云的安全性從未像今天這樣凸顯，據(jù)IDC調(diào)查數(shù)據(jù)顯示在過去的18個月中，有近80%的企業(yè)至少經(jīng)歷了一次云數(shù)據(jù)泄露。突如其來的疫情，極大的改變了人們的生活和工作方式。在全球范圍內(nèi)，企業(yè)幾乎在一夜之間改變了原來的IT模式，通過云來應(yīng)對遠程工作的挑戰(zhàn)。

企業(yè)在邁入云端時，如果沒有妥善解決安全問題，企業(yè)將更為謹(jǐn)慎的采用云服務(wù)和功能。穩(wěn)健的云安全服務(wù)選擇，不僅能夠保障企業(yè)在全球市場開展業(yè)務(wù)，也能夠支持到遠程辦公所需的可用性、可靠性、靈活性和安全。

云安全成“新常態(tài)”

根據(jù)Gartner的調(diào)查，到2022年向云計算的轉(zhuǎn)型將產(chǎn)生約1.3萬億美元的IT支出?，F(xiàn)在絕大多數(shù)企業(yè)工作負(fù)載都在公有、私有或混合云環(huán)境上運行。

可見未來有效應(yīng)對云上安全威脅將成為企業(yè)的“新常態(tài)”，尤其伴隨著企業(yè)在疫情期間加速上云來推動遠程工作的能力，遠程辦公更容易受到來自惡意軟件攻擊和網(wǎng)絡(luò)釣魚的影響。比如導(dǎo)致內(nèi)部安全威脅的增加，員工賬戶被劫持等安全隱患。

而更為緊迫的云安全挑戰(zhàn)在于，企業(yè)通常不完全了解在云中進行操作的含義。比如，企業(yè)可能會嘗試將傳統(tǒng)的安全模型想當(dāng)然的映射到新平臺上，而忽視了利用云所提供的功能。

IDC的報告指出，云上安全相關(guān)的配置錯誤，對訪問設(shè)置和活動缺乏足夠的可見性，以及身份和訪問管理（IAM）許可錯誤是企業(yè)最關(guān)注的云生產(chǎn)環(huán)境安全問題。

事實證明，企業(yè)采用激進的上云策略獲取彈性和計算資源的同時，恰恰忽視了云平臺的整體安全能力所帶來的價值。

云業(yè)務(wù)的“生命線”

今年2月份，AWS創(chuàng)紀(jì)錄的抵御住了2.3 Tbps的DDoS攻擊。AWS透露，身份不明的攻擊者每秒向其服務(wù)器發(fā)送2.3萬億字節(jié)的數(shù)據(jù)，規(guī)模驚人。這次攻擊的規(guī)模比2018年導(dǎo)致GitHub宕機的1.3 Tbps攻擊大近一倍，比2016年導(dǎo)致Dyn癱瘓的大約1 Tbps的Mirai僵尸網(wǎng)絡(luò)DDoS大一倍多。

正因于此，云供應(yīng)商需要向企業(yè)保證安全性是云基礎(chǔ)架構(gòu)的核心，能夠提供與本地IT基礎(chǔ)架構(gòu)相同甚至超越的安全能力。這次事件從一個側(cè)面印證了AWS作為云計算領(lǐng)航者的安全實力。

與客戶重視云應(yīng)用可靠性和數(shù)據(jù)安全性一樣，安全的重要性在AWS比所有的優(yōu)先級都高，如果存在任何已知的安全問題，AWS都會及時解決，如果沒有解決安全的隱患，絕不會勉強將新的云服務(wù)推向商用，高優(yōu)先級的安全責(zé)任，成為了AWS保障云上業(yè)務(wù)的“生命線”。

