亚马逊云科技：PCI合规下电商客户的应用架构及安全实践

关键字: [Amazon Web Services (亚马逊云科技), Pci 合规, 电商应用架构, 安全实践, 机器人攻击, GenAI 安全]

本文字数: 1300, 阅读完需: 6 分钟

导读

在这场演讲中,夏宁先生分享了电商行业客户在PCI合规背景下的应用架构和安全实践。他介绍了近年来电商面临的安全威胁,如机器人攻击、DDoS攻击等,以及PCI DSS 4.0合规标准的新要求。他通过三个客户案例,展示了如何利用亚马逊云科技的安全产品矩阵,从身份访问管理、网络安全、数据加密、日志审计等多个维度构建安全合规的电商应用架构。最后,他建议搭建集中式日志分析和网络流量检测平台,以持续优化安全防护和满足合规要求。

演讲精华

以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。

夏宁先生首先阐述了当前电商行业面临的两大挑战:安全威胁和合规要求。在安全威胁方面,机器人攻击是一个突出问题,据统计有机构统计出来,在当今互联网上有百分之47的流量其实是机器人造成的,包括内容抓取、凭证填充、账户接管欺诈、信用卡破解、创建欺诈、抢购以及DDoS分布式拒绝服务攻击等。这些攻击可能导致网站瘫痪、信用卡信息被盗用、企业声誉受损和经营力受损。在合规方面,PCI DSS 4.0标准是在2022年推出的,现在是处在一个过渡期,今年的三月三十一日,3.2.1这个版本已经被废弃,所有的组织跟商户都必须在2025年的三月三十一日之前要完全符合4.0标准。夏宁先生建议利用这一年的过渡时间分析自身状态、审查过渡计划、加强系统和流程以满足新标准。

为应对PCI合规挑战,他总结了四个方面的做法:识别和授权、物理隔离、监控和记录日志、自动化测试和流程。他还介绍了亚马逊云科技安全产品矩阵如何与PCI要求相对应,如通过Amazon Artifact服务可以直接下载到对应数据中心或者是全局的一个PCI合规的报告,以满足物理隔离要求。

接下来,夏宁先生分享了三个客户案例。第一个案例是一家澳大利亚知名的电商平台。2022年10月,该公司遭受重大DDoS攻击,90%的业务被瘫痪。原因是他们对亚马逊云防护能力有所误判,如Amazon WAF防火墙规则处于仅统计而非阻断模式,Amazon CloudFront虽然自带了一个Shield的Standard基础防护能够防护三四层攻击,但不能防护应用层攻击,需要升级到Shield Advanced。该公司随后采取了短期和长期措施,短期措施包括在WAF上配置了一条全局数据限制规则、配置了全局黑名单包括地理限制,直接把澳大利亚以外的访问流量全部隔离,并配置了白名单让内部应用不受影响。长期措施是将安全产品做了全面升级,将CloudFront升级到Advanced,在WAF上开启了托管规则Web ACL,并将所有Shield和WAF日志与实时日志分析平台对接,通过日志分析构建自定义防护规则,区分通用规则和定向规则,对于通过Shield的AI模型识别出的可疑流量采用验证码挑战等柔性阻断。经过这一系列改进,2022年后该公司未再遭受同等严重的安全事件。

第二个案例是一家国内知名电商服务商,为其定制了综合安全解决方案,包括WAF网站防火墙、Amazon GuardDuty入侵检测、使用了Amazon原生的加密关系型数据库Aurora,将数据库密钥利用了Secrets Manager进行管理、最小化权限的ECS/EKS服务角色通过IAM Role访问外部服务、Security Hub中心化日志审计,并将CloudTrail监控日志在S3上作为备份,并启用了S3跨区域复制能力,实现了合规日志备份高可用。

