企业上云,安全合规如何进阶 ——一文拆解亚马逊云科技云安全理念与实践
本文将对亚马逊云科技构建的云上安全堡垒一窥全貌,进而解构其提出的三大安全理念,以飨读者。
上云是大势所趋,但上云安全吗?
在云计算逐步兴起的发展历程中,这一疑问一直如影随形。时至今日,数字化转型换挡提速,诸如平台自身的安全合规、数据隐私安全等要求也在不断升级,“安全”在一众企业的上云旅程中成为贯穿始终、重中之重的考虑因素:上云前,要确保云平台自身的安全性;上云中,要保证数据迁移过程中的安全性;上云后,要综合考量云中的安全建设,如何利用云原生的服务提升安全性和提高合规效率。
作为全球云计算的头号玩家,亚马逊云科技在云上安全领域积累了众多方法论和实践经验。本文将对亚马逊云科技构建的云上安全堡垒一窥全貌,进而解构其提出的三大安全理念,以飨读者。
一、企业上云,其实更安全
1.1 相较自建数据中心,上云的安全体验如何?
过去很多年,企业都认为自建数据中心才是最安全的。但是亚马逊云科技认为:企业上云,安全体验能够比前者再上一个台阶。
对企业来说,如果自建数据中心需要由自身构建一切,包括安全设备管理、合同签订、成本等问题。但如果是应用上云,企业并不需要在底层基础设施的安全问题上投入精力,而且它在云端的安全治理有望更进一步。具体体现在以下四个方面:
第一,自动化。本地环境下采用的是不同厂商的产品,安全数据的整合会极其复杂。而在云上,云端安全服务之间的超高集成度,会让数据整合变得更简单,更好地做到自动化。
第二,可视化。当有了更好的数据整合之后,在云上也更有机会用一个集中的平台做安全的可视化管理。透过统一的日志平台,身份管理,以及统一的 API,用户可以实现更好的可视化。
第三,成本。云端安全没有前期投入成本,是按使用量付费,企业在成本控制方面更具有灵活性。
第四,可以帮助企业在云上实现自动执行合规任务,更高效做合规。就亚马逊云科技来说,用户既可以自动继承亚马逊云在基础架构层面的合规认证,还可以参考亚马逊云提供的合规最佳实践,来进行安全合规建设。
简言之,如果自建数据中心做合规是从 0 做起,那上云的话可能就是从 50 分做起。因为云厂商已经做好另外 50 分,企业可以直接继承。上云后,企业在自动化、可见性、成本控制,以及更高效地实现合规方面都能享有优势。
1.2 云平台本身是否安全合规?
无论企业身处哪个行业,规模如何,其对云平台安全合规的诉求同样迫切。云自身的安全性是信任的基础,是企业决定迁移上云的前提条件,是企业在云上构建应用程序的基石。但问题在于,目前很多云厂商在云自身的安全性上解释不足,云厂商如何建设自身的安全合规,对企业而言就是一片盲区。
就亚马逊云科技来说,全球已有数百万用户把数据和业务放在亚马逊云上,其中不乏金融、电信等很多强监管的行业。比如,世界最大的股票交易所纳斯达克会分阶段把全部业务迁移到亚马逊云科技,日本最大的电信运营商 NTT docomo 会把 PB 级别的数据仓库迁移上云。能获得如此多的企业信赖,亚马逊云科技主要通过以下四点确保自身的安全合规:
其一,安全的基础设施。
提供极具扩展性和高度可靠的基础设施,比如 1 个区域(Region)中通常 3 个可用区(3AZ),这种部署理念就是为了搭建高可用架构。而可用区和可用区之间会有非常严格的物理距离的规定,达到容灾。
采用非常多的冗余和分层控制,大量使用了自动化,确保底层基础设施 7×24 小时的监控和保护。这一点尤其在疫情防控期间对保障业务连续性至关重要。
亚马逊云科技的数据中心和网络以最高安全标准构建,所有企业都可以获得一致的云基础安全性,同时不必花费传统数据中心那样巨大的资本支出和运营开销。
其二,安全的云服务。
云自身安全不能只看亚马逊云科技有多少种安全服务,同时要考虑其服务的安全。任何新服务的研发,安全团队从一开始就会介入。研发的过程中如果存在任何已知的安全问题,这项服务就不可能发布。另外,通过深度集成的服务实现自动化并降低风险。亚马逊云科技自身有一套完整的 API 管理和安全工具,可实现自动执行安全任务,包括持续进行的运行状态检测和保护、威胁修复和响应等,以上措施既确保了服务的安全性,还保证了利用服务来构建的解决方案的安全性。
