打造安全生態(tài)，AWS用安全底座迎接云計(jì)算黃金十年

麥肯錫的數(shù)據(jù)顯示，目前企業(yè)工作負(fù)載中只有20%完成了上云，而多達(dá)80%的關(guān)鍵業(yè)務(wù)工作負(fù)載還在上云的路上。進(jìn)入到2020年，新冠疫情這只黑天鵝不期而至，于是，在線遠(yuǎn)程辦公、互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程教育等需求迅猛長之下，世界開始加速向數(shù)字化轉(zhuǎn)型升級，人們將越來越多的社會行業(yè)遷移到線上進(jìn)行。

在這樣的大背景下，當(dāng)世界加速從物理世界向虛擬世界遷移，云成為IT技術(shù)創(chuàng)新的中心。同時(shí)，云上的安全在數(shù)字化轉(zhuǎn)型加速前進(jìn)的時(shí)候，就變得更為重要。如果說數(shù)字化升級決定企業(yè)的發(fā)展，那么安全則是一切發(fā)展的根基。在這一領(lǐng)域，在全球云計(jì)算市場穩(wěn)居前列，并且將安全的優(yōu)先級排在所有任務(wù)前邊的AWS，其安全領(lǐng)域的整體解決方案和行業(yè)經(jīng)驗(yàn)尤其值得國內(nèi)企業(yè)關(guān)注。

上云路上的攔路虎

根據(jù)中國信通院在7月發(fā)布的《云計(jì)算白皮書(2020年)》，近幾年，全球云計(jì)算市場保持穩(wěn)定增長態(tài)勢。2019年，以IaaS、PaaS和SaaS為代表的全球云計(jì)算市場規(guī)模達(dá)到1883億美元，增速20.86%。預(yù)計(jì)未來幾年市場平均增長率在18%左右，到2023年市場規(guī)模將超過3500億美元。未來，云計(jì)算仍將迎來下一個(gè)黃金十年，進(jìn)入普惠發(fā)展期。

在云計(jì)算發(fā)展之初，一度要成為“IT行業(yè)的水和電”，但隨后的發(fā)展卻證明，傳統(tǒng)的社會基礎(chǔ)設(shè)施已開始和云計(jì)算互相融合。這樣，當(dāng)物理世界與數(shù)字世界的邊界進(jìn)一步模糊時(shí)，數(shù)字基礎(chǔ)設(shè)施所遭受的安全風(fēng)險(xiǎn)也將不僅僅局限于數(shù)字世界內(nèi)部，而開始一步步傳導(dǎo)至日常社會生活的方方面在。針對此類風(fēng)險(xiǎn)的安全監(jiān)管也已成為相關(guān)工作的重點(diǎn)，這使得用戶逐漸采取“安全”為第一出發(fā)點(diǎn)的上云和演進(jìn)策略。

然而，盡管如此，傳統(tǒng)企業(yè)的上云之路并不平坦。目前企業(yè)用戶在上云的道路上，經(jīng)常會遇到多租戶模式下安全域無邊界、虛擬化難捕捉、數(shù)據(jù)泄漏、攻擊頻率急劇增大等四大業(yè)務(wù)難題。

在多租戶的云計(jì)算環(huán)境里，很難保證不混入一些心懷不軌的惡意租戶，進(jìn)而發(fā)起攻擊。同時(shí)在在云計(jì)算環(huán)境中，有多種不同的虛擬化管理組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那么所有的租戶就沒有安全可言了。此外，由于云服務(wù)器上保存了大量客戶的隱私數(shù)據(jù)，在多租戶環(huán)境下，一個(gè)客戶應(yīng)用存在漏洞可能就會導(dǎo)致其他客戶數(shù)據(jù)的泄露。最后，云計(jì)算用戶多樣性而且規(guī)模巨大，這樣遭受的攻擊頻率也是急劇增大。這幾種風(fēng)險(xiǎn)交織在一起，就讓云計(jì)算的安全保障問題變得更為復(fù)雜。

因此，用戶在上云路上需要一個(gè)系統(tǒng)化的云安全體系，這也給AWS云安全服務(wù)提供了一個(gè)發(fā)揮的舞臺。AWS已從多個(gè)方面針對云安全提供了相應(yīng)的解決方案，來幫助用戶實(shí)現(xiàn)云上的安全。

云安全體系的威力

云計(jì)算把涉及IT基礎(chǔ)設(shè)施的方方面面都高度集成并統(tǒng)一開放給用戶，計(jì)算、存儲、網(wǎng)絡(luò)、應(yīng)用都劃歸于統(tǒng)一的資源池，成為一套完整的體系。因此云計(jì)算安全防護(hù)的設(shè)計(jì)，必須針對每一個(gè)可能涉及的環(huán)節(jié)。Gartner的報(bào)告指出，云計(jì)算服務(wù)商最終將向“安全服務(wù)提供商”轉(zhuǎn)變。

