企业的安全负责人都对一句话有切身体会:“安全合规的力量最大。”
现在企业针对安全合规往往会出现三个问题,一是将应用从自己的数据中心迁移到云上安全吗?二是云服务商本身是不是安全合规?三是把应用放到云上之后,云服务商如何帮助企业实现云中安全合规?
其实用户在自建数据中心时也要构建安全,需要自己构建一切,包括:安全设备管理、合同签订、成本等问题。在应用上云之后,企业并不需要关心琐碎的底层基础设施安全,而且在云端的安全治理有机会再上一个台阶。这主要体现在是四个方面:
一,更加自动化:可以充分利用云端安全服务之间的超高集成度,更好地做到安全自动化;
二,更好的可见性:有了更好的数据整合,在云上也会更有机会用一个集中的平台,实现安全的可视化管理;
三,更灵活的成本控制:云端安全是没有前期投入成本,按使用付费;
四,更高效地做合规:自建数据中心做合规需要从零开始做起。
亚马逊云科技大中华区战略业务发展部总经理顾凡表示,选择亚马逊云科技,客户可以继承云厂商的合规,可能是从50分开始做起,另外50分云厂商已经做好,可以直接继承。
亚马逊云科技大中华区战略业务发展部总经理顾凡
云上的安全合规
现任亚马逊总裁兼首席执行官,原亚马逊云科技CEO Andy Jassy在公开场合曾表示,安全是我们的Job Zero,安全是最高优先级的工作。
亚马逊云科技首创安全责任共担模型,亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。责任共担在IaaS、PaaS、SaaS不同的场景分界线会有所移动。
打铁还需自身硬,亚马逊云科技从四个方面加强自身的安全合规建设:
第一,安全的基础设施:亚马逊云科技的数据中心和网络架构以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户无论规模大小都可以受益于具有高安全性的基础设施。
第二、安全的云服务:亚马逊云科技重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
第三、坚持客户拥有和控制数据的理念:亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密。
第四、众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证:亚马逊云科技获得的安全标准及合规认证,用户可以继承。亚马逊云科技已经把全球积累的安全保护经验、安全合规能力实践到中国区域,同时定期对数千个全球合规性要求进行第三方验证。
亚马逊云科技在云服务安全方面有三个理念:第一,利用云上事件驱动型架构构建自动化防护栏,而非设立关卡;第二,云中安全是主动设计出来,而不仅是被动响应;第三,云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。
洋葱型多层防护体系
亚马逊云科技为客户打造五层防护体系,多层次的安全防护,层层递进,层层展开,通过洋葱模型真正帮客户提升云中的安全合规。顾凡指出,亚马逊云科技的宗旨是,帮助客户更简单地解决安全问题,持续不断加大安全投入,却不设置安全方面的营收指标,要让安全服务像水和空气一样,提供给用户。
亚马逊云科技目前提供了280多安全、合规服务及功能,在五大领域为客户提供全方位的安全服务:
洋葱模型第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。
Amazon GuardDuty为客户提供经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。其集成机器学习能力,实现威胁的精准定位,让报警量减少了50%。Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7x24小时全天候监控,及时响应,并自动执行合规性检查。
洋葱模型第二层:身份认证与访问控制。对于身份认证,亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。三个技术建议:一,尽可能细化访问颗粒度,根据时间,地点和服务来设置访问条件;二,结合多因素鉴证(MFA)技术加强身份认证;三,减少长期凭证的使用。
Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
洋葱模型第三层:网络与基础设施安全。防御DDoS(分布式拒绝服务攻击)是这一层防护的重点。DDoS防御应全年从始至终,不能像急诊,如果等发现DDoS攻击之后再处理,业务的稳定性和持续性就已经受到影响。
Amazon ShieldAdvanced可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还国际一线安全厂商的托管规则。
洋葱模型第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。
Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,客户可以创建一个隔离的环境来处理敏感数据,无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
洋葱模型第五层:风险管控及合规。亚马逊云科技三个方面帮助用户合规,一,确保亚马逊云科技服务本身的合规性;二,合规方案落地;三,自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。
Amazon Audit Manager可以简化审计管理和合规性评估,自动扫描、搜集证据,还提供了各种合规认证的模板,简化合规审计的证据收集工作。同时,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
德勤中国风险咨询部网络安全及战略风险事业群主管合伙人薛梓源表示,去年德勤与亚马逊云科技打造了安全服务框架,其中不同的组件有很多进展。今年,德勤中国发布了基于亚马逊云科技的德勤安全运营中心服务,为企业提供安全监管、安全事件管理、威胁狩猎、安全产品托管、日志管理、漏洞管理等服务,助力企业快速平稳发展。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面