云的“洋蔥式”多層防護

韓燕萍

隨著企業數字化轉型步伐的加快，云安全變得越來越重要，如何預見所有安全風險，一站式解決安全漏洞？這是每家企業的心聲。

只不過，在泛網絡時代，云安全與傳統邊界安全差異性很大，如何做到全面安全任重道遠。那么，作為擁有全球業務的亞馬遜云科技，是如何快速響應客戶安全需求的呢？

亞馬遜云科技大中華區產品部總經理陳曉建認為，通過海量數據運營能力，憑借全球數百萬客戶安全事件的支持，可以把在一個客戶中所取得的實踐經驗，復用到其他客戶，從而獲得規模化效益。云安全日新月異，企業要想始終保持敏銳的洞察力，需要進行前瞻性的戰略思考，具備像水和空氣一樣無處不在的安全防護能力。

理念和機制是安全防護的基石

首先，擁有一個行之有效的安全理念和運營機制，是一切安全防護的前提。為了做到100 %的安全，亞馬遜云科技建立了一個叫做“安全守護者”的獨特機制。值得一提的是，專門負責“應用安全審查流程中的安全大使”并不是安全團隊的人，而是來自研發或者服務團隊。

安全無小事，亞馬遜云科技會把安全的理念和可落地方案嵌入到每一個產品和服務團隊日常的工作流程之中，任何發布或者更新都必須遵循這個流程。

另外，人和數據要分開，因為安全問題的2個最重要因素就是人和數據。對于人為因素造成的安全問題，最簡單的做法就是控制他的訪問權限，并給權限設定有效期。而對于數據安全問題，需要考慮數據本身是否需要脫敏、加密，哪些數據給誰用等。只有把人和數據2個維度的因素結合起來，才能形成一個行之有效的方案！

亞馬遜云科技認為，云中安全必須是“洋蔥式”的多層防護，層與層之間可以相互保護，是層層遞進的訪問機制，而不是一個“雞蛋”，只做一個堅硬的外殼，實則不堪一擊。

具體而言，亞馬遜云科技中的云安全洋蔥機制分為5層，每層之間都具備互相遞進的安全防護能力。并且，任何安全防護都不能依托于某一個單點的員工或者服務，更多依賴的是各個安全層次之間的相互配合。即使某一個層次被惡意攻擊突破了，但是因為有其他層次作為互補，同樣可以保證用戶的安全。可以說，亞馬遜云科技提供的安全機制，是零信任架構的基礎。

拿防火墻來說，這是一個非常強大的工具，可以有效防治內部系統受到外部黑客的攻擊。但是，有了防火墻，企業的安全問題是不是就萬無一失了呢？答案顯然不是。因為，攻擊可以來自于外部，也可以來自于內部，如果公司內部員工從內網進行攻擊入侵，防火墻就失去了作用。

企業要想保證業務不受侵害，既要考慮來自外部的攻擊，可以通過防火墻解決，同樣也要考慮來自內部的攻擊，比如可以通過主機安全、安全加密等手段，相互結合才能形成一個綜合的、立體的、可以協作的安全機制，這就是亞馬遜云科技所定義的洋蔥模型。

有效的工具讓安全防護更自動化

在亞馬遜云科技數據中心，每天都會收到數十億條的安全事件或者各種日志，這么大規模的業務體量，靠人力去維護，根本無法想象。通過自動化的處理工具，亞馬遜云科技可以自動識別安全風險，并且能夠把各個用戶之間的安全事件關聯起來，建立覆蓋全局的管控能力。

以電動車電池起火為例，雖然只是小概率事件，但如果每天10億人在騎電動車，有一個人出了問題，就意味著每天都會出現安全事故，仍然是一個不可接受的事實。同樣，對于亞馬遜云科技這種提供云服務的公司來說，要想不讓云安全事件發生，必須通過更現代化的手段，提升整個業務的安全運營能力，及早發現這種小概率事件，把安全風險降到最低。

與其救火，不如防患于未然，在云安全全生命周期服務中，最重要的工作是提前演習，而不是事后進行修補。問題是，如何早做部署，定期排查嗎？

亞馬遜云科技有幾個重要產品，可以幫助用戶去提升整個業務的安全性：

第一，Amazon Inspector。跟演練一樣，可以幫助用戶提前排查系統里存在哪些安全漏洞。

第二，Amazon GuardDuty。通過異常活動檢測，可以監測所有來自于不同源頭的各種安全事件，并且可以從中判斷，及時發現哪些行為有可能會引起安全故障。

自動監測威脅服務，可持續監控惡意活動和未經授權的行為，從而保護云中賬戶、負載、程序及存儲數據的安全。Amazon GuardDuty內置了機器學習引擎，不斷改進對威脅的探測，有效從云環境中快速識別出潛在的惡意用戶活動。

第三，Amazon Backup。通過定期數據備份，就算黑客入侵，把企業的數據鎖起來或把數據刪除也沒關系，Amazon Backup可以把數據安全地保存起來，通過一鍵回滾就可以及時進行恢復。

另外，亞馬遜云科技剛推出Marketplace Vendor Insights的預覽版。之前，客戶在選擇安全伙伴的時候，需要自己去評估這個安全伙伴提供服務的安全性，現在亞馬遜云科技可以對合作伙伴的服務進行安全合規評估，Config和AuditManager內嵌于產品之中，可以和云服務集成，包括可以和第三方的審計結合，如SOC2和ISO27001，以及供應商的證明等。

對于客戶來說，亞馬遜云科技MarketplaceVendorInsights帶來的好處是，能夠大大縮減對亞馬遜云科技Marketplace服務的采購周期。之前可能需要好幾個月或者8-12周的時間，現在有了亞馬遜云科技Marketplace Vendor Insight后，最快可以在一周之內就能完成采購，助客戶實現業務的快速上線。

在亞馬遜云科技內部，有一句話叫做“聚力攜手，才能走向強大”，真正的安全能力是在運營中不斷培養得來，基于全球百萬用戶服務經驗，亞馬遜云科技可以從大量安全實踐中獲益，并且可以更好地反哺給用戶。