在交通環境壓力日益緊張的態勢下,許多敢於想象的科學家和企業家早就萌生了關於“飛行汽車”的想法,並且有些機構已經付諸實踐,研發出了實體的“飛行汽車”,也就是說,五十多年前那部《摩登家庭》裏出現的炫酷十足的空中飛車,在五十年後的今天不再是浪漫的幻想。
不過,普通人想要“飛上雲層”,還面臨着許多近乎“不可能”的挑戰,這其中最大的阻礙,就是安全問題。同樣,在廣闊無垠的互聯網世界裏,專家們打造了海量且高效的“雲服務路線”,用戶則可以通過這些路線輸送或取得重要的數據與信息。
“上雲”就和“上車”一樣,如果不繫好安全帶,就很容易發生事故。
雲上攻擊多樣,安全問題需警惕
任何事物都具有兩面性。通過上雲,企業可以更加靈活地運用資源、減輕開發新業務的壓力、有效降低運維成本,爲企業快速升級革新提供強大動力。但與此同時,雲安全問題仍是企業繞不開的話題。
2020 年 6 月 8 日,由於受到網絡攻擊,本田的內部網絡發生了大規模系統故障,本田設在世界各地的 9 座工廠臨時停產。瑞士鐵路機車製造商 Stadler 對外披露其 IT 網絡遭到勒索病毒攻擊,重要數據被竊取……伴隨着上雲浪潮來襲,DDoS 攻擊、木馬、蠕蟲、惡意軟件等攻擊造成的數據泄露與用戶身份認證等雲安全問題卻頻繁發生。
首先 DDoS(分佈式拒絕服務) 是最具破壞力的攻擊,其多見於網絡中的勒索、報復等。以遊戲應用來舉例,DDoS 攻擊會以無法有效處理的流量爲載體,嚴重影響遊戲的可用性或性能表現。攻擊者可以嚮應用程序發送大量無效流量,儘可能佔用甚至耗盡網絡或服務資源容量。此外,攻擊者還會發送看似合法,但並非由實際玩家生成的流量。當遊戲應用性能下降時,真實玩家的實際體驗將受到嚴重影響。換言之,只有成功抵禦住 DDoS 攻擊,才能保護玩家體驗、提升用戶對遊戲品牌的信任度。
其次是互聯網行業中較爲常見的安全隱患——漏洞。常見漏洞包括 XSS(Cross-Site Script) 跨站腳本攻擊、CSRF (Cross-Site Request Forgery) 跨站點請求僞造、SQL injection 注入攻擊等,它們主要會影響用戶體驗,甚至影響應用程序和網頁的可用性。企業應當擔負起維護網絡安全的職責,這不僅關係着用戶的去留,還關係着企業的對外形象樹立。不僅如此,當隱患觸及用戶個人利益 / 隱私時,企業面臨的問題將會更爲棘手。
最重要的是,在雲端攻擊者可能會在任何時間、任何地方發起攻擊,給企業業務 / 服務帶來巨大的威脅,可見雲端的數據安全與隱私保護更是重中之重。有效解決或預防這一問題,將使上雲企業的產業升級轉型阻力大大減少,對用戶來說,這也會減少他們在隱私泄露方面的煩惱,優化用戶體驗,提升其忠誠度。
對於企業而言,面對複雜的網絡攻擊,基礎雲服務的穩定與可靠是企業最爲重要的考慮因素。
企業究竟如何實現雲上安全防護?
就如同路上交通系統正在變得更智能、更安全一樣,雲上數據的保護機制正在變得日趨完善,而對於任何一家企業來說,只依靠自身防禦安全威脅,顯然十分困難的。目前,在雲服務領域內堅持創新的 AWS,已經擁有了較爲完備的雲上服務以及雲安全保護體系。
AWS 內置防禦 DDoS 攻擊的 AWS Shieid
AWS Shield 是一種託管式分佈式拒絕服務 (DDoS) 防護服務,可以保護在 AWS 上運行的應用程序。它可提供持續檢測和自動內聯緩解功能,能夠儘可能縮短應用程序的停機時間和延遲,如此便不再不需要聯繫 AWS Support 來獲得 DDoS 防護。所有 AWS 用戶均可使用 AWS Shield Standard 的自動防護功能,不需要額外支付費用,它可以防護大多數以網站或應用程序爲攻擊對象並且頻繁出現的網絡和傳輸層 DDoS 攻擊。
此外,如開發者想要獲得更高級別的防護可以使用 AWS Shield Advanced,利用 AWS Shield Advance 可以靈活地選擇資源來進行基礎設施(第 3 層和第 4 層)保護。開發者可藉助 AWS WAF 寫入自定義規則,並且自定義規則可立即部署,以緩解複雜的應用程序層攻擊。另外,開發者還可以主動設置規則,用於自動阻止惡意流量或在事件發生時自動處理事件。如果出現十分棘手並且急需解決的問題,開發者還可以聯繫隨時待命的 AWS DDoS 響應團隊 (DRT),該團隊可以及時制定規則以便緩解應用層 DDoS 攻擊。
除了 Standard 版本提供的常見網絡和傳輸層防護之外,AWS Shield Advanced 還可以針對複雜的大型 DDoS 攻擊提供額外的檢測和緩解服務,實現實時查看各種攻擊。AWS Shield 就像一套“行駛記錄儀”,能夠記錄所有時間的罪證,這對預防 DDoS 攻擊有絕佳的效果。
爲 Web 應用程序提供防禦
面對多種多樣、危害性不一的漏洞,AWS 也推出了一項功能覆蓋全面的安全服務。AWS WAF 是一種 Web 應用程序防火牆,可幫助保護企業 Web 應用程序或 API 免遭常見 Web 漏洞的攻擊,同時,AWS WAF 允許創建防範常見攻擊模式(例如 SQL 注入或跨站點腳本)的安全規則,以及濾除定義的特定流量模式的規則,從而可以控制流量到達應用程序的方式。
