打造安全生態,AWS用安全底座迎接雲計算黃金十年_風聞

麥肯錫的數據顯示，目前企業工作負載中只有20%完成了上雲，而多達80%的關鍵業務工作負載還在上雲的路上。進入到2020年，新冠疫情這隻黑天鵝不期而至，於是，在線遠程辦公、互聯網醫療、遠程教育等需求迅猛長之下，世界開始加速向數字化轉型升級，人們將越來越多的社會行業遷移到線上進行。

在這樣的大背景下，當世界加速從物理世界向虛擬世界遷移，雲成為IT技術創新的中心。同時，雲上的安全在數字化轉型加速前進的時候，就變得更為重要。如果説數字化升級決定企業的發展，那麼安全則是一切發展的根基。在這一領域，在全球雲計算市場穩居前列，並且將安全的優先級排在所有任務前邊的AWS，其安全領域的整體解決方案和行業經驗尤其值得國內企業關注。

上雲路上的攔路虎

根據中國信通院在7月發佈的《雲計算白皮書(2020年)》，近幾年，全球雲計算市場保持穩定增長態勢。2019年，以IaaS、PaaS和SaaS為代表的全球雲計算市場規模達到1883億美元，增速20.86%。預計未來幾年市場平均增長率在18%左右，到2023年市場規模將超過3500億美元。未來，雲計算仍將迎來下一個黃金十年，進入普惠發展期。

在雲計算發展之初，一度要成為“IT行業的水和電”，但隨後的發展卻證明，傳統的社會基礎設施已開始和雲計算互相融合。這樣，當物理世界與數字世界的邊界進一步模糊時，數字基礎設施所遭受的安全風險也將不僅僅侷限於數字世界內部，而開始一步步傳導至日常社會生活的方方面在。針對此類風險的安全監管也已成為相關工作的重點，這使得用户逐漸採取“安全”為第一齣發點的上雲和演進策略。

然而，儘管如此，傳統企業的上雲之路並不平坦。目前企業用户在上雲的道路上，經常會遇到多租户模式下安全域無邊界、虛擬化難捕捉、數據泄漏、攻擊頻率急劇增大等四大業務難題。

在多租户的雲計算環境裏，很難保證不混入一些心懷不軌的惡意租户，進而發起攻擊。同時在在雲計算環境中，有多種不同的虛擬化管理組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那麼所有的租户就沒有安全可言了。此外，由於雲服務器上保存了大量客户的隱私數據，在多租户環境下，一個客户應用存在漏洞可能就會導致其他客户數據的泄露。最後，雲計算用户多樣性而且規模巨大，這樣遭受的攻擊頻率也是急劇增大。這幾種風險交織在一起，就讓雲計算的安全保障問題變得更為複雜。

因此，用户在上雲路上需要一個系統化的雲安全體系，這也給AWS雲安全服務提供了一個發揮的舞台。AWS已從多個方面針對雲安全提供了相應的解決方案，來幫助用户實現雲上的安全。

雲安全體系的威力

雲計算把涉及IT基礎設施的方方面面都高度集成並統一開放給用户，計算、存儲、網絡、應用都劃歸於統一的資源池，成為一套完整的體系。因此雲計算安全防護的設計，必須針對每一個可能涉及的環節。Gartner的報告指出，雲計算服務商最終將向“安全服務提供商”轉變。

在這方面，AWS已走在了產業前列，形成了自己的雲安全體系。提到AWS雲安全體系，我們不得不説的是，AWS雲安全經過了多年積累之後，已經形成了一個非常龐大且複雜的體系，所以我們只能擇其精華，做一個簡單介紹。

AWS從四個方面對雲安全提供了相應的解決方案，包含了ID訪問控制，檢測式控制，基礎設置保護和數據保護，其中每個方面都提供了一些對應的服務來幫助大家實現雲上的安全。首先是ID訪問控制，包含了IAM、SSO、AWS DS、Cognito等服務。然後是檢測式控制，包含了Security Hub、GuardDuty、Inspector、 Macie和Detective。接下來是基礎設置保護，包含了shield、WAF和Firewall manager。最後是數據保護，包括了KMS、CloudHSM和Certificate manager。

在ID訪問控制體系中，用户使用AWS Identity and Access Management (IAM)就可以安全控制對 AWS 資源的個人訪問權限或組訪問權限。通過創建並管理用户身份，就可以授予這些 IAM 用户訪問資源的權限。特別值得一提的是，還可以授權以外的用户（ 聯合用户）。在多租户模式下，這種授權機制對於安全域邊界的管控，是非常有效的。

