基于亚马逊云科技安全能力，实现企业云安全建设

关键字: [亚马逊云科技中国峰会2024, 网络安全防护, 云安全服务, 安全合规认证, 威胁情报共享, 安全事件响应]

本文字数: 4700, 阅读完需: 24 分钟

导读

在”亚马逊云科技中国峰会2024”上,演讲者介绍了如何利用亚马逊云科技强化安全防护。他们阐述了云安全面临的四大挑战:上线速度慢、人员短缺、新形式威胁以及合规要求。亚马逊云科技通过提供坚实的基础设施、快速响应能力和全面覆盖来应对这些挑战。演讲重点介绍了亚马逊云科技如何通过网络和应用程序防护服务(如WAF)实现透明可见、全面保护和快速修复,帮助客户提升云安全防护能力。客户道通科技分享了在亚马逊云科技WAF上的实践经验,包括选型对比、规则配置误区以及灵活决策机制等,为企业云安全建设提供了实战指导。

演讲精华

以下是小编为您整理的本次演讲的精华，共4400字，阅读时间大约是22分钟。

大家好,我是决审,我今天会给大家讲解亚马逊语言安全的相关内容。我想把更多的时间交给我们的用户,因为我们的用户来自道通科技的Katy,他会分享他们如何利用亚马逊的WAF构建整个相关的云安全应用。所以这是我们今天演讲的目的。

现在,所有的云厂商都在讨论安全问题,我们发现安全问题大概集中在四个方面:

1. 第一个是慢,因为现在不同的客户和行业都要快速上线,特别是我们的GI应用都要快速上线,但通常由于安全介入会比较慢一些。
2. 第二个问题是人员短缺,包括亚马逊自己在招聘安全人员时,现在市场上人才匮乏。
3. 第三个问题是整个安全形式,包括技术上的,以及GenAI带来的安全隐患。
4. 第四个问题是合规方面。所以我们看到的安全问题,或者是我们用户在实际解决安全问题时,实际上是这四个方面的问题。

客户在选择使用云时,通常想解决这些问题。我们将从三个部分来讨论如何解决这些问题:

1. 第一个部分是坚实的底座,即能否让云厂商解决一些问题,这是第一部分,即我们的基础设施的安全性。
2. 第二个是快,也就是说我们能否快速发现、快速修复,并快速迭代我们的下一个应用。
3. 第三个是全,因为安全的整个覆盖面很广,从应用安全到数据安全,到身份认证、网络,所以要全方位覆盖。

所以,任何客户在选择上云时,他们通常都会非常关注安全,但他们真正的诉求是三个方面:你的底座、你的基础设施要足够安全;你要足够快帮我解决问题;你要能够全面地帮我解决问题。这就是我们看到的情况,接下来我们将对这三个方面进行简要阐述。

首先是基础设施,大家可能认为基础设施就是你的数据中心的安全性,或者你提供的S3或EC2的安全性。但我想说的是,很多用户如果不认真研究的话,可能会忽略掉这一点:每个云厂商都会声称自己的基础架构很安全,自己的数据中心很安全,但实际上这里面牵涉的复杂度非常非常高。

比如说,你如何应对一些自然灾害?如果出现疫情,你的人员如何轮转?包括你的商店、访客、数据中心、设备在两三年的生命周期内如何销毁?你的安保系统又是如何运作的?实际上,这些都与区域数据中心之间的联网可靠性有关,包括水电煤等,这些都与我们的安全性相关。

所以在这方面,亚马逊有一个很大的章节叫做数据中心安全性。如果你有兴趣,可以再找我。这里还有一个数字是100143,因为我们在不同的区域开展业务,本身可能也会被纳入监管范围。所以像在中国,我们要做等保、做SO、做PCI、做TSAAS。实际上,在全球范围内,我们现在已经获得了140多项安全合规认证,这应该是比其他供应商更多的。

第二个是我们之前讲的快。背后有两个逻辑:

1. 一个是,比如说亚马逊在全球有这么多区域和数据中心,如果我们在一个区域发现了安全事件,我们如何快速解决它,并复制到其他区域和数据中心。
2. 比如说我们识别到一个有威胁的IP,或者是被污染过的IP,我们如何快速将这个IP地址复制到全球其他区域。

