本文来自IT168网站(www.it168.com),作者/李代丽。
全球环境复杂多变,各个国家都把目标锁定在数字经济大方向上,试图打造新的增长引擎。而当数据成为最重要的生产力,与之“孪生”的数据安全,无疑成为数据价值获取、实现数据有效利用的“护身符”。
此种背景下,数据安全开始上升到国家战略层面,目前,全球已经有132个国家和地区制定了与数据安全和隐私保护相关的法律法规。尤其在中国,随着《数据安全法》、《个人信息保护法》等法规的陆续出台,国家开始加大信息防护力度,对核心数据施行强有力的监管,而与之相关的企业和个人都要重新评估过往的安全防护体系,以更现代化的防护方案解除安全隐患。
问题是,对于参与数字化建设的大多数企业而言,如何以最简单的方式实现数据的安全合规?云端安全应该注意哪些事项?该如何以全面的数据安全策略确保数据的开发利用,并实现产业化发展?亚马逊云科技大中华区战略业务发展部总经理顾凡给出的答案是:“选择成熟、靠谱的云服务商,可让云上安全从50分开始起步”!
云上安全“50分起步”
在传统IT架构下,企业大多选择自建数据中心,通常需要考虑安全设备管理、合同签订、成本等问题;当应用上云之后,企业无需关心琐碎的底层基础设施安全,在云端安全模式下,企业安全治理能力能够再上一个新台阶。
具体而言,云端安全具有以下几个优势:
一、更加自动化。企业可以充分利用云端安全服务,实现各个服务之间的深度集成,也让数据整合变得更加简单,更好地实现了安全层面的自动化,。而不像在本地环境,由于企业的安全产品或者解决方案来自不同厂商,所以给数据整合带来了极大挑战。
二、更好的可见性。除了强大的数据整合能力,云也是一个集中管理平台,可以为用户提供安全的可视化管理能力。
三、更灵活的成本控制。云端安全是没有前期投入成本,用户按使用量付费,让成本投入更可控。
四、更高效地达到合规要求。自建数据中心的安全合规,用户需要从零开始;而选择云服务,用户可以基于云厂商的基础设施开始做起,等于是从50分开始起步,安全能力具有可继承性。
其实,云用服务到底安不安全,谁掌握了用户数,谁就有最高话语权。据了解,全球有数百万的用户已经选择了亚马逊云科技,这些用户几乎覆盖了所有行业,其中也包括很多被强监管的行业,包括:金融、电信行业,这些行业的企业不仅实现了核心业务上云,而且会分阶段把全部业务迁移到亚马逊云科技。比如:纳斯达克(世界最大的股票交易所)、日本最大的电信运营商NTT Docomo,以及很多人熟悉的知名快销品牌联合丽华、TCL实业等,不仅通过云加速了数字化转型征程,同时也把亚马逊云科技带来的安全合规能力,视为业界最高标准。
自身安全的重要性
亚马逊云科技由现任亚马逊总裁兼首席执行官Andy Jassy带领57个人创建,在不到20年的时间里,公司营收已超600多亿美金。一路走来,亚马逊云科技初心未改,安全始终是“Job Zero”,意思是安全比任何事情都重要,一直是所有工作的最高优先级。
从公司创建开始,亚马逊云科技一直在加大安全投入,但从不给安全服务部门设定硬性收入指标。因为,安全服务就像水和空气一样重要,公司不会靠安全产生直接的运营收入,但会给用户提供一个优质、安全的生产环境。
只是,当安全是“Job Zero”的时候,不只涉及技术问题,也会带来管理挑战,亚马逊云科技是如何进行战略落地的呢?
