亚马逊云科技：践行安全Job Zero，打造五层防护体系

原创
作者： 赵立京 2022-04-07 12:43:24

云计算 亚马逊云科技凭借出色的可见性和控制力；深度集成实现自动化；以最高的安全与隐私保护标准构建；客户可以继承的安全性与合规性；丰富的安全、合规合作伙伴，这五大优势，为企业提供了云安全的最佳实践和培训，助力客户构建了云安全文化和战略，赋能企业在云上走的更稳、更安全！

随着企业加速上云，云上的数据类型、数据数量持续增加。同时，越来越多的中国企业选择出海，业务在全球范围拓展，甚至跨若干行业赛道做竞争，这一切都加剧了企业在安全合规方面的挑战。

目前，全球已经有132个国家和地区制定了数据保护和隐私相关的法律法规。我国也陆续出台了《数据安全法》、《个人信息保护法》等各种法规。用户在选择云服务厂商的时候，会特别关注安全合规的问题：上云安全么？云厂商提供的产品和服务本身是安全合规的吗？将应用上云之后，云厂商如何帮助我们在云中安全合规？

面对这些问题，亚马逊云科技是这样做的。

首先，亚马逊云科技从创立之初就将安全作为优先级最高的工作“Job Zero”，每一个服务从设计阶段就已经融入了安全基因。

其次，亚马逊云科技首创的安全责任共担模型，奠定了云计算安全模型的标准，目前很多云厂商都遵循这一套标准为用户带来更安全的云。

具体来说，在安全责任共担模型中，亚马逊云科技负责自身云基础设施和云服务的安全合规，还要拿到全球各种各样的合规认证，让客户继承这些合规认证。用户则为自身云业务的安全负责，拥有完全的选择权，包括选用哪个区域、使用哪种服务、访问控制的授权、安全防护的手段等，客户可以根据业务的实际情况和数据的重要性来采取适当的安全合规措施。在这个过程中，亚马逊云科技给用户提供更多的云安全服务，让客户在构建云中安全时使用；同时引入丰富的安全合作伙伴，为用户提供更多的安全方案；最后，亚马逊云科技为用户提供了各行各业的安全最佳实践。

目前，亚马逊云科技在全球已经获得了98项安全标准和合规认证，并将全球积累的保护经验、安全合规的能力实践到中国区域。目前北京区域和宁夏区域都通过了独立的第三方机构的验证，完成了网络安全等级保护三级的测评，获得了中国信息通信研究院的可信云的服务评估。同时亚马逊云科技在国内也获得了通行的ISO一系列的信息安全质量管理认证，以及PCI-DSS、SOC等行业方面的信息安全认证。亚马逊云科技在全球安全合规方面持续投入，继续领先，定期对数千个全球合规性进行第三方验证的更新迭代，如欧洲云基础设施服务提供商数据保护行为准则（CISPE准则），亚马逊云科技至今已经有50多项服务符合CISPE准则。

坚守快速创新与安全合规之间的平衡

快速创新的同时确保安全是企业一直在平衡的难题。对此，亚马逊云科技有三个理念。首先是利用云上的事件驱动型架构，建立起一套从威胁检测到事件反应、原因分析、恢复的自动化防护，只有自动化才有机会让企业的开发团队把更多的时间放在业务创新上。

第二，云中安全是主动设计出来的，而不仅是被动响应。安全和业务是融为一体的，而安全合规一定是基于设计的，而不是基于对安全合规事件的后知后觉的响应，安全建设要未雨绸缪，从四个方面来设计：规划预防、检测、响应、修复。

第三，云中安全必须是一个洋葱型的，层层递进的防护机制。

详解洋葱型多层防护模型

亚马逊云科技的洋葱型多层防护模型共五层：威胁检测与事件响应、身份认证与访问控制、网络与基础架构安全、数据保护与隐私、风险管控及合规。

第一层威胁检测和事件响应：顾凡表示，亚马逊云科技的威胁检测和事件响应方案就像一个专业的天气预报员，具备四大因素：精准定位、快速反应、时刻监控、分析原因。Amazon GuardDuty可以实现威胁的精准定位，它内嵌了亚马逊电商的第一手威胁情报源，集成了行业顶尖的CrowdStrike和Proofpoint威胁情报源，同时和世界上一系列顶尖的安全公司合作，持续不断地丰富情报源。第二，Amazon GuardDuty集成了机器学习的能力，针对API的调用行为建模，并结合概率预测，从而更准确地隔离和警告高度可疑的用户行为。机器学习对比单独的异常检测相比，可以将可疑用户行为的警报量减少50%。

Amazon Security Hub实现了威胁检测7X24小时全天候在线实时监测，还连接了威胁事件的上下游分析原因。Amazon Security Hub还可以将数据发送给用Splunk或者用Splunk架构的一堆的SIEM的平台，做更进一步的分析和可视化。

第二层身份认证和访问控制：保持最小授权原则，每一次授权都要确认是否必须与业务和职责相关；第二，要对最小授权原则定期要进行审计。

技术上要尽可能细化访问的颗粒度，可以根据时间、地点、服务去设置访问条件，同时最好结合MFA来做加强身份认证，并且要减少长期凭证的使用。Amazon Identity and Access Management (IAM) 是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

第三层网络和基础设施安全：亚马逊云科技在网络的边缘侧的重要防护产品是Amazon Shield advanced ，顾凡表示，Amazon Shield advanced提供的就像保险一样的服务，只要将资源加载到Amazon Shield Advanced，就会得到全天候的保护，而且收费和攻击的流量大小和次数是无关的。另一个重要产品是Amazon WAF。Amazon WAF针对应用层的攻击，有丰富的规则库，既有亚马逊安全专家团队针对最新攻击自研的规则，全托管的规则，也有用户根据自己需求而自定义的规则，客户还可以把合作伙伴的规则都加载上来。

第四层数据保护和隐私层：Amazon KMS密钥管理服务实现了存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。Amazon CloudHSM提供了安全、简单的云上专属加密机。亚马逊云科技提供了一个数据全生命周期的加密服务，不仅是在数据存储阶段，包括在数据使用的整个链条、传输以及真正被调取出来做计算使用阶段的加密都要考虑。

此外，Amazon Nitro Enclaves提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

第五层风险管控和合规：包括亚马逊云科技服务自身的合规性；成熟的合规方案即最佳实践；Amazon Audit Manager帮助客户合规审计；对合作伙伴的咨询和落地能力提供大量经验。

结语

亚马逊云科技凭借出色的可见性和控制力；深度集成实现自动化；以最高的安全与隐私保护标准构建；客户可以继承的安全性与合规性；丰富的安全、合规合作伙伴，这五大优势，为企业提供了云安全的最佳实践和培训，助力客户构建了云安全文化和战略，赋能企业在云上走的更稳、更安全！