• 顾凡详解亚马逊云科技云上安全合规策略

    时间:2022-03-29 11:28:54       来源:TechWeb.com.cn

    【TechWeb】3月28日消息,随着数字经济深入到社会生活的更多领域,数据的安全性越来越受到关注。目前,全球已有132个国家跟地区制定了数据保护和隐私相关的法律法规,中国也出台了数据安全法、个人信息保护法等相关法规。

    是否能有效、稳定、持续保障企业数据安全,成为各家企业在选择合作的云厂商时尤为关注的考量指标。作为全球最大的云计算服务商,亚马逊云科技历经15年的发展,在云上安全合规方面又有哪些先进理念和成功实践呢?

    近日,亚马逊云科技大中华区战略业务发展部总经理顾凡就详细介绍了确保云上安全合规的两大支柱:一是亚马逊云科技自身的安全合规,二是亚马逊云科技为客户打造的洋葱形多层防护体系。

    在确保亚马逊云科技自身的安全合规上,一方面,在理念上,亚马逊云科技提出了“Job Zero 安全文化“,将安全作为亚马逊云科技最高优先级的工作;同时,首创安全责任共担模型,亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全,双方共同推动安全及合规建设。

    另一方面,在实践中,亚马逊云科技通过四个方面保证自身的安全合规:一是采用高安全性的基础设施,数据中心和网络架构以最高安全标准构建;二是重视每一个云服务的安全性,尽量多实现安全自动化,减少人工配置错误,降低风险;三是坚持客户拥有和控制数据,所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密;四是亚马逊云科技获得了几乎满足全球所有监管机构的合规认证,这些合规认证客户可以直接继承。

    而在确保客户数据安全方面,亚马逊云科技则打造出五层防护体系。顾凡强调:“云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。”

    在亚马逊云科技的五层防护洋葱模型中,第一层是威胁检测与事件响应。

    顾凡介绍,威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。

    针对威胁检测与事件响应,目前,Amazon Guard Duty可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源,同时,Amazon GuardDuty 集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。另外,Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7x24 小时全天候监控,及时响应,并自动执行合规性检查。

    洋葱模型第二层:身份认证与访问控制。

    “身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破,有可能会带来意想不到的严重后果。没有好的身份认证的访问策略,就好像建了一座坚固的城堡,却把门打开给未知访客。”顾凡比喻道。

    据悉,关于身份认证,亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。三个技术建议:一是尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;二是结合多因素鉴证(MFA)技术加强身份认证;三是减少长期凭证的使用。目前,Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。

    洋葱模型第三层:网络与基础设施安全。

    顾凡介绍,防御DDoS攻击是这一层防护的重点。DDoS防御应全年从始至终,而不能像急诊。如果等发现DDoS攻击之后再处理,业务的稳定性和持续性已经受到影响了。目前,Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF 提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则。

    洋葱模型第四层:数据保护与隐私。

    亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。

    洋葱模型第五层:风险管控及合规。

    顾凡介绍:“亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。”

    通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。

    在顾凡看来,亚马逊云科技在安全合规的五大优势,包括出色的可见性和控制力、深度集成实现自动化、以最高的安全与隐私保护标准构建、客户可以继承亚马逊云科技全面的安全性与合规性控制、丰富的安全、合规合作伙伴。

    截至目前,亚马逊云科技在中国区域(北京与宁夏)已推出50多项安全合规的服务和功能,包括 Web应用程序防火墙Amazon WAF、威胁检测服务Amazon GuardDuty和安全事件统一管理平台Amazon Security Hub等。顾凡表示,未来,亚马逊云科技将持续继续引入全球安全合作伙伴到中国,也会继续加强和本土合作伙伴的合作,更好地满足客户在国内安全合规方面的需求。

    关键词: 云上安全

    四场进球