云的安全性從未像今天這樣凸顯，據(jù)IDC調查數(shù)據(jù)顯示在過去的18個月中，有近80%的企業(yè)至少經(jīng)歷了一次云數(shù)據(jù)泄露。突如其來的疫情，極大的改變了人們的生活和工作方式。在全球范圍內，企業(yè)幾乎在一夜之間改變了原來的IT模式，通過云來應對遠程工作的挑戰(zhàn)。

企業(yè)在邁入云端時，如果沒有妥善解決安全問題，企業(yè)將更為謹慎的采用云服務和功能。穩(wěn)健的云安全服務選擇，不僅能夠保障企業(yè)在全球市場開展業(yè)務，也能夠支持到遠程辦公所需的可用性、可靠性、靈活性和安全。

云安全成“新常態(tài)”

根據(jù)Gartner的調查，到2022年向云計算的轉型將產(chǎn)生約1.3萬億美元的IT支出?，F(xiàn)在絕大多數(shù)企業(yè)工作負載都在公有、私有或混合云環(huán)境上運行。

可見未來有效應對云上安全威脅將成為企業(yè)的“新常態(tài)”，尤其伴隨著企業(yè)在疫情期間加速上云來推動遠程工作的能力，遠程辦公更容易受到來自惡意軟件攻擊和網(wǎng)絡釣魚的影響。比如導致內部安全威脅的增加，員工賬戶被劫持等安全隱患。

而更為緊迫的云安全挑戰(zhàn)在于，企業(yè)通常不完全了解在云中進行操作的含義。比如，企業(yè)可能會嘗試將傳統(tǒng)的安全模型想當然的映射到新平臺上，而忽視了利用云所提供的功能。

IDC的報告指出，云上安全相關的配置錯誤，對訪問設置和活動缺乏足夠的可見性，以及身份和訪問管理(IAM)許可錯誤是企業(yè)最關注的云生產(chǎn)環(huán)境安全問題。

事實證明，企業(yè)采用激進的上云策略獲取彈性和計算資源的同時，恰恰忽視了云平臺的整體安全能力所帶來的價值。

云業(yè)務的“生命線”

今年2月份，AWS創(chuàng)紀錄的抵御住了2.3 Tbps的DDoS攻擊。AWS透露，身份不明的攻擊者每秒向其服務器發(fā)送2.3萬億字節(jié)的數(shù)據(jù)，規(guī)模驚人。這次攻擊的規(guī)模比2018年導致GitHub宕機的1.3 Tbps攻擊大近一倍，比2016年導致Dyn癱瘓的大約1 Tbps的Mirai僵尸網(wǎng)絡DDoS大一倍多。

正因于此，云供應商需要向企業(yè)保證安全性是云基礎架構的核心，能夠提供與本地IT基礎架構相同甚至超越的安全能力。這次事件從一個側面印證了AWS作為云計算領航者的安全實力。

與客戶重視云應用可靠性和數(shù)據(jù)安全性一樣，安全的重要性在AWS比所有的優(yōu)先級都高，如果存在任何已知的安全問題，AWS都會及時解決，如果沒有解決安全的隱患，絕不會勉強將新的云服務推向商用，高優(yōu)先級的安全責任，成為了AWS保障云上業(yè)務的“生命線”。

AWS采用了共享安全責任模型的運營方式，其中AWS負責底層云基礎設施的安全，一方面AWS負責保護云端包括計算、存儲、網(wǎng)絡和數(shù)據(jù)庫等云服務基礎設施中部署的工作負載，也就是如果AWS沒能抗住2.3 Tbps的DDoS攻擊，那么給用戶帶來的影響將由AWS承擔責任，一方面AWS要為云環(huán)境中用戶的業(yè)務功能實施提供最適用的安全控制措施所需的靈活性和敏捷性，這通過AWS的超過200種安全功能和服務實現(xiàn)。

AWS共享安全責任模式

AWS所提供的云基礎設施是目前市場上最靈活、最安全的云計算環(huán)境之一，已經(jīng)連續(xù)10年獲評Gartner魔力象限領導者。AWS不僅具有安全最佳實踐和標準，而且使用冗余和分層控制、持續(xù)驗證和測試以及大量自動化，來確保7*24全天候監(jiān)控和保護底層基礎設施。

而企業(yè)負責制定嚴格限制對處理敏感數(shù)據(jù)環(huán)境的訪問策略，或者為要公開的信息部署靈活的控制策略，因為AWS推崇并遵循客戶對自己的系統(tǒng)和數(shù)據(jù)擁有完全的自主權。

目前這種安全責任共擔的模式已經(jīng)得到了大多數(shù)企業(yè)的認同，因為在云計算的普及過程中，有諸多因云安全所引發(fā)的責任歸屬的爭論，AWS所倡導的安全責任共擔模式為云安全“責權利”劃出了清晰的邊界。

同時，在AWS內部，安全的優(yōu)先級高于任何的任務，AWS的每位員工都有責任確保安全性是所有業(yè)務不可或缺的組成部分，每個員工都知道如何報告安全問題，并且有權在必要時將安全問題升級到最高級別。同時，AWS每一項安全功能和服務的創(chuàng)新都來自客戶的聲音，來滿足大多數(shù)風險敏感的用戶和企業(yè)的安全性和合規(guī)性需求。

云安全“三駕馬車”

