“飞上云层”看风景,记得系好“安全带”

2020 年 9 月 25 日 InfoQ
作者 | 闫嘉欣
策划 | 冯垚

在交通环境压力日益紧张的态势下,许多敢于想象的科学家和企业家早就萌生了关于“飞行汽车”的想法,并且有些机构已经付诸实践,研发出了实体的“飞行汽车”,也就是说,五十多年前那部《摩登家庭》里出现的炫酷十足的空中飞车,在五十年后的今天不再是浪漫的幻想。

不过,普通人想要“飞上云层”,还面临着许多近乎“不可能”的挑战,这其中最大的阻碍,就是安全问题。同样,在广阔无垠的互联网世界里,专家们打造了海量且高效的“云服务路线”,用户则可以通过这些路线输送或取得重要的数据与信息。

“上云”就和“上车”一样,如果不系好安全带,就很容易发生事故。

1 云上攻击多样,安全问题需警惕

任何事物都具有两面性。通过上云,企业可以更加灵活地运用资源、减轻开发新业务的压力、有效降低运维成本,为企业快速升级革新提供强大动力。但与此同时,云安全问题仍是企业绕不开的话题。

2020 年 6 月 8 日,由于受到网络攻击,本田的内部网络发生了大规模系统故障,本田设在世界各地的 9 座工厂临时停产。瑞士铁路机车制造商 Stadler 对外披露其 IT 网络遭到勒索病毒攻击,重要数据被窃取……伴随着上云浪潮来袭,DDoS 攻击、木马、蠕虫、恶意软件等攻击造成的数据泄露与用户身份认证等云安全问题却频繁发生。

首先 DDoS(分布式拒绝服务) 是最具破坏力的攻击,其多见于网络中的勒索、报复等。以游戏应用来举例,DDoS 攻击会以无法有效处理的流量为载体,严重影响游戏的可用性或性能表现。攻击者可以向应用程序发送大量无效流量,尽可能占用甚至耗尽网络或服务资源容量。此外,攻击者还会发送看似合法,但并非由实际玩家生成的流量。当游戏应用性能下降时,真实玩家的实际体验将受到严重影响。换言之,只有成功抵御住 DDoS 攻击,才能保护玩家体验、提升用户对游戏品牌的信任度。

其次是互联网行业中较为常见的安全隐患——漏洞。常见漏洞包括 XSS(Cross-Site Script) 跨站脚本攻击、CSRF (Cross-Site Request Forgery) 跨站点请求伪造、SQL injection 注入攻击等,它们主要会影响用户体验,甚至影响应用程序和网页的可用性。企业应当担负起维护网络安全的职责,这不仅关系着用户的去留,还关系着企业的对外形象树立。不仅如此,当隐患触及用户个人利益 / 隐私时,企业面临的问题将会更为棘手。

最重要的是,在云端攻击者可能会在任何时间、任何地方发起攻击,给企业业务 / 服务带来巨大的威胁,可见云端的数据安全与隐私保护更是重中之重。有效解决或预防这一问题,将使上云企业的产业升级转型阻力大大减少,对用户来说,这也会减少他们在隐私泄露方面的烦恼,优化用户体验,提升其忠诚度。

对于企业而言,面对复杂的网络攻击,基础云服务的稳定与可靠是企业最为重要的考虑因素。

2 企业究竟如何实现云上安全防护?

就如同路上交通系统正在变得更智能、更安全一样,云上数据的保护机制正在变得日趋完善,而对于任何一家企业来说,只依靠自身防御安全威胁,显然十分困难的。目前,在云服务领域内坚持创新的 AWS,已经拥有了较为完备的云上服务以及云安全保护体系。

1.AWS 内置防御 DDoS 攻击的 AWS Shieid

AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的应用程序。它可提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,如此便不再不需要联系 AWS Support 来获得 DDoS 防护。所有 AWS 用户均可使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用,它可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。

此外,如开发者想要获得更高级别的防护可以使用 AWS Shield Advanced,利用 AWS Shield Advance 可以灵活地选择资源来进行基础设施(第 3 层和第 4 层)保护。开发者可借助 AWS WAF 写入自定义规则,并且自定义规则可立即部署,以缓解复杂的应用程序层攻击。另外,开发者还可以主动设置规则,用于自动阻止恶意流量或在事件发生时自动处理事件。如果出现十分棘手并且急需解决的问题,开发者还可以联系随时待命的 AWS DDoS 响应团队 (DRT),该团队可以及时制定规则以便缓解应用层 DDoS 攻击。

