鐘合

在當(dāng)下快速發(fā)展的互聯(lián)網(wǎng)潮流中，云計(jì)算釋放無限能力，助力企業(yè)數(shù)字化轉(zhuǎn)型，為企業(yè)業(yè)務(wù)創(chuàng)新帶來新的契機(jī)，但是企業(yè)上云之后，傳統(tǒng)安全邊界變得更加模糊，核心業(yè)務(wù)在云端，使得數(shù)據(jù)可視化和安全風(fēng)險(xiǎn)洞察力都大打折扣，這給企業(yè)業(yè)務(wù)轉(zhuǎn)型的可持續(xù)發(fā)展埋下了隱患。

如何才能安全無憂地暢享云計(jì)算帶來的紅利，為應(yīng)用構(gòu)建更安全可靠的防護(hù)屏障呢？本文就AWS云上安全話題進(jìn)行探討，從安全模型到最佳實(shí)踐，從安全架構(gòu)規(guī)劃到系統(tǒng)內(nèi)部加固，對企業(yè)上云的安全部署提供系統(tǒng)化的全景建議，讓您更直觀地了解云上安全問題，從而防患未然，構(gòu)筑云上安全堡壘。

云計(jì)算中的機(jī)遇與挑戰(zhàn)

云計(jì)算在重構(gòu)IT產(chǎn)業(yè)的同時，也賦予了企業(yè)新的增長機(jī)遇。通過充分利用云計(jì)算的能力，企業(yè)可以釋放更多精力專注于自己的業(yè)務(wù)。云計(jì)算極大地降低了企業(yè)的數(shù)字化轉(zhuǎn)型成本，釋放更多效能進(jìn)行業(yè)務(wù)創(chuàng)新，云計(jì)算為企業(yè)業(yè)務(wù)創(chuàng)新帶來無限可能。但是當(dāng)人們在享受使用云計(jì)算帶來的便利的同時，云上安全問題也不容忽視，如CC攻擊、DDoS攻擊、木馬、病毒、蠕蟲等。用戶的業(yè)務(wù)應(yīng)用就像在黑暗森林中的行者，四周潛伏著看不見的野獸惡魔，稍有不慎便被惡意攻擊趁虛而入，給企業(yè)帶來極大的經(jīng)濟(jì)損失。

云上安全性

■云平臺安全

當(dāng)企業(yè)接入云端，如何判斷云平臺的安全能力？合規(guī)性是一個重要考量因素，此外建議企業(yè)還可以了解云平臺是否有關(guān)于身份與訪問、網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、應(yīng)用安全、可視性與智能相關(guān)的安全策略，全面客觀地評判云平臺安全實(shí)力。

■隔離防護(hù)

云平臺為多租戶模式，租戶方應(yīng)該采取哪些措施或服務(wù)來達(dá)到安全的目的？該借助哪些服務(wù)來達(dá)到等級保護(hù)的要求？

■安全流程規(guī)范

盡管企業(yè)已經(jīng)對云端安全做了詳盡周密的部署，但是仍不免遭遇安全攻擊。一旦發(fā)生安全風(fēng)險(xiǎn)，云平臺需要有一系列規(guī)范的安全響應(yīng)流程來幫助企業(yè)抵御攻擊，降低安全風(fēng)險(xiǎn)。

云上安全分類

對于云計(jì)算安全帶來的挑戰(zhàn)，云上安全問題大體可分為以下四類：

■物理和基礎(chǔ)架構(gòu)安全

包括云計(jì)算環(huán)境下數(shù)據(jù)中心內(nèi)服務(wù)器、交換機(jī)等軟硬件設(shè)備自身安全、數(shù)據(jù)中心架構(gòu)設(shè)計(jì)層面的安全?！鰬?yīng)用安全

在云計(jì)算環(huán)境下的業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)的安全管理，包括應(yīng)用的設(shè)計(jì)、開發(fā)、發(fā)布、配置和使用等方面的安全性。

■訪問控制管理

云計(jì)算環(huán)境中對資源和數(shù)據(jù)的訪問權(quán)限管理，包括用戶管理、訪問權(quán)限管理、身份認(rèn)證等方面。

■數(shù)據(jù)安全

數(shù)據(jù)安全指客戶在云計(jì)算環(huán)境中的業(yè)務(wù)數(shù)據(jù)自身的安全，包括收集與識別、分類與分級、訪問權(quán)限與加密等方面。

將云上安全問題清晰歸類后，企業(yè)就可以針對自身安全問題有的放矢地進(jìn)行優(yōu)化完善。

云上安全模型

AWS責(zé)任共擔(dān)模型強(qiáng)調(diào)安全性和合規(guī)性是AWS和客戶的共同責(zé)任，AWS提供基礎(chǔ)設(shè)施并保證其安全，用戶則負(fù)責(zé)維護(hù)自己運(yùn)行其上的應(yīng)用安全。在這里不少企業(yè)用戶會存在認(rèn)知誤區(qū)，認(rèn)為只要云平臺基礎(chǔ)設(shè)施安全就足夠了，但事實(shí)上企業(yè)需要對云端應(yīng)用有更深入的安全掌控。

就企業(yè)角度而言，用戶需要確保應(yīng)用的安全性，及利用云計(jì)算基礎(chǔ)設(shè)施的安全配置，進(jìn)行云上安全加固，例如及時更新操作系統(tǒng)的安全補(bǔ)丁、云產(chǎn)品的安全策略配置。AWS的安全模型將安全下放到客戶側(cè)，更具有靈活性和可控性，有助于用戶在AWS和內(nèi)部環(huán)境中掌控安全，獲得最大限度的保護(hù)。

