云的安全性從未像今天這樣凸顯，據IDC調查數據顯示在過去的18個月中，有近80%的企業至少經歷了一次云數據泄露。突如其來的疫情，極大的改變了人們的生活和工作方式。在全球范圍內，企業幾乎在一夜之間改變了原來的IT模式，通過云來應對遠程工作的挑戰。

企業在邁入云端時，如果沒有妥善解決安全問題，企業將更為謹慎的采用云服務和功能。穩健的云安全服務選擇，不僅能夠保障企業在全球市場開展業務，也能夠支持到遠程辦公所需的可用性、可靠性、靈活性和安全。

云安全成“新常態”

根據Gartner的調查，到2022年向云計算的轉型將產生約1.3萬億美元的IT支出。現在絕大多數企業工作負載都在公有、私有或混合云環境上運行。

可見未來有效應對云上安全威脅將成為企業的“新常態”，尤其伴隨著企業在疫情期間加速上云來推動遠程工作的能力，遠程辦公更容易受到來自惡意軟件攻擊和網絡釣魚的影響。比如導致內部安全威脅的增加，員工賬戶被劫持等安全隱患。

而更為緊迫的云安全挑戰在于，企業通常不完全了解在云中進行操作的含義。比如，企業可能會嘗試將傳統的安全模型想當然的映射到新平臺上，而忽視了利用云所提供的功能。

IDC的報告指出，云上安全相關的配置錯誤，對訪問設置和活動缺乏足夠的可見性，以及身份和訪問管理(IAM)許可錯誤是企業最關注的云生產環境安全問題。

事實證明，企業采用激進的上云策略獲取彈性和計算資源的同時，恰恰忽視了云平臺的整體安全能力所帶來的價值。

云業務的“生命線”

今年2月份，AWS創紀錄的抵御住了2.3 Tbps的DDoS攻擊。AWS透露，身份不明的攻擊者每秒向其服務器發送2.3萬億字節的數據，規模驚人。這次攻擊的規模比2018年導致GitHub宕機的1.3 Tbps攻擊大近一倍，比2016年導致Dyn癱瘓的大約1 Tbps的Mirai僵尸網絡DDoS大一倍多。

正因于此，云供應商需要向企業保證安全性是云基礎架構的核心，能夠提供與本地IT基礎架構相同甚至超越的安全能力。這次事件從一個側面印證了AWS作為云計算領航者的安全實力。

與客戶重視云應用可靠性和數據安全性一樣，安全的重要性在AWS比所有的優先級都高，如果存在任何已知的安全問題，AWS都會及時解決，如果沒有解決安全的隱患，絕不會勉強將新的云服務推向商用，高優先級的安全責任，成為了AWS保障云上業務的“生命線”。

AWS采用了共享安全責任模型的運營方式，其中AWS負責底層云基礎設施的安全，一方面AWS負責保護云端包括計算、存儲、網絡和數據庫等云服務基礎設施中部署的工作負載，也就是如果AWS沒能抗住2.3 Tbps的DDoS攻擊，那么給用戶帶來的影響將由AWS承擔責任，一方面AWS要為云環境中用戶的業務功能實施提供最適用的安全控制措施所需的靈活性和敏捷性，這通過AWS的超過200種安全功能和服務實現。

AWS共享安全責任模式

AWS所提供的云基礎設施是目前市場上最靈活、最安全的云計算環境之一，已經連續10年獲評Gartner魔力象限領導者。AWS不僅具有安全最佳實踐和標準，而且使用冗余和分層控制、持續驗證和測試以及大量自動化，來確保7*24全天候監控和保護底層基礎設施。

而企業負責制定嚴格限制對處理敏感數據環境的訪問策略，或者為要公開的信息部署靈活的控制策略，因為AWS推崇并遵循客戶對自己的系統和數據擁有完全的自主權。

目前這種安全責任共擔的模式已經得到了大多數企業的認同，因為在云計算的普及過程中，有諸多因云安全所引發的責任歸屬的爭論，AWS所倡導的安全責任共擔模式為云安全“責權利”劃出了清晰的邊界。

同時，在AWS內部，安全的優先級高于任何的任務，AWS的每位員工都有責任確保安全性是所有業務不可或缺的組成部分，每個員工都知道如何報告安全問題，并且有權在必要時將安全問題升級到最高級別。同時，AWS每一項安全功能和服務的創新都來自客戶的聲音，來滿足大多數風險敏感的用戶和企業的安全性和合規性需求。

