如何保障云上安全 看看亚马逊云科技的“洋葱模型”

随着数字经济深入到社会生活的更多领域，数据的安全性越来越受到关注。

近年来，在5G、云计算、大数据、物联网等新兴技术助力下，人们可以全力拥抱万物互联新世界，体验数字时代带来的方便与快捷，但如果这些领先的技术和应用没有纳入安全管理范围内，无疑给黑客或者别有用心之人带来 “打开自家防盗门的钥匙”，造成的损失和后果不可想象，这可能也是很多企业都在重视安全管理的最根本原因。

这一次，比特网有机会与亚马逊云科技大中华区战略业务发展部总经理顾凡聊一聊亚马逊云科技的云上安全理念以及安全策略。云上安全到底有多重要？

近年来，云计算应用越来越丰富，让很多企业都因此有进一步发展，但这一技术在大幅度节省企业用户计算成本的同时提高了计算效率同时，也使得企业面临的安全问题与传统的安全问题从安全方案和服务模式等方面有了很大的变化。

如今，云计算不仅成为企业运营商业案例的一种选择，还成为降低成本、确保持续可用性和减少停机时间的一种有效手段。在过去，人们只有在配备防火墙或其他安全工具保护信息的办公室和工作空间中，才能通过访问账户、文件和业务的服务器连接到企业网络。

然而，云计算应用程序的出现改变了这种情况，使用户能够远程访问企业应用程序、文档和服务。根据调研机构IDG公司的一项调查，如今有92%的企业IT环境至少有一部分部署在云平台上。与此同时，云计算服务带来了数据安全的挑战和风险，这就需要新的安全工具和实践。

顾凡表示：“企业自建数据中心的时候也要构建安全，只不过需要自己构建一切，需要考虑到安全设备管理、合同签订、成本问题等。当应用上云之后，企业并不需要关心琐碎的底层基础设施安全，而且在云端的安全治理有机会再上一个台阶。”

亚马逊云科技的“洋葱模型”

针对于安全方面的策略，亚马逊云科技有一个五层防护洋葱模型，其中，第一层是威胁检测与事件响应。要知道，威胁检测就像“专业的天气预报员”，需要能够对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因。

针对威胁检测与事件响应，目前，Amazon Guard Duty可持续检测在亚马逊云科技中发生的威胁，具有丰富的情报源，同时，Amazon GuardDuty 集成了机器学习的能力，实现威胁的精准定位，让报警量减少了50%。

另外，Amazon Security Hub安全事件统一管理平台，让客户针对威胁检测7x24 小时全天候监控，及时响应，并自动执行合规性检查。

洋葱模型第二层：身份认证与访问控制。“身份认证和访问如同一座坚固城堡的大门。某一点的身份认证被攻破，有可能会带来意想不到的严重后果。没有好的身份认证的访问策略，就好像建了一座坚固的城堡，却把门打开给未知访客。”顾凡比喻道。

据悉，关于身份认证，亚马逊云科技有两个经验和三个技术建议。经验之一是保持最小授权原则，每一次授权都要确认是否必需，是否与业务/职责相关。经验之二是要对最小授权原则定期进行审计，不要有永久授权，所有的授权都必须有时效性。

三个技术建议：一是尽可能细化访问的颗粒度，可以根据时间，地点和服务来设置访问条件;二是结合多因素鉴证技术加强身份认证;三是减少长期凭证的使用。目前， IAM是身份认证与访问控制的核心服务，它可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。Amazon Organizations是一个高效的身份认证与访问控制服务，可以对一个组织的多账号进行集中管理和治理，建立权限防护机制和数据边界。

洋葱模型第三层：网络与基础设施安全。顾凡介绍道：“防御DDoS攻击是这一层防护的重点。DDoS防御应全年从始至终，而不能像急诊。”如果等发现DDoS攻击之后再处理，业务的稳定性和持续性已经受到影响了。

目前，Amazon ShieldAdvanced就可以为客户提供全天候的保护。网络访问规则是一切防御的基础，Web应用防火墙服务Amazon WAF 提供了丰富的规则库，有亚马逊安全团队自研的全托管规则，客户也可以自定义规则，还有国际一线安全厂商的托管规则。

洋葱模型第四层：数据保护与隐私。亚马逊云科技提供了数据全生命周期的加密服务，对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密，它与亚马逊云科技140个服务集成，可以对存储在这些服务中的数据加密。

针对数据保密性要求更高的客户，Amazon CloudHSM提供了安全、简单的云上专属加密机。Amazon Nitro Enclaves提供了一个云端的机密计算环境，通过它，客户可以创建一个隔离的环境来处理敏感数据，而无须向自己的系统管理员、开发人员和应用程序提供访问权限，从而减少敏感数据处理过程中的攻击面。

洋葱模型第五层：风险管控及合规。顾凡介绍道：“亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。”

通过Amazon Audit Manager 简化审计管理和合规性评估，Audit Manager可能自动扫描、搜集证据，还提供了各种合规认证的模板，可以简化合规审计的证据收集工作。此外，亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具，将所有的安全合规经验都对客户倾囊相授。

就像它的名字一样，亚马逊云科技的洋葱模型一层一层从理念到技术保护着用户的安全。

写在最后

一直以来，亚马逊云科技为客户打造多层防护体系的宗旨是，帮助客户更简单地解决安全问题，持续不断加大安全投入，却不设置安全方面的营收指标，要让安全服务像水和空气一样，提供给用户。不依靠水和空气产生利润，却需要给用户提供优质的水和空气，创造健康的环境。