从理论到实践 大咖详解云上安全与合规的那些事儿
- 来源:企业网D1Net 作者:查士加
- 2022/4/6 9:28:0134920
【智慧城市网 视点跟踪】后疫情时代,企业数字化转型进程加速,云的使用量持续增长,与此同时,云上的安全需求也越来越多。本文将详细阐述亚马逊云科技在云上安全合规方面的先进理念和成功实践,以及其客户TCL实业的云上安全实践。
目前,全球已有132个国家和地区制定了数据保护和隐私相关的法律法规,中国也出台了《数据安全法》和《个人信息保护法》,伴随企业放在云上的数据类型、数据量的增涨,业务范围的不断拓展,企业面对的安全合规挑战也日益严峻。
近日,亚马逊云科技宣布将持续加大在中国区域安全合规领域的投入,在为客户提供安全合规的基础设施和云服务基础上,与光环新网及西云数据共同加速安全合规服务和功能在中国的落地,并进一步加强与亚马逊云科技合作伙伴的合作,全方位地帮助客户提升云中安全与合规。
据悉,亚马逊云科技已进一步升级与德勤中国的合作,由德勤中国推出安全运营中心服务,该运营中心将在亚马逊云科技上为客户提供云上端到端的安全监测及响应服务,助力企业提升云上安全,完善企业安全合规管理,满足企业不断发展变化的安全合规要求。
亚马逊云科技大中华区战略业务发展部总经理顾凡表示:疫情导致云使用量的增长,尤其是游戏、远程办公、远程业务等方面。远程办公的安全性有两个维度,一是对于远端公司资产或者云上资产的保护,二是对于家庭环境的保护,这些既给安全提出了挑战,也给云上的安全业务带来了更多机会。
企业上云,安全体验再上新台阶
实际上,相较于企业自建数据中心,购买安全设备,订阅安全服务,进行安全管理,乃至考虑合同、成本等复杂的问题,采用应用上云的方式,将底层基础设施安全交给亚马逊云科技这样全球领先的云厂商,安全体验能够比自建数据中心再上一个台阶。
企业安全再上新台阶体现在四个方面:
一是更加自动化。企业可以充分利用云端安全服务之间超高的集成度,实现更好地安全自动化并降低风险,自动执行安全任务,减少人工配置错误。
二是更好的可视化。以良好的数据整合作为基础,企业在云平台上可以更加便捷的实现安全的可视化管理。
三是更灵活的成本控制。云端安全没有前期的成本投入,只需按使用量付费。
四是更高效地完成合规。自建数据中心做合规需要从零开始,如果选择亚马逊云科技,企业可以直接继承云厂商的合规,更加高效。
亚马逊云科技大中华区战略业务发展部总经理 顾凡
顾凡详细介绍了确保云上安全合规的两大支柱:一是亚马逊云科技自身的安全合规,二是亚马逊云科技为客户打造的洋葱型多层防护体系。
亚马逊云科技自身的安全合规
顾凡强调:“安全不仅仅是技术的问题,也是管理的问题。”亚马逊云科技推行“Job Zero 安全文化”,将安全作为最高优先级的工作。在亚马逊云科技,每一位员工都负有安全责任,每个级别的员工都有安全目标,每个服务在设计阶段都要考虑安全问题,通过自动化实现安全的标准化和一致性,并且提供全天候响应的安全运营能力。
同时,亚马逊云科技首创安全责任共担模型,推动安全及合规建设,为企业云上业务保驾护航。顾凡提到:亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。当然,在IaaS、PaaS、SaaS不同的场景下,责任共担的分界线会有所移动,越到上层,亚马逊云科技肩负的责任越多。
在实践中,亚马逊云科技通过四个方面保证自身的安全合规:一是采用高安全性的基础设施,数据中心和网络架构以最高安全标准构建;二是重视每一个云服务的安全性,存在任何已知安全问题的新服务将不会启动,通过深度集成实现安全自动化,减少人工配置错误,降低风险;三是坚持客户拥有和控制数据的理念,所有数据流动在离开亚马逊云科技的安全设施之前,都经过物理层自动加密;四是几乎满足全球所有监管机构的合规认证,且定期进行第三方验证,这些合规认证与能力实践,中国客户可以直接继承。