其实,安全管理也需要“一把手”文化。以亚马逊云科技CEO为代表的公司管理高层,每周都要召开安全会议,定期举办和安全合规相关的培训、考试等等,并且每个级别的员工都肩负安全责任目标。
而具体到研发层面,很多团队里都有自己的安全官,每个服务从设计阶段开始就要考虑安全问题。亚马逊云科技非常看重安全自动化能力,只有自动化,才有机会更好地做到标准化、规模化,进而执行安全任务。当然,不是说自动化了以后就再也不用管了,亚马逊云科技还提供全天候响应能力,提供更专注的安全类服务。同时,还配备了创新的安全运营机制,比如:在数据中心的物理机房里,可以根据事件实现自动化的响应和修复,进行水、电等很多问题的排查。
为了做到自身业务层面的安全,亚马逊云科技从云基础设施、云服务、数据管理、安全标准和合规性认证几个重要层面,苦练内功。
安全的基础设施。数据中心和网络架构以最高安全标准构建,全球所有数据中心或服务都会使用相同的构建标准和控制措施,所有客户无论规模大小都可以受益于高安全性的基础设施。
安全的云服务。重视每一个服务的安全性,安全团队从一开始就深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险。
坚持客户拥有和控制数据的理念。亚马逊云科技不接触客户数据,客户始终拥有自己的数据,并且可以选择任何方式加密自己的数据。在离开亚马逊云科技的安全设施之前,所有数据流动都经过物理层自动加密。
可继承的安全标准及合规性认证。亚马逊云科技获得了众多安全标准和合规性认证,几乎满足全球所有监管机构的合规认证,并且用户可以继承所有安全标准及合规认证,亚马逊云科技会定期对数千个全球合规性要求进行第三方验证。针对中国用户,亚马逊云科技不仅能提供现代业务环境下的安全能力,还能把全球安全保护经验、安全合规能力与实践引入中国,确保用户获得云端安全的最佳体验。
安全责任共担模型
值得一提的是,亚马逊云科技之所以能够在业务层面做到全面安全,得益于“安全责任共担模型”的创建,如今这一模型已经成为所有云厂商的事实标准。
众所周知,云服务做到安全合规,不仅意味着云服务商要负责云基础设施和云服务的安全,同时要拿到全球各种各样的合规认证,让客户基于这些认证使用真正靠谱的服务,让用户只为自身云业务的安全负责。
换言之,用户拥有云服务的绝对自主权,包括选用哪个区域、使用哪种服务,如何设置访问控制的授权,如何采取更有效的手段进行安全防护等,可以根据业务的实际情况和数据的重要性来采取适当的安全合规措施。
在服务用户过程中,亚马逊云科技可以提供三大能力:第一,更多的云安全服务,让客户按需使用;第二,引入丰富的安全合作伙伴,让用户有可选择的第三方解决方案;第三,提供最佳实践,让用户通过该行业其他企业的经验,探索适合自己的最佳方案。
至于,什么是“安全责任共担模型”呢?
说白了,在IaaS、PaaS、SaaS环境下,不同的场景分界线不同。比如:用户使用的是Amazon EC2基础资源,云厂商保护的是云基础设施,包括虚拟机、网络、存储、计算的安全,这就是分界线;而用户负责的是虚拟化之上的资源,包括:操作系统、应用、数据访问、加密。那如果用户随着服务的增加,不只在云上使用了IaaS服务,还有PaaS、SaaS服务,这时云厂商的责任共担模型的分界线会上浮,客户主要负责数据以及数据的访问权限。
洋葱型的多层防护
在云服务安全能力建设方面,亚马逊云科技秉承三大理念:
理念一:是利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护,让企业的开发团队把更多的时间放在业务创新上。
理念二:云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。
理念三:云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。多层次的安全防护,层层递进,层层展开。
基于上述三大理念,亚马逊云科技为客户打造五层防护体系,可以概括为是一个“洋葱模型”。目前,亚马逊云科技提供了280多个安全合规类的服务和功能,在以下五大领域为客户提供全方位的安全服务。
洋葱模型第一层:威胁检测与事件响应。威胁检测就像“专业的天气预报员”,需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。
重点服务包括:
1)Amazon GuardDuty为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,具有丰富的情报源。Amazon GuardDuty集成了机器学习的能力,实现威胁的精准定位,让报警量减少了50%。
2)Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7x24小时全天候监控,及时响应,并自动执行合规性检查。
洋葱模型第二层:身份认证与访问控制。身份认证和访问如一座坚固城堡的大门。某一点的身份认证被攻破,有可能会带来意想不到的严重后果。没有好的身份认证的访问策略,就好像建了一座坚固的城堡,却把门打开给未知访客。
关于身份认证,亚马逊云科技有两个经验和三个技术建议。
经验一:保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关。
经验二:是要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。
三个技术建议:
建议一,尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;
建议二,结合多因素鉴证(MFA)技术加强身份认证;
建议三,减少长期凭证的使用。Amazon Identity and Access Management(IAM)是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
洋葱模型第三层:网络与基础设施安全。防御DDoS(分布式拒绝服务攻击)是这一层防护的重点。DDoS防御应全年从始至终,而不能像急诊。如果等发现DDoS攻击之后再处理,业务的稳定性和持续性已经受到影响了。Amazon ShieldAdvanced可以为客户提供全天候的保护。同时,网络访问规则是一切防御的基础,Web应用防火墙服务Amazon WAF提供了丰富的规则库,有亚马逊安全团队自研的全托管规则,客户也可以自定义规则,还国际一线安全厂商的托管规则。
洋葱模型第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,它与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
洋葱模型第五层:风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一,确保亚马逊云科技服务本身的合规性;二,合规方案落地;三,自动化审计。
亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。通过Amazon Audit Manager可简化审计管理和合规性评估,Audit Manager可自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。
此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
总结来看,亚马逊云科技以高标准、高要求以及深度集成的自动化能力,为用户创造了健康、稳定、安全的云端环境。相信,随着企业数字化转型的加快,用户对业务安全重视程度的提升,以最直接的方式解决云端安全问题的做法,会成为主流趋势。