AWS采用了共享安全責(zé)任模型的運營方式，其中AWS負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全，一方面AWS負(fù)責(zé)保護云端包括計算、存儲、網(wǎng)絡(luò)和數(shù)據(jù)庫等云服務(wù)基礎(chǔ)設(shè)施中部署的工作負(fù)載，也就是如果AWS沒能抗住2.3 Tbps的DDoS攻擊，那么給用戶帶來的影響將由AWS承擔(dān)責(zé)任，一方面AWS要為云環(huán)境中用戶的業(yè)務(wù)功能實施提供最適用的安全控制措施所需的靈活性和敏捷性，這通過AWS的超過200種安全功能和服務(wù)實現(xiàn)。

AWS共享安全責(zé)任模式

AWS所提供的云基礎(chǔ)設(shè)施是目前市場上最靈活、最安全的云計算環(huán)境之一，已經(jīng)連續(xù)10年獲評Gartner魔力象限領(lǐng)導(dǎo)者。AWS不僅具有安全最佳實踐和標(biāo)準(zhǔn)，而且使用冗余和分層控制、持續(xù)驗證和測試以及大量自動化，來確保7*24全天候監(jiān)控和保護底層基礎(chǔ)設(shè)施。

而企業(yè)負(fù)責(zé)制定嚴(yán)格限制對處理敏感數(shù)據(jù)環(huán)境的訪問策略，或者為要公開的信息部署靈活的控制策略，因為AWS推崇并遵循客戶對自己的系統(tǒng)和數(shù)據(jù)擁有完全的自主權(quán)。

目前這種安全責(zé)任共擔(dān)的模式已經(jīng)得到了大多數(shù)企業(yè)的認(rèn)同，因為在云計算的普及過程中，有諸多因云安全所引發(fā)的責(zé)任歸屬的爭論，AWS所倡導(dǎo)的安全責(zé)任共擔(dān)模式為云安全“責(zé)權(quán)利”劃出了清晰的邊界。

同時，在AWS內(nèi)部，安全的優(yōu)先級高于任何的任務(wù)，AWS的每位員工都有責(zé)任確保安全性是所有業(yè)務(wù)不可或缺的組成部分，每個員工都知道如何報告安全問題，并且有權(quán)在必要時將安全問題升級到最高級別。同時，AWS每一項安全功能和服務(wù)的創(chuàng)新都來自客戶的聲音，來滿足大多數(shù)風(fēng)險敏感的用戶和企業(yè)的安全性和合規(guī)性需求。

云安全“三駕馬車”

AWS提供了超過200種安全功能和服務(wù)，并與合作伙伴一起提供了各種工具和功能，幫助企業(yè)實現(xiàn)安全目標(biāo)，這些工具和功能可以鏡像企業(yè)本地環(huán)境中已經(jīng)駕輕就熟的部署和控制。AWS提供的安全專用工具和功能涉及網(wǎng)絡(luò)安全、配置管理、訪問權(quán)限控制和數(shù)據(jù)安全這些領(lǐng)域。此外，AWS還提供了監(jiān)控和日志記錄工具，讓企業(yè)可以全面了解云環(huán)境中正在發(fā)生的情況。

綜合來看，AWS的云服務(wù)聚焦于身份認(rèn)證，安全功能及合規(guī)三個方面。這“三駕馬車”為企業(yè)構(gòu)建了可見、可控、可審計、靈活、自動化的全方位安全能力，我們通過AWS IAM、AWS Security Hub、AWS WAF和Amazon GuardDuty這四項云安全服務(wù)，來詳細(xì)了解AWS如何為企業(yè)數(shù)字化轉(zhuǎn)型保駕護航。

AWS Identity and Access Management （IAM）是身份認(rèn)證方面的代表性云服務(wù)，借助IAM企業(yè)可以為各個賬戶定義對AWS資源的訪問權(quán)限，包括基于軟件和硬件的身份驗證器選項。通過IAM，企業(yè)可以使用現(xiàn)有的身份驗證系統(tǒng)（如微軟Active Directory或其他合作伙伴的產(chǎn)品）向員工和應(yīng)用程序授予對AWS管理控制臺和AWS服務(wù)API的聯(lián)合訪問權(quán)限。

