AWS的一盘云安全大棋

更多精彩内容请关注我们

云安全是一个老生常谈的话题。

在写下这句话的同时，我自己也感觉有点烦，真的是说了无数次的话题，舌头都磨出了茧子。但是，非常有必要说这个“但是”，安全问题就像是阳光下的影子，无时不在、无处不在、如影随行。勒索病毒、删库事件、身份登录管理故障、数据泄露等诸多安全问题时不时就会蹦出来，敲打一下你本已放松的神经，使之立刻又紧绷起来。

云安全 警钟要常鸣

还记得在云计算刚诞生时，各种市场调查数据显示，企业上云的最大障碍就是对安全性的担心和疑虑。这似乎很容易理解，因为本地安全还有各种不完备不处，把应用和数据放到云——这个“黑盒子”上，你不知道CPU在哪，数据存放在哪里，那种脱离控制的感觉，让人对安全性的担心油然而生。

慢慢地，随着上云变得越来越普遍，人们对于云安全的警惕似乎越来越放松。安全问题既然不可能完全避免，那就索性“兵来将挡，水来土掩”，泰然处之吧，没有必要谈虎色变。另一方面，很多云服务商、云安全厂商也经常如此“安抚”上云用户的情绪：云上其实比本地更安全，因为保障更加全面、立体，而且云架构天生有安全控制机制等；人们对云安全的担心，心理因素大于技术因素。

近几年，随着企业数字化转型进程的加速，传统企业成规模、快速上云成了“新常态”，虽然关于云安全问题的讨论甚至争论一直不绝于耳，但是上云企业的关注点正渐渐从对安全性的关注转移到了如何真正从云中获取价值。不可否认，上云有“两面性”：虽然安全问题一直存在，但是通过上云，企业可以更加灵活地应用和调配资源，快速开发新业务和新应用，更有效地降低运维成本，实现转型升级。企业都很聪明且理智：上云不能因噎废食。

但是，这里又要再强调一次“但是”，安全问题就像是隐藏在海平面下的更加巨大的冰山，在你稍有放松时，便会冷不丁“凸显”出来。因为2020年刚刚过去，还没有完整的数据统计出来，所以在这里不妨回看一下2019年的数据。Cyber security发布的2019年云安全报告显示：28％的被调查者表示，在2019年中曾遭遇过云安全事件，数据泄露、恶意软件感染和帐户受损是占比最高的云安全事件；由于云端安全威胁的广泛渗透，让用户对于云安全的信任度出现了不增反减的情况，54％的受访者认为，与本地环境相比，云的安全漏洞风险更高，这一比例比2018年增长了5％。

在企业云化正迈入“深水区”的现阶段，我们不禁要问：难道安全性仍然是企业上云的最大障碍吗？无独有偶，2020年初，CDW LLC发布的一份针对美国多个行业的1200名IT专家的云计算跟踪调查报告显示：由于云安全问题的影响，使得相当多企业和机构不考虑进一步部署更多的云技术，其中32%已经使用云计算的和45%尚未使用云计算的组织都认为，云安全是进一步部署云的最大障碍；近40%的被访者不相信云计算能像他们自身的设备一样安全。

由此可见，云安全问题确实是老生常谈，但警钟也确实有必要常鸣！

安全意识渗透在血液中

现在我们很多时候谈到云安全问题，总是习惯性地站在使用者的角度，对曝光的一系列安全事件持批判的态度，尤其是在某个时间段内如果接二连三出现云安全、云宕机或数据泄露事件时，抱怨的情绪往往会高涨，对云服务和云服务商的质疑也会加剧。比如，2020年就曝光了多起因系统故障、人为误操作或故意为之而导致的云服务长时间宕机事件，国内外的一些知名云服务商也不能幸免。

这些宕机事件作为饭后谈资，亦或是云服务商的“小辫子”时不时被拿来说事。云服务的安全性到底有没有保障？云服务的安全性究竟该如何保障？人们一直在努力探寻这些问题的答案，但似乎又找不到一个标准的答案。

本文也给不出一个完美的答案，但是从全球领先的云服务商亚马逊云服务（AWS）的云安全文化及其相关原则和措施中，我们能够管中窥豹，看见云服务商在安全方面做出的努力、改进。云安全是一段漫长的没有终点的旅程，只有越来越好，却没有最好。只有用户和云服务商共同努力，才能让这段旅程中多一些美好和谐，少一些抱怨和损失。

对于上云企业来说，云安全并不是一个独立存在的问题，而是与云架构、云应用、云数据密不可分，水乳交融在一起，所以才更具有隐蔽性，处理起来也更加复杂。云安全既体现在思想观念层面，也是一项技术难题。而对于云服务商来说，云安全首先是一种企业文化。作为云服务商，AWS对外提供的是多如牛毛的云功能、云服务，安全在AWS比所有任务的优先级都要高。对于存在的任何已知的安全问题，AWS都会及时解决；如果仍有没有解决的安全问题，AWS绝不会进行下一步，比如不会发布新服务。这一原则在AWS如圣经般存在。

AWS内部拥有专业的安全团队和安全人员，专门负责安全产品和服务的设计及提供。同时，AWS要求每一位员工，都有责任确保安全性是所有业务不可或缺的组成部分，而且每个员工都知道如何报告安全问题，并有权在必要时将安全问题升级到最高级别。在AWS，安全意识和责任从技术到人到团队，贯穿全局和每一个细节。

“以客户为本”，这几乎是每个企业都经常挂在嘴边的座右铭。安全更应如此。一直以来，AWS都注意倾听客户的心声，并以此为据，提供安全的云计算环境和创新的安全服务，以满足大多数对风险敏感的用户和组织对安全性及合规性的要求。AWS的安全文化之一，便是推崇并遵循客户对自己的系统和数据拥有完全的自主权。云并不是要夺走客户对数据、应用和安全的掌控权，反而会让这一切举重若轻。

