【智慧城市網(wǎng) 視點(diǎn)跟蹤】后疫情時(shí)代�����,企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程加速��,云的使用量持續(xù)增長(zhǎng)���,與此同時(shí)����,云上的安全需求也越來(lái)越多�。本文將詳細(xì)闡述亞馬遜云科技在云上安全合規(guī)方面的先進(jìn)理念和成功實(shí)踐,以及其客戶(hù)TCL實(shí)業(yè)的云上安全實(shí)踐���。
目前���,全球已有132個(gè)國(guó)家和地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī),中國(guó)也出臺(tái)了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》�,伴隨企業(yè)放在云上的數(shù)據(jù)類(lèi)型、數(shù)據(jù)量的增漲�,業(yè)務(wù)范圍的不斷拓展,企業(yè)面對(duì)的安全合規(guī)挑戰(zhàn)也日益嚴(yán)峻�����。
近日�,亞馬遜云科技宣布將持續(xù)加大在中國(guó)區(qū)域安全合規(guī)領(lǐng)域的投入,在為客戶(hù)提供安全合規(guī)的基礎(chǔ)設(shè)施和云服務(wù)基礎(chǔ)上����,與光環(huán)新網(wǎng)及西云數(shù)據(jù)共同加速安全合規(guī)服務(wù)和功能在中國(guó)的落地,并進(jìn)一步加強(qiáng)與亞馬遜云科技合作伙伴的合作,全方位地幫助客戶(hù)提升云中安全與合規(guī)���。
據(jù)悉�,亞馬遜云科技已進(jìn)一步升級(jí)與德勤中國(guó)的合作����,由德勤中國(guó)推出安全運(yùn)營(yíng)中心服務(wù),該運(yùn)營(yíng)中心將在亞馬遜云科技上為客戶(hù)提供云上端到端的安全監(jiān)測(cè)及響應(yīng)服務(wù)���,助力企業(yè)提升云上安全���,完善企業(yè)安全合規(guī)管理,滿(mǎn)足企業(yè)不斷發(fā)展變化的安全合規(guī)要求���。
亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理顧凡表示:疫情導(dǎo)致云使用量的增長(zhǎng)����,尤其是游戲��、遠(yuǎn)程辦公�����、遠(yuǎn)程業(yè)務(wù)等方面。遠(yuǎn)程辦公的安全性有兩個(gè)維度���,一是對(duì)于遠(yuǎn)端公司資產(chǎn)或者云上資產(chǎn)的保護(hù),二是對(duì)于家庭環(huán)境的保護(hù)����,這些既給安全提出了挑戰(zhàn),也給云上的安全業(yè)務(wù)帶來(lái)了更多機(jī)會(huì)�����。
企業(yè)上云���,安全體驗(yàn)再上新臺(tái)階
實(shí)際上��,相較于企業(yè)自建數(shù)據(jù)中心��,購(gòu)買(mǎi)安全設(shè)備�����,訂閱安全服務(wù)���,進(jìn)行安全管理,乃至考慮合同、成本等復(fù)雜的問(wèn)題�,采用應(yīng)用上云的方式,將底層基礎(chǔ)設(shè)施安全交給亞馬遜云科技這樣全球領(lǐng)先的云廠商�,安全體驗(yàn)?zāi)軌虮茸越〝?shù)據(jù)中心再上一個(gè)臺(tái)階。
企業(yè)安全再上新臺(tái)階體現(xiàn)在四個(gè)方面:
一是更加自動(dòng)化���。企業(yè)可以充分利用云端安全服務(wù)之間超高的集成度���,實(shí)現(xiàn)更好地安全自動(dòng)化并降低風(fēng)險(xiǎn),自動(dòng)執(zhí)行安全任務(wù)����,減少人工配置錯(cuò)誤。
二是更好的可視化����。以良好的數(shù)據(jù)整合作為基礎(chǔ),企業(yè)在云平臺(tái)上可以更加便捷的實(shí)現(xiàn)安全的可視化管理�����。
三是更靈活的成本控制����。云端安全沒(méi)有前期的成本投入���,只需按使用量付費(fèi)。
