云計算技術(shù)在發(fā)展的同時，安全環(huán)境也在不斷發(fā)展，大量的信息通過云端在傳遞著，對于安全的關(guān)注點也從原來的端點安全轉(zhuǎn)移到了應(yīng)用安全、數(shù)據(jù)安全、以及傳輸安全等方面。傳統(tǒng)安全邊界正在被“云”重塑，云安全面臨著越來越嚴(yán)峻的挑戰(zhàn)。AWS在為客戶提供全面、廣泛的云服務(wù)同時，也為其構(gòu)筑了一道云安全防線。

AWS 云安全時代的更優(yōu)選擇

云計算已經(jīng)成為影響整個IT行業(yè)的關(guān)鍵性技術(shù)，而云安全則是云計算能否成功應(yīng)用的關(guān)鍵。上云已經(jīng)成為企業(yè)驅(qū)動流程創(chuàng)新、拓展業(yè)務(wù)的重要發(fā)展戰(zhàn)略，但是在上云的同時，企業(yè)對安全會存在一定的遲疑，特別是在關(guān)鍵數(shù)據(jù)和隱私方面，都希望實現(xiàn)“云”的可管可控。

作為功能最全面、應(yīng)用最廣泛的云服務(wù)提供商，AWS 在全球擁有非常廣泛的云基礎(chǔ)設(shè)施，其安全性便始于這些核心基礎(chǔ)設(shè)施。AWS核心基礎(chǔ)設(shè)施是為了滿足軍事、銀行和其他高度敏感性組織的安全要求而構(gòu)建，因而符合全球最為嚴(yán)格的安全要求，處于全天候監(jiān)控之下，確保了數(shù)據(jù)的機(jī)密性、完整性和可用性。AWS十幾年來一直以客戶為中心，遵循客戶至尚的理念，不斷地進(jìn)行創(chuàng)新，升級優(yōu)化核心基礎(chǔ)設(shè)施技術(shù)，通過先進(jìn)的架構(gòu)設(shè)計，提供更全面的云服務(wù)，確保數(shù)據(jù)的安全和可控。因此，AWS贏得了全球數(shù)百萬用戶的認(rèn)可和信賴，幾乎涵蓋了所有行業(yè)和規(guī)模的組織。

企業(yè)將其業(yè)務(wù)從傳統(tǒng)數(shù)據(jù)中心遷移至云計算數(shù)據(jù)中心時，將面臨一些新的安全挑戰(zhàn)，其中一方面就是需要應(yīng)對各級主管部門的合規(guī)要求。針對此種情況，AWS制定了完備的應(yīng)對策略， AWS的云安全工具包括了230 項安全、合規(guī)性和監(jiān)管服務(wù)及功能，還支持90個安全標(biāo)準(zhǔn)和合規(guī)性認(rèn)證，而且存儲客戶數(shù)據(jù)的全部 117 項 AWS 服務(wù)都具有加密該數(shù)據(jù)的能力。所以，AWS在幫助用戶提升滿足核心安全性和合規(guī)性要求的能力方面無可置疑。

五大優(yōu)勢 高效應(yīng)對云安全威脅

在安全與數(shù)據(jù)穩(wěn)私保護(hù)方面，AWS一直秉承客戶擁有和控制數(shù)據(jù)的理念，由客戶來控制自己的數(shù)據(jù)，并且提供復(fù)雜的技術(shù)和物理措施來防止未經(jīng)授權(quán)的訪問。此外，AWS還堅持安全責(zé)任共擔(dān)，AWS負(fù)責(zé)主機(jī)操作系統(tǒng)、虛擬化層、物理基礎(chǔ)設(shè)施的安全，客戶負(fù)責(zé)上層操作系統(tǒng)以及相關(guān)應(yīng)用程序的安全，負(fù)責(zé)配置AWS提供的安全組防火墻，通過安全責(zé)任共擔(dān)，集合多方面的力量，共同應(yīng)對云安全威脅。AWS云安全五大優(yōu)勢可以幫助用戶有效應(yīng)對愈加復(fù)雜且嚴(yán)峻的云安全挑戰(zhàn)。

