云的安全性從未像今天這樣凸顯，據(jù)IDC調(diào)查數(shù)據(jù)顯示在過(guò)去的18個(gè)月中，有近80%的企業(yè)至少經(jīng)歷了一次云數(shù)據(jù)泄露。突如其來(lái)的疫情，極大的改變了人們的生活和工作方式。在全球范圍內(nèi)，企業(yè)幾乎在一夜之間改變了原來(lái)的IT模式，通過(guò)云來(lái)應(yīng)對(duì)遠(yuǎn)程工作的挑戰(zhàn)。

企業(yè)在邁入云端時(shí)，如果沒(méi)有妥善解決安全問(wèn)題，企業(yè)將更為謹(jǐn)慎的采用云服務(wù)和功能。穩(wěn)健的云安全服務(wù)選擇，不僅能夠保障企業(yè)在全球市場(chǎng)開(kāi)展業(yè)務(wù)，也能夠支持到遠(yuǎn)程辦公所需的可用性、可靠性、靈活性和安全。

云安全成“新常態(tài)”

根據(jù)Gartner的調(diào)查，到2022年向云計(jì)算的轉(zhuǎn)型將產(chǎn)生約1.3萬(wàn)億美元的IT支出。現(xiàn)在絕大多數(shù)企業(yè)工作負(fù)載都在公有、私有或混合云環(huán)境上運(yùn)行。

可見(jiàn)未來(lái)有效應(yīng)對(duì)云上安全威脅將成為企業(yè)的“新常態(tài)”，尤其伴隨著企業(yè)在疫情期間加速上云來(lái)推動(dòng)遠(yuǎn)程工作的能力，遠(yuǎn)程辦公更容易受到來(lái)自惡意軟件攻擊和網(wǎng)絡(luò)釣魚(yú)的影響。比如導(dǎo)致內(nèi)部安全威脅的增加，員工賬戶(hù)被劫持等安全隱患。

而更為緊迫的云安全挑戰(zhàn)在于，企業(yè)通常不完全了解在云中進(jìn)行操作的含義。比如，企業(yè)可能會(huì)嘗試將傳統(tǒng)的安全模型想當(dāng)然的映射到新平臺(tái)上，而忽視了利用云所提供的功能。

IDC的報(bào)告指出，云上安全相關(guān)的配置錯(cuò)誤，對(duì)訪問(wèn)設(shè)置和活動(dòng)缺乏足夠的可見(jiàn)性，以及身份和訪問(wèn)管理（IAM）許可錯(cuò)誤是企業(yè)最關(guān)注的云生產(chǎn)環(huán)境安全問(wèn)題。

事實(shí)證明，企業(yè)采用激進(jìn)的上云策略獲取彈性和計(jì)算資源的同時(shí)，恰恰忽視了云平臺(tái)的整體安全能力所帶來(lái)的價(jià)值。

云業(yè)務(wù)的“生命線”

今年2月份，AWS創(chuàng)紀(jì)錄的抵御住了2.3 Tbps的DDoS攻擊。AWS透露，身份不明的攻擊者每秒向其服務(wù)器發(fā)送2.3萬(wàn)億字節(jié)的數(shù)據(jù)，規(guī)模驚人。這次攻擊的規(guī)模比2018年導(dǎo)致GitHub宕機(jī)的1.3 Tbps攻擊大近一倍，比2016年導(dǎo)致Dyn癱瘓的大約1 Tbps的Mirai僵尸網(wǎng)絡(luò)DDoS大一倍多。

正因于此，云供應(yīng)商需要向企業(yè)保證安全性是云基礎(chǔ)架構(gòu)的核心，能夠提供與本地IT基礎(chǔ)架構(gòu)相同甚至超越的安全能力。這次事件從一個(gè)側(cè)面印證了AWS作為云計(jì)算領(lǐng)航者的安全實(shí)力。

與客戶(hù)重視云應(yīng)用可靠性和數(shù)據(jù)安全性一樣，安全的重要性在AWS比所有的優(yōu)先級(jí)都高，如果存在任何已知的安全問(wèn)題，AWS都會(huì)及時(shí)解決，如果沒(méi)有解決安全的隱患，絕不會(huì)勉強(qiáng)將新的云服務(wù)推向商用，高優(yōu)先級(jí)的安全責(zé)任，成為了AWS保障云上業(yè)務(wù)的“生命線”。

AWS采用了共享安全責(zé)任模型的運(yùn)營(yíng)方式，其中AWS負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全，一方面AWS負(fù)責(zé)保護(hù)云端包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)等云服務(wù)基礎(chǔ)設(shè)施中部署的工作負(fù)載，也就是如果AWS沒(méi)能抗住2.3 Tbps的DDoS攻擊，那么給用戶(hù)帶來(lái)的影響將由AWS承擔(dān)責(zé)任，一方面AWS要為云環(huán)境中用戶(hù)的業(yè)務(wù)功能實(shí)施提供最適用的安全控制措施所需的靈活性和敏捷性，這通過(guò)AWS的超過(guò)200種安全功能和服務(wù)實(shí)現(xiàn)。

