如何将威胁拒之千里？

十一长假准备出门自驾游，父母再三叮嘱“注意安全”

4S店发来短信“注意检查车况”

孩子学校的家长群里，老师发出公告“长假旅行注意给孩子添减衣服，注意饮食”

手机上的各种旅行与地图类APP提醒“长假出行请注意交通安全，尽量避开人流密集区域”

出行之前，关好了家中的水、电和煤气，开启监控探头，尽量保证安全

无论是长假旅行还是日常生活，我们都离不开“安全”二字，尤其是在2020这个子鼠躁动的年份。与人身及家庭安全同样重要的当属企业安全，在当今这个数字化的时代，系统、云平台、数据及应用安全早已成为企业的命脉。对于很多企业而言，一旦数据安全出现问题，失去的恐怕将是自己的“全部家产”了！

云为企业发展插上翅膀，但安全问题凸显

谈到企业安全，就不得不提云计算。

目前以云计算为主的云服务业态模式已被广为接受，在相关积极因素的促进下，国内对于云服务的需求量还将不断提升。

据中国信通院测算，我国数字经济对于GDP增长的贡献率已达到6成以上。而对于企业的数字化转型来说，最关键的就是业务上云。

在当今这个数字化的时代，无论是中小企业还是跨国集团，他们的业务与云计算早已密不可分。与此同时，企业所关心的安全问题也逐渐从本地安全转向了云安全！

“一般号称XX杀手，你就买XX就行了。大多数情况下这个杀手即便不是垃圾，也只能称之为碰瓷者。比如汉兰达杀手，你就买汉兰达；号称苹果杀手，你买苹果；号称特斯拉杀手，你买特斯拉就行，绝对不会错~~~”

这是最近网上的一个段子，仔细琢磨下发现还确实很有道理，经典产品在核心竞争力方面有着独特优势，很难被打败。诸多“挑战者”可以称得上乘风而来，但往往较难对经典产品产生太大冲击，其原因依然是技术基础及核心竞争力不足。

在云安全方面，很多云服务商都在以亚马逊云服务(AWS)为目标力拼这部分市场，很大程度上也是在角逐AWS领先的安全技术。

随着企业业务逐渐迁移到云平台之上，针对云服务的网络攻击对用户的数据资产构成了严峻的威胁，而云服务商的安全能力成为关键。

以AWS为例，作为全球最大的云服务商，AWS能够提供超过200种安全功能和服务，交付7x24客户服务。AWS云安全继承了全球技术安全和合规性，坚持高标准的隐私保护和数据安全。通过自动化提高客户云中的安全性，结合可靠的安全合作伙伴，自动匹配客户的快速创新和规模化成长。构建客户可见、可控、可审计、灵活、自动化的安全能力，为客户数字化转型创新保驾护航。

AWS责任共担模式，打造更安全的云上管理

目前有很多企业，自身技术水平有限，所以选择云平台的重要一点就是考察它的技术实力。只有这样才能在上云后实现优势互补，企业也能将更多精力投身于业务，而不必过度担心安全性与可靠性。

在几年前，笔者的一位朋友曾经有过安全方面的遭遇。他在一家创业公司工作，公司的官方网站屡屡遭到黑客入侵，网站内容被篡改并且植入恶意程序，导致系统资源占用过高而且网站浏览经常出错。

当时由于技术水平有限，技术人员没有能力与黑客“过招”，反反复复地处于被篡改-修复-再篡改-再修复的拉锯战中。在此之后，还常常遭遇DDoS攻击，苦不堪言。而安全公司所给出的报价过高，创业公司难以接受。

后经推荐将整个网站迁移至AWS公有云上，结果竟然出现了“意想不到”的奇效，似乎从人喊马嘶的战场，瞬间变为了风平浪静，之后再也没有出过安全问题。

听上去似乎有些“玄幻”，但实际上则是与黑客博弈的“对手”由普通公司技术/运维人员变成大型云服务商的高安全性基础设施。遇到这种情况，相信绝大多数黑客都不愿意耗费过多的时间去挑战AWS的安全系统了吧。

目前，AWS采用共享安全责任模型运营，其中AWS负责主机操作系统、虚拟化层、物理基础设施的安全，用户负责上层操作系统以及相关应用程序的安全，负责配置AWS提供的安全组防火墙。通过安全责任共担，就能够集合多方面的力量，共同应对云安全威胁。不仅如此，AWS还拥有更多的第三方安全与合规认证和安全合作伙伴，因而能够为客户提供更安全的解决方案。

举例来讲，AWS对托管服务承担更大的责任。托管服务提供云资源的可扩展性和灵活性优势，同时又减少了运营开销，因为用户操作系统和数据库补丁安装、防火墙配置和灾难恢复等基本的安全任务都由AWS负责。对于大多数托管服务，用户只需配置逻辑访问控制和保护账户凭证，同时保留对任何个人数据的控制和责任。而享受的则是“全方位”服务。

也正是因为责任共担模式的出现，对于初创型企业，系统迁移至AWS之后，就相当于为底层系统上了一把高安全性的锁，自己只需搞定上层应用相关安全就可以了，极大节省了人力物力。

AWS平台的资源守护神：AWS IAM

在AWS的安全服务中，IAM可以称得上是第一道防线，它的能力与安全策略正在时刻保卫着AWS的海量用户。

IAM的全称是Identity and Access Management，主要工作是帮助用户安全地控制对AWS服务和资源的访问，包括通过各种权限来限制，因此被誉为AWS的资源保护神。

简单地说，IAM是AWS云平台中负责身份认证和权限控制的服务。在AWS中，每个用户默认都是没有任何权限的，需要做什么具体操作就开通相应的权限，通过权限控制让资源有了一个首层的安全保障。