（一）打造云端深度可視化和控制力，實現(xiàn)擴(kuò)展安全

在每一個IT環(huán)境內(nèi)，可視化是確保安全性的關(guān)鍵所在。AWS用戶可以控制數(shù)據(jù)的存儲位置、有權(quán)訪問用戶在任何給定時刻消耗的資源。如每一位AWS用戶都有一個用于確保AWS賬戶安全性的秘密訪問密鑰和訪問密鑰ID，使用一個AWS安全令牌服務(wù)就可以向一個賬號授予臨時訪問權(quán)限。另外，AWS身份和訪問管理服務(wù)還提供了基于角色的訪問，用戶和應(yīng)用程序都被賦予了預(yù)定義的角色，非常有助于控制對特定資源和應(yīng)用程序的訪問。

AWS還提供多元的身份驗證選項，還可實現(xiàn)合規(guī)性檢查的自動化，可以捕獲資源的當(dāng)前狀態(tài)和跟蹤變更，然后向用戶警告那些不符合AWS安全性最佳實踐的變更。通過使用安全自動化和活動監(jiān)控服務(wù)，來檢測整個生態(tài)系統(tǒng)中的可疑安全事件，從而實現(xiàn)擴(kuò)展安全。

（二）通過深度集成的服務(wù)實現(xiàn)自動化并降低風(fēng)險

眾所周知，云端自動化部署服務(wù)一直深受用戶歡迎，創(chuàng)建一個自動化和可重復(fù)的部署流程能夠提升業(yè)務(wù)配置效率，并且有效地擴(kuò)展和升級。執(zhí)行安全任務(wù)的流程也是如此，實現(xiàn)自動化可以通過減少人工配置錯誤，將工作人員從日常繁瑣的工作和加班中解放出來，從而有更多的精力和時間投入到安全業(yè)務(wù)的創(chuàng)新之中。AWS為各種應(yīng)用場景提供了不同的解決方案，針對的應(yīng)用場景不同，這些服務(wù)的關(guān)注點也不同。用戶可以從各種深度集成的解決方案中進(jìn)行選擇然后重新組合，讓其以新穎的方式自動執(zhí)行任務(wù)，從而加強(qiáng)安全團(tuán)隊與其他團(tuán)隊密切合作，以便更高效安全地完成工作。

以機(jī)器學(xué)習(xí)為例，在傳統(tǒng)的機(jī)器學(xué)習(xí)中，用戶通過自己搭建模型訓(xùn)練數(shù)據(jù)需要耗費(fèi)大量的時間成本和人力成本，而通過AWS控制臺，開發(fā)人員只需要將訓(xùn)練所需的數(shù)據(jù)上傳，便能自動以幾十種不同的訓(xùn)練模型建立機(jī)器學(xué)習(xí)任務(wù)自動訓(xùn)練，還可以自動連續(xù)地發(fā)現(xiàn)、分類和保護(hù) AWS 中的敏感數(shù)據(jù)，并給出可視化結(jié)果，節(jié)省了大量的開發(fā)成本，并且迅速提升了數(shù)據(jù)保護(hù)能力。

（三）以最高的隱私和數(shù)據(jù)安全標(biāo)準(zhǔn)進(jìn)行構(gòu)建

數(shù)據(jù)不僅是數(shù)字經(jīng)濟(jì)的關(guān)鍵要素，也是信息時代重要的生產(chǎn)要素，數(shù)據(jù)安全更是被上升為與國家安全同等重要的地位。對于企業(yè)而言，數(shù)據(jù)安全也是其持續(xù)發(fā)展的基礎(chǔ)。大量企業(yè)的數(shù)據(jù)存在云端，數(shù)據(jù)安全面臨著十分嚴(yán)峻的挑戰(zhàn)。AWS針對用戶對數(shù)據(jù)安全的擔(dān)憂，組建了一支世界一流的安全專家團(tuán)隊，并構(gòu)建了全天候監(jiān)控系統(tǒng)。此外，AWS 還擁有全球云基礎(chǔ)設(shè)施，這個高安全性、高擴(kuò)展性和高可靠性的云平臺可提供來自全球數(shù)據(jù)中心的 175 多種功能全面的服務(wù)，用戶可以在平臺上加密、移動以及管理保留自己的數(shù)據(jù)。另外，在數(shù)據(jù)中心和區(qū)域互連的 AWS 全球網(wǎng)絡(luò)中，所有的數(shù)據(jù)流動在離開AWS的安全設(shè)施之前，都經(jīng)過物理層自動加密。