除了 Standard 版本提供的常见网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,实现实时查看各种攻击。AWS Shield 就像一套“行驶记录仪”,能够记录所有时间的罪证,这对预防 DDoS 攻击有绝佳的效果。

2. 为 Web 应用程序提供防御

面对多种多样、危害性不一的漏洞,AWS 也推出了一项功能覆盖全面的安全服务。AWS WAF 是一种 Web 应用程序防火墙,可帮助保护企业 Web 应用程序或 API 免遭常见 Web 漏洞的攻击,同时,AWS WAF 允许创建防范常见攻击模式(例如 SQL 注入或跨站点脚本)的安全规则,以及滤除定义的特定流量模式的规则,从而可以控制流量到达应用程序的方式。

使用 AWS WAF 托管规则,开发者可快速入门并保护其 Web 应用程序 / API 免遭常见的威胁。开发者无需担心选择的服务过于单一,因为 AWS WAF 有多种规则类型,例如解决诸如开放式 Web 应用程序安全项目 (OWASP) 十大安全风险、内容管理系统 (CMS) 特有威胁或新出现的常见漏洞和泄露 (CVE) 等问题的规则。

在其它方面,AWS WAF 服务可以针对 Web 攻击灵活提供保护,并且易于部署和维护。尤其是在运营维护方面,部分企业本身未配备专业人士,也没有太多的时间去部署,那么此时 AWS WAF 都能轻松消除这些顾虑,它完全能承担起部署和保护应用程序的任务。企业无需部署其他软件、无需配置 DNS、无需管理 SSL/TLS 证书,也无需进行反向代理设置。使用 AWS Firewall Manager 集成,即可集中定义并管理规则,并在需要保护的所有 Web 应用程序中反复使用这些规则。

3. 保护 AWS 内的数据安全即隐私保护

而对于企业来说,无论任何规模,需要兼顾或考虑的环节太多,技术、竞争、市场等等,稍不留神就会“偏离轨道”,解决隐私安全问题便刻不容缓。Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它利用机器学习和模式匹配来发现和保护 AWS 中的敏感数据,即 Macie 可让用户不像交通堵塞中的司机那样左顾右盼,为企业节约了大量的时间成本。

同时,Macie 还可降低保护数据的成本。随着组织管理越来越多的数据,大规模地识别和保护敏感数据也会变得越来越复杂、昂贵和耗时,Amazon Macie 便可以大规模自动发现敏感数据,其会自动提供 Amazon S3 存储桶的清单,包括未加密的存储桶、可公开访问的存储桶以及与 AWS 账户共享的存储桶的列表。然后,Macie 将机器学习和模式匹配技术应用于开发者选择的存储桶,以识别敏感数据,并向相关岗位发出警报。可帮助企业轻松实现大规模发现敏感数据、管理和查看数据安全态势等。

其中大规模发现敏感数据这一功能的优势在于,Macie 会自动检测大量不断增多的敏感数据类型,包括姓名、地址和信用卡号等个人身份信息 (PII)。通过该服务,开发者还可自定义敏感数据类型,以便发现和保护特定的敏感数据。应用这一技术的同时,开发者不再担心操作这一系统的过程会降低工作效率,只需在 AWS 管理控制台中单击一下或调用一次 API,即可快速轻松地开始使用 Amazon Macie。

3 更丰富的云上安全管理 助企业从容应对安全威胁

除了以上提到的几项云安全服务,AWS 还提供有系统化的云上安全管理工具,它们分别是 SecurityHub、Amazon GuardDuty、AWS Organizations、AWS CloudTrail 和 AWS config 等。例如:Amazon GuardDuty 作为一项威胁检测服务,可持续监控恶意活动和未经授权的行为。它使用 AWS Organizations 提供多账户支持,便于跨多个账户聚合,并且具有较好的可行动性,开发者可直接推送到现有的事件管理和工作流程系统。

GuardDuty 集成了来自 AWS、CrowdStrike 和 Proofpoint 的最新威胁情报源,其将威胁情报、机器学习和行为模型进行了结合,帮助企业检测加密货币挖矿、凭证破解行为、未经授权的异常数据访问和来自已知恶意 IP 的 API 调用等活动。从而实现保护企业 AWS 账户、工作负载和 Amazon S3 中的数据。