我愛我家是國內房地產經紀龍頭企業，利用IAM等服務，我愛我家的系統實現了精細化的安全管理，從而確保了系統的高可用性和可靠性。我愛我家未來的發展是將業務向整個生態鏈擴展，延展到產業的上下游，而IAM也將在其中持續保駕護航。

華夏航空股份有限公司是中國支線航空商業模式的引領者和踐行者，其快速發展對信息化建設提出了很高的要求。隨着新業務系統不斷上線，華夏航空為解決數據孤島問題，最終選擇了AWS。但在這個過程中，一些人顧慮的雲上安全問題。而最終華夏航空項目負責人力排眾議：並非數據放在自己的數據中心就一定安全。放在自己的數據中心，其實也是聯網的。如果遇到攻擊，也會出現安全問題。放到雲上，只要做好加密，做好數據管理，從某種程度上比自己的數據中心更安全。

用户給了AWS數據保護系統足夠的信認，AWS的回報則是讓華夏航空付出了更低的成本，獲得了更快的業務創新速度，此外還有更安全、更穩定可靠、性能有保障的系統。從中不難看出AWS數據保護體系在應對數據泄漏、高頻率攻擊時的效果。

先鋒電子（中國）投資有限公司是日本先鋒公司在全球設立的五個地區總部之一，出於合規的要求，與AWS合作，將銷售管理、庫存管理、管理會計等SAP應用搬到中國。經過了此次上雲之旅，先鋒電子（中國）發現：雲的安全性與本地機房沒有區別，傳統數據中心的安全措施，雲端架構都可以提供。由此我們可以想見，綜合應用ID訪問控制體系、檢測式控制體系、基礎設置保護和數據保護體系，虛擬化管理軟件漏洞也完全是一個可以攻克的難題。

安全是一種很玄的東西

安全是一種很玄的東西，原因在於擁有它時，你是無感的，平靜、連續等狀態都可以成為它的表象。而只有失去它的時候，我們才能感受到它的價值。對此，AWS安全的客户感觸極深。

新希望草根知本集團，要實現跨行業及產業鏈的資源整合，為此使用了一系列AWS雲服務滿足基礎設施快速靈活的要求，還使用了Amazon Relational Database Service (Amazon RDS)集羣，來最大限度地保證數據安全，從而便於獲取C端私域流量，支持C端大平台創新。對此，新希望草根知本集團就把AWS雲安全形象地比喻為“潤物細無聲”。

新世紀醫療控股有限公司是專注於向兒童和婦女提供優質中高端醫療服務的私立醫療集團。在AWS的助力下，新世紀醫療正在加速完成互聯網醫院業務的佈局。AWS雲安全與AWS雲服務完整地融合為一體，可以從用户的角度出發，滿足用户各類安全需求。對此，新世紀醫療感觸頗深：“AWS並非一味地推薦自身產品，而是站在我們真實需求的角度，給我們建議最適合的產品和方案。”

用户感受到的，是AWS雲安全服務，而隱藏在其背後的，則是AWS的安全文化。

在AWS內部，安全在所有的任務中處於最高的優先級。如果存在任何已知的安全問題，AWS都會及時解決，如果沒有解決安全問題，則不會進行下一步，甚至可能為此放棄發佈新服務。

而對每位AWS人來説，安全同樣被放置在第一的位置上。AWS有專業的安全人員和安全團隊為安全產品和服務負責，同時AWS每位員工，都有責任確保安全性是所有業務不可或缺的組成部分，AWS每個員工都知道如何報告安全問題，並且有權在必要時將安全問題升級到最高級別。

AWS安全第一的準則表現在用户端時，就成了密切傾聽客户的聲音，提供安全的雲計算環境和創新的安全服務，以滿足大多數風險敏感的用户和組織的安全性和合規性需求。這樣做的結果，就是讓用户擁有對自己的系統和數據的完全的自主權。

為此，AWS對內不斷進行技術積累，對外則不斷擴大合作伙伴隊伍。

目前單憑任何一家企業或組織都不可能構建一個涵蓋全療細節的安全體系。雲計算服務商現在多采取與用户“責任分擔”的安全策略，雲計算服務商、用户、安全生態合作伙伴將在新的合作模式中各取所需，一同打造完整的雲計算安全體系。