另外，AWS全球基礎(chǔ)設(shè)施可以讓用戶完全控制數(shù)據(jù)實際所在的區(qū)域。比如AWS將物理數(shù)據(jù)中心分為多個邏輯單元，這些邏輯單元稱為“可用區(qū)”，把可用區(qū)想象成一個邏輯數(shù)據(jù)中心。數(shù)據(jù)中心通過完全冗余的專用低延遲連接相互連接，然后把多個可用區(qū)域組成一個AWS區(qū)域，但是它們在物理上是彼此分開并相互隔離的，因此，如果一個可用區(qū)出現(xiàn)故障，其他可用區(qū)不會受到影響，從而確保了數(shù)據(jù)安全性，并滿足了用戶數(shù)據(jù)駐留要求。

（四）更繁榮的安全合作伙伴和解決方案生態(tài)系統(tǒng)

當(dāng)前，越來越多的企業(yè)需要在云上構(gòu)建更敏捷、更彈性和更安全的企業(yè)IT系統(tǒng)。為了更好的提升用戶的體驗，解決用戶上云的安全擔(dān)憂， AWS 通過使用用戶了解和信任的熟悉解決方案提供商提供的安全技術(shù)和咨詢服務(wù)來擴(kuò)展自身的優(yōu)勢。因此，AWS在逐步壯大合作伙伴生態(tài)系統(tǒng)，與百家APN合作伙伴開展聯(lián)合解決方案，重點覆蓋了金融、制造、汽車、零售與電商、醫(yī)療與生命科學(xué)、媒體、教育、游戲、能源與電力九大行業(yè)。尤其在安全領(lǐng)域，AWS精心挑選了具有深厚專業(yè)知識和經(jīng)過證實的成功經(jīng)驗的提供商，構(gòu)建了端到端的解決方案和服務(wù)，以確保云采用的每個階段的安全及合規(guī)。AWS的APN合作伙伴提供了幾百個工具和功能，涵蓋網(wǎng)絡(luò)安全、配置管理、訪問控制和數(shù)據(jù)加密的方方面面，以幫助AWS用戶實現(xiàn)安全目的。

（五）繼承最為全面的安全性與合規(guī)性控制

云計算作為一種新興服務(wù)模式，已經(jīng)成為企業(yè)發(fā)展的關(guān)鍵因素，使用云計算，可以讓其擺脫數(shù)據(jù)中心、節(jié)省成本、加快遷移速度，并且享受云上的無限資源，但是在此過程中，面臨著一個重要問題就是要滿足安全合規(guī)要求。為了幫助用戶實現(xiàn)合規(guī)，AWS 會定期對數(shù)千個全球合規(guī)性要求進(jìn)行第三方驗證，并進(jìn)行持續(xù)監(jiān)控，同時還不斷加強(qiáng)用戶自己的合規(guī)性和認(rèn)證計劃。AWS 支持?jǐn)?shù)十種安全標(biāo)準(zhǔn)和合規(guī)性認(rèn)證，滿足全球幾乎所有監(jiān)管機(jī)構(gòu)的合規(guī)性要求。

在中國，AWS還將安全技術(shù)和服務(wù)與APN合作伙伴的技術(shù)和服務(wù)融合在一起，為各行業(yè)的用戶提供基于中國網(wǎng)絡(luò)安全法規(guī)要求、等級保護(hù)國家標(biāo)準(zhǔn)、歐洲GDPR等方面的端到端服務(wù)。這些服務(wù)可以從三個方面體現(xiàn)：第一是通過提供安全合規(guī)類型的產(chǎn)品和技術(shù)解決方案，幫助客戶搭建符合法律法規(guī)要求的安全技術(shù)架構(gòu)；第二是提供針對各類型安全合規(guī)要求的咨詢服務(wù)，為客戶搭建安全架構(gòu)提供咨詢方案，幫助客戶建立和維護(hù)安全管理體系；第三是針對網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)，幫助客戶提供等級保護(hù)認(rèn)證服務(wù)。