其中 GuardDuty 需要对来自多个 AWS 数据源的数百亿事件进行分析,AWS CloudTrail 便是其中之一。CloudTrail 是一项支持对用户的 AWS 账户进行监管、合规性检查、操作审核和风险审核的服务。配备 CloudTrail 用户能够记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。

CloudTrail 提供 AWS 账户活动的事件历史记录,这些活动包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。此事件历史记录可以简化安全性分析、资源更改跟踪和问题排查工作。假如数据泄露时,开发者可借助 CloudTrail 中记录的对象级 API 事件,通过收集 S3 对象上的活动数据来检测数据泄露情况。


每一种服务技术所对应的功能是有所区别的,但是它们之间又有一些必然联系,这是为了让用户获得丰富而具有整体性的体验。AWS 就像是一位“云上安全伴侣”,可以说它是挡风玻璃,也可以将它视作安全带或者行车记录仪。也正因如此,AWS 提出了「责任共担」的理念。未来,AWS 还会在安全保护领域继续创新,为更多有需要的企业竭诚服务。

4 结语

“飞上云层”看风景,是现在也是未来许多新兴企业的目标规划,这是一场没有终点的赛跑。AWS 作为网络安全和数据安全领域的耕耘者,非常愿意看到云上的繁荣,进而创造更优质的服务,尤其是各类安全服务,这将为更多的企业提供升级保障。AWS 将继续为了整个行业的良性发展而努力。




点个在看少个 bug 👇
登录查看更多
0

相关内容

最新《图算法: Neo4j实战》书籍,266页pdf
专知会员服务
162+阅读 · 2020年11月26日
[NeurIPS 2020]对图神经网络更实际的对抗式攻击
专知会员服务
8+阅读 · 2020年11月1日
专知会员服务
39+阅读 · 2020年9月6日
【ACM MM2020】对偶注意力GAN语义图像合成
专知会员服务
35+阅读 · 2020年9月2日
【干货书】现代数据平台架构,636页pdf
专知会员服务
253+阅读 · 2020年6月15日
【CVPR2020】多模态社会媒体中危机事件分类
专知会员服务
54+阅读 · 2020年4月18日
一网打尽!100+深度学习模型TensorFlow与Pytorch代码实现集合
【阿里技术论文】AliMe KBQA:阿里小蜜中的结构化知识问答
专知会员服务
82+阅读 · 2019年12月14日
“出奇制胜”的“欺骗防御”之术
E安全
7+阅读 · 2019年7月6日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
数据库之架构:主备+分库?主从+读写分离?
架构文摘
8+阅读 · 2019年4月23日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
5G进电厂走到了哪一步?
1号机器人网
15+阅读 · 2019年2月13日
威胁情报浅析
计算机与网络安全
7+阅读 · 2017年11月15日
Arxiv
6+阅读 · 2018年5月22日
VIP会员
相关VIP内容
最新《图算法: Neo4j实战》书籍,266页pdf
专知会员服务
162+阅读 · 2020年11月26日
[NeurIPS 2020]对图神经网络更实际的对抗式攻击
专知会员服务
8+阅读 · 2020年11月1日
专知会员服务
39+阅读 · 2020年9月6日
【ACM MM2020】对偶注意力GAN语义图像合成
专知会员服务
35+阅读 · 2020年9月2日
【干货书】现代数据平台架构,636页pdf
专知会员服务
253+阅读 · 2020年6月15日
【CVPR2020】多模态社会媒体中危机事件分类
专知会员服务
54+阅读 · 2020年4月18日
一网打尽!100+深度学习模型TensorFlow与Pytorch代码实现集合
【阿里技术论文】AliMe KBQA:阿里小蜜中的结构化知识问答
专知会员服务
82+阅读 · 2019年12月14日
相关资讯
“出奇制胜”的“欺骗防御”之术
E安全
7+阅读 · 2019年7月6日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
数据库之架构:主备+分库?主从+读写分离?
架构文摘
8+阅读 · 2019年4月23日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
5G进电厂走到了哪一步?
1号机器人网
15+阅读 · 2019年2月13日
威胁情报浅析
计算机与网络安全
7+阅读 · 2017年11月15日
Top
微信扫码咨询专知VIP会员