所以这就是我们要做的,我们要做的事情就是快。

实际上,亚马逊微播后还做过一个事情,就是我们与电商进行了联动,因为亚马逊电商作为全球目前较大的电商,他们也会接到来自不同IP的攻击。我们会将之前收集到的安全信息同步到亚马逊云科技的云服务中,所以这就是我们在做的事情,即快速响应。

第三个是全面,我们之前讲过,安全有不同的维度,有数据中心、认证、数据安全、网络安全,所以我们实际上想尽可能地覆盖到这些不同的部分。

最简单的是,我们现在也将金融加密等泛安全领域搬上云,所以我们想在云上让客户更快、更广泛地支持他们现有的业务。

除了我们自身之外,我们还在Marketplace上加入了很多解决方案。在中国,去年我们做得比较多的是,除了像传统的PowerAuto、FortiNet之外,我们还加入了国内的安恒、绿盟等本土合作伙伴。

再讲一下亚马逊整个安全逻辑,实际上是一个责任共担的部分。所以我们之前在第一页中讲的是,如果是坚实的底座,即数据中心的基础架构安全性,我们实际上有一个做法,就是把这个黄色的部分不停地往上移。这是我们想做的事情,因为我们有一个观察是,大部分用户并不是安全公司,或者他们并不是安全领域的专家。所以亚马逊和客户之间本身有一条责任共担线,但亚马逊一直在努力,就是把这条线不停地往上移,让我们的客户承担更少的责任。

就比如WAF,我们不想让客户从零构建WAF,我们想做一个更托管的、已经构建好的WAF,客户可以根据自己的需求快速部署这个WAF。等一下Katy也会讲这个。这就是我们看到的情况。

从亚马逊的角度来看,我们的优势体现在我们的服务上。我们现在目前有300多种服务类型,大部分大项目,比如身份和访问控制、检测响应、用户安全、数据保护,我们都有,都已经能够发布,能够支持我们客户的需求。

你看我们刚才讲了四类,今天特别要讲的是网络和应用程序的安全。因为网络是你与亚马逊云科技连接的第一步,也是你的应用和数据面向用户的第一步,所以网络和应用安全可能会不停被提起。

但从亚马逊的角度来观察,我们发现了三个比较常见的问题:

1. 一个是威胁情报,因为威胁情报带有一些区域性特征,比如在中国、欧洲或美国,实际上是不一样的。但你如何在全球开展业务时,整合不同国家和区域的威胁情报,并将其灌输到你的防御体系中,这是一个比较困难的问题。
2. 第二个问题是网络和应用对性能的影响,即你的延迟,是否会导致应用宕机或网络延迟增加,这实际上是业务方面很难容忍的。
3. 第三个问题实际上是,你要将网络和应用的安全事件集成到不同的工具中进行分析,然后及时扑灭这种安全事件。

所以这三个部分是常见的挑战。我们认为,一个能够很好地保护网络和应用程序的解决方案,它应该能够做到以下几个方面:

1. 一个是透明可见,就是整个访问层面,谁能访问谁,现在发生什么事情,包括简单的运营。
2. 第二个是要进行全面的保护。
3. 最后两个是我们要能够快速修复,因为现在业务方面传出来的安全压力会比较大,所以哪怕是一个DDoS攻击也需要快速防护。

亚马逊也做了两个图。第一个是我们将网络和应用防护纳入到一个统一的防火墙管理器中,所以我们所有的监控、所有的规则,能够汇聚到我们的防火墙管理工具中。不管是你的WAF、防火墙,还是你的抗DDoS,或者你本身的ACL控制,都能在防火墙管理器中进行管控。

第二个图表示,我们认为网络可能大家关心的是可见性,即谁能访问什么;然后是网络层的安全性,从内到外;再者是从外到内的应用程序安全性;还有近两年持续被提及的零信任部分。

对于这些,亚马逊都做了一些努力和尝试,可能会推出一些托管服务,大家都可以去尝试使用。接下来,我们将邀请来自道通科技的客户Katy,他会分享他们如何利用亚马逊的WAF进行应用保护。

我先简单介绍一下道通科技。实际上,道通是我个人非常喜欢的一家公司,因为大家都在讨论中国的新能源汽车出海,但可能容易忽略的是,新能源汽车需要充电,而道通正是一家做充电桩的公司。他们现在在全球的充电桩保有量应该是排在前列的。但他们也在业务上做了一些尝试,现在我听说有一些不同的客户、不同的国家也会购买他们的充电桩。但这个业务本身做起来不太容易,因为每个国家和地区都有自己的标准,包括插头和充电电压都不一样。道通在充电桩业务上做了很多尝试,他们也因为这基本上是一个ToC端应用,所以他们也会面临来自较复杂攻击的威胁,所以他们使用了亚马逊的WAF来进行整体构建,并取得了很好的结果。