四個層面 全方位護(hù)航云上安全

隨著云計算的快速發(fā)展，惡意軟件、數(shù)據(jù)泄露、用戶身份認(rèn)證等安全問題也成為云時代的安全挑戰(zhàn)。AWS 可以幫助用戶為應(yīng)用程序構(gòu)建安全、高性能、彈性和高效的基礎(chǔ)設(shè)施，并維護(hù)豐富多樣的創(chuàng)新安全服務(wù)，幫助用戶簡化滿足自己的安全和法規(guī)要求。AWS從預(yù)防、檢測、響應(yīng)和修復(fù)四個層面對云安全提供了相應(yīng)的服務(wù)和解決方案，四個層面包含了ID訪問控制，檢測式控制，基礎(chǔ)設(shè)置保護(hù)和數(shù)據(jù)保護(hù)等方面，每個方面都提供了對應(yīng)的服務(wù)來幫助用戶實現(xiàn)云上的安全。

ID訪問控制方面包括AWS Identity & Access Management (IAM)、AWS Single Sign-On、AWS Directory Service、Amazon Cognito等服務(wù)。通過這些服務(wù)，用戶可以設(shè)置訪問權(quán)限，創(chuàng)建并管理用戶身份，還包括為 AWS 以外的聯(lián)合用戶授權(quán)，為 Web 和移動應(yīng)用程序添加用戶注冊、登錄和訪問控制等功能，并將用戶規(guī)模擴(kuò)展到數(shù)百萬。此外，還可幫助用戶保護(hù)訪問應(yīng)用程序、服務(wù)和 IT 資源所需的密鑰，以便能夠輕松地跨整個生命周期輪換、管理和檢索數(shù)據(jù)庫憑證、API 密鑰和其他密鑰。

檢測式控制方面包括AWS Security Hub、Amazon GuardDuty、Amazon Inspector、Amazon Detective等服務(wù)。通過這些服務(wù)，用戶可以收集各種資源的狀態(tài)及事件，以便持續(xù)的審計及合規(guī)檢查，還能夠發(fā)現(xiàn)來自異常地理位置的請求，以API調(diào)用模式偵測錯誤配置的存儲桶權(quán)限等安全威脅，并在整個開發(fā)和部署流程中針對靜態(tài)生產(chǎn)系統(tǒng)實現(xiàn)安全漏洞評估自動化。還可幫助用戶自動化處理大量AWS日志資料，找出可能造成安全性問題的原因和影響范圍，以便用戶進(jìn)行事件管理、測試和審核。

基礎(chǔ)設(shè)置保護(hù)方面包括AWS Shield、AWS Web 應(yīng)用程序防火墻 (WAF)和AWS Firewall Manager等服務(wù)。這些服務(wù)可以為用戶提供針對分布式拒絕服務(wù)（DDoS）攻擊的防護(hù)，幫助用戶保護(hù) Web 應(yīng)用程序免受常見的 Web 漏洞攻擊，用戶可以自由地使用多個 AWS 賬戶并在所需的任何地區(qū)托管應(yīng)用程序，同時保持對其組織的安全設(shè)置和配置文件的集中控制。

數(shù)據(jù)保護(hù)方面包括AWS Key Management Service (KMS)、AWS CloudHSM、AWS Certificate Manager等服務(wù)。通過這些服務(wù)，可為用戶提供可用性高的密鑰生成、存儲、管理和審計解決方案，可以安全地生成、存儲和管理數(shù)據(jù)加密的密鑰，能夠讓用戶使用專業(yè)的硬件安全模塊設(shè)備來提升數(shù)據(jù)安全并滿足法規(guī)遵從需求，還可幫助用戶輕松地預(yù)置、管理和部署公有和私有安全套接字層/傳輸層安全性 (SSL/TLS) 證書，以便用于 AWS 服務(wù)和用戶自身互聯(lián)資源。

以上這些服務(wù)只是AWS云安全服務(wù)體系中的冰山一角，面對海量的云上數(shù)據(jù)、愈加嚴(yán)峻的云安全挑戰(zhàn)，以及不斷增加的用戶需求，AWS將不斷創(chuàng)新技術(shù)、提升服務(wù)，同時集合多方力量，為用戶提供更安全的解決方案，護(hù)航云上安全。