AWS 云上安全指南

2021-02-04 08:05:19 中国信息化周报 2021年1期

钟合

在当下快速发展的互联网潮流中,云计算释放无限能力,助力企业数字化转型,为企业业务创新带来新的契机,但是企业上云之后,传统安全边界变得更加模糊,核心业务在云端,使得数据可视化和安全风险洞察力都大打折扣,这给企业业务转型的可持续发展埋下了隐患。

如何才能安全无忧地畅享云计算带来的红利,为应用构建更安全可靠的防护屏障呢?本文就AWS云上安全话题进行探讨,从安全模型到最佳实践,从安全架构规划到系统内部加固,对企业上云的安全部署提供系统化的全景建议,让您更直观地了解云上安全问题,从而防患未然,构筑云上安全堡垒。

云计算中的机遇与挑战

云计算在重构IT产业的同时,也赋予了企业新的增长机遇。通过充分利用云计算的能力,企业可以释放更多精力专注于自己的业务。云計算极大地降低了企业的数字化转型成本,释放更多效能进行业务创新,云计算为企业业务创新带来无限可能。但是当人们在享受使用云计算带来的便利的同时,云上安全问题也不容忽视,如CC攻击、DDoS攻击、木马、病毒、蠕虫等。用户的业务应用就像在黑暗森林中的行者,四周潜伏着看不见的野兽恶魔,稍有不慎便被恶意攻击趁虚而入,给企业带来极大的经济损失。

云上安全性

■云平台安全

当企业接入云端,如何判断云平台的安全能力?合规性是一个重要考量因素,此外建议企业还可以了解云平台是否有关于身份与访问、网络安全、数据保护、应用安全、可视性与智能相关的安全策略,全面客观地评判云平台安全实力。

■隔离防护

云平台为多租户模式,租户方应该采取哪些措施或服务来达到安全的目的?该借助哪些服务来达到等级保护的要求?

■安全流程规范

尽管企业已经对云端安全做了详尽周密的部署,但是仍不免遭遇安全攻击。一旦发生安全风险,云平台需要有一系列规范的安全响应流程来帮助企业抵御攻击,降低安全风险。

云上安全分类

对于云计算安全带来的挑战,云上安全问题大体可分为以下四类:

■物理和基础架构安全

包括云计算环境下数据中心内服务器、交换机等软硬件设备自身安全、数据中心架构设计层面的安全。■应用安全

在云计算环境下的业务相关应用系统的安全管理,包括应用的设计、开发、发布、配置和使用等方面的安全性。

■访问控制管理

云计算环境中对资源和数据的访问权限管理,包括用户管理、访问权限管理、身份认证等方面。

■数据安全

数据安全指客户在云计算环境中的业务数据自身的安全,包括收集与识别、分类与分级、访问权限与加密等方面。

将云上安全问题清晰归类后,企业就可以针对自身安全问题有的放矢地进行优化完善。

云上安全模型

AWS责任共担模型强调安全性和合规性是AWS和客户的共同责任,AWS提供基础设施并保证其安全,用户则负责维护自己运行其上的应用安全。在这里不少企业用户会存在认知误区,认为只要云平台基础设施安全就足够了,但事实上企业需要对云端应用有更深入的安全掌控。

就企业角度而言,用户需要确保应用的安全性,及利用云计算基础设施的安全配置,进行云上安全加固,例如及时更新操作系统的安全补丁、云产品的安全策略配置。AWS的安全模型将安全下放到客户侧,更具有灵活性和可控性,有助于用户在AWS和内部环境中掌控安全,获得最大限度的保护。

在AWS的责任共担模型中,人们可以更直观地看到AWS和企业客户的责任划分,其中AWS负责全球基础设施的安全及合规,客户完全拥有和控制自己的数据,并可以根据自己的业务选择合适的云产品,配置更高安全策略从而提升业务安全。通过这个模型,在AWS的强大云平台上,企业拥有更灵活的安全产品搭配,对应用有更强的安全掌控能力,双方共同构筑了云上安全堡垒。

基础设施安全

在基础设施安全方面,AWS负责保护全球所有具备提供服务能力的基础设施安全。

在高可用方面,AWS在全球多区域内都部署基础资源,在同一个区域内的不同可用区也部署了基础资源。这样分布式的资源部署,配合故障切换,能够最大程度降低单可用区或单区域故障所带来的危害性,为基础设施的高可用性提供了良好的保障。

在访问控制方面,AWS全球数据中心专业的安保人员利用视频监控、入侵检测系统和其他电子方式严格控制各数据中心入口的物理访问,确保数据中心人员访问的合规性。

在物理安全方面,AWS全球数据中心均配备自动化火灾探测和扑救设备,以及全年无中断冗余设计的电源系统,这些防护设备及高可用设计方案,能够大大提升数据中心健壮性。

在事件响应方面,在遇到突发影响业务的事件时,AWS事件管理团队会使用行业标准诊断程序来推进事件的解决。专业的管理团队还会提供全天候响应服务,高效快速处理突发事件,确保基础设施安全无虞。

基本服务安全

安全性不仅嵌入到 AWS 基础设施的每一层,还嵌入到基础设施之上的每个服务中。AWS的每个服务都提供了广泛的安全功能,可以帮助用户保护敏感数据和应用程序。例如,Amazon RDS for Oracle 是一种托管式数据库服务,在该服务中,AWS 管理容器的所有层,甚至包括Oracle 数据库平台。

针对云上服务,AWS提供数据备份服务和恢复工具,用户负责配置和使用与业务连续性和灾难恢复 (BC/DR) 策略有关的工具。用户通过使用AWS提供的静态数据加密服务,或者AWS提供的对用户有效负载的 HTTPS 封装服务,以保障传入和传出该服务的数据安全。对于基本服务AWS也提供了多种有效措施来确保服务的安全性。

托管服务

对于AWS托管服务,例如Amazon RDS具有丰富功能,可以提高关键生产数据库的可靠性,包括数据库安全组、权限、SSL 连接、自动备份、数据库快照和多可用区部署。企业还可以选择将数据库实例部署在 Amazon VPC 中以享受额外的网络隔离。

安全是相对的,没有100%的安全,想要在云上畅行无阻,需要云厂商和用户的共同努力。在基础设施安全方面,云厂商凭借多年的深入研究和风险分析,结合自身在安全领域多年的经验及技术积累,打造了专门针对云上安全的产品,形成全方位的云安全能力,为用户提供一站式的云安全综合解决方案。

用户则需要从自身业务的安全架构设计,云资源的安全配置,系统内的安全加固,以及后期的运维管理等方面确保安全性。

云上安全,人人有责,无论采用的是哪种云部署,用户都要确保自己的应用在这个云环境中安全无虞。下一代云安全,是多方协作的。云安全的智能化,需要云厂商和用户的不断努力,共筑云上安全业务堡垒,创造无限可能。