四是更高效地完成合規(guī)���。自建數(shù)據(jù)中心做合規(guī)需要從零開(kāi)始��,如果選擇亞馬遜云科技,企業(yè)可以直接繼承云廠商的合規(guī)�����,更加高效���。
亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務(wù)發(fā)展部總經(jīng)理 顧凡
顧凡詳細(xì)介紹了確保云上安全合規(guī)的兩大支柱:一是亞馬遜云科技自身的安全合規(guī)�����,二是亞馬遜云科技為客戶(hù)打造的洋蔥型多層防護(hù)體系����。
亞馬遜云科技自身的安全合規(guī)
顧凡強(qiáng)調(diào):“安全不僅僅是技術(shù)的問(wèn)題��,也是管理的問(wèn)題��。”亞馬遜云科技推行“Job Zero 安全文化”,將安全作為最高優(yōu)先級(jí)的工作���。在亞馬遜云科技���,每一位員工都負(fù)有安全責(zé)任,每個(gè)級(jí)別的員工都有安全目標(biāo)����,每個(gè)服務(wù)在設(shè)計(jì)階段都要考慮安全問(wèn)題,通過(guò)自動(dòng)化實(shí)現(xiàn)安全的標(biāo)準(zhǔn)化和一致性����,并且提供全天候響應(yīng)的安全運(yùn)營(yíng)能力。
同時(shí)���,亞馬遜云科技首創(chuàng)安全責(zé)任共擔(dān)模型��,推動(dòng)安全及合規(guī)建設(shè)��,為企業(yè)云上業(yè)務(wù)保駕護(hù)航����。顧凡提到:亞馬遜云科技負(fù)責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全����,客戶(hù)負(fù)責(zé)自身云業(yè)務(wù)安全���。當(dāng)然,在IaaS��、PaaS����、SaaS不同的場(chǎng)景下,責(zé)任共擔(dān)的分界線(xiàn)會(huì)有所移動(dòng)�����,越到上層��,亞馬遜云科技肩負(fù)的責(zé)任越多���。
在實(shí)踐中,亞馬遜云科技通過(guò)四個(gè)方面保證自身的安全合規(guī):一是采用高安全性的基礎(chǔ)設(shè)施��,數(shù)據(jù)中心和網(wǎng)絡(luò)架構(gòu)以最高安全標(biāo)準(zhǔn)構(gòu)建;二是重視每一個(gè)云服務(wù)的安全性�����,存在任何已知安全問(wèn)題的新服務(wù)將不會(huì)啟動(dòng),通過(guò)深度集成實(shí)現(xiàn)安全自動(dòng)化�����,減少人工配置錯(cuò)誤�����,降低風(fēng)險(xiǎn);三是堅(jiān)持客戶(hù)擁有和控制數(shù)據(jù)的理念����,所有數(shù)據(jù)流動(dòng)在離開(kāi)亞馬遜云科技的安全設(shè)施之前,都經(jīng)過(guò)物理層自動(dòng)加密;四是幾乎滿(mǎn)足全球所有監(jiān)管機(jī)構(gòu)的合規(guī)認(rèn)證���,且定期進(jìn)行第三方驗(yàn)證����,這些合規(guī)認(rèn)證與能力實(shí)踐���,中國(guó)客戶(hù)可以直接繼承���。
亞馬遜云科技為客戶(hù)打造洋蔥型多層防護(hù)體系
亞馬遜云科技在云服務(wù)安全方面有三大理念:一是利用云上的事件驅(qū)動(dòng)型架構(gòu)去構(gòu)建自動(dòng)化防護(hù)欄,而非設(shè)立關(guān)卡;二是云中安全是主動(dòng)設(shè)計(jì)出來(lái)的���,而不是被動(dòng)響應(yīng);三是云中安全必須是一個(gè)洋蔥型的多層防護(hù)�,而不是一個(gè)雞蛋。
基于這三大理念���,亞馬遜云科技打造了洋蔥型的五層防護(hù)體系�,為用戶(hù)提供像水和空氣一樣便捷的安全服務(wù)����,幫助客戶(hù)更簡(jiǎn)單地解決安全問(wèn)題。目前���,亞馬遜云科技在五大領(lǐng)域?yàn)榭蛻?hù)提供全方位的安全服務(wù)����,涵蓋280多項(xiàng)安全��、合規(guī)服務(wù)及功能��。
亞馬遜云科技為客戶(hù)打造了洋蔥型的五層防護(hù)體系:
