打造安全生态,AWS用安全底座迎接云计算黄金十年

百家 作者:懂懂笔记 2020-11-16 23:30:55


文 | 懂懂   编辑 | 秦言

来源:懂懂笔记


麦肯锡的数据显示,目前企业工作负载中只有20%完成了上云,而多达80%的关键业务工作负载还在上云的路上。进入到2020年,新冠疫情这只黑天鹅不期而至,于是,在线远程办公、互联网医疗、远程教育等需求迅猛长之下,世界开始加速向数字化转型升级,人们将越来越多的社会行业迁移到线上进行。


在这样的大背景下,当世界加速从物理世界向虚拟世界迁移,云成为IT技术创新的中心。同时,云上的安全在数字化转型加速前进的时候,就变得更为重要。如果说数字化升级决定企业的发展,那么安全则是一切发展的根基。在这一领域,在全球云计算市场稳居前列,并且将安全的优先级排在所有任务前边的AWS,其安全领域的整体解决方案和行业经验尤其值得国内企业关注。


上云路上的拦路虎


根据中国信通院在7月发布的《云计算白皮书(2020年)》,近几年,全球云计算市场保持稳定增长态势。2019年,以IaaS、PaaS和SaaS为代表的全球云计算市场规模达到1883亿美元,增速20.86%。预计未来几年市场平均增长率在18%左右,到2023年市场规模将超过3500亿美元。未来,云计算仍将迎来下一个黄金十年,进入普惠发展期。


在云计算发展之初,一度要成为“IT行业的水和电”,但随后的发展却证明,传统的社会基础设施已开始和云计算互相融合。这样,当物理世界与数字世界的边界进一步模糊时,数字基础设施所遭受的安全风险也将不仅仅局限于数字世界内部,而开始一步步传导至日常社会生活的方方面在。针对此类风险的安全监管也已成为相关工作的重点,这使得用户逐渐采取“安全”为第一出发点的上云和演进策略。


然而,尽管如此,传统企业的上云之路并不平坦。目前企业用户在上云的道路上,经常会遇到多租户模式下安全域无边界、虚拟化难捕捉、数据泄漏、攻击频率急剧增大等四大业务难题。


在多租户的云计算环境里,很难保证不混入一些心怀不轨的恶意租户,进而发起攻击。同时在在云计算环境中,有多种不同的虚拟化管理组件,一旦这些虚拟化管理软件类的漏洞被恶意人员所利用,那么所有的租户就没有安全可言了。此外,由于云服务器上保存了大量客户的隐私数据,在多租户环境下,一个客户应用存在漏洞可能就会导致其他客户数据的泄露。最后,云计算用户多样性而且规模巨大,这样遭受的攻击频率也是急剧增大。这几种风险交织在一起,就让云计算的安全保障问题变得更为复杂。


因此,用户在上云路上需要一个系统化的云安全体系,这也给AWS云安全服务提供了一个发挥的舞台。AWS已从多个方面针对云安全提供了相应的解决方案,来帮助用户实现云上的安全。


云安全体系的威力


云计算把涉及IT基础设施的方方面面都高度集成并统一开放给用户,计算、存储、网络、应用都划归于统一的资源池,成为一套完整的体系。因此云计算安全防护的设计,必须针对每一个可能涉及的环节。Gartner的报告指出,云计算服务商最终将向“安全服务提供商”转变。


在这方面,AWS已走在了产业前列,形成了自己的云安全体系。提到AWS云安全体系,我们不得不说的是,AWS云安全经过了多年积累之后,已经形成了一个非常庞大且复杂的体系,所以我们只能择其精华,做一个简单介绍。


AWS从四个方面对云安全提供了相应的解决方案,包含了ID访问控制,检测式控制,基础设置保护和数据保护,其中每个方面都提供了一些对应的服务来帮助大家实现云上的安全。首先是ID访问控制,包含了IAM、SSO、AWS DS、Cognito等服务。然后是检测式控制,包含了Security Hub、GuardDuty、Inspector、 Macie和Detective。接下来是基础设置保护,包含了shield、WAF和Firewall manager。最后是数据保护,包括了KMS、CloudHSM和Certificate manager。



