云计算和大数据

如何将威胁拒之千里?

LensNews

十一长假准备出门自驾游,父母再三叮嘱“注意安全”

4S店发来短信“注意检查车况”

孩子学校的家长群里,老师发出公告“长假旅行注意给孩子添减衣服,注意饮食”

手机上的各种旅行与地图类APP提醒“长假出行请注意交通安全,尽量避开人流密集区域”

出行之前,关好了家中的水、电和煤气,开启监控探头,尽量保证安全

无论是长假旅行还是日常生活,我们都离不开“安全”二字,尤其是在2020这个子鼠躁动的年份。与人身及家庭安全同样重要的当属企业安全,在当今这个数字化的时代,系统、云平台、数据及应用安全早已成为企业的命脉。对于很多企业而言,一旦数据安全出现问题,失去的恐怕将是自己的“全部家产”了!

云为企业发展插上翅膀,但安全问题凸显

谈到企业安全,就不得不提云计算。

目前以云计算为主的云服务业态模式已被广为接受,在相关积极因素的促进下,国内对于云服务的需求量还将不断提升。

据中国信通院测算,我国数字经济对于GDP增长的贡献率已达到6成以上。而对于企业的数字化转型来说,最关键的就是业务上云。

在当今这个数字化的时代,无论是中小企业还是跨国集团,他们的业务与云计算早已密不可分。与此同时,企业所关心的安全问题也逐渐从本地安全转向了云安全!

“一般号称XX杀手,你就买XX就行了。大多数情况下这个杀手即便不是垃圾,也只能称之为碰瓷者。比如汉兰达杀手,你就买汉兰达;号称苹果杀手,你买苹果;号称特斯拉杀手,你买特斯拉就行,绝对不会错~~~”

这是最近网上的一个段子,仔细琢磨下发现还确实很有道理,经典产品在核心竞争力方面有着独特优势,很难被打败。诸多“挑战者”可以称得上乘风而来,但往往较难对经典产品产生太大冲击,其原因依然是技术基础及核心竞争力不足。

在云安全方面,很多云服务商都在以亚马逊云服务(AWS)为目标力拼这部分市场,很大程度上也是在角逐AWS领先的安全技术。

如何将威胁拒之千里?

随着企业业务逐渐迁移到云平台之上,针对云服务的网络攻击对用户的数据资产构成了严峻的威胁,而云服务商的安全能力成为关键。

以AWS为例,作为全球最大的云服务商,AWS能够提供超过200种安全功能和服务,交付7x24客户服务。AWS云安全继承了全球技术安全和合规性,坚持高标准的隐私保护和数据安全。通过自动化提高客户云中的安全性,结合可靠的安全合作伙伴,自动匹配客户的快速创新和规模化成长。构建客户可见、可控、可审计、灵活、自动化的安全能力,为客户数字化转型创新保驾护航。

AWS责任共担模式,打造更安全的云上管理

目前有很多企业,自身技术水平有限,所以选择云平台的重要一点就是考察它的技术实力。只有这样才能在上云后实现优势互补,企业也能将更多精力投身于业务,而不必过度担心安全性与可靠性。

如何将威胁拒之千里?

在几年前,笔者的一位朋友曾经有过安全方面的遭遇。他在一家创业公司工作,公司的官方网站屡屡遭到黑客入侵,网站内容被篡改并且植入恶意程序,导致系统资源占用过高而且网站浏览经常出错。

当时由于技术水平有限,技术人员没有能力与黑客“过招”,反反复复地处于被篡改-修复-再篡改-再修复的拉锯战中。在此之后,还常常遭遇DDoS攻击,苦不堪言。而安全公司所给出的报价过高,创业公司难以接受。