AWS共享安全責(zé)任模式

AWS所提供的云基礎(chǔ)設(shè)施是目前市場(chǎng)上最靈活、最安全的云計(jì)算環(huán)境之一，已經(jīng)連續(xù)10年獲評(píng)Gartner魔力象限領(lǐng)導(dǎo)者。AWS不僅具有安全最佳實(shí)踐和標(biāo)準(zhǔn)，而且使用冗余和分層控制、持續(xù)驗(yàn)證和測(cè)試以及大量自動(dòng)化，來(lái)確保7*24全天候監(jiān)控和保護(hù)底層基礎(chǔ)設(shè)施。

而企業(yè)負(fù)責(zé)制定嚴(yán)格限制對(duì)處理敏感數(shù)據(jù)環(huán)境的訪問(wèn)策略，或者為要公開(kāi)的信息部署靈活的控制策略，因?yàn)锳WS推崇并遵循客戶(hù)對(duì)自己的系統(tǒng)和數(shù)據(jù)擁有完全的自主權(quán)。

目前這種安全責(zé)任共擔(dān)的模式已經(jīng)得到了大多數(shù)企業(yè)的認(rèn)同，因?yàn)樵谠朴?jì)算的普及過(guò)程中，有諸多因云安全所引發(fā)的責(zé)任歸屬的爭(zhēng)論，AWS所倡導(dǎo)的安全責(zé)任共擔(dān)模式為云安全“責(zé)權(quán)利”劃出了清晰的邊界。

同時(shí)，在AWS內(nèi)部，安全的優(yōu)先級(jí)高于任何的任務(wù)，AWS的每位員工都有責(zé)任確保安全性是所有業(yè)務(wù)不可或缺的組成部分，每個(gè)員工都知道如何報(bào)告安全問(wèn)題，并且有權(quán)在必要時(shí)將安全問(wèn)題升級(jí)到最高級(jí)別。同時(shí)，AWS每一項(xiàng)安全功能和服務(wù)的創(chuàng)新都來(lái)自客戶(hù)的聲音，來(lái)滿足大多數(shù)風(fēng)險(xiǎn)敏感的用戶(hù)和企業(yè)的安全性和合規(guī)性需求。

云安全“三駕馬車(chē)”

AWS提供了超過(guò)200種安全功能和服務(wù)，并與合作伙伴一起提供了各種工具和功能，幫助企業(yè)實(shí)現(xiàn)安全目標(biāo)，這些工具和功能可以鏡像企業(yè)本地環(huán)境中已經(jīng)駕輕就熟的部署和控制。AWS提供的安全專(zhuān)用工具和功能涉及網(wǎng)絡(luò)安全、配置管理、訪問(wèn)權(quán)限控制和數(shù)據(jù)安全這些領(lǐng)域。此外，AWS還提供了監(jiān)控和日志記錄工具，讓企業(yè)可以全面了解云環(huán)境中正在發(fā)生的情況。

綜合來(lái)看，AWS的云服務(wù)聚焦于身份認(rèn)證，安全功能及合規(guī)三個(gè)方面。這“三駕馬車(chē)”為企業(yè)構(gòu)建了可見(jiàn)、可控、可審計(jì)、靈活、自動(dòng)化的全方位安全能力，我們通過(guò)AWS IAM、AWS Security Hub、AWS WAF和Amazon GuardDuty這四項(xiàng)云安全服務(wù)，來(lái)詳細(xì)了解AWS如何為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

AWS Identity and Access Management （IAM）是身份認(rèn)證方面的代表性云服務(wù)，借助IAM企業(yè)可以為各個(gè)賬戶(hù)定義對(duì)AWS資源的訪問(wèn)權(quán)限，包括基于軟件和硬件的身份驗(yàn)證器選項(xiàng)。通過(guò)IAM，企業(yè)可以使用現(xiàn)有的身份驗(yàn)證系統(tǒng)（如微軟Active Directory或其他合作伙伴的產(chǎn)品）向員工和應(yīng)用程序授予對(duì)AWS管理控制臺(tái)和AWS服務(wù)API的聯(lián)合訪問(wèn)權(quán)限。

IAM的優(yōu)勢(shì)在于其細(xì)粒度的身份認(rèn)證和訪問(wèn)控制，同時(shí)結(jié)合對(duì)安全事件的持續(xù)監(jiān)控，來(lái)確保正確的資源得到正確的訪問(wèn)。比如我愛(ài)我家、新希望草根知本、新世紀(jì)醫(yī)療等客戶(hù)利用AWS健全的安全機(jī)制和IAM，實(shí)現(xiàn)了精細(xì)化的安全管理，確保系統(tǒng)的高可用性和可靠性。