第一層:威脅檢測(cè)與事件響應(yīng)��。能夠?qū)Π踩{做到精準(zhǔn)定位���、快速反應(yīng)���、時(shí)刻監(jiān)控,并且能夠分析原因��。
第二層:身份認(rèn)證與訪問(wèn)控制���。遵循保持最小授權(quán)����、并對(duì)最小授權(quán)進(jìn)行定期審計(jì)的原則���,通過(guò)盡可能細(xì)化訪問(wèn)的顆粒度�、結(jié)合多因素鑒證技術(shù)加強(qiáng)身份認(rèn)證���、減少長(zhǎng)期憑證的使用等多項(xiàng)機(jī)制�����,建立權(quán)限防護(hù)機(jī)制和數(shù)據(jù)邊界����。
第三層:網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全。防御DDoS攻擊是這一層的重點(diǎn)���,DDoS防御應(yīng)貫穿始終�,Amazon ShieldAdvanced可以為客戶(hù)提供全天候的保護(hù);網(wǎng)絡(luò)訪問(wèn)規(guī)則是一切防御的基礎(chǔ)���,客戶(hù)既可以采用亞馬遜安全團(tuán)隊(duì)自研的全托管規(guī)則���,也可以自定義規(guī)則。
第四層:數(shù)據(jù)保護(hù)與隱私����。亞馬遜云科技提供了數(shù)據(jù)全生命周期的加密服務(wù),對(duì)數(shù)據(jù)的保護(hù)涵蓋存儲(chǔ)�、傳輸以及使用的各個(gè)環(huán)節(jié)。例如�,Amazon CloudHSM提供了安全、簡(jiǎn)單的云上專(zhuān)屬加密機(jī);Amazon Nitro Enclaves提供了一個(gè)云端的機(jī)密計(jì)算環(huán)境��,可有效減少敏感數(shù)據(jù)處理過(guò)程中的攻擊面�����。
第五層:風(fēng)險(xiǎn)管控及合規(guī)�。亞馬遜云科技從三個(gè)方面幫助用戶(hù)合規(guī)。一是確保亞馬遜云科技服務(wù)本身的合規(guī)性;二是合規(guī)方案落地;三是自動(dòng)化審計(jì)��。
顧凡總結(jié)���,亞馬遜云科技云上安全合規(guī)具備五大優(yōu)勢(shì):1����、出色的可見(jiàn)性和控制力;2��、深度集成實(shí)現(xiàn)自動(dòng)化;3��、以最高的安全與隱私保護(hù)標(biāo)準(zhǔn)構(gòu)建;4���、客戶(hù)可以繼承亞馬遜云科技全面的安全性與合規(guī)性控制;5�����、豐富的安全��、合規(guī)合作伙伴��。
正因?yàn)槿绱?����,全球已有?shù)百萬(wàn)用戶(hù)選擇并且信賴(lài)亞馬遜云科技�,覆蓋幾乎所有行業(yè),包括金融�����、電信等諸多強(qiáng)監(jiān)管的行業(yè)��。例如���,世界最大的股票交易所納斯達(dá)克將分階段地把全部業(yè)務(wù)遷移到亞馬遜云科技�����,日本最大的電信運(yùn)營(yíng)商N(yùn)TT docomo將把PB級(jí)別的數(shù)據(jù)倉(cāng)庫(kù)遷移上云��。
TCL實(shí)業(yè)分享云上安全實(shí)踐
在亞馬遜云科技遍布全球的數(shù)百萬(wàn)用戶(hù)中�,不乏TCL實(shí)業(yè)�、洛陽(yáng)鉬業(yè)、安克創(chuàng)新等中國(guó)客戶(hù)的身影�。TCL實(shí)業(yè)作為“中國(guó)智造”出海的代表性企業(yè),已將海外業(yè)務(wù)的多個(gè)重要核心系統(tǒng)部署在亞馬遜云科技上���,實(shí)現(xiàn)安全合規(guī)的全球部署,同時(shí)使用Amazon WAF、 Amazon GuardDuty���、Amazon Security Hub等安全服務(wù)提升云端安全�。
TCL實(shí)業(yè)CTO孫力表示:“云上安全是TCL實(shí)施全球化戰(zhàn)略�����、實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新的基石��。我們信賴(lài)亞馬遜云科技自身的安全���,欣賞其全球優(yōu)勢(shì)以及廣泛深入的安全服務(wù)�����。使用多項(xiàng)亞馬遜云科技服務(wù)打造TCL云端安全體系��,讓我們能夠全方位保障云端安全���,并且提高運(yùn)維效率,節(jié)省人力成本��。”