云安全“三駕馬車”

AWS提供了超過200種安全功能和服務，并與合作伙伴一起提供了各種工具和功能，幫助企業實現安全目標，這些工具和功能可以鏡像企業本地環境中已經駕輕就熟的部署和控制。AWS提供的安全專用工具和功能涉及網絡安全、配置管理、訪問權限控制和數據安全這些領域。此外，AWS還提供了監控和日志記錄工具，讓企業可以全面了解云環境中正在發生的情況。

綜合來看，AWS的云服務聚焦于身份認證，安全功能及合規三個方面。這“三駕馬車”為企業構建了可見、可控、可審計、靈活、自動化的全方位安全能力，我們通過AWS IAM、AWS Security Hub、AWS WAF和Amazon GuardDuty這四項云安全服務，來詳細了解AWS如何為企業數字化轉型保駕護航。

AWS Identity and Access Management (IAM)是身份認證方面的代表性云服務，借助IAM企業可以為各個賬戶定義對AWS資源的訪問權限，包括基于軟件和硬件的身份驗證器選項。通過IAM，企業可以使用現有的身份驗證系統(如微軟Active Directory或其他合作伙伴的產品)向員工和應用程序授予對AWS管理控制臺和AWS服務API的聯合訪問權限。

IAM的優勢在于其細粒度的身份認證和訪問控制，同時結合對安全事件的持續監控，來確保正確的資源得到正確的訪問。比如我愛我家、新希望草根知本、新世紀醫療等客戶利用AWS健全的安全機制和IAM，實現了精細化的安全管理，確保系統的高可用性和可靠性。

在合規性方面，AWS Security Hub作為一體化安全性與合規性中心，可讓企業全面查看AWS賬戶中的高優先級安全警報與合規性狀態。

過往企業需要使用一系列的安全工具，來完成從防火墻到端點保護，再到漏洞的合規性掃描，安全團隊需要在不同工具間切換，每天處理大量安全警報，這大大增加了企業的安全運維成本。

AWS Security Hub的優勢在于企業能夠對來自不同AWS服務，以及來自AWS合作伙伴解決方案的安全警報或檢測結果進行聚合、組織和設置優先級，檢測結果的可視性也大大提升，可在具有可操作圖形和表格的集成控制面板上進行直觀匯總。此外，企業還可以使用自動合規性檢查進行持續監控。

在安全功能方面，WAF和威脅檢測是企業最為常用的云安全服務選項。AWS WAF和Amazon GuardDuty充分體現了AWS在云服務之間的高度集成，自動化布署的優勢。

AWS WAF是一種Web應用防火墻，可幫助企業保護Web應用或API免遭常見Web漏洞的攻擊，這些漏洞可能會影響可用性、損害安全性或消耗過多的資源。

AWS WAF允許企業創建防范常見攻擊模式，例如SQL注入或跨站點腳本的安全規則，以及濾除企業定義的特定流量模式的規則，從而讓企業可以控制流量到達應用程序的方式。AWS WAF的優勢在于其包含功能全面的API，可以讓安全規則的創建、部署和維護實現自動化。

Amazon GuardDuty是一種威脅檢測服務，可持續監控惡意活動和未經授權的行為，從而保護企業AWS賬戶、工作負載和Amazon S3中存儲的數據。

雖然遷移到云后，賬戶和網絡活動的收集與聚合變得簡單，但安全團隊對事件日志數據進行持續的分析來發現潛在的威脅，則十分耗時。所以GuardDuty為企業提供了經濟高效的智能選項，從而持續檢測在AWS中發生的威脅。

GuardDuty的優勢在于使用機器學習、異常檢測和集成威脅情報等手段，識別潛在的威脅并確定優先級別。一方面，GuardDuty會對來自多個AWS數據源，例如AWS CloudTrail事件日志、Amazon VPC流日志和DNS日志的數百億事件進行分析。其次，GuardDuty警報與Amazon CloudWatch Events集成，具有極好的可行動性，非常便于跨多個賬戶聚合，并且可以直接推送到現有的事件管理和工作流程系統。

結語

過往，企業不斷構建和維護內部的分層“深度防御”安全策略。而今天，已經有越來越多的企業逐漸意識到云的廣泛安全優勢以及合規能力。過硬的安全能力關乎千萬企業的信任和持續投入，這也是為什么AWS將安全視“生命線”的真正原因。