后经推荐将整个网站迁移至AWS公有云上,结果竟然出现了“意想不到”的奇效,似乎从人喊马嘶的战场,瞬间变为了风平浪静,之后再也没有出过安全问题。

听上去似乎有些“玄幻”,但实际上则是与黑客博弈的“对手”由普通公司技术/运维人员变成大型云服务商的高安全性基础设施。遇到这种情况,相信绝大多数黑客都不愿意耗费过多的时间去挑战AWS的安全系统了吧。

目前,AWS采用共享安全责任模型运营,其中AWS负责主机操作系统、虚拟化层、物理基础设施的安全,用户负责上层操作系统以及相关应用程序的安全,负责配置AWS提供的安全组防火墙。通过安全责任共担,就能够集合多方面的力量,共同应对云安全威胁。不仅如此,AWS还拥有更多的第三方安全与合规认证和安全合作伙伴,因而能够为客户提供更安全的解决方案。

举例来讲,AWS对托管服务承担更大的责任。托管服务提供云资源的可扩展性和灵活性优势,同时又减少了运营开销,因为用户操作系统和数据库补丁安装、防火墙配置和灾难恢复等基本的安全任务都由AWS负责。对于大多数托管服务,用户只需配置逻辑访问控制和保护账户凭证,同时保留对任何个人数据的控制和责任。而享受的则是“全方位”服务。

也正是因为责任共担模式的出现,对于初创型企业,系统迁移至AWS之后,就相当于为底层系统上了一把高安全性的锁,自己只需搞定上层应用相关安全就可以了,极大节省了人力物力。

AWS平台的资源守护神:AWS IAM

在AWS的安全服务中,IAM可以称得上是第一道防线,它的能力与安全策略正在时刻保卫着AWS的海量用户。

如何将威胁拒之千里?

IAM的全称是Identity and Access Management,主要工作是帮助用户安全地控制对AWS服务和资源的访问,包括通过各种权限来限制,因此被誉为AWS的资源保护神。

简单地说,IAM是AWS云平台中负责身份认证和权限控制的服务。在AWS中,每个用户默认都是没有任何权限的,需要做什么具体操作就开通相应的权限,通过权限控制让资源有了一个首层的安全保障。

在AWS中,身份主要分为Application、Federated User、User和Role,后两者可以通过IAM控制台来创建,并且赋予相应权限。

在访问和使用AWS资源方面,有页面及API接口两种登录方式,构成第二道防线。在多租户系统中,AWS会为每个账户提供一个独立的登录链接,从而保证页面访问安全,这是页面登录的保障。

API访问方面则是需要用IAM User的Access Key ID及Secret来为这个HTTP请求生成签名,保证合法的连接、传输数据的安全及单一请求不被多次使用。通过这种综合验证方式,使访问控制更加安全。像我们常用的微信、支付宝都采用了此类API访问加密验证形式。

在实战方面,AWS的IAM正在帮助我爱我家管理着3500余家连锁门店及5.5万员工,从用户登录权限控制到房源查询及管理,时刻保护着我爱我家的庞大系统。并且通过健全的安全机制和服务,实现了精细化的安全管理,确保系统的高可用性和可靠性。

现在,通过智能手机来远程操控云资源已不是难事,IAM也支持虚拟MFA方式登录AWS云控制台。虚拟MFA(Multi-Factor Authentication多因素认证)能够在用户名称和密码之外再额外增加一层保护。

主要是通过用户名和密码以及虚拟MFA设备的身份验证代码来进行验证,组合多重安全要素为账户提供更高的安全保护。

举例来讲,目前笔者的计算杂谈网站部署至云平台上,平时管理以PC端为主,出差或者没有随身携带电脑的情况下基本都依靠手机APP来管理。手机端则是通过MFA来进行验证,APP会记录该移动设备的软硬件信息,同时首次登陆还需要身份验证(例如人脸/指纹识别)。有了这样严格的验证步骤,即使硬件设备更换或者遗失,也不必担心安全性问题。

应用威胁的侦探:Amazon GuardDuty

在十几年前,安全厂商谈论最多的是病毒防御、防火墙等被动安全产品。当步入云时代以后,企业需要管理的数据、程序数量激增,被动安全难以满足需求,因此具备自动化功能的主动安全产品逐渐显现出优势。

海量的账户在云平台中频繁操作,日志数据量也不断上升,对于日志数据分析及发现潜在威胁方面提出了更高要求。为了更加高效地侦测,集机器学习、异常检测和集成威胁情报等手段于一身的GuardDuty应运而生。

如何将威胁拒之千里?