在ID访问控制体系中,用户使用AWS Identity and Access Management (IAM)就可以安全控制对 AWS 资源的个人访问权限或组访问权限。通过创建并管理用户身份,就可以授予这些 IAM 用户访问资源的权限。特别值得一提的是,还可以授权以外的用户( 联合用户)。在多租户模式下,这种授权机制对于安全域边界的管控,是非常有效的。


我爱我家是国内房地产经纪龙头企业,利用IAM等服务,我爱我家的系统实现了精细化的安全管理,从而确保了系统的高可用性和可靠性。我爱我家未来的发展是将业务向整个生态链扩展,延展到产业的上下游,而IAM也将在其中持续保驾护航。


华夏航空股份有限公司是中国支线航空商业模式的引领者和践行者,其快速发展对信息化建设提出了很高的要求。随着新业务系统不断上线,华夏航空为解决数据孤岛问题,最终选择了AWS。但在这个过程中,一些人顾虑的云上安全问题。而最终华夏航空项目负责人力排众议:并非数据放在自己的数据中心就一定安全。放在自己的数据中心,其实也是联网的。如果遇到攻击,也会出现安全问题。放到云上,只要做好加密,做好数据管理,从某种程度上比自己的数据中心更安全。


用户给了AWS数据保护系统足够的信认,AWS的回报则是让华夏航空付出了更低的成本,获得了更快的业务创新速度,此外还有更安全、更稳定可靠、性能有保障的系统。从中不难看出AWS数据保护体系在应对数据泄漏、高频率攻击时的效果。


先锋电子(中国)投资有限公司是日本先锋公司在全球设立的五个地区总部之一,出于合规的要求,与AWS合作,将销售管理、库存管理、管理会计等SAP应用搬到中国。经过了此次上云之旅,先锋电子(中国)发现:云的安全性与本地机房没有区别,传统数据中心的安全措施,云端架构都可以提供。由此我们可以想见,综合应用ID访问控制体系、检测式控制体系、基础设置保护和数据保护体系,虚拟化管理软件漏洞也完全是一个可以攻克的难题。


安全是一种很玄的东西



安全是一种很玄的东西,原因在于拥有它时,你是无感的,平静、连续等状态都可以成为它的表象。而只有失去它的时候,我们才能感受到它的价值。对此,AWS安全的客户感触极深。


新希望草根知本集团,要实现跨行业及产业链的资源整合,为此使用了一系列AWS云服务满足基础设施快速灵活的要求,还使用了Amazon Relational Database Service (Amazon RDS)集群,来最大限度地保证数据安全,从而便于获取C端私域流量,支持C端大平台创新。对此,新希望草根知本集团就把AWS云安全形象地比喻为“润物细无声”。


新世纪医疗控股有限公司是专注于向儿童和妇女提供优质中高端医疗服务的私立医疗集团。在AWS的助力下,新世纪医疗正在加速完成互联网医院业务的布局。AWS云安全与AWS云服务完整地融合为一体,可以从用户的角度出发,满足用户各类安全需求。对此,新世纪医疗感触颇深:“AWS并非一味地推荐自身产品,而是站在我们真实需求的角度,给我们建议最适合的产品和方案。”


用户感受到的,是AWS云安全服务,而隐藏在其背后的,则是AWS的安全文化。


在AWS内部,安全在所有的任务中处于最高的优先级。如果存在任何已知的安全问题,AWS都会及时解决,如果没有解决安全问题,则不会进行下一步,甚至可能为此放弃发布新服务。


而对每位AWS人来说,安全同样被放置在第一的位置上。AWS有专业的安全人员和安全团队为安全产品和服务负责,同时AWS每位员工,都有责任确保安全性是所有业务不可或缺的组成部分,AWS每个员工都知道如何报告安全问题,并且有权在必要时将安全问题升级到最高级别。


AWS安全第一的准则表现在用户端时,就成了密切倾听客户的声音,提供安全的云计算环境和创新的安全服务,以满足大多数风险敏感的用户和组织的安全性和合规性需求。这样做的结果,就是让用户拥有对自己的系统和数据的完全的自主权。