在這方面，AWS已走在了產(chǎn)業(yè)前列，形成了自己的云安全體系。提到AWS云安全體系，我們不得不說的是，AWS云安全經(jīng)過了多年積累之后，已經(jīng)形成了一個(gè)非常龐大且復(fù)雜的體系，所以我們只能擇其精華，做一個(gè)簡單介紹。

AWS從四個(gè)方面對云安全提供了相應(yīng)的解決方案，包含了ID訪問控制，檢測式控制，基礎(chǔ)設(shè)置保護(hù)和數(shù)據(jù)保護(hù)，其中每個(gè)方面都提供了一些對應(yīng)的服務(wù)來幫助大家實(shí)現(xiàn)云上的安全。首先是ID訪問控制，包含了IAM、SSO、AWS DS、Cognito等服務(wù)。然后是檢測式控制，包含了Security Hub、GuardDuty、Inspector、Macie和Detective。接下來是基礎(chǔ)設(shè)置保護(hù)，包含了shield、WAF和Firewall manager。最后是數(shù)據(jù)保護(hù)，包括了KMS、CloudHSM和Certificate manager。

在ID訪問控制體系中，用戶使用AWS Identity and Access Management(IAM)就可以安全控制對AWS資源的個(gè)人訪問權(quán)限或組訪問權(quán)限。通過創(chuàng)建并管理用戶身份，就可以授予這些IAM用戶訪問資源的權(quán)限。特別值得一提的是，還可以授權(quán)以外的用戶（聯(lián)合用戶）。在多租戶模式下，這種授權(quán)機(jī)制對于安全域邊界的管控，是非常有效的。

我愛我家是國內(nèi)房地產(chǎn)經(jīng)紀(jì)龍頭企業(yè)，利用IAM等服務(wù)，我愛我家的系統(tǒng)實(shí)現(xiàn)了精細(xì)化的安全管理，從而確保了系統(tǒng)的高可用性和可靠性。我愛我家未來的發(fā)展是將業(yè)務(wù)向整個(gè)生態(tài)鏈擴(kuò)展，延展到產(chǎn)業(yè)的上下游，而IAM也將在其中持續(xù)保駕護(hù)航。

華夏航空股份有限公司是中國支線航空商業(yè)模式的引領(lǐng)者和踐行者，其快速發(fā)展對信息化建設(shè)提出了很高的要求。隨著新業(yè)務(wù)系統(tǒng)不斷上線，華夏航空為解決數(shù)據(jù)孤島問題，最終選擇了AWS。但在這個(gè)過程中，一些人顧慮的云上安全問題。而最終華夏航空項(xiàng)目負(fù)責(zé)人力排眾議：并非數(shù)據(jù)放在自己的數(shù)據(jù)中心就一定安全。放在自己的數(shù)據(jù)中心，其實(shí)也是聯(lián)網(wǎng)的。如果遇到攻擊，也會出現(xiàn)安全問題。放到云上，只要做好加密，做好數(shù)據(jù)管理，從某種程度上比自己的數(shù)據(jù)中心更安全。

用戶給了AWS數(shù)據(jù)保護(hù)系統(tǒng)足夠的信認(rèn)，AWS的回報(bào)則是讓華夏航空付出了更低的成本，獲得了更快的業(yè)務(wù)創(chuàng)新速度，此外還有更安全、更穩(wěn)定可靠、性能有保障的系統(tǒng)。從中不難看出AWS數(shù)據(jù)保護(hù)體系在應(yīng)對數(shù)據(jù)泄漏、高頻率攻擊時(shí)的效果。

先鋒電子（中國）投資有限公司是日本先鋒公司在全球設(shè)立的五個(gè)地區(qū)總部之一，出于合規(guī)的要求，與AWS合作，將銷售管理、庫存管理、管理會計(jì)等SAP應(yīng)用搬到中國。經(jīng)過了此次上云之旅，先鋒電子（中國）發(fā)現(xiàn)：云的安全性與本地機(jī)房沒有區(qū)別，傳統(tǒng)數(shù)據(jù)中心的安全措施，云端架構(gòu)都可以提供。由此我們可以想見，綜合應(yīng)用ID訪問控制體系、檢測式控制體系、基礎(chǔ)設(shè)置保護(hù)和數(shù)據(jù)保護(hù)體系，虛擬化管理軟件漏洞也完全是一個(gè)可以攻克的難題。