其三,坚持客户拥有和控制数据的理念。
只有让用户始终拥有自己的数据,能够对数据进行自主操作,用户才会放心地把它的应用放在云上。亚马逊云科技不接触用户上传到云中的数据,是指亚马逊不知道也不了解用户上传到亚马逊的数据是否包括个人数据。同时保证客户拥有数据的完整控制权,用户可以自主决定哪些数据可以上传到亚马逊云,以及决定时间,地点和保护方式。
而且亚马逊云科技自身数据加密无处不在,所有的数据流动在离开其基础设施之前必须经过物理层自动加密。另外,还有其他的加密层存在,比如,所有 VPC 跨区域之间的流量也会进行加密,服务之间也会有很多的 TLS 连接。此外,亚马逊云科技遍布全球的区域可以帮助客户实现数据本地化的要求。
其四,支持众多安全标准与合规性认证,几乎满足全球所有监管机构的合规性要求。
目前,亚马逊云科技在全球已经获得了 98 项安全标准和合规认证,用户可以直接继承。比如 ISO/IEC 27018:2019 认证,这是主要针对保护云中个人数据安全的准则。亚马逊云科技遵从这一国际公认的行为准则,并获得了独立的第三方评估,证明了亚马逊云在尊重隐私和保护用户内容方面所作出的承诺。
此外,北京区域和宁夏区域是两个位于中国境内提供服务的亚马逊云科技区域。为保证更好的用户体验并遵守中国的法律法规,亚马逊在中国与持有相关电信牌照的本地合作伙伴开展技术合作,由本地合作伙伴向客户提供云服务。北京光环新网科技股份有限公司是亚马逊云科技北京区域云的服务运营方和提供方,宁夏西云数据科技有限公司是亚马逊云科技宁夏区域云的服务运营方和提供方。
1.3 如何应对数据保护相关法律?
放眼全球,当前已有 132 个国家和地区制定了数据保护和隐私相关的法律法规。在国内,自 2017 年起,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的相继出台,也对企业的数据安全提出更高要求。提升对安全合规的重视不仅能帮助企业规避和预防很多行政甚至刑事处罚风险,另一个角度,安全合规也成为企业的核心竞争力之一。
数据安全建设是分层次的,亚马逊云科技提供了多种云原生安全服务,客户可以快速使用并提高安全水平,仅以中国地区来看:在访问控制层面,有 Multi Factor Authentication, API-Request Authentication, Temporary Access Token;在日志请求管理层面,有 CloudTrail, Config, GuardDuty;在数据加密层面,有应用 KMS 对 EBS/S3/Glacier/RDS 加密。
另外,亚马逊云科技有一项信息安全计划(Information Security Program),专门用于帮助用户保护数据免受意外或非法丢失、访问,识别内部安全风险及未经授权的网络访问,通过风险评估和定期测试来最大限度地降低安全风险。该计划主要包括 5 类措施:
网络安全。员工、承包商和服务提供商都可以通过授权来访问亚马逊云科技网络。亚马逊云科技负责管理和维护访问控制策略,管理每个网络连接和用户对亚马孙网络的访问权限,手段包括使用防火墙和其他身份验证控制。亚马逊还将负责策略纠正和对安全威胁事件的响应。
物理安全。亚马逊云科技的物理设备位于不对外披露的区域中。在周边和建筑物入口处使用了物理屏障来防止未经授权者进入亚马逊云科技的区域。
有限的员工和承包商访问权限。亚马逊云科技对有合法业务需求的员工和承包商提供访问这些区域的权限。当员工或承包商不再有业务需求时,访问权限会立即撤销。
物理安全保护。所有接入点(主入口门除外)都保持安全(锁定)状态。物理设施的接入点由旨在记录所有进入设施的个人的视频监控摄像头进行监控。