今天我就邀请Katy来为我们分享,谢谢。

我叫Katy,来自道通科技深圳的一家公司,我是我们的云安全架构师。我们为什么与亚马逊云科技有关系,因为我们比较深入地应用了它各种的防御系统,因为我本身做安全的,所以我就看实战了。所以我们其实是它的一个深度应用者。接下来我会分享一些比较偏技术的内容,就是我们具体怎么应用这些东西的,希望能给大家提供一些帮助。

好的,我们现在做一个小调查,有没有亲自自己配过WAF的?有的话可以示意一下。很好,比我想象中的要多。

好的,我们接下来会从企业、出海企业开始安全选型的角度,去做一个多方对比,然后再讲一些规则设计上的一些误区,会给大家分享我们自己的一些经验。

我们是一家04年成立的公司,做什么的?汽车后市场,就是那种4S店有的小平板,点点点,现在汽车都能用那个小平板就给修了,根本不用拧那些螺丝什么的,现在都是比较智能的。我们老板跟我说,大概在一些国际的细分市场,能做到40%这种比例,我说这么厉害吗?他说嗯,确实是这样的。然后充电领域,我们作为汽车后市场,很早就能嗅觉到这个充电领域的发展,所以要开始介入。虽然用户你看大概是10万,我说这10万用户是不是有点少?老板说其实不是,比如整个世博场馆它算作一个用户。所以它有这么一个发展模式。对于安全建设中,我们认为WAF建设是一个非常重要的一环。

为什么我们认为WAF建设是非常重要的一环?因为我们对安全做了一个结构化,左侧就是你的用户,右侧就是我们的云服务的应用服务,然后它中间有一个细颈之处,这个地方就是我们的WAF能作用的地方,这个就叫安全边际了。但凡遇到这种安全边界,你就需要有一个安全设备在这里。我们认为,如果你是企业,特别是初创企业出海的时候,你要做的第二件事情就是这个东西,因为用户能感知到,而且能真正地保护你的服务资产。

我们这边会看一下WAF建设会给你带来哪些优势,还有一些你可能以前没听过的优势。网络江湖从来都是自强凌弱,你弱他就干你,很简单,没有任何防御措施,很快你一个企业,你的员服务就会成为待宰的羔羊。另外两点,我们想谈一些不一样的地方。Web有一个独特的价值是日志留存。我们整理了一些我们的大客户、一些标书,他们对日志留存量有一些要求,很多是3个月,我见得更多的是6个月,就你的日志留存量必须到6个月。然后我们看一些比较极端的或者一些非常大型的客户,他们甚至要求达到12个月。所以这是我们能分享的一个数据。所以你如果要做这个建设的话,你应该怎么选这个日志留存时间?非常简单,就12个月,如果你把安全日志留存时间设置为12个月,你就能覆盖你未来的99.99%的企业。

第三点就是WAF实际上能真正地让你站点受到保护,它这种保护还不是说立马能够给你拦截那些威胁的保护,而是长久来看的话,它会让你的云资产、你的云服务消失在一些黑灰产的名单里面。网络世界就是这样,如果你显得弱小,就会被攻击。一旦出现0day,第二天各种PoC就会出来,他们会照着你去攻击。如果没有几个月下来,你这个很容易出问题,所以你应该做起你自己的防护。这样你会很快发现你的流量逐渐下降,因为你已经被移出了他们的良好用户资产清单。

这些我已经介绍很多了,我这里再提两点。第一个就是亚马逊这边的WAF的上限其实挺高,它并不是像表面那么简单,就加加加就可以了,其实它的上限很高,它的配置可以做得非常复杂,因为它有很多联动特性。另一点就是亚马逊的WAF比较平民化,从我们这个甲方角度来说,因为它有我们中国区每个月1000万次的免费次数,你应该去使用一下,我觉得他们也会喜欢你去使用这个免费次数。

我们从甲方视角来横向对比一下这个WAF,特别是我们要带入一个视角,就是安全建设的初期视角,你要做选型,很多人在初期选型会遇到一些坑,所以我觉得值得分享一下,特别是甲方视角跟乙方视角还是有一些区别的,很多供应商根本就不懂这个视角问题。