第三个案例是一家国内OTA旅游平台的海外项目,该公司拥有可能数千人的运营和研发团队,组织架构复杂。亚马逊云科技专业服务团队为其实施了Landing Zone项目,解决了复杂的账户体系,使用Organizations解决账户主从及最小化权限,并与客户现有账户系统对接实现单点登录平台IAM Identity Center,甚至将客户账号间包括云上云下网络进行了部署;在网络层面,使用了Amazon Network Firewall部署在入口进行入向网络防护,利用其流量镜像能力与客户自研安全平台对接,实现云上云下安全一致;在金融机构对接时,将合作伙伴网络独立在Partner VPC中与业务VPC隔离,利用PrivateLink打通两者,使用Gateway Load Balancer对接合规防火墙,通过Direct Connect Gateway与外部金融平台安全连接,并利用多可用区部署实现高可用,在一个AZ故障时可自动负载均衡和容灾恢复。

最后,夏宁先生提出了一种建立日志记录和威胁检测系统的通用方案。第一步是搭建日志分析管理平台,可使用Security Hub/Lake,或自建CloudTrail与CloudWatch。第二步是将安全应用如WAF、Network Firewall的日志与分析平台对接,持续优化防护规则。第三步是从网络层面搭建集中式检测VPC,可利用Gateway Load Balancer对接检测系统、Amazon Network Firewall及其流量镜像能力、以及Transit Gateway实现跨VPC和本地网络连接。该方案不仅增强了安全防护能力,也有助于满足合规要求。夏宁先生还介绍了一键部署该集中式检测VPC的脚本,可基于网关负载均衡器对接检测系统、使用托管的Amazon Network Firewall及其自动扩展、灵活规则等优势、以及利用Transit Gateway作为交换中心连接各VPC和本地网络。

下面是一些演讲现场的精彩瞬间：

亚马逊云科技解决方案架构师夏宁介绍了电商行业客户在PCI DSS合规背景下的应用架构和安全实践。

PCI DSS 4.0标准已于2022年发布,所有组织和商户必须在2025年3月31日前完全符合该标准。

一家澳大利亚领先的电商平台在2022年10月遭遇重大安全事件,90%的业务被DDoS攻击打垮,原因是误判了Amazon CloudFront的防护能力。

他们采取了短期和中长期措施应对攻击,包括在WAF上配置全局数据限制规则、配置全局黑名单和地理限制,以及配置白名单,使内部应用不受影响,有效降低了攻击的损害。

亚马逊云科技通过升级安全产品、开启WAF规则、集成日志分析平台并构建自定义防护规则,建立了一套完善的电商网站入口防护体系。

客户在云上利用 Amazon Network Firewall 与自研安全平台对接,实现了混合云架构下云上云下安全标准的一致性。

对于适合您的 VPC 部署架构,打造集中式网络安全检验中心不仅能增强安全威胁检测和防护,还提供丰富日志记录,助力满足安全合规要求。

总结

亚马逊云科技解决方案架构师夏宁分享了电商行业客户在PCI合规背景下的应用架构和安全实践。他首先概述了当前电商面临的安全威胁和合规挑战,如机器人攻击、PCI DSS 4.0新标准等。接着,他介绍了三个客户案例,展示了如何利用亚马逊云科技安全产品矩阵构建全面的安全防护体系,包括网站入口防护、数据加密、身份访问管理、日志审计等。最后,他强调了搭建集中式日志分析和网络流量检测平台的重要性,并分享了相关的亚马逊云科技服务和架构方案,以帮助客户提高安全性和满足合规要求。

第一个案例是一家海外电商平台,在遭受DDoS攻击后通过升级亚马逊云科技安全服务、配置WAF规则和集成日志分析,构建了完善的网站入口防护体系。第二个案例是一家国内电商服务商,采用了WAF、GuardDuty、加密数据库等亚马逊云科技安全服务,并引入IAM最小化权限设计和集中日志审计。第三个案例是一家国内OTA平台,在海外业务中利用亚马逊云科技服务实现了复杂的身份访问管理、入向网络防护和第三方金融平台接入安全。

总的来说,夏宁强调了通过亚马逊云科技云原生安全服务和架构设计,电商客户可以有效应对安全威胁、满足合规要求,并提高业务连续性和可用性。