持续评估。亚马逊云科技根据行业安全标准及其政策和程序对其网络的安全性及其信息安全进行定期审查,持续评估其网络和相关服务的安全性,并判断是否需要额外或不同的安全措施来应对定期审查发现的安全风险。
关于上云本身的安全,以及亚马逊云科技自身的安全性,本文不再做更多的阐释。当前的市场环境下,数字化转型的提速与安全合规的收紧让企业似乎时刻处于矛盾之中,但快速创新和安全对企业来说并非是两者择其一的关系,如何在确保安全的前提下推动业务快速创新才是正解。针对这一痛点,亚马逊云科技提出了三大安全理念和洋葱模型,帮助企业完善云安全能力建设。
二、拆解亚马逊云科技三大安全理念
2.1 理念一:利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡。
网络安全最大的威胁还是来自于人,例如安全意识不足而被利用、人员疏忽导致配置错误或其他人为原因导致网络安全工作未能有效执行等。而且传统的企业安全体系基本是事后驱动型,网络安全团队往往承担着背锅侠和救火员的角色,常常陷入分身乏术的境地。
亚马逊云科技认为,推进标准化、自动化势在必行。人的过多参与会引发新的安全风险,因此应该建立起自动化的安全流程,同时让人远离数据。通过自动化来达到安全的标准化,达到一致性。
通过在亚马逊云上自动执行安全任务,用户可以通过减少人工配置错误并让开发人员有更多时间专注于业务本身来提高安全性。从各种深度集成的解决方案中进行选择,这些解决方案可以组合在一起以新颖的方式自动执行任务,从而使用户的安全团队可以更轻松地与开发人员团队和运营团队密切合作,以更快、更安全地创建和部署代码。
举个例子,用 Amazon GuardDuty 组合 Amazon CloudWatch,再组合 Amazon Lambda 做一个集成,Amazon GuardDuty 可以对亚马逊云科技的很多数据源做日志事件的分析,针对诸如 Amazon CloudTrail 事件日志、Amazon VPC 流日志、域名系统服务(DNS)日志、Amazon S3 数据事件日志的数百亿事件都去做分析,有能力检测到 100 多种安全威胁,并且自动对这些威胁进行分级,针对这些检测出来的威胁,用户可以通过 Lambda 来快速反应,从而快速高效地降低安全事件的影响,并且及时地修复。
在实际应用中,SaaS 平台安智联 365 采用了 Amazon IoT Core 构建设备物联平台,实现智能安防硬件的状态采集和双向消息传递,并基于微服务架构引入 Amazon Lambda 服务让开发团队可以用简单的代码处理缓存等应用场景。配合 Amazon CloudWatch 实现自动化的运维与监控后,安威士只需一名工程师就能够处理安智联 365 全球基础设施的运维管理工作,使企业可以将更多的人力资源投入到业务链的开发工作中。
2.2 理念二:云中安全是主动设计出来的,而不仅是被动响应。
中国用户的习惯是基于合规要求,或者社会性的安全事件触发进行安全合规建设,这种建设思路通常会滞后,会让企业疲于奔命,忙于各种应对。
亚马逊云科技认为,首先,安全合规与用户的业务开展与持续进行紧密相关,安全不是独立的存在,而应与企业业务充分结合,作为业务开展的首要条件。再者,安全合规是基于设计而不是基于对事件的响应。安全的建设应该是未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去建设。最后,亚马逊云科技的安全服务建设就是按照预防、检测、响应、修复来展开的,用户也可以以此为参照来构建安全体系。
预防:确定用户权限和身份、基础设施保护和数据保护措施,以制定平稳且经过良好计划的安全策略。
检测:通过日志和监控服务来了解企业的安全状况。将这些信息提取到可扩展的平台中,以进行事件管理、测试和审计。
响应:自动化事件响应,以帮助安全团队将重点从响应转移到分析根本原因上。
修复:利用事件驱动的自动化功能,以近乎实时的方式快速修复和保护云中环境。
