0
如今,伴隨著數字經濟的發展加之疫情的影響,各行業各企業紛紛走上了數字化轉型的道路,企業上云逐漸成為大勢所趨。究其原因,主要在于云計算的使用,讓企業在業務開展過程中擁有了更多的靈活性和可行性,還給企業發展帶來了更多收益。
同時國家也出臺了相關政策積極鼓勵企業上云,據相關數據顯示,工信部將在今年年底為不少于10萬家中小企業提供數字化轉型服務,促進10萬家中小企業業務上云。
然而,任何事情的發展都具有兩面性,上云雖然利好企業的數字化轉型,但也存在著嚴重的安全隱患,一方面,第三方設置中缺乏安全控制、多云環境中可見性差、有足夠的空間來竊取和濫用數據、云是DDos攻擊的常見目標,攻擊會從一個環境快速擴散至另一個環境等,云安全隱患不僅會波及每個部門還會對網絡中的所有設備帶來危害。
另一方面,伴隨著云計算的不斷深入,云上安全合規的環境日趨復雜,到目前為止,全球已經有132個國家跟地區制定了數據保護和隱私相關的法律法規,國內也先后出臺了《數據安全法》、《個人信息保護法》等各種法規,加之近些年云安全事件頻發的影響,如何規避安全風險成了企業上云的重要課題。
過去很多年,企業認為自己的數據中心才是最安全的,但在亞馬遜云科技看來,企業上云,安全體驗能夠比自建數據中心再上一個臺階。
對此,亞馬遜云科技大中華區戰略業務發展部總經理顧凡表示,雖然大多數企業在自建數據中心的時候也要考慮安全因素,但構建安全體系時需要考慮到安全設備管理、合同簽訂、成本等一系列問題,當企業用戶選擇將應用上云之后,就無需擔心瑣碎的底層基礎設施安全,而且在云端的安全治理有機會再上一個臺階。
具體主要表現在以下四個方面:
首先是自動化。企業可以充分利用云端安全服務之間超高的集成度,更好地做到安全的自動化,以降低數據整合的難度。
其次是可視化。當數據整合的程度提高,在云上也會有更好的機會用一個集中平臺做安全的可視化管理。
然后是靈活的成本投入。這是由于云端安全沒有前期投入成本,而是按使用量付費所導致的。
最后是高效的合規。自建數據中心需要從零開始做合規,而云上合規客戶則能直接繼承云廠商的合規,相當于云廠商為企業打好了前半部分的基礎。
企業上云潛在的安全風險無疑給包括亞馬遜云科技在內的云服務商提出了更高的要求,但是為了推動安全及合規更好更快建設,顧凡認為安全合規也需要云服務商與客戶實現責任共擔,對此,亞馬遜云科技提出了安全責任共擔模型,在這一模型中,亞馬遜云科技負責底層云基礎設施和所提供云服務的安全,客戶負責自身云業務安全。
顧凡表示,責任共擔也需要有一定的分界線,在IaaS、PaaS、SaaS環境下,不同的場景分界線會有所移動。當你今天使用的是Amazon EC2基礎資源的時候,云廠商保護的是云基礎設施,像虛擬機、網絡存儲、計算這些。而用戶負責的是虛擬化之上的資源,操作系統、應用、數據訪問、加密。
隨著客戶在云上采用的是IaaS服務,到PaaS服務再到SaaS服務,這樣云廠商的責任共擔模型的分界線會上浮,云廠商肩負的責任會越多,到了SaaS服務的時候,客戶主要負責的就是數據,以及數據的訪問權限。
相比企業而言,在安全合規建設過程中,云服務商往往承擔著更為重要的責任,亞馬遜云科技主要通過四個方面來保證自身的安全合規。
第一是安全的基礎設施。亞馬遜云科技的數據中心和網絡架構在構建時就會遵循最高的安全標準,全球所有數據中心和服務都會使用相同的構建標準和控制措施,而規模不同的客戶都可以受益于這樣具有高安全性的基礎設施。
第二是安全的云服務。亞馬遜云科技對服務的安全性十分重視,安全團隊從一開始就會深入參與到新服務和新功能的開發之中,如果存在任何已知的安全問題,新服務將不會啟動,此外亞馬遜云科技還會通過深度集成的服務,實現安全自動化,減少人工配置錯誤,降低風險。