AWS在雲計算安全方面，同樣採用了責任共擔模型。要求AWS 和客户合作共同實現安全目標。其中 AWS 負責底層雲基礎設施的安全，用户負責保護自己在AWS中部署的工作負載。

責任共擔模式強調了AWS在保障了安全及合規的基礎架構，高可用的計算存儲及網絡數據庫資源的同時，也為用户提供了最大的個人數據隱私及應用配置的管理空間和權限。

基於客户十分注重隱私和數據安全的需求，AWS通過簡單而強大的工具讓用户擁有和控制自己的內容，這些工具可以讓用户確定內容的存儲位置、保護動態和靜態內容，併為用户管理對 AWS 服務和資源的訪問權限。從而實現了從訪問、存儲、保護方式、披露方式等多方面的數據和隱私防護。

同時，AWS還提供了大量工具實現用户對應用配置的管理。如通過AWS目錄服務管理AWS資源、使用 AWS AppConfig 簡化應用程序配置，需要説明的是，一些新方法還在不斷被開發出來，如通過AD Connector與本地活動目錄整合等等。

同時， AWS顯然沒有把範圍之外的安全責任全推給用户，而是通過在自身雲服務的基礎上構建生態，建立涵蓋自身 SaaS 服務以及第三方 SaaS 服務的雲服務市場。AWS近期宣佈聯合百家APN合作伙伴打造行業解決方案，廈門服雲信息科技有限公司、北京三未信安科技發展有限公司、防特網信息科技（北京）有限公司、星雲融創（北京）科技有限公司等APN合作伙伴，已經基於AWS開發了大量安全解決方案。

安全是一種很玄的東西，還表現在用户感受不到的它的硝煙，而只有身處安全服務提供者的位置，才能體會到它的驚心動魄。因此，打鐵還需自身硬，談安全體驗，就不得不説説AWS自身的技術優勢。

可化視是衡量數據安全的一個重要因素，因為只有先感知，才有應對之策。而AWS雲安全一直都在通過安全可視化和安全可控，來安全地擴展業務。這表現在用户端，就成了三個表現：在任何時間內，用户都可以自主決定數據存儲的位置、訪問的人員、可使用的服務；細顆粒度的身份認證和訪問控制，同時結合對安全事件的持續監控，以確保正確的資源得到正確的訪問；可以實時檢測安全事件。

同樣，安全服務之間的集成也極為重要。AWS雲安全不僅實現了服務之間的高度集成，還力求實現自動化佈署。由此不僅可以減少人工配置錯誤，還可以為開發和運維團隊快速提供更多的綜合安全方案。

而應對於用户隱私和數據安全，AWS雲安全採用了最高標準：7*24專家團隊保護AWS系統資源；客户完全擁有數據，並且可以自主對數據進行加密、移動和管理；提供多種加密工具，來滿足傳輸和存儲加密。

綜合來看，AWS從安全文化出發，藉助自己深厚的技術積累和合作伙伴生態的力量，已擁有了非常大的技術優勢，這將為用户在業務戰場上的業務連續、數據安全和隱私保護提供有力保障。

【結束語】

雲計算已經迎來下一個黃金十年，每年超18%的增長率已是不可逆轉的趨勢。然而，當企業的核心應用與雲計算融為一體之時，雲安全就成為了一個避不開的問題。美國FBI的CIO來國內演講時，認為國內在安全領域最缺的就是安全策略。因此，對於國內企業中的CIO或CSO們來説，迫切需要補上的正是安全策略這一課。畢竟，在利用雲計算等新技術打造核心競爭力的時候，首先需要一個確保業務連續性和數據安全的環境。

雲計算巨頭AWS，擁有大量先進的安全理念、技術和實踐經驗，完全可以被“拿來”應用。同時，AWS已開始在國內加快落地速度，在安全領域與國內APN合作伙伴共同打造一個雲安全生態，這為應用創造了更便利的條件。

—————————————————————————————————

微信關注公眾號“懂懂筆記”每天第一時間為您奉上最新最熱的科技圈資訊~

多年財經媒體經歷，業內資深分析人士，圈中好友眾多，信息豐富，觀點獨到。

發佈各大自媒體平台，覆蓋百萬讀者。

《小米生態鏈戰地筆記》、《微信思維》、《微信力量》三本暢銷書的作者。