以 Amazon GuardDuty 为例。这种智能威胁检测服务可以持续监控针对用户的 AWS 账户及其工作负载的恶意活动,并提供详细的安全侦察结果以实现可见性和补救。使用 Amazon GuardDuty 的控制台与 Amazon Detective 的集成,可以快速确定可疑活动的根本原因。比如,通常情况下,如果没有以近乎实时的方式持续监控相关因素,很难快速发现账户盗用威胁。GuardDuty 却可以实现持续监控和分析,通过提供上下文、元数据和受影响资源的详细信息的侦测结果,深入了解安全事件。同时还能及时停止未经授权的活动,防止使用受损凭证、Amazon Simple Storage Service (S3) 中的异常数据访问、来自已知恶意 IP 地址的 API 调用等。
2.3 理念三:云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。
随着多云环境的普遍应用,企业的 IT 架构日益复杂,云上安全威胁广泛分布在各个环节。企业面临的安全危胁和挑战日趋广泛,从 CVE 漏洞,非法入侵,再到 DDoS 攻击,各种安全事件层出不穷。
亚马逊云科技认为,云端的安全防护应该像一个洋葱模型,层层展开,而不是象一个鸡蛋。鸡蛋虽然给人感觉外壳比洋葱更坚硬,但实际上它是单层防护,而云上安全必须是像洋葱一样层层递进的防护机制。
而在洋葱模型中,亚马逊云科技将之设定为五层,从威胁检测、事件响应开始,进而到身份认证与访问控制,之后是网络和基础设施安全,然后是数据保护和隐私,最后是风险管控与合规。逐一了解一下这五大领域内的安全服务:
1)威胁检测与事件响应。需要能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。重点服务包括:
Amazon GuardDuty,可以实现威胁的精准定位。其优势在于,一方面具有丰富的情威胁报源,另一方面,集成了机器学习的能力,针对 API 的调用行为去建模,并结合概率预测,从而更准确地隔离和警告高度可疑的用户行为。
Amazon Security Hub,作为安全事件统一管理平台,不仅可以实现威胁检测 7X24 小时全天候在线实时监测,及时响应,并自动执行合规性检查,而且可以连接威胁事件的上下游,试着去做根因分析。
2)身份认证与访问控制。在企业安全管理中这一环节一直相对薄弱。数据统计,80%的安全事件是因为弱口令导致的。对此,亚马逊云科技有两个经验和三个技术建议。
两个经验:保持最小授权原则,每一次授权都要确认是否必须,是否与业务/职责相关;要对最小授权原则定期进行审计,不要有永久授权,所有的授权都必须有时效性。
三个技术建议:尽可能细化访问的颗粒度,可以根据时间,地点和服务来设置访问条件;结合多因素认证(MFA)技术加强身份认证;减少长期凭证的使用。
在具体工具层面,Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务,它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations 是高效的身份认证与访问控制服务,可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
3)网络与基础设施安全。CDN 侧的安全防护是这一层防护的重点。对于 DDoS 攻击的防御,应该长期进行,因为任何一次的攻击都可能带来业务的中断,进而影响最终用户的体验。如果等发现 DDoS 攻击之后再处理,业务的稳定性和持续性必将遭到重创。
Amazon Shield Advanced 可以对加载的资源进行全天侯的防御,并且实现快速响应和缓解。另外一个标配产品是 Amazon WAF,作为 Web 应用防火墙服务,它的独到之处在于提供了丰富的规则库,既有亚马逊安全团队自研的全托管规则,也有用户可以根据自己的需求自定义的规则。