归根结底我们来看第一个视角就是能不能解决建设成本,这里不仅仅局限于建设初期那个成本,而且还有一个很重要的是维护成本。有很多伙伴可能会说,我能不能用个开源的WAF上去,零成本上去会怎么样?很重要的一点就是没有情报源,这个东西我们看过,我们找过第三方情报源是很贵的,你一个免费的WAF,再加一个付费的情报源,那个费用就已经不菲了。

亚马逊云科技这里的优势是什么?就是它自带了情报源,而且不额外收费,相当于全球用户共享,这是一个优势。另一个就是我们要看,其实有一个亚马逊做不到的场景,我相信其他人不会分享亚马逊做不到的事情,这里我们从甲方来看,就是你有跨云的场景,就是它做不到的。比如你有Azure或者其他云的场景,你可以选用一些第三方的商业WAF,特别是一些比较好的厂商,他能做到云原生,这种情况下是可以的。

其实第二点就是一个关键时刻你要选一个WAF的话,你要看它有没有一个专家服务支持你。WAF安全这个东西99%的情况下是不会出事的,一年能出一件,那也很严重了。可能几年出一次,出事怎么办?重要的一点就是你能否顶得住?你靠公司那几个人,真的很难说你一定能顶得住非常高级的攻击团队对你的攻击。所以你要看你最后背后有没有专家团队来给你顶住。如果你选的是开源,有个什么问题,你难道也要提一个SRE吗?那就完蛋了。

最后一点,我们看一下合规和客户的担忧情况。这方面,我们在实际的一些达标和给客户的回复里面,我们一般会写Best 亚马逊云科技。这有什么优势?客户几乎不会再说第二个问题,继续询问。这是个优势,客户信任亚马逊云科技,这就是它的背书。我们有这个东西,不用再回复。当然前面那个3个月、6个月、12个月那个不用说,你做到12个月,它不会说别的,你时间不够,不行,日志要留足。

这就是它的一个核心优势,就是亚马逊云科技背书。我以前是做杀毒软件的。我们说完选型上的一个挑战,我接下来会带大家来看一下亚马逊云科技,你会不会配错。

我们会说两种常见的误区,一个WAF的,一个操作的。有很多小伙伴可能会说,WAF不是直接勾选功能一开不就完事了吗?其实并不是,这里有一些小盲区,你可以回去拿这些小盲区来看看你们公司的WAF有没有配错。

我们介绍的第一个场景叫WAF配置的一个绕过风险。大家看一下上面这个配置有没有什么问题?就是左侧这个大部分都是Block,中间有个Allow User Agent,如果你是苹果手机,它就Allow了。如果攻击者用的是假冒的User Agent,那是不是就被绕过呢?可能有同学会说,我不Allow难道我就Block吗?也不行。我总不能一直统计,看到别人打我,我才去做别的事情吧?其实这种情况就叫配置绕过风险,你的规则多了,就会有这种风险。我们自己实践的话,30多层规则都配置过,一层就很多规则,30层贼多,你无法保证你不会配错,你的同事不会配错,就会有这个问题。

怎么解决这种漏规则的问题呢?我们提出了一个我们自己的做法,跟大家探讨一下。方案就四个字,叫统一决策,六个字就是先登记后审查。前面不要做决策,但凡提前决策就会有这个遗漏的风险。我们前面不做决策,我们就做检查,比如1米85做一个登记,很帅;做一个登记,很美;有问题怎么办,也要做个登记。在最后,我们在最后的规则里,前面只做登记,后面再做一个决策,构建一个决策中心,通过全址的方式来做检查。假冒身份证一票否决,其他情况下就不能做一票否决。其实这个在反病毒领域是很常用的概念。当然另一种解决方案也需要亚马逊云科技努力,就是可视化,如果亚马逊云科技在这些规则时能给我们清晰的可视化,这个也是可以的。我觉得亚马逊云科技这方面的改进能力是非常好的,因为我看上个月它还在做大规模的更新,我一直在跟进。