在AWS的責(zé)任共擔(dān)模型中，人們可以更直觀地看到AWS和企業(yè)客戶的責(zé)任劃分，其中AWS負(fù)責(zé)全球基礎(chǔ)設(shè)施的安全及合規(guī)，客戶完全擁有和控制自己的數(shù)據(jù)，并可以根據(jù)自己的業(yè)務(wù)選擇合適的云產(chǎn)品，配置更高安全策略從而提升業(yè)務(wù)安全。通過這個模型，在AWS的強(qiáng)大云平臺上，企業(yè)擁有更靈活的安全產(chǎn)品搭配，對應(yīng)用有更強(qiáng)的安全掌控能力，雙方共同構(gòu)筑了云上安全堡壘。

基礎(chǔ)設(shè)施安全

在基礎(chǔ)設(shè)施安全方面，AWS負(fù)責(zé)保護(hù)全球所有具備提供服務(wù)能力的基礎(chǔ)設(shè)施安全。

在高可用方面，AWS在全球多區(qū)域內(nèi)都部署基礎(chǔ)資源，在同一個區(qū)域內(nèi)的不同可用區(qū)也部署了基礎(chǔ)資源。這樣分布式的資源部署，配合故障切換，能夠最大程度降低單可用區(qū)或單區(qū)域故障所帶來的危害性，為基礎(chǔ)設(shè)施的高可用性提供了良好的保障。

在訪問控制方面，AWS全球數(shù)據(jù)中心專業(yè)的安保人員利用視頻監(jiān)控、入侵檢測系統(tǒng)和其他電子方式嚴(yán)格控制各數(shù)據(jù)中心入口的物理訪問，確保數(shù)據(jù)中心人員訪問的合規(guī)性。

在物理安全方面，AWS全球數(shù)據(jù)中心均配備自動化火災(zāi)探測和撲救設(shè)備，以及全年無中斷冗余設(shè)計(jì)的電源系統(tǒng)，這些防護(hù)設(shè)備及高可用設(shè)計(jì)方案，能夠大大提升數(shù)據(jù)中心健壯性。

在事件響應(yīng)方面，在遇到突發(fā)影響業(yè)務(wù)的事件時，AWS事件管理團(tuán)隊(duì)會使用行業(yè)標(biāo)準(zhǔn)診斷程序來推進(jìn)事件的解決。專業(yè)的管理團(tuán)隊(duì)還會提供全天候響應(yīng)服務(wù)，高效快速處理突發(fā)事件，確?；A(chǔ)設(shè)施安全無虞。

基本服務(wù)安全

安全性不僅嵌入到 AWS 基礎(chǔ)設(shè)施的每一層，還嵌入到基礎(chǔ)設(shè)施之上的每個服務(wù)中。AWS的每個服務(wù)都提供了廣泛的安全功能，可以幫助用戶保護(hù)敏感數(shù)據(jù)和應(yīng)用程序。例如，Amazon RDS for Oracle 是一種托管式數(shù)據(jù)庫服務(wù)，在該服務(wù)中，AWS 管理容器的所有層，甚至包括Oracle 數(shù)據(jù)庫平臺。

針對云上服務(wù)，AWS提供數(shù)據(jù)備份服務(wù)和恢復(fù)工具，用戶負(fù)責(zé)配置和使用與業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) （BC/DR） 策略有關(guān)的工具。用戶通過使用AWS提供的靜態(tài)數(shù)據(jù)加密服務(wù)，或者AWS提供的對用戶有效負(fù)載的 HTTPS 封裝服務(wù)，以保障傳入和傳出該服務(wù)的數(shù)據(jù)安全。對于基本服務(wù)AWS也提供了多種有效措施來確保服務(wù)的安全性。

托管服務(wù)

對于AWS托管服務(wù)，例如Amazon RDS具有豐富功能，可以提高關(guān)鍵生產(chǎn)數(shù)據(jù)庫的可靠性，包括數(shù)據(jù)庫安全組、權(quán)限、SSL 連接、自動備份、數(shù)據(jù)庫快照和多可用區(qū)部署。企業(yè)還可以選擇將數(shù)據(jù)庫實(shí)例部署在 Amazon VPC 中以享受額外的網(wǎng)絡(luò)隔離。

安全是相對的，沒有100%的安全，想要在云上暢行無阻，需要云廠商和用戶的共同努力。在基礎(chǔ)設(shè)施安全方面，云廠商憑借多年的深入研究和風(fēng)險(xiǎn)分析，結(jié)合自身在安全領(lǐng)域多年的經(jīng)驗(yàn)及技術(shù)積累，打造了專門針對云上安全的產(chǎn)品，形成全方位的云安全能力，為用戶提供一站式的云安全綜合解決方案。

用戶則需要從自身業(yè)務(wù)的安全架構(gòu)設(shè)計(jì)，云資源的安全配置，系統(tǒng)內(nèi)的安全加固，以及后期的運(yùn)維管理等方面確保安全性。

云上安全，人人有責(zé)，無論采用的是哪種云部署，用戶都要確保自己的應(yīng)用在這個云環(huán)境中安全無虞。下一代云安全，是多方協(xié)作的。云安全的智能化，需要云廠商和用戶的不斷努力，共筑云上安全業(yè)務(wù)堡壘，創(chuàng)造無限可能。