4)数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。
对于数据存储过程中的加密,Amazon KMS 密钥管理服务与亚马逊云科技 140 个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的用户,Amazon CloudHSM 提供了安全、简单的云上专属加密机。
对于数据计算和使用过程中的加密,亚马逊云科技也有其解决方案。Amazon Nitro Enclaves 提供了一个云端的机密计算环境,通过它,用户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少了敏感数据处理过程中的攻击面。
5)风险管控及合规。亚马逊云科技从四个维度帮助用户合规。
其一,确保亚马逊云科技服务本身的合规性。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可;其二,成熟的合规方案,基于用户诉求,亚马逊云科技会提供很多合规落地的最佳实践;其三,自动化审计,合规的审计和评估总是要花费大量时间,通过 Amazon Audit Manager 可以简化审计管理和合规性评估;四是合作伙伴的咨询和落地能力,这些合作伙伴提供数百种行业领先的安全解决方案,可帮助用户提高其安全性和合规性,合作伙伴能够在多个领域为用户提供支持,其中包括基础设施安全、策略管理、身份管理、安全监控、漏洞管理、数据保护和咨询服务。
三、三大云安全案例分享
全球有数百万的用户已经选择并且信赖亚马逊云科技,覆盖了几乎所有的行业。那些成功上云并已经建好云上安全屏障的企业是怎么做的呢?在此分享三个经典的业界上云案例。
案例 1:风林火山借力实现持续性合规,全面提升安全效率
深圳市风林火山电脑技术有限公司(以下简称“风林火山”)成立于 1996 年,专注于在线棋牌类游戏,集研发、运营于一体,产品在国内在线棋牌游戏中位居前列。
早期,风林火山业务与游戏产品托管在 IDC 中,而整个服务器生命周期管理则全靠企业自己手动管理。彼时,发布一个游戏产品或进行一次升级时,相关人员要手动部署、配置设备,新版本从准备到正式发布通常需要花费 1 个月时间。
随着风林火山进入快速发展阶段,IDC 托管的灵活扩展性差、计算资源受限和效率低等缺陷开始暴露。而且老旧的 IDC 托管模式缺乏对客户赋能和安全威胁的及时响应,过于传统的 IT 架构无法给业务足够的创新空间。
当看到亚马逊云科技已成为众多海外游戏公司的优选时,风林火山最终决定与亚马逊云科技合作,并于 2017 年底完成全部业务从 IDC 向亚马逊云科技云的迁移。
全服上云后,风林火山对游戏版本的发布、升级频率,从 IDC 托管时的每月 1 次,提升到每周至少 1 次,大大提高了业务交付速度。在安全方面,传统威胁探测服务对海量日志数据进行分析耗时耗力,持续性合规以及不同安全时间的汇聚管理也带来了很大的挑战。为此,风林火山利用 Amazon GuardDuty 与 Amazon Security Hub,全面提升了其安全运维的效率。
风林火山游戏运维工程师许华杰表示:“亚马逊云科技让我们可以将更多精力投入到软件工程中去,实现更快地交付,将事故率降低了 70%以上。以前我们是不断‘救火’,现在我们时而还可以自己‘放火’,来不断提升平台的健壮性。” 另外,在人员不足的情况下,“亚马逊云科技为我们安全赋能,实现高效的安全监测,及时协助我们安全响应,降低了安全风险,可以从更高视角去看我们整个架构的安全事件。”
案例 2:云上数据零丢失,涂鸦智能蓄力打造万物智能互联愿景
全球范围内,人工智能和物联网技术正在合围成为一个全新的智能产业生态。IoT 开发平台涂鸦智能也致力于成为这个生态中的关键环节。不过,物联网行业中下游应用场景与需求的高度碎片化,往往会导致网络通信方式与平台的多样化,对实现设备的互联互通造成较大挑战。