亚马逊云科技为客户打造洋葱型多层防护体系
亚马逊云科技在云服务安全方面有三大理念:一是利用云上的事件驱动型架构去构建自动化防护栏,而非设立关卡;二是云中安全是主动设计出来的,而不是被动响应;三是云中安全必须是一个洋葱型的多层防护,而不是一个鸡蛋。
基于这三大理念,亚马逊云科技打造了洋葱型的五层防护体系,为用户提供像水和空气一样便捷的安全服务,帮助客户更简单地解决安全问题。目前,亚马逊云科技在五大领域为客户提供全方位的安全服务,涵盖280多项安全、合规服务及功能。
亚马逊云科技为客户打造了洋葱型的五层防护体系:
第一层:威胁检测与事件响应。能够对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因。
第二层:身份认证与访问控制。遵循保持最小授权、并对最小授权进行定期审计的原则,通过尽可能细化访问的颗粒度、结合多因素鉴证技术加强身份认证、减少长期凭证的使用等多项机制,建立权限防护机制和数据边界。
第三层:网络与基础设施安全。防御DDoS攻击是这一层的重点,DDoS防御应贯穿始终,Amazon ShieldAdvanced可以为客户提供全天候的保护;网络访问规则是一切防御的基础,客户既可以采用亚马逊安全团队自研的全托管规则,也可以自定义规则。
第四层:数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖存储、传输以及使用的各个环节。例如,Amazon CloudHSM提供了安全、简单的云上专属加密机;Amazon Nitro Enclaves提供了一个云端的机密计算环境,可有效减少敏感数据处理过程中的攻击面。
第五层:风险管控及合规。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。
顾凡总结,亚马逊云科技云上安全合规具备五大优势:1、出色的可见性和控制力;2、深度集成实现自动化;3、以最高的安全与隐私保护标准构建;4、客户可以继承亚马逊云科技全面的安全性与合规性控制;5、丰富的安全、合规合作伙伴。
正因为如此,全球已有数百万用户选择并且信赖亚马逊云科技,覆盖几乎所有行业,包括金融、电信等诸多强监管的行业。例如,世界最大的股票交易所纳斯达克将分阶段地把全部业务迁移到亚马逊云科技,日本最大的电信运营商NTT docomo将把PB级别的数据仓库迁移上云。
TCL实业分享云上安全实践
在亚马逊云科技遍布全球的数百万用户中,不乏TCL实业、洛阳钼业、安克创新等中国客户的身影。TCL实业作为“中国智造”出海的代表性企业,已将海外业务的多个重要核心系统部署在亚马逊云科技上,实现安全合规的全球部署,同时使用Amazon WAF、 Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全。
TCL实业CTO孙力表示:“云上安全是TCL实施全球化战略、实现业务创新的基石。我们信赖亚马逊云科技自身的安全,欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系,让我们能够全方位保障云端安全,并且提高运维效率,节省人力成本。”
TCL实业鸿鹄实验室软件安全部林舜大表示:为了实现更加智能、用户体验更好的AI×IoT智能家居生态圈,TCL持续在云、管、边、端和连接层面不懈努力,实现万物互联、数据分析、智能服务的业务闭环。在此过程中,TCL正在面临网络安全和隐私保护方面的风险与挑战。