为此,AWS对内不断进行技术积累,对外则不断扩大合作伙伴队伍。


目前单凭任何一家企业或组织都不可能构建一个涵盖全疗细节的安全体系。云计算服务商现在多采取与用户“责任分担”的安全策略,云计算服务商、用户、安全生态合作伙伴将在新的合作模式中各取所需,一同打造完整的云计算安全体系。


AWS在云计算安全方面,同样采用了责任共担模型。要求AWS 和客户合作共同实现安全目标。其中 AWS 负责底层云基础设施的安全,用户负责保护自己在AWS中部署的工作负载。


责任共担模式强调了AWS在保障了安全及合规的基础架构,高可用的计算存储及网络数据库资源的同时,也为用户提供了最大的个人数据隐私及应用配置的管理空间和权限。


基于客户十分注重隐私和数据安全的需求,AWS通过简单而强大的工具让用户拥有和控制自己的内容,这些工具可以让用户确定内容的存储位置、保护动态和静态内容,并为用户管理对 AWS 服务和资源的访问权限。从而实现了从访问、存储、保护方式、披露方式等多方面的数据和隐私防护。


同时,AWS还提供了大量工具实现用户对应用配置的管理。如通过AWS目录服务管理AWS资源、使用 AWS AppConfig 简化应用程序配置,需要说明的是,一些新方法还在不断被开发出来,如通过AD Connector与本地活动目录整合等等。



同时, AWS显然没有把范围之外的安全责任全推给用户,而是通过在自身云服务的基础上构建生态,建立涵盖自身 SaaS 服务以及第三方 SaaS 服务的云服务市场。AWS近期宣布联合百家APN合作伙伴打造行业解决方案,厦门服云信息科技有限公司、北京三未信安科技发展有限公司、防特网信息科技(北京)有限公司、星云融创(北京)科技有限公司等APN合作伙伴,已经基于AWS开发了大量安全解决方案。


安全是一种很玄的东西,还表现在用户感受不到的它的硝烟,而只有身处安全服务提供者的位置,才能体会到它的惊心动魄。因此,打铁还需自身硬,谈安全体验,就不得不说说AWS自身的技术优势。


可化视是衡量数据安全的一个重要因素,因为只有先感知,才有应对之策。而AWS云安全一直都在通过安全可视化和安全可控,来安全地扩展业务。这表现在用户端,就成了三个表现:在任何时间内,用户都可以自主决定数据存储的位置、访问的人员、可使用的服务;细颗粒度的身份认证和访问控制,同时结合对安全事件的持续监控,以确保正确的资源得到正确的访问;可以实时检测安全事件。


同样,安全服务之间的集成也极为重要。AWS云安全不仅实现了服务之间的高度集成,还力求实现自动化布署。由此不仅可以减少人工配置错误,还可以为开发和运维团队快速提供更多的综合安全方案。


而应对于用户隐私和数据安全,AWS云安全采用了最高标准:7*24专家团队保护AWS系统资源;客户完全拥有数据,并且可以自主对数据进行加密、移动和管理;提供多种加密工具,来满足传输和存储加密。


综合来看,AWS从安全文化出发,借助自己深厚的技术积累和合作伙伴生态的力量,已拥有了非常大的技术优势,这将为用户在业务战场上的业务连续、数据安全和隐私保护提供有力保障。


【结束语】


云计算已经迎来下一个黄金十年,每年超18%的增长率已是不可逆转的趋势。然而,当企业的核心应用与云计算融为一体之时,云安全就成为了一个避不开的问题。美国FBI的CIO来国内演讲时,认为国内在安全领域最缺的就是安全策略。因此,对于国内企业中的CIO或CSO们来说,迫切需要补上的正是安全策略这一课。毕竟,在利用云计算等新技术打造核心竞争力的时候,首先需要一个确保业务连续性和数据安全的环境。


云计算巨头AWS,拥有大量先进的安全理念、技术和实践经验,完全可以被“拿来”应用。同时,AWS已开始在国内加快落地速度,在安全领域与国内APN合作伙伴共同打造一个云安全生态,这为应用创造了更便利的条件。


点击【阅读原文】获取完整版《云计算白皮书(2020年)》




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接