為云上安全護航，洋蔥模型為何備受用戶關(guān)注？

2019年7月，美國Capital One銀行發(fā)生數(shù)據(jù)泄露的嚴重事件。眾所周知，Capital One作為一家美國排名前十的綜合性銀行，從2014年開始將所有生產(chǎn)業(yè)務(wù)逐步以前到亞馬遜云科技之上，此次事件一爆發(fā)，一時間讓云計算安全問題再次卷入輿論的漩渦。

然而，事后調(diào)查結(jié)果去是對質(zhì)疑云計算安全的狠狠回擊。Capital One發(fā)表申明，此次事件與云并沒有關(guān)系，而是因為采用一個開源的WAF服務(wù)器，因為錯誤配置導(dǎo)致服務(wù)器被入侵，致命失誤在于如此關(guān)鍵的服務(wù)器并沒有遵循最基本安全原則--將其放置到單獨隔離區(qū)域，還被授予極高的權(quán)限，使得可以通過這臺服務(wù)器直接訪問機密數(shù)據(jù)的權(quán)限。

而 Capital One 開啟了 Amazon CloudTrail 服務(wù)，更是讓原本需要耗時數(shù)月調(diào)查幾乎在事件爆發(fā)的同時就找到根本原因，并及時修復(fù)相關(guān)漏洞。

更加重要的是，Capital One此次事件真正促使人們認清了云上安全與合規(guī)的重要性。世界上沒有絕對的安全，但云計算服務(wù)商絕對是安全經(jīng)驗最多，其理念、經(jīng)驗值得所有上云用戶借鑒和學習。近日，亞馬遜云科技介紹了其云上安全理念以及安全策略，并詳細介紹了其安全洋蔥模型，讓國內(nèi)用戶了解到云上安全最前沿的趨勢。

“洋蔥模型”有何神奇之處

近年來，數(shù)據(jù)上云成為大勢所趨。尤其是隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等數(shù)字化技術(shù)的應(yīng)用，云服務(wù)商提供的云平臺成為融合這些技術(shù)的最佳平臺。根據(jù)《IDC FutureScape: 全球云計算 2020 年預(yù)測—中國啟示》顯示，預(yù)計到 2023 年，50%的中國企業(yè)應(yīng)用將部署在容器化的混合云/多云環(huán)境中。

可以說，企業(yè)未來在云上的確是需要新的安全策略和思維。正如亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡所言：“過去自建數(shù)據(jù)中心時代，用戶需要自己考慮一切。如今，當應(yīng)用上云之后，用戶其實迎來了安全治理的新臺階，需要更新自己的安全思維?！?/p>

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡

亞馬遜云科技之所以有如此判斷，要得益于其作為全球最大云服務(wù)商，在云上安全積累的豐富經(jīng)驗和實踐，得出三大安全理念：一、利用云上的實踐驅(qū)動型架構(gòu)去構(gòu)建自動化防護欄，而非設(shè)立關(guān)卡；二、云中安全是主動設(shè)計出來的，而不僅是被動響應(yīng)；三、云中安全所需要的是洋蔥型的多層防護機制，形成層層遞進的保護機制。

基于此，亞馬遜云科技總結(jié)出一個擁有五層防護的洋蔥模型的安全策略。具體來看：

第一層是威脅檢測與事件響應(yīng)，威脅檢測猶如專業(yè)的天氣預(yù)報員”，需要能夠?qū)Π踩{做到精準定位、快速反應(yīng)、時刻監(jiān)控，并且能夠分析原因。

針對威脅檢測與事件響應(yīng)，亞馬遜云科技將機器學習能力融入其中。以Amazon Guard Duty為例，實現(xiàn)威脅的精準定位，讓報警量減少了50%；另外，Amazon Security Hub安全事件統(tǒng)一管理平臺，讓客戶針對威脅檢測7x24 小時全天候監(jiān)控，自動執(zhí)行合規(guī)性檢查。

第二層是身份認證與訪問控制。亞馬遜云科技采取最小授權(quán)原則，每一次授權(quán)都需要確認是否必須，是否與業(yè)務(wù)和職責相關(guān)；同時，亞馬遜云科技還會對最小授權(quán)原則進行定期審計，不要永久授權(quán)，確保授權(quán)的時效性。

顧凡介紹，“身份認證和訪問如同一座堅固城堡的大門。某一點的身份認證被攻破，有可能會帶來意想不到的嚴重后果?！?/p>

第三層是網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全，得益于基礎(chǔ)設(shè)施的規(guī)模與實踐經(jīng)驗，亞馬遜云科技擁有其他客戶不可比擬的優(yōu)勢。以Amazon ShieldAdvanced為例，可以為用戶提供全天候的保護；此外，網(wǎng)絡(luò)訪問規(guī)則是一切防御的基礎(chǔ)，Web應(yīng)用防火墻服務(wù)Amazon WAF 提供了更加豐富的規(guī)則庫。

