為云上安全護(hù)航，洋蔥模型為何備受用戶關(guān)注？

2019年7月，美國Capital One銀行發(fā)生數(shù)據(jù)泄露的嚴(yán)重事件。眾所周知，Capital One作為一家美國排名前十的綜合性銀行，從2014年開始將所有生產(chǎn)業(yè)務(wù)逐步以前到亞馬遜云科技之上，此次事件一爆發(fā)，一時間讓云計(jì)算安全問題再次卷入輿論的漩渦。

然而，事后調(diào)查結(jié)果去是對質(zhì)疑云計(jì)算安全的狠狠回?fù)?。Capital One發(fā)表申明，此次事件與云并沒有關(guān)系，而是因?yàn)椴捎靡粋€開源的WAF服務(wù)器，因?yàn)殄e誤配置導(dǎo)致服務(wù)器被入侵，致命失誤在于如此關(guān)鍵的服務(wù)器并沒有遵循最基本安全原則--將其放置到單獨(dú)隔離區(qū)域，還被授予極高的權(quán)限，使得可以通過這臺服務(wù)器直接訪問機(jī)密數(shù)據(jù)的權(quán)限。

而 Capital One 開啟了 Amazon CloudTrail 服務(wù)，更是讓原本需要耗時數(shù)月調(diào)查幾乎在事件爆發(fā)的同時就找到根本原因，并及時修復(fù)相關(guān)漏洞。

更加重要的是，Capital One此次事件真正促使人們認(rèn)清了云上安全與合規(guī)的重要性。世界上沒有絕對的安全，但云計(jì)算服務(wù)商絕對是安全經(jīng)驗(yàn)最多，其理念、經(jīng)驗(yàn)值得所有上云用戶借鑒和學(xué)習(xí)。近日，亞馬遜云科技介紹了其云上安全理念以及安全策略，并詳細(xì)介紹了其安全洋蔥模型，讓國內(nèi)用戶了解到云上安全最前沿的趨勢。

“洋蔥模型”有何神奇之處

近年來，數(shù)據(jù)上云成為大勢所趨。尤其是隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等數(shù)字化技術(shù)的應(yīng)用，云服務(wù)商提供的云平臺成為融合這些技術(shù)的最佳平臺。根據(jù)《IDC FutureScape: 全球云計(jì)算 2020 年預(yù)測—中國啟示》顯示，預(yù)計(jì)到 2023 年，50%的中國企業(yè)應(yīng)用將部署在容器化的混合云/多云環(huán)境中。

可以說，企業(yè)未來在云上的確是需要新的安全策略和思維。正如亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡所言：“過去自建數(shù)據(jù)中心時代，用戶需要自己考慮一切。如今，當(dāng)應(yīng)用上云之后，用戶其實(shí)迎來了安全治理的新臺階，需要更新自己的安全思維?！?/p>

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡

亞馬遜云科技之所以有如此判斷，要得益于其作為全球最大云服務(wù)商，在云上安全積累的豐富經(jīng)驗(yàn)和實(shí)踐，得出三大安全理念：一、利用云上的實(shí)踐驅(qū)動型架構(gòu)去構(gòu)建自動化防護(hù)欄，而非設(shè)立關(guān)卡；二、云中安全是主動設(shè)計(jì)出來的，而不僅是被動響應(yīng)；三、云中安全所需要的是洋蔥型的多層防護(hù)機(jī)制，形成層層遞進(jìn)的保護(hù)機(jī)制。

基于此，亞馬遜云科技總結(jié)出一個擁有五層防護(hù)的洋蔥模型的安全策略。具體來看：

第一層是威脅檢測與事件響應(yīng)，威脅檢測猶如專業(yè)的天氣預(yù)報(bào)員”，需要能夠?qū)Π踩{做到精準(zhǔn)定位、快速反應(yīng)、時刻監(jiān)控，并且能夠分析原因。

針對威脅檢測與事件響應(yīng)，亞馬遜云科技將機(jī)器學(xué)習(xí)能力融入其中。以Amazon Guard Duty為例，實(shí)現(xiàn)威脅的精準(zhǔn)定位，讓報(bào)警量減少了50%；另外，Amazon Security Hub安全事件統(tǒng)一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監(jiān)控，自動執(zhí)行合規(guī)性檢查。

第二層是身份認(rèn)證與訪問控制。亞馬遜云科技采取最小授權(quán)原則，每一次授權(quán)都需要確認(rèn)是否必須，是否與業(yè)務(wù)和職責(zé)相關(guān)；同時，亞馬遜云科技還會對最小授權(quán)原則進(jìn)行定期審計(jì)，不要永久授權(quán)，確保授權(quán)的時效性。

顧凡介紹，“身份認(rèn)證和訪問如同一座堅(jiān)固城堡的大門。某一點(diǎn)的身份認(rèn)證被攻破，有可能會帶來意想不到的嚴(yán)重后果?！?/p>