在AWS中，身份主要分为Application、Federated User、User和Role，后两者可以通过IAM控制台来创建，并且赋予相应权限。

在访问和使用AWS资源方面，有页面及API接口两种登录方式，构成第二道防线。在多租户系统中，AWS会为每个账户提供一个独立的登录链接，从而保证页面访问安全，这是页面登录的保障。

API访问方面则是需要用IAM User的Access Key ID及Secret来为这个HTTP请求生成签名，保证合法的连接、传输数据的安全及单一请求不被多次使用。通过这种综合验证方式，使访问控制更加安全。像我们常用的微信、支付宝都采用了此类API访问加密验证形式。

在实战方面，AWS的IAM正在帮助我爱我家管理着3500余家连锁门店及5.5万员工，从用户登录权限控制到房源查询及管理，时刻保护着我爱我家的庞大系统。并且通过健全的安全机制和服务，实现了精细化的安全管理，确保系统的高可用性和可靠性。

现在，通过智能手机来远程操控云资源已不是难事，IAM也支持虚拟MFA方式登录AWS云控制台。虚拟MFA（Multi-Factor Authentication多因素认证）能够在用户名称和密码之外再额外增加一层保护。

主要是通过用户名和密码以及虚拟MFA设备的身份验证代码来进行验证，组合多重安全要素为账户提供更高的安全保护。

举例来讲，目前笔者的计算杂谈网站部署至云平台上，平时管理以PC端为主，出差或者没有随身携带电脑的情况下基本都依靠手机APP来管理。手机端则是通过MFA来进行验证，APP会记录该移动设备的软硬件信息，同时首次登陆还需要身份验证（例如人脸/指纹识别）。有了这样严格的验证步骤，即使硬件设备更换或者遗失，也不必担心安全性问题。

应用威胁的侦探：Amazon GuardDuty

在十几年前，安全厂商谈论最多的是病毒防御、防火墙等被动安全产品。当步入云时代以后，企业需要管理的数据、程序数量激增，被动安全难以满足需求，因此具备自动化功能的主动安全产品逐渐显现出优势。

海量的账户在云平台中频繁操作，日志数据量也不断上升，对于日志数据分析及发现潜在威胁方面提出了更高要求。为了更加高效地侦测，集机器学习、异常检测和集成威胁情报等手段于一身的GuardDuty应运而生。

AWS的GuardDuty堪称应用威胁的侦探，该服务采用了机器学习来识别威胁，能够对来自多个AWS数据源的数百亿事件进行分析，随后针对这些威胁再提供缓解问题的建议。

它不仅可以监视所有可能带有安全问题的常见数据流，包括AWS CloudTrail日志、DNS日志和其他来源，也可监视API，查找其他AWS账户的异常使用情况。

一旦检测到问题，GuardDuty会以低、中、高三个级别对问题进行分类，并为用户提供详细的数据和解决此问题的建议。用户还可以将这些警报直接推送给第三方服务，如Splunk、Sumo Logic和PaperDuty。

对于大多数用户而言，S3云存储中的数据是重中之重，在安全方面GuardDuty也可以对S3进行密切监控与防护。GuardDuty能够持续监控和分析S3资料的访问事件和S3的配置，来找出可疑的活动，GuardDuty不仅能够发现来自异常地理位置的请求，还能以API调用模式，侦测错误配置的存储桶权限等安全威胁。

GuardDuty发出的警示，可以集成到用户现有的事件管理和工作流程系统中，或是使用无服务器服务AWS Lambda触发自动修复程序，用户可以选择将结果发送到S3存储桶中，以汇总多个区域的结果，可利用第三方安全分析工具进行分析。

GuardDuty与S3集成，因此用户不需要在AWS CloudTrail中手动激活，或是配置S3资料事件日志，就可直接使用这项新功能。

据了解，GuardDuty集成了来自AWS、CrowdStrike和Proofpoint的最新威胁情报源。通过威胁情报与机器学习和行为模型结合，帮助用户检测加密货币挖矿、凭证破解行为、未经授权的异常数据访问、与已知命令和控制服务器通信或者来自已知恶意IP的API调用等活动。在威胁侦测方面，是绝对的专业级选手。

大多数安全错误都是由错误的配置而引起。配置错误这种问题，也在GuardDuty的监视范围之内。它可以自动检查基础架构的运行情况，检测安全问题并自动识别，通常情况下，还能够自动解决这些问题。

在实际使用过程中，用户只需在AWS管理控制台中几次点击，就可以启用GuardDuty，无需部署或维护任何软件或硬件。对于用户而言，它简单、快捷、高效，并且在成本方面也远远低于其他安全产品。值得关注的是，目前GuardDuty还可以免费试用30天哟！

目前来看，相比其他同类服务，GuardDuty具备以下优势：

1、可以引入第三方情报作为策略基础架构设计

2、允许用户上传自有安全情报

3、支持情报的归类和告警

4、不需要安装代理，并且不会影响系统性能

5、GuardDuty本身不存储任何结果，实时发现实时报警

6、GuardDuty与S3深度集成，强力保护数据安全

“布衣得暖真为福，千金平安即是春”，这是《增广贤文·下集》中的一句诗，讲的是平安二字值千金。也正如前文所述，无论是日常生活还是企业运营，都离不开安全二字。企业上云后机遇与威胁并存，依托于AWS的责任共担模式以及百余项安全服务，能够让用户更加高效、敏捷地使用云资源，而不必担心运维、安全等问题，只有这样才能将威胁拒之千里，把更多精力投入到业务中去。