为此,涂鸦智能不仅要努力推动实现软硬协同优化,还需要在全球布局云网络,使其云端服务能力遍布五大洲。到目前为止,涂鸦 IoT 开发平台已经为全球 220 个国家和地区提供基于全球主流公有云的 IoT 服务,而这得益于包括亚马逊云科技在内的覆盖全球的基础设施及丰富的云产品。
“在选云厂商时,我们会根据基础设施的覆盖范围、安全稳定,以及产品的丰富程度来决定。”涂鸦智能技术副总裁柯都敏说,“而亚马逊云科技完全能够满足这三方面的需求。”
从安全方面来说,亚马逊云科技是行业内最先推出密钥管理服务(KMS)的厂商。基于 KMS 的密钥保护能力和同其他亚马逊云科技服务集成能力,涂鸦在公有云行业内最先支持数据库等产品物理加密,这为涂鸦提供了非常好的基础安全保障。
涂鸦 IoT PaaS 平台作为数据的处理者,客户在其 App 上的注册信息及各种操作行为产生的数据也会被实时存放在公有云平台上,这就使得数据安全问题变得尤为重要。涂鸦智能使用了 KMS 管理加密数据的加密秘钥,并通过 Identity and Access Management(IAM)认证机制保障数据访问隔离,为数据安全提供了保障。
举个例子,“如果我们是在服务欧洲客户的话,其所有数据都是存储在欧洲的亚马逊云科技上,各数据中心之间物理隔离。”在亚马逊云科技的帮助下,涂鸦智能的 IoT PaaS 从上线至今,实现了数据零丢失。
案例 3:自主品牌海外扬帆,美的拿稳安全合规出海船票
2006 年,以在越南建设工厂为开端,美的真正开启了海外自主品牌经营的探索之路。在十多年的出海之路上,美的坚持因地制宜的本土化策略,已经形成包括美的、COLMO、东芝等在内的品牌矩阵,据其财报显示,其海外营收占比也连续多年超过了 40%。
随着全品类产品智能化的实现,如何以较低的成本建立起安全、稳定可靠、运维方便、服务范围涵盖全球的智能家居平台成为美的面临的主要挑战。经过对多家云平台的综合评估,美的选择了亚马逊云科技作为其海外平台的 IT 基础架构合作伙伴之一。
智能家居平台连接着用户的智能家电产品,相关用户数据都存放在上面,而欧盟和美国对数据合规性都有严苛要求。在与亚马逊云科技的合作中,美的不仅可以依托其丰富的安全服务,也可以继承其合规性,快速在海外部署自己的应用。
“IT 架构部署在亚马逊云科技上,这些安全合规的问题就都是他们帮助解决,无需我们操心。如果我们自己去做这些工作,可能需要一个无比庞大的团队。”美的集团副总裁、美的国际总裁王建国说。
此外,亚马逊云科技成熟和丰富的全球客户经验,也是选择合作的一个驱动力,“亚马逊云科技的经验很丰富,已经有很多全球成功公司跑在它的云平台上,包括我们的很多上下游全球合作伙伴也在上面,这样就形成了一个很好的数据生态链。”
结语
当前在云安全领域,云自身安全合规是用户选型时首要考量因素。如何确保云基础架构以及所提供的各种云服务本身的安全性是云平台服务商首先要沟通清楚的。
对于跨国公司和出海企业来说,云平台服务商的全球化安全和合规能力逐是这些企业关注的重点。像亚马逊云科技这样具有全球基础设施和合作伙伴网络成员的云服务商,提供的安全性和合规性,能帮助用户满足全球几乎所有监管机构的合规性要求。
云上安全场景比传统数据中心复杂和丰富很多,传统 IT 安全厂商要快速切入云安全市场,不仅要依靠长期的技术积累和客户基础,还要选择强大的云平台服务商进行合作。亚马逊云科技不仅在持续引入全球最新的安全合作伙伴的技术到中国,同时也在加强和本土安全合作伙伴的合作。这种强强联手的安全合作的生态也正在成为未来的一种趋势。
对于云安全服务提供商来说,如何在构筑安全合规的同时,不影响用户业务创新,是需要仔细规划的。亚马逊云科技提供了新解: 三大安全理念的布局,分别从自动化、主动设计、多层防护的角度充分诠释了其兼顾安全与创新的实践标准。
还未添加个人签名 2019.09.17 加入
还未添加个人简介
评论