第三層是網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全，得益于基礎(chǔ)設(shè)施的規(guī)模與實(shí)踐經(jīng)驗(yàn)，亞馬遜云科技擁有其他客戶不可比擬的優(yōu)勢。以Amazon ShieldAdvanced為例，可以為用戶提供全天候的保護(hù)；此外，網(wǎng)絡(luò)訪問規(guī)則是一切防御的基礎(chǔ)，Web應(yīng)用防火墻服務(wù)Amazon WAF 提供了更加豐富的規(guī)則庫。

第四層是數(shù)據(jù)保護(hù)與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù)，對數(shù)據(jù)的保護(hù)涵蓋了數(shù)據(jù)的存儲、傳輸以及使用的各個環(huán)節(jié)。

例如，Amazon KMS密鑰管理服務(wù)可以實(shí)現(xiàn)存儲過程當(dāng)中的加密，通過與亞馬遜云科技140多個服務(wù)的集成，可以對服務(wù)存儲實(shí)現(xiàn)高效的數(shù)據(jù)加密；此外，針對數(shù)據(jù)保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機(jī)；Amazon Nitro Enclaves提供了一個云端的機(jī)密計(jì)算環(huán)境，用戶可以創(chuàng)建一個隔離的環(huán)境來處理敏感數(shù)據(jù)，而無須向自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

第五層是風(fēng)險(xiǎn)管控及合規(guī)。亞馬遜云科技服務(wù)自身的合規(guī)性、合規(guī)方案的落地以及自動化的審計(jì)是賦能客戶實(shí)現(xiàn)高效率風(fēng)險(xiǎn)管控與合規(guī)的重要保證。

例如，通過Amazon Audit Manager 簡化審計(jì)管理和合規(guī)性評估，Audit Manager可能自動掃描、搜集證據(jù)，還提供了各種合規(guī)認(rèn)證的模板，可以簡化合規(guī)審計(jì)的證據(jù)收集工作；此外，Amazon Trusted Advisor、Amazon Security Bulletins、Amazon Security Documentation等服務(wù)也滿足用戶對于安全合規(guī)的各種需求。

“亞馬遜云科技打造多層防護(hù)體系的宗旨是要讓安全服務(wù)像水和空氣一樣提供給用戶，創(chuàng)造健康的環(huán)境，而不是依靠誰和空氣產(chǎn)生利潤?！鳖櫡部偨Y(jié)道。

云上安全，賦能絕非虛言

眾所周知，云計(jì)算為企業(yè)的業(yè)務(wù)賦能，而安全則可以為云計(jì)算賦能。

對于很多有業(yè)務(wù)拓展需求的企業(yè)而言，“從零開始”的自建模式不僅耗時耗力，還無法應(yīng)用到最新的安全技術(shù)和方法論，這種思維的確不符合未來業(yè)務(wù)的需求趨勢。而通過云上安全服務(wù)，則完全是另一種思維視角，即可以在安全合規(guī)層面實(shí)現(xiàn)對云服務(wù)商的完全繼承，又可以充分與云服務(wù)商的各項(xiàng)服務(wù)緊密結(jié)合，實(shí)現(xiàn)業(yè)務(wù)的快速賦能與拓展。

事實(shí)上，無數(shù)案例充分證明云上安全賦能絕非虛言。

以TCL為例，作為中企出海的典型代表，其業(yè)務(wù)遍布?xì)W洲、東南亞、美洲等全球160多個國家，擁有超過3000萬活躍用戶。像TCL這種在AI×IoT全屋智能家電產(chǎn)品領(lǐng)域重點(diǎn)發(fā)力的企業(yè)，需要在云、管、端以及連接層面得到保障，在全球范圍部署AI平臺、IoT平臺、大數(shù)據(jù)平臺等，還需要了解每個國家對于安全合規(guī)的要求，要想實(shí)現(xiàn)業(yè)務(wù)拓展的難度不可謂不大。

正因?yàn)槿绱耍琓CL在安全合規(guī)層面借助亞馬遜云科技的各項(xiàng)云服務(wù)和完善的安全合規(guī)，為全球海量用戶提供非常有保障的產(chǎn)品與服務(wù)體驗(yàn)。TCL不需要再關(guān)心瑣碎的底層基礎(chǔ)設(shè)施安全，充分利用云端安全服務(wù)之間的超高集成度，更好地做到安全自動化，在云上服務(wù)之間的深度集成可以讓數(shù)據(jù)整合變得更加簡單，不僅合規(guī)，還有利于AI等平臺對于數(shù)據(jù)的合規(guī)、合法使用。

總體來看，在全球數(shù)據(jù)泄露和惡意攻擊事件頻發(fā)的今天，全球都在加強(qiáng)數(shù)據(jù)安全相關(guān)領(lǐng)域的立法工作，如何享受到一個安全合規(guī)的基礎(chǔ)設(shè)施環(huán)境，將會是所有用戶的追求。而亞馬遜云科技在云上安全的探索、思考、經(jīng)驗(yàn)和方法論的確是走在了最前沿，也必然將惠及到更多上云用戶。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。