，这项服务与亚马逊云科技的140多项服务深度集成，可帮助用户大幅减少人工操作，降低出错概率。

对于数据保密要求更高的用户，还可使用Amazon CloudHSM来获得云上专属加密机服务。全球领先的智能终端制造商OPPO就通过Amazon CloudHSM来获得基于行业安全标准的加密机硬件，构建自己独特的数据保护体系。Amazon CloudHSM还可让OPPO根据业务变化随时扩展加密机硬件容量，并利用亚马逊云科技的托管服务自动执行耗时的管理任务。

在数据计算过程中，用户可使用Amazon Nitro Enclaves的云端机密计算的技术，创建严密隔离的环境处理敏感数据。这项技术在确保数据安全之外，也让用户能够开拓新的创新应用场景，例如可在完全不触碰数据的前提下，与一些持有重要数据的机构利用Amazon Nitro Enclaves创建的数据"密室"进行与外界完全隔绝的联合计算分析。

5、风险管控及合规

亚马逊云科技可帮助客户全面了解合规状况，并使用自动合规性检查，持续监控客户的环境。例如，Amazon Artifact自助门户，允许客户按需访问并获取亚马逊云科技的合规性报告。为避免用户在合规审计与评估中消耗过多成本，亚马逊云科技提供Amazon Audit Manager，可自动扫描、搜集证据，还提供了各种合规认证的模板，简化合规审计的证据收集工作，实现高效的自动化合规审计与评估。

目前，亚马逊云科技正不断将领先的安全服务引入中国（西云数据运营宁夏区域，光环新网运营北京区域），进一步帮助用户完善云上安全建设。依托亚马逊云科技的云自身安全及云中安全服务，用户能够在云上开展业务的同时获得自动化、规模化的安全保障，让安全成为企业创新助推器。

来源：美通社