安全是一種很玄的東西

安全是一種很玄的東西，原因在于擁有它時(shí)，你是無感的，平靜、連續(xù)等狀態(tài)都可以成為它的表象。而只有失去它的時(shí)候，我們才能感受到它的價(jià)值。對此，AWS安全的客戶感觸極深。

新希望草根知本集團(tuán)，要實(shí)現(xiàn)跨行業(yè)及產(chǎn)業(yè)鏈的資源整合，為此使用了一系列AWS云服務(wù)滿足基礎(chǔ)設(shè)施快速靈活的要求，還使用了Amazon Relational Database Service(Amazon RDS)集群，來最大限度地保證數(shù)據(jù)安全，從而便于獲取C端私域流量，支持C端大平臺創(chuàng)新。對此，新希望草根知本集團(tuán)就把AWS云安全形象地比喻為“潤物細(xì)無聲”。

新世紀(jì)醫(yī)療控股有限公司是專注于向兒童和婦女提供優(yōu)質(zhì)中高端醫(yī)療服務(wù)的私立醫(yī)療集團(tuán)。在AWS的助力下，新世紀(jì)醫(yī)療正在加速完成互聯(lián)網(wǎng)醫(yī)院業(yè)務(wù)的布局。AWS云安全與AWS云服務(wù)完整地融合為一體，可以從用戶的角度出發(fā)，滿足用戶各類安全需求。對此，新世紀(jì)醫(yī)療感觸頗深：“AWS并非一味地推薦自身產(chǎn)品，而是站在我們真實(shí)需求的角度，給我們建議最適合的產(chǎn)品和方案。”

用戶感受到的，是AWS云安全服務(wù)，而隱藏在其背后的，則是AWS的安全文化。

在AWS內(nèi)部，安全在所有的任務(wù)中處于最高的優(yōu)先級。如果存在任何已知的安全問題，AWS都會及時(shí)解決，如果沒有解決安全問題，則不會進(jìn)行下一步，甚至可能為此放棄發(fā)布新服務(wù)。

而對每位AWS人來說，安全同樣被放置在第一的位置上。AWS有專業(yè)的安全人員和安全團(tuán)隊(duì)為安全產(chǎn)品和服務(wù)負(fù)責(zé)，同時(shí)AWS每位員工，都有責(zé)任確保安全性是所有業(yè)務(wù)不可或缺的組成部分，AWS每個(gè)員工都知道如何報(bào)告安全問題，并且有權(quán)在必要時(shí)將安全問題升級到最高級別。

AWS安全第一的準(zhǔn)則表現(xiàn)在用戶端時(shí)，就成了密切傾聽客戶的聲音，提供安全的云計(jì)算環(huán)境和創(chuàng)新的安全服務(wù)，以滿足大多數(shù)風(fēng)險(xiǎn)敏感的用戶和組織的安全性和合規(guī)性需求。這樣做的結(jié)果，就是讓用戶擁有對自己的系統(tǒng)和數(shù)據(jù)的完全的自主權(quán)。

為此，AWS對內(nèi)不斷進(jìn)行技術(shù)積累，對外則不斷擴(kuò)大合作伙伴隊(duì)伍。

目前單憑任何一家企業(yè)或組織都不可能構(gòu)建一個(gè)涵蓋全療細(xì)節(jié)的安全體系。云計(jì)算服務(wù)商現(xiàn)在多采取與用戶“責(zé)任分擔(dān)”的安全策略，云計(jì)算服務(wù)商、用戶、安全生態(tài)合作伙伴將在新的合作模式中各取所需，一同打造完整的云計(jì)算安全體系。

AWS在云計(jì)算安全方面，同樣采用了責(zé)任共擔(dān)模型。要求AWS和客戶合作共同實(shí)現(xiàn)安全目標(biāo)。其中AWS負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全，用戶負(fù)責(zé)保護(hù)自己在AWS中部署的工作負(fù)載。

責(zé)任共擔(dān)模式強(qiáng)調(diào)了AWS在保障了安全及合規(guī)的基礎(chǔ)架構(gòu)，高可用的計(jì)算存儲及網(wǎng)絡(luò)數(shù)據(jù)庫資源的同時(shí)，也為用戶提供了最大的個(gè)人數(shù)據(jù)隱私及應(yīng)用配置的管理空間和權(quán)限。

基于客戶十分注重隱私和數(shù)據(jù)安全的需求，AWS通過簡單而強(qiáng)大的工具讓用戶擁有和控制自己的內(nèi)容，這些工具可以讓用戶確定內(nèi)容的存儲位置、保護(hù)動(dòng)態(tài)和靜態(tài)內(nèi)容，并為用戶管理對AWS服務(wù)和資源的訪問權(quán)限。從而實(shí)現(xiàn)了從訪問、存儲、保護(hù)方式、披露方式等多方面的數(shù)據(jù)和隱私防護(hù)。