在最后,我希望能从WAF的决策灵活性上给各位一点小启发。我们有安全同事在配置新环境时,配置了好几天就在那发愣,我问他怎么回事,他说怕错杀了我们的客户。这其实是一个很常见的信号,特别是你的业务形态和业务数量在急剧发展的时候,你配的那些规则其实都是静态的。所以我们不要试图100%去定义了这种正确的规则,这是解决不了这种隐患的。那我们就不管了吗?显然也不能。所以我们要换一个思路,就是要定义一种叫中间状态的规则。你有一些请求,它妥妥的是恶意的,就是病毒被扫出来了;有一些规则它就是良性的;但你还有一些中间状态的,你这种情况下不要把它视为恶意或非恶意,而是给它打一个独特的标签,认为它是模棱两可的。这样我们会非常降低相关安全人员的工作量,比如过去四天137个,你很容易去处理,你也不会真正把你的客户给杀了。

我知道我们很多出海企业,客户第一,你商业客户的话,很容易失去客户的信任,特别是有些老业务上线之后,那单量几千万的,根本压不住。这种情况下,如果你通过三态的方法去解决,可以快速解决你一个上线的问题。你在后续要知道有一个灰度的状态,不要试图把所有东西都搞死,都是非黑即白,总有一个灰色地带。

相信以上我们这种偏技术的分享会后,大家会可以看一下自己的WAF有没有相关的情况,构建自己适合的企业方案就可以了。这是我们的实战经验,感谢亚马逊云科技提供这个平台,如果你感兴趣的话,欢迎来道通跟我们交流,虽然我们是做充电桩的,但是我们对安全很感兴趣,谢谢各位!

总的来说,这场演讲全面介绍了亚马逊云科技在安全防护领域的核心理念、做法和实践案例,为企业上云保驾护航。亚马逊提出”责任共担”理念,持续将更多安全责任从客户端转移到自身,为客户提供更全面、更简单的云上安全防护能力。客户道通科技分享了利用亚马逊WAF保护充电桩业务的实践经验,如重视日志留存时间、规避配置规则绕过风险、引入灰度规则等,对企业构建云上安全防护提供了指导。

下面是一些演讲现场的精彩瞬间：

在亚马逊云科技中国峰会2024上,演讲者阐述了云安全的四大关键问题。

道通公司分享了如何利用亚马逊云科技的 WAF 服务保护其充电桩业务应用,实现了良好的安全防护效果。

亚马逊云科技中国峰会2024上,一位演讲者分享了他公司在汽车后市场和充电领域的创新发展历程,展望了未来的发展前景。

亚马逊云科技中国峰会2024:网络安全防护的重要性,确保企业云资产和服务免受黑灰产攻击,保护日志留存时间达12个月以满足大型客户需求。

亚马逊云科技中国峰会2024上,演讲者提出了”统一决策,先登记后审查”的解决方案,以应对漏规则的问题。

亚马逊云科技中国峰会2024上,演讲者分享了在配置新环境时如何灵活处理模棱两可的请求,避免误杀客户的经验。

亚马逊云科技中国峰会2024:为出海企业提供灵活的解决方案,避免一刀切导致业务中断

。

总结

亚马逊云科技在强化安全防护方面采取了全面的策略。首先,亚马逊致力于构建坚实的基础设施安全底座,包括数据中心安全性、合规认证等,旨在为客户提供可靠的安全基础。其次,亚马逊追求快速响应和修复能力,通过全球资源协同和情报共享,确保及时发现和解决安全威胁。再者,亚马逊提供全方位的安全服务,覆盖身份认证、数据保护、网络安全等多个层面,为客户提供全面的安全保障。

此外,亚马逊与客户共同承担安全责任,不断提升托管服务水平,减轻客户的安全负担。亚马逊网络和应用程序安全解决方案具有透明可见、全面保护和快速修复等优势。最后,亚马逊云合作伙伴道通科技分享了利用亚马逊 WAF 构建安全防护体系的实践经验,包括选型考量、规则配置注意事项等,为企业安全建设提供了有益借鉴。

2024年5月29日，亚马逊云科技中国峰会在上海召开。峰会期间，亚马逊全球副总裁、亚马逊云科技大中华区总裁储瑞松全面阐述了亚马逊云科技如何利用在算力、模型、以及应用层面丰富的产品和服务，成为企业构建和应用生成式 AI 的首选。此外，活动还详细介绍了亚马逊云科技秉承客户至尚的原则，通过与本地合作伙伴一起支持行业客户数字化转型和创新，提供安全、稳定、可信赖的服务，以及持续深耕本地、链接全球，助力客户在中国和全球化发展的道路上取得成功。