AWS的GuardDuty堪称应用威胁的侦探,该服务采用了机器学习来识别威胁,能够对来自多个AWS数据源的数百亿事件进行分析,随后针对这些威胁再提供缓解问题的建议。

它不仅可以监视所有可能带有安全问题的常见数据流,包括AWS CloudTrail日志、DNS日志和其他来源,也可监视API,查找其他AWS账户的异常使用情况。

一旦检测到问题,GuardDuty会以低、中、高三个级别对问题进行分类,并为用户提供详细的数据和解决此问题的建议。用户还可以将这些警报直接推送给第三方服务,如Splunk、Sumo Logic和PaperDuty。

对于大多数用户而言,S3云存储中的数据是重中之重,在安全方面GuardDuty也可以对S3进行密切监控与防护。GuardDuty能够持续监控和分析S3资料的访问事件和S3的配置,来找出可疑的活动,GuardDuty不仅能够发现来自异常地理位置的请求,还能以API调用模式,侦测错误配置的存储桶权限等安全威胁。

GuardDuty发出的警示,可以集成到用户现有的事件管理和工作流程系统中,或是使用无服务器服务AWS Lambda触发自动修复程序,用户可以选择将结果发送到S3存储桶中,以汇总多个区域的结果,可利用第三方安全分析工具进行分析。

GuardDuty与S3集成,因此用户不需要在AWS CloudTrail中手动激活,或是配置S3资料事件日志,就可直接使用这项新功能。

据了解,GuardDuty集成了来自AWS、CrowdStrike和Proofpoint的最新威胁情报源。通过威胁情报与机器学习和行为模型结合,帮助用户检测加密货币挖矿、凭证破解行为、未经授权的异常数据访问、与已知命令和控制服务器通信或者来自已知恶意IP的API调用等活动。在威胁侦测方面,是绝对的专业级选手。

大多数安全错误都是由错误的配置而引起。配置错误这种问题,也在GuardDuty的监视范围之内。它可以自动检查基础架构的运行情况,检测安全问题并自动识别,通常情况下,还能够自动解决这些问题。

在实际使用过程中,用户只需在AWS管理控制台中几次点击,就可以启用GuardDuty,无需部署或维护任何软件或硬件。对于用户而言,它简单、快捷、高效,并且在成本方面也远远低于其他安全产品。值得关注的是,目前GuardDuty还可以免费试用30天哟!

目前来看,相比其他同类服务,GuardDuty具备以下优势

1、可以引入第三方情报作为策略基础架构设计

2、允许用户上传自有安全情报

3、支持情报的归类和告警

4、不需要安装代理,并且不会影响系统性能

5、GuardDuty本身不存储任何结果,实时发现实时报警

6、GuardDuty与S3深度集成,强力保护数据安全

布衣得暖真为福,千金平安即是春”,这是《增广贤文·下集》中的一句诗,讲的是平安二字值千金。也正如前文所述,无论是日常生活还是企业运营,都离不开安全二字。企业上云后机遇与威胁并存,依托于AWS的责任共担模式以及百余项安全服务,能够让用户更加高效、敏捷地使用云资源,而不必担心运维、安全等问题,只有这样才能将威胁拒之千里,把更多精力投入到业务中去。

(0)

本文由 计算杂谈 作者:云中子 发表,转载请注明来源!

关键词:
LensNews

热评文章

发表评论