例如,智能终端设备的固件会被替换成非法固件,从中获得密钥等各种信息。伴随智能终端上的应用越来越多,功能越来越复杂,这些终端应用和功能同样面临着各种威胁。联网产品和云端不仅可能在数据通讯领域被攻击,网络劫持、中间人等攻击手段也层出不穷,进而还可能导致各种数据的泄露问题。存储大量数据、掌握大量控制和服务的云端也会时不时受到应用层的攻击、DDoS攻击、主机攻击、身份鉴权攻击等,轻则导致云端服务的不可用,重则导致大量用户信息的泄露,甚至用户敏感信息的泄露。
与此同时,国际国内对用户隐私保护的法律越来越严格,明确要求联网产品必须进行安全设计、安全测试,出现安全问题必须及时地反馈和处理。
为此,TCL产品采用安全开发生命周期SDL进行开发,App和云服务采用DevSecOps的流程进行开发,保证产品、App和云服务的安全。TCL全球安全应急响应中心网站和邮箱,也一直在处理用户和业界安全爱好者提出的各种安全问题,同时针对诸多安全漏洞和事件进行悬赏,鼓励安全爱好者主动发现漏洞,TCL会及时修复、保障用户的权益。与此同时,TCL购买了很多第三方安全检测工具,并自主开发了一些安全检测工具进行检测,其中包括亚马逊云科技的云上安全漏洞检测工具。
为了应对隐私合规和数据问题,TCL通过云服务的全球化部署,业务覆盖160多个国家,活跃用户高达3000多万。林舜大提到:“TCL采用亚马逊云科技的云服务来部署,关键在于亚马逊云科技的云基础设施,通过了各个国家和地区的安全与合规认证。有了安全与合规的基础保障,用户只关注应用层之上的安全与合规即可。”
TCL的云端安全分级策略
TCL采用云端安全的分级策略,尽可能提高产品和服务的安全性。
一级平台是一些内部网站、测试网站,或是知识管理类、共享类、学习类的网站,以及一些可有可无的网站。这些网站只需要守住关口,基本不需要在安全产品上进行投入。
二级平台是一些主要网站,例如广告、品牌形象、业务支撑和售后系统等,这些网站的用户信息较少,大部分是一些ID号。二级网站需要加强对关口的安全措施,识别重要数据进行重点保护,并且定期进行安全扫描。
三级平台涉及一些关键基础设施,代码平台,以及存放大量用户信息的网站,例如IoT平台、大数据平台和AI平台等等。三级平台需要全方位加强关口防御水平,进行整体的全方位保护,甚至引入态势感知等安全产品,达到等保三级以上的安全水平。
四级平台是那些存放用户大量财产信息的金融类、购物类网站,除了安全技术投入外,组织管理方面也要持续加强,进行安全保障。
其中,TCL从二级平台到四级平台的云服务,均采用亚马逊云科技的Amazon WAF进行防护。TCL利用Amazon WAF定制规则,进行流量筛选,阻隔恶意访问等。从监测数据的效果可以看出,Amazon WAF一周为TCL防护超过13万次的恶意请求,抵御接近10万次的程序自动攻击。
统一的网络安全与隐私保护框架体系
基于统一的网络安全与隐私保护框架体系,TCL采用业界成熟的一些措施:包括通过成立专门的网络安全与隐私保护管理委员会和工作组,不断提升整个组织的意识与能力,对公司的产品与业务进行有效的监控和改进;嵌入安全行为的隐私影响评估流程到业务中,保证产品合规;此外,进行一些第三方认证,例如与亚马逊云科技进行沟通,亚马逊云科技提供了从认证保护、检测、响应到恢复的40多种安全服务,TCL通过研究和评估,已经采用了一部分服务,达到更好的保障用户权益的目的。
据悉,TCL除了采用Amazon WAF防御云服务端的攻击之外,还通过Amazon KMS解决密钥安全性的相关问题。林舜大提到:“隐私保护离不开数据加密,而数据加密过程中最担心密钥的安全性,包括对密钥的管理,密钥对性能的影响以及费用等等。我们评估了各种方案,最终在一些重要业务上采用Amazon KMS解决密钥安全性的相关问题。”
最后,林舜大总结:安全与合规是TCL品牌差异化的重要组成部分,网络安全的范畴非常大,亚马逊云安全在TCL品牌差异化的过程中发挥了重要的助推作用。