第三則是堅持客戶擁有和控制服務的理念。在為客戶提供云服務的同時,亞馬遜云科技堅持不接觸客戶數據,客戶可以選擇任何方式加密數據,所有數據在離開亞馬遜云科技的安全設施之前,也會經過物理層的自動加密。
最后,亞馬遜云科技獲得了眾多安全標準和合規性認證,幾乎滿足全球所有監管機構的合規認證,用戶可以繼承這些安全合規認證,從而順利開展自身的全球化部署。
顧凡表示,“安全團隊最核心的理念就是不能阻止企業快速創新,要盡力在確保安全的情況下推動企業加速轉型。而亞馬遜云科技通過三方面的理念構建安全模型,從而為企業的安全團隊提供最佳選擇,具體來說,首先是利用云上事件驅動型架構構建自動化防護欄,讓企業的開發團隊能有更多時間投入到業務創新中,其次是主動設計云中安全,從規劃預防、檢測、響應和修復四個方面,未雨綢繆地設計安全防護,最后,云中安全必須是一個洋蔥型的多層防護,通過層層遞進的防護機制保護云上數據的安全。”
針對洋蔥模型,顧凡特別解釋道,云中安全必須是洋蔥型的多層防護,而不是一個雞蛋。因為洋蔥模型的核心理念是,千萬別信一層保護,有人說就信網絡層,任何一層都是不夠的,只有五層連起來像鎖鏈一樣才會更加牢靠。洋蔥模型防護是云中構建安全的關鍵所在。
據了解,目前亞馬遜云科技以洋蔥模型為基礎,對外提供了280多種安全合規的服務和功能,從五個層面提供全方位的安全防護。
第一層是威脅檢測與事件響應。在這一層中,威脅檢測起到了專業天氣預報員的作用,對安全威脅做到精準定位、快速反應和時刻監控。具體到服務上來看,Amazon Guard Duty集成了機器學習的能力,實現威脅的精準定位,為客戶提供了經濟高效的智能選項,可持續檢測在亞馬遜云科技中發生的威脅,讓報警量減少了50%,而Amazon Security Hub安全事件統一管理平臺則可以讓客戶針對威脅檢測7x24小時全天候監控,及時響應,并自動執行合規性檢查。
第二層是身份認證與訪問控制。亞馬遜云科技提供了Amazon Identity and Access Management (IAM)作為身份認證與訪問控制的核心服務,它可以提供涵蓋整個亞馬遜云科技所有服務和資源的精細訪問控制,實現一個組織的多賬號集中管理和治理,建立權限防護機制和數據邊界。
第三層是網絡與基礎設施安全。防御DDoS攻擊是這一層防護的重點,而Amazon Shield Advanced則為用戶提供了全天候的防護,Web應用防火墻服務Amazon WAF則通過豐富的規則庫,使得客戶能夠靈活定義網絡訪問的規則。
第四層是數據保護與隱私。提供數據全生命周期的加密服務,對數據的保護涵蓋了數據存儲、傳輸和使用的各個環節。Amazon KMS密鑰管理服務實現存儲過程中的加密,它與亞馬遜云科技140個服務集成,可以對存儲在這些服務中的數據加密。而Amazon Cloud HSM提供了安全、簡單的云上專屬加密機。針對云端的機密計算環境則由Amazon Nitro Enclaves提供,客戶可以通過該服務創建云上的隔離環境,減少敏感數據處理過程中的攻擊面。
第五層則是風險管控和合規。主要表現在三方面,一是確保亞馬遜云科技服務本身的合規性,二是合規方案落地,三是自動化審計。
伴隨著企業加速上云,可以看出企業放到云上的數據類型、數據的數量將持續增加。而如今隨著中國企業的出海,很多企業業務在全球范圍拓展,甚至有很多企業是跨行業跨賽道做競爭,這都將加劇企業面對安全合規的挑戰。
安全合規的建設仍舊任重道遠,其并不能憑云服務商的一己之力,也不能靠企業自建,只有雙方合力才能更好更快的推動安全合規的建設。(雷峰網雷峰網(公眾號:雷峰網)雷峰網)
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