IAM的優(yōu)勢在于其細(xì)粒度的身份認(rèn)證和訪問控制，同時結(jié)合對安全事件的持續(xù)監(jiān)控，來確保正確的資源得到正確的訪問。比如我愛我家、新希望草根知本、新世紀(jì)醫(yī)療等客戶利用AWS健全的安全機制和IAM，實現(xiàn)了精細(xì)化的安全管理，確保系統(tǒng)的高可用性和可靠性。

在合規(guī)性方面，AWS Security Hub作為一體化安全性與合規(guī)性中心，可讓企業(yè)全面查看AWS賬戶中的高優(yōu)先級安全警報與合規(guī)性狀態(tài)。

過往企業(yè)需要使用一系列的安全工具，來完成從防火墻到端點保護，再到漏洞的合規(guī)性掃描，安全團隊需要在不同工具間切換，每天處理大量安全警報，這大大增加了企業(yè)的安全運維成本。

AWS Security Hub的優(yōu)勢在于企業(yè)能夠?qū)碜圆煌珹WS服務(wù)，以及來自AWS合作伙伴解決方案的安全警報或檢測結(jié)果進行聚合、組織和設(shè)置優(yōu)先級，檢測結(jié)果的可視性也大大提升，可在具有可操作圖形和表格的集成控制面板上進行直觀匯總。此外，企業(yè)還可以使用自動合規(guī)性檢查進行持續(xù)監(jiān)控。

在安全功能方面，WAF和威脅檢測是企業(yè)最為常用的云安全服務(wù)選項。AWS WAF和Amazon GuardDuty充分體現(xiàn)了AWS在云服務(wù)之間的高度集成，自動化布署的優(yōu)勢。

AWS WAF是一種Web應(yīng)用防火墻，可幫助企業(yè)保護Web應(yīng)用或API免遭常見Web漏洞的攻擊，這些漏洞可能會影響可用性、損害安全性或消耗過多的資源。

AWS WAF允許企業(yè)創(chuàng)建防范常見攻擊模式，例如SQL注入或跨站點腳本的安全規(guī)則，以及濾除企業(yè)定義的特定流量模式的規(guī)則，從而讓企業(yè)可以控制流量到達應(yīng)用程序的方式。AWS WAF的優(yōu)勢在于其包含功能全面的API，可以讓安全規(guī)則的創(chuàng)建、部署和維護實現(xiàn)自動化。

Amazon GuardDuty是一種威脅檢測服務(wù)，可持續(xù)監(jiān)控惡意活動和未經(jīng)授權(quán)的行為，從而保護企業(yè)AWS賬戶、工作負(fù)載和Amazon S3中存儲的數(shù)據(jù)。

雖然遷移到云后，賬戶和網(wǎng)絡(luò)活動的收集與聚合變得簡單，但安全團隊對事件日志數(shù)據(jù)進行持續(xù)的分析來發(fā)現(xiàn)潛在的威脅，則十分耗時。所以GuardDuty為企業(yè)提供了經(jīng)濟高效的智能選項，從而持續(xù)檢測在AWS中發(fā)生的威脅。

GuardDuty的優(yōu)勢在于使用機器學(xué)習(xí)、異常檢測和集成威脅情報等手段，識別潛在的威脅并確定優(yōu)先級別。一方面，GuardDuty會對來自多個AWS數(shù)據(jù)源，例如AWS CloudTrail事件日志、Amazon VPC流日志和DNS日志的數(shù)百億事件進行分析。其次，GuardDuty警報與Amazon CloudWatch Events集成，具有極好的可行動性，非常便于跨多個賬戶聚合，并且可以直接推送到現(xiàn)有的事件管理和工作流程系統(tǒng)。

結(jié)語

過往，企業(yè)不斷構(gòu)建和維護內(nèi)部的分層“深度防御”安全策略。而今天，已經(jīng)有越來越多的企業(yè)逐漸意識到云的廣泛安全優(yōu)勢以及合規(guī)能力。過硬的安全能力關(guān)乎千萬企業(yè)的信任和持續(xù)投入，這也是為什么AWS將安全視“生命線”的真正原因。
責(zé)編AJX