第四層是數(shù)據(jù)保護與隱私。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù)，對數(shù)據(jù)的保護涵蓋了數(shù)據(jù)的存儲、傳輸以及使用的各個環(huán)節(jié)。

例如，Amazon KMS密鑰管理服務(wù)可以實現(xiàn)存儲過程當中的加密，通過與亞馬遜云科技140多個服務(wù)的集成，可以對服務(wù)存儲實現(xiàn)高效的數(shù)據(jù)加密；此外，針對數(shù)據(jù)保密性要求更高的客戶，Amazon CloudHSM提供了安全、簡單的云上專屬加密機；Amazon Nitro Enclaves提供了一個云端的機密計算環(huán)境，用戶可以創(chuàng)建一個隔離的環(huán)境來處理敏感數(shù)據(jù)，而無須向自己的系統(tǒng)管理員、開發(fā)人員和應(yīng)用程序提供訪問權(quán)限，從而減少敏感數(shù)據(jù)處理過程中的攻擊面。

第五層是風險管控及合規(guī)。亞馬遜云科技服務(wù)自身的合規(guī)性、合規(guī)方案的落地以及自動化的審計是賦能客戶實現(xiàn)高效率風險管控與合規(guī)的重要保證。

例如，通過Amazon Audit Manager 簡化審計管理和合規(guī)性評估，Audit Manager可能自動掃描、搜集證據(jù)，還提供了各種合規(guī)認證的模板，可以簡化合規(guī)審計的證據(jù)收集工作；此外，Amazon Trusted Advisor、Amazon Security Bulletins、Amazon Security Documentation等服務(wù)也滿足用戶對于安全合規(guī)的各種需求。

“亞馬遜云科技打造多層防護體系的宗旨是要讓安全服務(wù)像水和空氣一樣提供給用戶，創(chuàng)造健康的環(huán)境，而不是依靠誰和空氣產(chǎn)生利潤?！鳖櫡部偨Y(jié)道。

云上安全，賦能絕非虛言

眾所周知，云計算為企業(yè)的業(yè)務(wù)賦能，而安全則可以為云計算賦能。

對于很多有業(yè)務(wù)拓展需求的企業(yè)而言，“從零開始”的自建模式不僅耗時耗力，還無法應(yīng)用到最新的安全技術(shù)和方法論，這種思維的確不符合未來業(yè)務(wù)的需求趨勢。而通過云上安全服務(wù)，則完全是另一種思維視角，即可以在安全合規(guī)層面實現(xiàn)對云服務(wù)商的完全繼承，又可以充分與云服務(wù)商的各項服務(wù)緊密結(jié)合，實現(xiàn)業(yè)務(wù)的快速賦能與拓展。

事實上，無數(shù)案例充分證明云上安全賦能絕非虛言。

以TCL為例，作為中企出海的典型代表，其業(yè)務(wù)遍布歐洲、東南亞、美洲等全球160多個國家，擁有超過3000萬活躍用戶。像TCL這種在AI×IoT全屋智能家電產(chǎn)品領(lǐng)域重點發(fā)力的企業(yè)，需要在云、管、端以及連接層面得到保障，在全球范圍部署AI平臺、IoT平臺、大數(shù)據(jù)平臺等，還需要了解每個國家對于安全合規(guī)的要求，要想實現(xiàn)業(yè)務(wù)拓展的難度不可謂不大。

正因為如此，TCL在安全合規(guī)層面借助亞馬遜云科技的各項云服務(wù)和完善的安全合規(guī)，為全球海量用戶提供非常有保障的產(chǎn)品與服務(wù)體驗。TCL不需要再關(guān)心瑣碎的底層基礎(chǔ)設(shè)施安全，充分利用云端安全服務(wù)之間的超高集成度，更好地做到安全自動化，在云上服務(wù)之間的深度集成可以讓數(shù)據(jù)整合變得更加簡單，不僅合規(guī)，還有利于AI等平臺對于數(shù)據(jù)的合規(guī)、合法使用。

總體來看，在全球數(shù)據(jù)泄露和惡意攻擊事件頻發(fā)的今天，全球都在加強數(shù)據(jù)安全相關(guān)領(lǐng)域的立法工作，如何享受到一個安全合規(guī)的基礎(chǔ)設(shè)施環(huán)境，將會是所有用戶的追求。而亞馬遜云科技在云上安全的探索、思考、經(jīng)驗和方法論的確是走在了最前沿，也必然將惠及到更多上云用戶。

生成海報

免責聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。