使用 AWS WAF 託管規則,開發者可快速入門並保護其 Web 應用程序 / API 免遭常見的威脅。開發者無需擔心選擇的服務過於單一,因爲 AWS WAF 有多種規則類型,例如解決諸如開放式 Web 應用程序安全項目 (OWASP) 十大安全風險、內容管理系統 (CMS) 特有威脅或新出現的常見漏洞和泄露 (CVE) 等問題的規則。
在其它方面,AWS WAF 服務可以針對 Web 攻擊靈活提供保護,並且易於部署和維護。尤其是在運營維護方面,部分企業本身未配備專業人士,也沒有太多的時間去部署,那麼此時 AWS WAF 都能輕鬆消除這些顧慮,它完全能承擔起部署和保護應用程序的任務。企業無需部署其他軟件、無需配置 DNS、無需管理 SSL/TLS 證書,也無需進行反向代理設置。使用 AWS Firewall Manager 集成,即可集中定義並管理規則,並在需要保護的所有 Web 應用程序中反覆使用這些規則。
保護 AWS 內的數據安全即隱私保護
而對於企業來說,無論任何規模,需要兼顧或考慮的環節太多,技術、競爭、市場等等,稍不留神就會“偏離軌道”,解決隱私安全問題便刻不容緩。Amazon Macie 是一項完全託管的數據安全和數據隱私服務,它利用機器學習和模式匹配來發現和保護 AWS 中的敏感數據,即 Macie 可讓用戶不像交通堵塞中的司機那樣左顧右盼,爲企業節約了大量的時間成本。
同時,Macie 還可降低保護數據的成本。隨着組織管理越來越多的數據,大規模地識別和保護敏感數據也會變得越來越複雜、昂貴和耗時,Amazon Macie 便可以大規模自動發現敏感數據,其會自動提供 Amazon S3 存儲桶的清單,包括未加密的存儲桶、可公開訪問的存儲桶以及與 AWS 賬戶共享的存儲桶的列表。然後,Macie 將機器學習和模式匹配技術應用於開發者選擇的存儲桶,以識別敏感數據,並向相關崗位發出警報。可幫助企業輕鬆實現大規模發現敏感數據、管理和查看數據安全態勢等。
其中大規模發現敏感數據這一功能的優勢在於,Macie 會自動檢測大量不斷增多的敏感數據類型,包括姓名、地址和信用卡號等個人身份信息 (PII)。通過該服務,開發者還可自定義敏感數據類型,以便發現和保護特定的敏感數據。應用這一技術的同時,開發者不再擔心操作這一系統的過程會降低工作效率,只需在 AWS 管理控制檯中單擊一下或調用一次 API,即可快速輕鬆地開始使用 Amazon Macie。
更豐富的雲上安全管理 助企業從容應對安全威脅
除了以上提到的幾項雲安全服務,AWS 還提供有系統化的雲上安全管理工具,它們分別是 SecurityHub、Amazon GuardDuty、AWS Organizations、AWS CloudTrail 和 AWS config 等。例如:Amazon GuardDuty 作爲一項威脅檢測服務,可持續監控惡意活動和未經授權的行爲。它使用 AWS Organizations 提供多賬戶支持,便於跨多個賬戶聚合,並且具有較好的可行動性,開發者可直接推送到現有的事件管理和工作流程系統。
GuardDuty 集成了來自 AWS、CrowdStrike 和 Proofpoint 的最新威脅情報源,其將威脅情報、機器學習和行爲模型進行了結合,幫助企業檢測加密貨幣挖礦、憑證破解行爲、未經授權的異常數據訪問和來自已知惡意 IP 的 API 調用等活動。從而實現保護企業 AWS 賬戶、工作負載和 Amazon S3 中的數據。
其中 GuardDuty 需要對來自多個 AWS 數據源的數百億事件進行分析,AWS CloudTrail 便是其中之一。CloudTrail 是一項支持對用戶的 AWS 賬戶進行監管、合規性檢查、操作審覈和風險審覈的服務。配備 CloudTrail 用戶能夠記錄日誌、持續監控並保留與整個 AWS 基礎設施中的操作相關的賬戶活動。
CloudTrail 提供 AWS 賬戶活動的事件歷史記錄,這些活動包括通過 AWS 管理控制檯、AWS 開發工具包、命令行工具和其他 AWS 服務執行的操作。此事件歷史記錄可以簡化安全性分析、資源更改跟蹤和問題排查工作。假如數據泄露時,開發者可藉助 CloudTrail 中記錄的對象級 API 事件,通過收集 S3 對象上的活動數據來檢測數據泄露情況。
每一種服務技術所對應的功能是有所區別的,但是它們之間又有一些必然聯繫,這是爲了讓用戶獲得豐富而具有整體性的體驗。AWS 就像是一位“雲上安全伴侶”,可以說它是擋風玻璃,也可以將它視作安全帶或者行車記錄儀。也正因如此,AWS 提出了「責任共擔」的理念。未來,AWS 還會在安全保護領域繼續創新,爲更多有需要的企業竭誠服務。
結語
“飛上雲層”看風景,是現在也是未來許多新興企業的目標規劃,這是一場沒有終點的賽跑。AWS 作爲網絡安全和數據安全領域的耕耘者,非常願意看到雲上的繁榮,進而創造更優質的服務,尤其是各類安全服務,這將爲更多的企業提供升級保障。AWS 將繼續爲了整個行業的良性發展而努力。