TCL實(shí)業(yè)鴻鵠實(shí)驗(yàn)室軟件安全部林舜大表示:為了實(shí)現(xiàn)更加智能��、用戶(hù)體驗(yàn)更好的AI×IoT智能家居生態(tài)圈,TCL持續(xù)在云�、管、邊����、端和連接層面不懈努力,實(shí)現(xiàn)萬(wàn)物互聯(lián)����、數(shù)據(jù)分析、智能服務(wù)的業(yè)務(wù)閉環(huán)����。在此過(guò)程中,TCL正在面臨網(wǎng)絡(luò)安全和隱私保護(hù)方面的風(fēng)險(xiǎn)與挑戰(zhàn)����。
例如,智能終端設(shè)備的固件會(huì)被替換成非法固件����,從中獲得密鑰等各種信息。伴隨智能終端上的應(yīng)用越來(lái)越多��,功能越來(lái)越復(fù)雜����,這些終端應(yīng)用和功能同樣面臨著各種威脅�。聯(lián)網(wǎng)產(chǎn)品和云端不僅可能在數(shù)據(jù)通訊領(lǐng)域被攻擊��,網(wǎng)絡(luò)劫持��、中間人等攻擊手段也層出不窮�����,進(jìn)而還可能導(dǎo)致各種數(shù)據(jù)的泄露問(wèn)題���。存儲(chǔ)大量數(shù)據(jù)、掌握大量控制和服務(wù)的云端也會(huì)時(shí)不時(shí)受到應(yīng)用層的攻擊���、DDoS攻擊����、主機(jī)攻擊��、身份鑒權(quán)攻擊等�����,輕則導(dǎo)致云端服務(wù)的不可用,重則導(dǎo)致大量用戶(hù)信息的泄露����,甚至用戶(hù)敏感信息的泄露。
與此同時(shí)�����,國(guó)際國(guó)內(nèi)對(duì)用戶(hù)隱私保護(hù)的法律越來(lái)越嚴(yán)格�,明確要求聯(lián)網(wǎng)產(chǎn)品必須進(jìn)行安全設(shè)計(jì)、安全測(cè)試���,出現(xiàn)安全問(wèn)題必須及時(shí)地反饋和處理����。
為此��,TCL產(chǎn)品采用安全開(kāi)發(fā)生命周期SDL進(jìn)行開(kāi)發(fā)���,App和云服務(wù)采用DevSecOps的流程進(jìn)行開(kāi)發(fā)����,保證產(chǎn)品�、App和云服務(wù)的安全����。TCL全球安全應(yīng)急響應(yīng)中心網(wǎng)站和郵箱�,也一直在處理用戶(hù)和業(yè)界安全愛(ài)好者提出的各種安全問(wèn)題,同時(shí)針對(duì)諸多安全漏洞和事件進(jìn)行懸賞����,鼓勵(lì)安全愛(ài)好者主動(dòng)發(fā)現(xiàn)漏洞���,TCL會(huì)及時(shí)修復(fù)����、保障用戶(hù)的權(quán)益����。與此同時(shí),TCL購(gòu)買(mǎi)了很多第三方安全檢測(cè)工具����,并自主開(kāi)發(fā)了一些安全檢測(cè)工具進(jìn)行檢測(cè),其中包括亞馬遜云科技的云上安全漏洞檢測(cè)工具��。
為了應(yīng)對(duì)隱私合規(guī)和數(shù)據(jù)問(wèn)題�����,TCL通過(guò)云服務(wù)的全球化部署,業(yè)務(wù)覆蓋160多個(gè)國(guó)家��,活躍用戶(hù)高達(dá)3000多萬(wàn)���。林舜大提到:“TCL采用亞馬遜云科技的云服務(wù)來(lái)部署���,關(guān)鍵在于亞馬遜云科技的云基礎(chǔ)設(shè)施,通過(guò)了各個(gè)國(guó)家和地區(qū)的安全與合規(guī)認(rèn)證���。有了安全與合規(guī)的基礎(chǔ)保障�����,用戶(hù)只關(guān)注應(yīng)用層之上的安全與合規(guī)即可���。”
TCL的云端安全分級(jí)策略
TCL采用云端安全的分級(jí)策略,盡可能提高產(chǎn)品和服務(wù)的安全性�����。
一級(jí)平臺(tái)是一些內(nèi)部網(wǎng)站、測(cè)試網(wǎng)站����,或是知識(shí)管理類(lèi)、共享類(lèi)�����、學(xué)習(xí)類(lèi)的網(wǎng)站�,以及一些可有可無(wú)的網(wǎng)站。這些網(wǎng)站只需要守住關(guān)口����,基本不需要在安全產(chǎn)品上進(jìn)行投入�。
