隨著數(shù)字經(jīng)濟深入到社會生活的更多領域，數(shù)據(jù)的安全性越來越受到關注。

近年來，在5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術助力下，人們可以全力擁抱萬物互聯(lián)新世界，體驗數(shù)字時代帶來的方便與快捷，但如果這些領先的技術和應用沒有納入安全管理范圍內，無疑給黑客或者別有用心之人帶來?“打開自家防盜門的鑰匙”，造成的損失和后果不可想象，這可能也是很多企業(yè)都在重視安全管理的最根本原因。

這一次，比特網(wǎng)有機會與亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務發(fā)展部總經(jīng)理顧凡聊一聊亞馬遜云科技的云上安全理念以及安全策略。云上安全到底有多重要？

近年來，云計算應用越來越豐富，讓很多企業(yè)都因此有進一步發(fā)展，但這一技術在大幅度節(jié)省企業(yè)用戶計算成本的同時提高了計算效率同時，也使得企業(yè)面臨的安全問題與傳統(tǒng)的安全問題從安全方案和服務模式等方面有了很大的變化。

如今，云計算不僅成為企業(yè)運營商業(yè)案例的一種選擇，還成為降低成本、確保持續(xù)可用性和減少停機時間的一種有效手段。在過去，人們只有在配備防火墻或其他安全工具保護信息的辦公室和工作空間中，才能通過訪問賬戶、文件和業(yè)務的服務器連接到企業(yè)網(wǎng)絡。

然而，云計算應用程序的出現(xiàn)改變了這種情況，使用戶能夠遠程訪問企業(yè)應用程序、文檔和服務。根據(jù)調研機構IDG公司的一項調查，如今有92%的企業(yè)IT環(huán)境至少有一部分部署在云平臺上。與此同時，云計算服務帶來了數(shù)據(jù)安全的挑戰(zhàn)和風險，這就需要新的安全工具和實踐。

顧凡表示：“企業(yè)自建數(shù)據(jù)中心的時候也要構建安全，只不過需要自己構建一切，需要考慮到安全設備管理、合同簽訂、成本問題等。當應用上云之后，企業(yè)并不需要關心瑣碎的底層基礎設施安全，而且在云端的安全治理有機會再上一個臺階?！?/p>

亞馬遜云科技的“洋蔥模型”

針對于安全方面的策略，亞馬遜云科技有一個五層防護洋蔥模型，其中，第一層是威脅檢測與事件響應。要知道，威脅檢測就像“專業(yè)的天氣預報員”，需要能夠對安全威脅做到精準定位、快速反應、時刻監(jiān)控，并且能夠分析原因。

針對威脅檢測與事件響應，目前，Amazon?Guard?Duty可持續(xù)檢測在亞馬遜云科技中發(fā)生的威脅，具有豐富的情報源，同時，Amazon?GuardDuty?集成了機器學習的能力，實現(xiàn)威脅的精準定位，讓報警量減少了50%。

另外，Amazon?Security?Hub安全事件統(tǒng)一管理平臺，讓客戶針對威脅檢測7x24?小時全天候監(jiān)控，及時響應，并自動執(zhí)行合規(guī)性檢查。

洋蔥模型第二層：身份認證與訪問控制?！吧矸菡J證和訪問如同一座堅固城堡的大門。某一點的身份認證被攻破，有可能會帶來意想不到的嚴重后果。沒有好的身份認證的訪問策略，就好像建了一座堅固的城堡，卻把門打開給未知訪客。”顧凡比喻道。

據(jù)悉，關于身份認證，亞馬遜云科技有兩個經(jīng)驗和三個技術建議。經(jīng)驗之一是保持最小授權原則，每一次授權都要確認是否必需，是否與業(yè)務/職責相關。經(jīng)驗之二是要對最小授權原則定期進行審計，不要有永久授權，所有的授權都必須有時效性。

三個技術建議：一是盡可能細化訪問的顆粒度，可以根據(jù)時間，地點和服務來設置訪問條件;二是結合多因素鑒證技術加強身份認證;三是減少長期憑證的使用。目前，?IAM是身份認證與訪問控制的核心服務，它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制。Amazon?Organizations是一個高效的身份認證與訪問控制服務，可以對一個組織的多賬號進行集中管理和治理，建立權限防護機制和數(shù)據(jù)邊界。

洋蔥模型第三層：網(wǎng)絡與基礎設施安全。顧凡介紹道：“防御DDoS攻擊是這一層防護的重點。DDoS防御應全年從始至終，而不能像急診?！比绻劝l(fā)現(xiàn)DDoS攻擊之后再處理，業(yè)務的穩(wěn)定性和持續(xù)性已經(jīng)受到影響了。

目前，Amazon?ShieldAdvanced就可以為客戶提供全天候的保護。網(wǎng)絡訪問規(guī)則是一切防御的基礎，Web應用防火墻服務Amazon?WAF?提供了豐富的規(guī)則庫，有亞馬遜安全團隊自研的全托管規(guī)則，客戶也可以自定義規(guī)則，還有國際一線安全廠商的托管規(guī)則。

洋蔥模型第四層：數(shù)據(jù)保護與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務，對數(shù)據(jù)的保護涵蓋了數(shù)據(jù)的存儲、傳輸以及使用的各個環(huán)節(jié)。Amazon?KMS密鑰管理服務實現(xiàn)存儲過程中的加密，它與亞馬遜云科技140個服務集成，可以對存儲在這些服務中的數(shù)據(jù)加密。

針對數(shù)據(jù)保密性要求更高的客戶，Amazon?CloudHSM提供了安全、簡單的云上專屬加密機。Amazon?Nitro?Enclaves提供了一個云端的機密計算環(huán)境，通過它，客戶可以創(chuàng)建一個隔離的環(huán)境來處理敏感數(shù)據(jù)，而無須向自己的系統(tǒng)管理員、開發(fā)人員和應用程序提供訪問權限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

洋蔥模型第五層：風險管控及合規(guī)。顧凡介紹道：“亞馬遜云科技從三個方面幫助用戶合規(guī)。一是確保亞馬遜云科技服務本身的合規(guī)性;二是合規(guī)方案落地;三是自動化審計。”

通過Amazon?Audit?Manager?簡化審計管理和合規(guī)性評估，Audit?Manager可能自動掃描、搜集證據(jù)，還提供了各種合規(guī)認證的模板，可以簡化合規(guī)審計的證據(jù)收集工作。此外，亞馬遜云科技還提供了Amazon?Trusted?Advisor定制云計算專家、Amazon?Security?Bulletins安全公告、Amazon?Security?Documentation云服務配置建議等各種在線工具，將所有的安全合規(guī)經(jīng)驗都對客戶傾囊相授。

就像它的名字一樣，亞馬遜云科技的洋蔥模型一層一層從理念到技術保護著用戶的安全。

寫在最后

一直以來，亞馬遜云科技為客戶打造多層防護體系的宗旨是，幫助客戶更簡單地解決安全問題，持續(xù)不斷加大安全投入，卻不設置安全方面的營收指標，要讓安全服務像水和空氣一樣，提供給用戶。不依靠水和空氣產生利潤，卻需要給用戶提供優(yōu)質的水和空氣，創(chuàng)造健康的環(huán)境。