在合規(guī)性方面，AWS Security Hub作為一體化安全性與合規(guī)性中心，可讓企業(yè)全面查看AWS賬戶(hù)中的高優(yōu)先級(jí)安全警報(bào)與合規(guī)性狀態(tài)。

過(guò)往企業(yè)需要使用一系列的安全工具，來(lái)完成從防火墻到端點(diǎn)保護(hù)，再到漏洞的合規(guī)性掃描，安全團(tuán)隊(duì)需要在不同工具間切換，每天處理大量安全警報(bào)，這大大增加了企業(yè)的安全運(yùn)維成本。

AWS Security Hub的優(yōu)勢(shì)在于企業(yè)能夠?qū)?lái)自不同AWS服務(wù)，以及來(lái)自AWS合作伙伴解決方案的安全警報(bào)或檢測(cè)結(jié)果進(jìn)行聚合、組織和設(shè)置優(yōu)先級(jí)，檢測(cè)結(jié)果的可視性也大大提升，可在具有可操作圖形和表格的集成控制面板上進(jìn)行直觀匯總。此外，企業(yè)還可以使用自動(dòng)合規(guī)性檢查進(jìn)行持續(xù)監(jiān)控。

在安全功能方面，WAF和威脅檢測(cè)是企業(yè)最為常用的云安全服務(wù)選項(xiàng)。AWS WAF和Amazon GuardDuty充分體現(xiàn)了AWS在云服務(wù)之間的高度集成，自動(dòng)化布署的優(yōu)勢(shì)。

AWS WAF是一種Web應(yīng)用防火墻，可幫助企業(yè)保護(hù)Web應(yīng)用或API免遭常見(jiàn)Web漏洞的攻擊，這些漏洞可能會(huì)影響可用性、損害安全性或消耗過(guò)多的資源。

AWS WAF允許企業(yè)創(chuàng)建防范常見(jiàn)攻擊模式，例如SQL注入或跨站點(diǎn)腳本的安全規(guī)則，以及濾除企業(yè)定義的特定流量模式的規(guī)則，從而讓企業(yè)可以控制流量到達(dá)應(yīng)用程序的方式。AWS WAF的優(yōu)勢(shì)在于其包含功能全面的API，可以讓安全規(guī)則的創(chuàng)建、部署和維護(hù)實(shí)現(xiàn)自動(dòng)化。

Amazon GuardDuty是一種威脅檢測(cè)服務(wù)，可持續(xù)監(jiān)控惡意活動(dòng)和未經(jīng)授權(quán)的行為，從而保護(hù)企業(yè)AWS賬戶(hù)、工作負(fù)載和Amazon S3中存儲(chǔ)的數(shù)據(jù)。

雖然遷移到云后，賬戶(hù)和網(wǎng)絡(luò)活動(dòng)的收集與聚合變得簡(jiǎn)單，但安全團(tuán)隊(duì)對(duì)事件日志數(shù)據(jù)進(jìn)行持續(xù)的分析來(lái)發(fā)現(xiàn)潛在的威脅，則十分耗時(shí)。所以GuardDuty為企業(yè)提供了經(jīng)濟(jì)高效的智能選項(xiàng)，從而持續(xù)檢測(cè)在AWS中發(fā)生的威脅。

GuardDuty的優(yōu)勢(shì)在于使用機(jī)器學(xué)習(xí)、異常檢測(cè)和集成威脅情報(bào)等手段，識(shí)別潛在的威脅并確定優(yōu)先級(jí)別。一方面，GuardDuty會(huì)對(duì)來(lái)自多個(gè)AWS數(shù)據(jù)源，例如AWS CloudTrail事件日志、Amazon VPC流日志和DNS日志的數(shù)百億事件進(jìn)行分析。其次，GuardDuty警報(bào)與Amazon CloudWatch Events集成，具有極好的可行動(dòng)性，非常便于跨多個(gè)賬戶(hù)聚合，并且可以直接推送到現(xiàn)有的事件管理和工作流程系統(tǒng)。

結(jié)語(yǔ)

過(guò)往，企業(yè)不斷構(gòu)建和維護(hù)內(nèi)部的分層“深度防御”安全策略。而今天，已經(jīng)有越來(lái)越多的企業(yè)逐漸意識(shí)到云的廣泛安全優(yōu)勢(shì)以及合規(guī)能力。過(guò)硬的安全能力關(guān)乎千萬(wàn)企業(yè)的信任和持續(xù)投入，這也是為什么AWS將安全視“生命線”的真正原因。
責(zé)編AJX