二級(jí)平臺(tái)是一些主要網(wǎng)站,例如廣告����、品牌形象、業(yè)務(wù)支撐和售后系統(tǒng)等���,這些網(wǎng)站的用戶(hù)信息較少����,大部分是一些ID號(hào)。二級(jí)網(wǎng)站需要加強(qiáng)對(duì)關(guān)口的安全措施���,識(shí)別重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)����,并且定期進(jìn)行安全掃描����。
三級(jí)平臺(tái)涉及一些關(guān)鍵基礎(chǔ)設(shè)施,代碼平臺(tái)����,以及存放大量用戶(hù)信息的網(wǎng)站,例如IoT平臺(tái)��、大數(shù)據(jù)平臺(tái)和AI平臺(tái)等等����。三級(jí)平臺(tái)需要全方位加強(qiáng)關(guān)口防御水平,進(jìn)行整體的全方位保護(hù)����,甚至引入態(tài)勢(shì)感知等安全產(chǎn)品,達(dá)到等保三級(jí)以上的安全水平��。
四級(jí)平臺(tái)是那些存放用戶(hù)大量財(cái)產(chǎn)信息的金融類(lèi)、購(gòu)物類(lèi)網(wǎng)站�,除了安全技術(shù)投入外,組織管理方面也要持續(xù)加強(qiáng)����,進(jìn)行安全保障。
其中��,TCL從二級(jí)平臺(tái)到四級(jí)平臺(tái)的云服務(wù)�,均采用亞馬遜云科技的Amazon WAF進(jìn)行防護(hù)。TCL利用Amazon WAF定制規(guī)則����,進(jìn)行流量篩選,阻隔惡意訪問(wèn)等�。從監(jiān)測(cè)數(shù)據(jù)的效果可以看出,Amazon WAF一周為T(mén)CL防護(hù)超過(guò)13萬(wàn)次的惡意請(qǐng)求�����,抵御接近10萬(wàn)次的程序自動(dòng)攻擊�。
統(tǒng)一的網(wǎng)絡(luò)安全與隱私保護(hù)框架體系
基于統(tǒng)一的網(wǎng)絡(luò)安全與隱私保護(hù)框架體系����,TCL采用業(yè)界成熟的一些措施:包括通過(guò)成立專(zhuān)門(mén)的網(wǎng)絡(luò)安全與隱私保護(hù)管理委員會(huì)和工作組,不斷提升整個(gè)組織的意識(shí)與能力,對(duì)公司的產(chǎn)品與業(yè)務(wù)進(jìn)行有效的監(jiān)控和改進(jìn);嵌入安全行為的隱私影響評(píng)估流程到業(yè)務(wù)中���,保證產(chǎn)品合規(guī);此外����,進(jìn)行一些第三方認(rèn)證��,例如與亞馬遜云科技進(jìn)行溝通����,亞馬遜云科技提供了從認(rèn)證保護(hù)、檢測(cè)����、響應(yīng)到恢復(fù)的40多種安全服務(wù),TCL通過(guò)研究和評(píng)估�,已經(jīng)采用了一部分服務(wù),達(dá)到更好的保障用戶(hù)權(quán)益的目的��。
據(jù)悉����,TCL除了采用Amazon WAF防御云服務(wù)端的攻擊之外,還通過(guò)Amazon KMS解決密鑰安全性的相關(guān)問(wèn)題���。林舜大提到:“隱私保護(hù)離不開(kāi)數(shù)據(jù)加密�����,而數(shù)據(jù)加密過(guò)程中最擔(dān)心密鑰的安全性��,包括對(duì)密鑰的管理�����,密鑰對(duì)性能的影響以及費(fèi)用等等�����。我們?cè)u(píng)估了各種方案�,最終在一些重要業(yè)務(wù)上采用Amazon KMS解決密鑰安全性的相關(guān)問(wèn)題。”
最后�,林舜大總結(jié):安全與合規(guī)是TCL品牌差異化的重要組成部分,網(wǎng)絡(luò)安全的范疇非常大����,亞馬遜云安全在TCL品牌差異化的過(guò)程中發(fā)揮了重要的助推作用�。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