AWS提供了超過200種安全功能和服務，并與合作伙伴一起提供了各種工具和功能，幫助企業(yè)實現(xiàn)安全目標，這些工具和功能可以鏡像企業(yè)本地環(huán)境中已經(jīng)駕輕就熟的部署和控制。AWS提供的安全專用工具和功能涉及網(wǎng)絡安全、配置管理、訪問權限控制和數(shù)據(jù)安全這些領域。此外，AWS還提供了監(jiān)控和日志記錄工具，讓企業(yè)可以全面了解云環(huán)境中正在發(fā)生的情況。

綜合來看，AWS的云服務聚焦于身份認證，安全功能及合規(guī)三個方面。這“三駕馬車”為企業(yè)構建了可見、可控、可審計、靈活、自動化的全方位安全能力，我們通過AWS IAM、AWS Security Hub、AWS WAF和Amazon GuardDuty這四項云安全服務，來詳細了解AWS如何為企業(yè)數(shù)字化轉型保駕護航。

AWS Identity and Access Management (IAM)是身份認證方面的代表性云服務，借助IAM企業(yè)可以為各個賬戶定義對AWS資源的訪問權限，包括基于軟件和硬件的身份驗證器選項。通過IAM，企業(yè)可以使用現(xiàn)有的身份驗證系統(tǒng)(如微軟Active Directory或其他合作伙伴的產(chǎn)品)向員工和應用程序授予對AWS管理控制臺和AWS服務API的聯(lián)合訪問權限。

IAM的優(yōu)勢在于其細粒度的身份認證和訪問控制，同時結合對安全事件的持續(xù)監(jiān)控，來確保正確的資源得到正確的訪問。比如我愛我家、新希望草根知本、新世紀醫(yī)療等客戶利用AWS健全的安全機制和IAM，實現(xiàn)了精細化的安全管理，確保系統(tǒng)的高可用性和可靠性。

在合規(guī)性方面，AWS Security Hub作為一體化安全性與合規(guī)性中心，可讓企業(yè)全面查看AWS賬戶中的高優(yōu)先級安全警報與合規(guī)性狀態(tài)。

過往企業(yè)需要使用一系列的安全工具，來完成從防火墻到端點保護，再到漏洞的合規(guī)性掃描，安全團隊需要在不同工具間切換，每天處理大量安全警報，這大大增加了企業(yè)的安全運維成本。

AWS Security Hub的優(yōu)勢在于企業(yè)能夠對來自不同AWS服務，以及來自AWS合作伙伴解決方案的安全警報或檢測結果進行聚合、組織和設置優(yōu)先級，檢測結果的可視性也大大提升，可在具有可操作圖形和表格的集成控制面板上進行直觀匯總。此外，企業(yè)還可以使用自動合規(guī)性檢查進行持續(xù)監(jiān)控。

在安全功能方面，WAF和威脅檢測是企業(yè)最為常用的云安全服務選項。AWS WAF和Amazon GuardDuty充分體現(xiàn)了AWS在云服務之間的高度集成，自動化布署的優(yōu)勢。

AWS WAF是一種Web應用防火墻，可幫助企業(yè)保護Web應用或API免遭常見Web漏洞的攻擊，這些漏洞可能會影響可用性、損害安全性或消耗過多的資源。

AWS WAF允許企業(yè)創(chuàng)建防范常見攻擊模式，例如SQL注入或跨站點腳本的安全規(guī)則，以及濾除企業(yè)定義的特定流量模式的規(guī)則，從而讓企業(yè)可以控制流量到達應用程序的方式。AWS WAF的優(yōu)勢在于其包含功能全面的API，可以讓安全規(guī)則的創(chuàng)建、部署和維護實現(xiàn)自動化。

Amazon GuardDuty是一種威脅檢測服務，可持續(xù)監(jiān)控惡意活動和未經(jīng)授權的行為，從而保護企業(yè)AWS賬戶、工作負載和Amazon S3中存儲的數(shù)據(jù)。

雖然遷移到云后，賬戶和網(wǎng)絡活動的收集與聚合變得簡單，但安全團隊對事件日志數(shù)據(jù)進行持續(xù)的分析來發(fā)現(xiàn)潛在的威脅，則十分耗時。所以GuardDuty為企業(yè)提供了經(jīng)濟高效的智能選項，從而持續(xù)檢測在AWS中發(fā)生的威脅。

GuardDuty的優(yōu)勢在于使用機器學習、異常檢測和集成威脅情報等手段，識別潛在的威脅并確定優(yōu)先級別。一方面，GuardDuty會對來自多個AWS數(shù)據(jù)源，例如AWS CloudTrail事件日志、Amazon VPC流日志和DNS日志的數(shù)百億事件進行分析。其次，GuardDuty警報與Amazon CloudWatch Events集成，具有極好的可行動性，非常便于跨多個賬戶聚合，并且可以直接推送到現(xiàn)有的事件管理和工作流程系統(tǒng)。

結語

過往，企業(yè)不斷構建和維護內部的分層“深度防御”安全策略。而今天，已經(jīng)有越來越多的企業(yè)逐漸意識到云的廣泛安全優(yōu)勢以及合規(guī)能力。過硬的安全能力關乎千萬企業(yè)的信任和持續(xù)投入，這也是為什么AWS將安全視“生命線”的真正原因。