(全球TMT2022年7月21日訊)亞馬遜云科技已經能夠為用戶提供超過280項安全、合規(guī)服務和功能,在用戶對其數(shù)據(jù)完全擁有和控制的前提下,為用戶提供一系列安全保護。"洋蔥模型"是對亞馬遜云科技多層安全防護的系統(tǒng)性歸納,涵蓋威脅檢測和事件響應、身份認證和訪問控制、網(wǎng)絡和基礎設施安全、數(shù)據(jù)保護與隱私以及風險管控及合規(guī)五大領域。

1、 威脅檢測與事件響應
這其中的一個關鍵服務是Amazon GuardDuty,可實現(xiàn)對威脅的精準定位與快速反應。Amazon GuardDuty可以一鍵開啟,內嵌了來自于Amazon電商平臺收集的第一手情報源,并集成行業(yè)頂尖的CrowdStrike和Proofpoint 情報源,同時與一系列世界頂尖的安全公司持續(xù)合作以豐富情報源。此外,Amazon GuardDuty內置了機器學習能力,在提升預警準確度的同時將可疑警報量降低了50%。Amazon GuardDuty還可對安全風險事件做出快速反應,即發(fā)揮"事件驅動的自動化防護欄"作用。
另一項重要服務是Amazon Security Hub,可對安全合規(guī)風險和威脅進行7x24小時全天候監(jiān)測,針對威脅及時響應,自動執(zhí)行合規(guī)性檢查,快速發(fā)現(xiàn)技術差異并提供修復方案。
Amazon GuardDuty與Amazon Security Hub不僅提供給用戶周密的安全防線,而且還通過全程自動化顯著優(yōu)化安全工作效率。例如在線游戲企業(yè)風林火山,此前由于人手不足,一直受困于海量日志數(shù)據(jù)分析和合規(guī)的持續(xù)性?,F(xiàn)在這些工作已經全部交給Amazon GuardDuty與Amazon Security Hub來完成,既帶來了可持續(xù)的安全保障,也解放了企業(yè)人力。
2、 身份認證與訪問控制
Amazon Identity and Access Management (Amazon IAM)?是身份認證與訪問控制的核心服務,以細顆粒度的身份認證與訪問控制機制,結合對安全事件的持續(xù)監(jiān)控和精準的安全權限設置,保障正確資源被相應正確人員訪問。另一項服務是Amazon Organizations,能夠讓用戶使用服務控制策略 (SCP) 來建立組織賬戶中所有IAM用戶和角色都要遵守的權限防護機制及數(shù)據(jù)邊界 -- 例如將公司的所有賬戶分為不同群組,并為其分別下發(fā)不同的訪問控制策略。汽車數(shù)字服務企業(yè)WirelessCar在Amazon Organizations的幫助下,就有效降低了賬戶運維管理的時間,節(jié)省了人力成本,提高了IT運維效率,使團隊可專注于業(yè)務開發(fā)和創(chuàng)新。
3、 網(wǎng)絡與基礎設施安全
亞馬遜云科技在主機、網(wǎng)絡和應用程序級別邊界為客戶提供細粒度的保護。Amazon Shield Advanced是亞馬遜云科技提供的網(wǎng)絡邊緣側防護服務。用戶可將所有面向網(wǎng)絡的資源加載到Amazon Shield Advanced,以獲得全天候保護。
另一個重要產品是已經被眾多客戶作為標準配置的Amazon WAF。Amazon WAF的特點在于提供了豐富的規(guī)則庫,其中既有亞馬遜云科技安全專家團隊自研的全托管的規(guī)則,也可由用戶依據(jù)需求來自定義規(guī)則。用戶還可以將亞馬遜云科技的APN合作伙伴網(wǎng)絡成員 -- 眾多國際一線安全廠商的托管規(guī)則加載到Amazon WAF。
4、 數(shù)據(jù)保護與隱私
Amazon Macie 使用機器學習技術來自動發(fā)現(xiàn)和保護客戶的敏感數(shù)據(jù)并對其分類,可以識別個人可識別信息 (PII) 或知識產權之類的敏感數(shù)據(jù),并為客戶提供控制面板和警報,讓客戶了解此類數(shù)據(jù)的訪問或移動方式。
對于數(shù)據(jù)加密,亞馬遜云科技秉持通過服務集成實現(xiàn)全生命周期數(shù)據(jù)加密。Amazon Key Management Service(AmazonKMS)是亞馬遜云科技最常用的數(shù)據(jù)加密服務,這項服務與亞馬遜云科技的140多項服務深度集成,可幫助用戶大幅減少人工操作,降低出錯概率。
對于數(shù)據(jù)保密要求更高的用戶,還可使用Amazon CloudHSM來獲得云上專屬加密機服務。全球領先的智能終端制造商OPPO就通過Amazon CloudHSM來獲得基于行業(yè)安全標準的加密機硬件,構建自己獨特的數(shù)據(jù)保護體系。Amazon CloudHSM還可讓OPPO根據(jù)業(yè)務變化隨時擴展加密機硬件容量,并利用亞馬遜云科技的托管服務自動執(zhí)行耗時的管理任務。
在數(shù)據(jù)計算過程中,用戶可使用Amazon Nitro Enclaves的云端機密計算的技術,創(chuàng)建嚴密隔離的環(huán)境處理敏感數(shù)據(jù)。這項技術在確保數(shù)據(jù)安全之外,也讓用戶能夠開拓新的創(chuàng)新應用場景,例如可在完全不觸碰數(shù)據(jù)的前提下,與一些持有重要數(shù)據(jù)的機構利用Amazon Nitro Enclaves創(chuàng)建的數(shù)據(jù)"密室"進行與外界完全隔絕的聯(lián)合計算分析。
5、風險管控及合規(guī)
亞馬遜云科技可幫助客戶全面了解合規(guī)狀況,并使用自動合規(guī)性檢查,持續(xù)監(jiān)控客戶的環(huán)境。例如,Amazon Artifact自助門戶,允許客戶按需訪問并獲取亞馬遜云科技的合規(guī)性報告。為避免用戶在合規(guī)審計與評估中消耗過多成本,亞馬遜云科技提供Amazon Audit Manager,可自動掃描、搜集證據(jù),還提供了各種合規(guī)認證的模板,簡化合規(guī)審計的證據(jù)收集工作,實現(xiàn)高效的自動化合規(guī)審計與評估。
目前,亞馬遜云科技正不斷將領先的安全服務引入中國(西云數(shù)據(jù)運營寧夏區(qū)域,光環(huán)新網(wǎng)運營北京區(qū)域),進一步幫助用戶完善云上安全建設。依托亞馬遜云科技的云自身安全及云中安全服務,用戶能夠在云上開展業(yè)務的同時獲得自動化、規(guī)?;陌踩U希尠踩蔀槠髽I(yè)創(chuàng)新助推器。