随着云服务的持续演进和不断完善，我们相信云安全也会与时俱进。在战略上藐视对手，在战术上重视对手，这应该是我们对待云安全问题的基本态度和原则。云安全问题的暴露，从积极的一面分析，它让云服务商和上云企业都更多一份小心和重视，想方设法消除安全瓶颈，让云服务的安全边界更严密，逐渐变得滴水不漏。作为云安全防护的第一道防线，云服务商的安全认知、主动防范意识、多重的安全保护措施，特别是渗透在血液中的安全文化，才是打造安全云铜墙铁壁的关键。在这方面，AWS为我们树起了行业标杆。

业务放到AWS云上会发生什么？

俗话说，是骡子是马拉出来溜溜。解决安全问题只有真枪真刀地实践，才知安全工具和解决方案是否真的有效。AWS不仅能够提供全球功能和服务最全的云服务，而且能够提供200+安全功能和服务，支持7x24交付客户服务。AWS云安全继承了全球技术安全和合规性，坚持高标准的隐私保护和数据安全，通过自动化不断提高客户云中的安全性，同时结合可靠的安全合作伙伴，自动匹配客户的快速创新和规模化成长，构建客户可见、可控、可审计、灵活、自动化的安全能力，为客户的数字化转型和智能化升级保驾护航。

AWS安全服务主要涵盖“身份认证、安全和合规”三大类，人们耳熟能详的一些安全服务包括安全地管理对服务和资源的访问Amazon IAM、应用程序身份管理Amazon Cognito、集中控制与管理AWS账户AWS Organizations、云单点登录 (SSO) 服务AWS Single Sign-On、一体化安全性与合规性中心AWS Security Hub、DDoS保护AWS Shield、集中管理防火墙规则AWS Firewall Manager、快速自动化的灾难恢复CloudEndure Disaster Recovery，以及允许按需访问AWS合规性报告AWS Artifact等。

“我有TB量级的数据要备份，放到AWS云上会发生什么？”“如果我把所有数据都放到公有云上，还能自由、轻松地拿回这些数据吗？““谈到云安全问题，我感觉自己像是被戴上了‘眼罩’。”从上云的第一天起，企业可能就会有诸如此类的疑问和担心。但是随着人们对云计算认知的逐步加深，以及云服务商在安全方面不断积累经验和优势，这些担心最终会像乌云一样渐渐散去。

AWS在云安全服务方面边实践、边积累、边完善，构建起技术和服务的壁垒：首先，通过安全可视化和安全可控，安全地扩展业务，保证在任何时间内，客户都可以自主决定数据存储的位置、访问的人员和可使用的服务，并可实时检测安全事件，例如配置的更改等；其次，服务之间高度集成，实现自动化部署，从而减少人工配置错误，为开发和运维团队快速提供更多的综合安全方案，比如运用机器学习，仅需简单几步，便可快速地发现、分类和保护敏感数据；最后，建立隐私保护和数据安全的最高标准，通过7×24专家团队保护AWS系统资源，并提供多种加密工具满足传输和存储加密的需求，客户完全拥有数据，并可自主地对数据进行加密、移动和管理。

如今，越来越多的中国客户也受益于AWS全面的安全服务，保证其云上业务稳定运行。举例来说，国内首家登陆A股主板市场的房地产经纪龙头企业我爱我家集团在实现从传统IDC架构向“云上爱家”转变的过程中，利用AWS云高效率地完成了海外官网和新房核心系统的开发及部署，极大地提升系统安全性和可靠性的同时，有效降低了系统的总拥有成本，数据可用性达到99.99%、持久性更高达“11个9”。香港证交所上市公司新世纪医疗控股有限公司为实现IT转型，希望选择一个稳定、安全、功能丰富的云服务商。AWS云平台有效保证了新世纪医疗的HIS、LIS、CRM等核心系统7×24小时的可用性。华夏航空选择与AWS合作时，慎重考虑了云上安全问题：数据并非放在自己的数据中心就一定安全，数据放到云上，只要做好加密和数据管理，从某种程度上比自己的数据中心更安全，而且云服务商体量更大，基础安全做得更完善。AWS工程师帮助华夏航空设计最优的架构，不仅提高了业务的稳定性和可靠性，而且节省了成本。

从2020年始，AWS安全成了中国区市场驱动的重要独立主题。AWS安全的一些重磅服务，比如Security Hub、GuardDuty、WAF等通过由西云数据运营的AWS中国（宁夏）区域和由光环新网运营的AWS中国（北京）区域同步交付。AWS安全服务不是纸上谈兵，而是真正让客户获益。

各司其职 责任共担 安全无忧

Gartner预测，从2020年起的未来5年内，基于云的安全订阅占企业安全整体投资的比例将提高37%，同时云管理和安全服务的5年复合增长率将超过15%。毋庸置疑，云安全将大有可为。

但是，我们再三说到了“但是”，我们必须纠正上云企业的一个认知误区：不是将业务和数据一股脑地搬到云上就万事大吉了，云安全是用户与云服务商共同的责任。

AWS就明确提出了责任共担模型，由AWS提供全球安全基础设施和基础计算、存储、联网及数据库服务，以及更高级的服务，同时AWS提供各种安全服务和功能；AWS的客户负责保护其数据在云中的机密性、完整性和可用性，以及满足业务对于信息保护的特定要求。简单概括，AWS负责云设施安全，而客户负责云业务安全。只有用户与云服务商各司其职、各负其责，才能真正实现全面的云上安全。

点击“阅读原文”，下载AWS云安全白皮书