同時(shí)，AWS還提供了大量工具實(shí)現(xiàn)用戶對應(yīng)用配置的管理。如通過AWS目錄服務(wù)管理AWS資源、使用AWS AppConfig簡化應(yīng)用程序配置，需要說明的是，一些新方法還在不斷被開發(fā)出來，如通過AD Connector與本地活動(dòng)目錄整合等等。

同時(shí)，AWS顯然沒有把范圍之外的安全責(zé)任全推給用戶，而是通過在自身云服務(wù)的基礎(chǔ)上構(gòu)建生態(tài)，建立涵蓋自身SaaS服務(wù)以及第三方SaaS服務(wù)的云服務(wù)市場。AWS近期宣布聯(lián)合百家APN合作伙伴打造行業(yè)解決方案，廈門服云信息科技有限公司、北京三未信安科技發(fā)展有限公司、防特網(wǎng)信息科技（北京）有限公司、星云融創(chuàng)（北京）科技有限公司等APN合作伙伴，已經(jīng)基于AWS開發(fā)了大量安全解決方案。

安全是一種很玄的東西，還表現(xiàn)在用戶感受不到的它的硝煙，而只有身處安全服務(wù)提供者的位置，才能體會到它的驚心動(dòng)魄。因此，打鐵還需自身硬，談安全體驗(yàn)，就不得不說說AWS自身的技術(shù)優(yōu)勢。

可化視是衡量數(shù)據(jù)安全的一個(gè)重要因素，因?yàn)橹挥邢雀兄?，才有?yīng)對之策。而AWS云安全一直都在通過安全可視化和安全可控，來安全地?cái)U(kuò)展業(yè)務(wù)。這表現(xiàn)在用戶端，就成了三個(gè)表現(xiàn)：在任何時(shí)間內(nèi)，用戶都可以自主決定數(shù)據(jù)存儲的位置、訪問的人員、可使用的服務(wù)；細(xì)顆粒度的身份認(rèn)證和訪問控制，同時(shí)結(jié)合對安全事件的持續(xù)監(jiān)控，以確保正確的資源得到正確的訪問；可以實(shí)時(shí)檢測安全事件。

同樣，安全服務(wù)之間的集成也極為重要。AWS云安全不僅實(shí)現(xiàn)了服務(wù)之間的高度集成，還力求實(shí)現(xiàn)自動(dòng)化布署。由此不僅可以減少人工配置錯(cuò)誤，還可以為開發(fā)和運(yùn)維團(tuán)隊(duì)快速提供更多的綜合安全方案。

而應(yīng)對于用戶隱私和數(shù)據(jù)安全，AWS云安全采用了最高標(biāo)準(zhǔn)：7*24專家團(tuán)隊(duì)保護(hù)AWS系統(tǒng)資源；客戶完全擁有數(shù)據(jù)，并且可以自主對數(shù)據(jù)進(jìn)行加密、移動(dòng)和管理；提供多種加密工具，來滿足傳輸和存儲加密。

綜合來看，AWS從安全文化出發(fā)，借助自己深厚的技術(shù)積累和合作伙伴生態(tài)的力量，已擁有了非常大的技術(shù)優(yōu)勢，這將為用戶在業(yè)務(wù)戰(zhàn)場上的業(yè)務(wù)連續(xù)、數(shù)據(jù)安全和隱私保護(hù)提供有力保障。

【結(jié)束語】

云計(jì)算已經(jīng)迎來下一個(gè)黃金十年，每年超18%的增長率已是不可逆轉(zhuǎn)的趨勢。然而，當(dāng)企業(yè)的核心應(yīng)用與云計(jì)算融為一體之時(shí)，云安全就成為了一個(gè)避不開的問題。美國FBI的CIO來國內(nèi)演講時(shí)，認(rèn)為國內(nèi)在安全領(lǐng)域最缺的就是安全策略。因此，對于國內(nèi)企業(yè)中的CIO或CSO們來說，迫切需要補(bǔ)上的正是安全策略這一課。畢竟，在利用云計(jì)算等新技術(shù)打造核心競爭力的時(shí)候，首先需要一個(gè)確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全的環(huán)境。

云計(jì)算巨頭AWS，擁有大量先進(jìn)的安全理念、技術(shù)和實(shí)踐經(jīng)驗(yàn)，完全可以被“拿來”應(yīng)用。同時(shí)，AWS已開始在國內(nèi)加快落地速度，在安全領(lǐng)域與國內(nèi)APN合作伙伴共同打造一個(gè)云安全生態(tài)，這為應(yīng)用創(chuàng)造了更便利的條件。