亚马逊云科技构建“洋葱模型”多层防护

（全球TMT2022年7月21日讯）亚马逊云科技已经能够为用户提供超过280项安全、合规服务和功能，在用户对其数据完全拥有和控制的前提下，为用户提供一系列安全保护。"洋葱模型"是对亚马逊云科技多层安全防护的系统性归纳，涵盖威胁检测和事件响应、身份认证和访问控制、网络和基础设施安全、数据保护与隐私以及风险管控及合规五大领域。

1、 威胁检测与事件响应

这其中的一个关键服务是Amazon GuardDuty，可实现对威胁的精准定位与快速反应。Amazon GuardDuty可以一键开启，内嵌了来自于Amazon电商平台收集的第一手情报源，并集成行业顶尖的CrowdStrike和Proofpoint 情报源，同时与一系列世界顶尖的安全公司持续合作以丰富情报源。此外，Amazon GuardDuty内置了机器学习能力，在提升预警准确度的同时将可疑警报量降低了50%。Amazon GuardDuty还可对安全风险事件做出快速反应，即发挥"事件驱动的自动化防护栏"作用。

另一项重要服务是Amazon Security Hub，可对安全合规风险和威胁进行7x24小时全天候监测，针对威胁及时响应，自动执行合规性检查，快速发现技术差异并提供修复方案。

Amazon GuardDuty与Amazon Security Hub不仅提供给用户周密的安全防线，而且还通过全程自动化显著优化安全工作效率。例如在线游戏企业风林火山，此前由于人手不足，一直受困于海量日志数据分析和合规的持续性。现在这些工作已经全部交给Amazon GuardDuty与Amazon Security Hub来完成，既带来了可持续的安全保障，也解放了企业人力。

2、 身份认证与访问控制

Amazon Identity and Access Management (Amazon IAM) 是身份认证与访问控制的核心服务，以细颗粒度的身份认证与访问控制机制，结合对安全事件的持续监控和精准的安全权限设置，保障正确资源被相应正确人员访问。另一项服务是Amazon Organizations，能够让用户使用服务控制策略 (SCP) 来建立组织账户中所有IAM用户和角色都要遵守的权限防护机制及数据边界 -- 例如将公司的所有账户分为不同群组，并为其分别下发不同的访问控制策略。汽车数字服务企业WirelessCar在Amazon Organizations的帮助下，就有效降低了账户运维管理的时间，节省了人力成本，提高了IT运维效率，使团队可专注于业务开发和创新。

3、 网络与基础设施安全

亚马逊云科技在主机、网络和应用程序级别边界为客户提供细粒度的保护。Amazon Shield Advanced是亚马逊云科技提供的网络边缘侧防护服务。用户可将所有面向网络的资源加载到Amazon Shield Advanced，以获得全天候保护。

另一个重要产品是已经被众多客户作为标准配置的Amazon WAF。Amazon WAF的特点在于提供了丰富的规则库，其中既有亚马逊云科技安全专家团队自研的全托管的规则，也可由用户依据需求来自定义规则。用户还可以将亚马逊云科技的APN合作伙伴网络成员 -- 众多国际一线安全厂商的托管规则加载到Amazon WAF。

4、 数据保护与隐私

Amazon Macie 使用机器学习技术来自动发现和保护客户的敏感数据并对其分类，可以识别个人可识别信息 (PII) 或知识产权之类的敏感数据，并为客户提供控制面板和警报，让客户了解此类数据的访问或移动方式。

对于数据加密，亚马逊云科技秉持通过服务集成实现全生命周期数据加密。Amazon Key Management Service（AmazonKMS）是亚马逊云科技最常用的数据加密服务，这项服务与亚马逊云科技的140多项服务深度集成，可帮助用户大幅减少人工操作，降低出错概率。

对于数据保密要求更高的用户，还可使用Amazon CloudHSM来获得云上专属加密机服务。全球领先的智能终端制造商OPPO就通过Amazon CloudHSM来获得基于行业安全标准的加密机硬件，构建自己独特的数据保护体系。Amazon CloudHSM还可让OPPO根据业务变化随时扩展加密机硬件容量，并利用亚马逊云科技的托管服务自动执行耗时的管理任务。

在数据计算过程中，用户可使用Amazon Nitro Enclaves的云端机密计算的技术，创建严密隔离的环境处理敏感数据。这项技术在确保数据安全之外，也让用户能够开拓新的创新应用场景，例如可在完全不触碰数据的前提下，与一些持有重要数据的机构利用Amazon Nitro Enclaves创建的数据"密室"进行与外界完全隔绝的联合计算分析。

5、风险管控及合规

亚马逊云科技可帮助客户全面了解合规状况，并使用自动合规性检查，持续监控客户的环境。例如，Amazon Artifact自助门户，允许客户按需访问并获取亚马逊云科技的合规性报告。为避免用户在合规审计与评估中消耗过多成本，亚马逊云科技提供Amazon Audit Manager，可自动扫描、搜集证据，还提供了各种合规认证的模板，简化合规审计的证据收集工作，实现高效的自动化合规审计与评估。

目前，亚马逊云科技正不断将领先的安全服务引入中国（西云数据运营宁夏区域，光环新网运营北京区域），进一步帮助用户完善云上安全建设。依托亚马逊云科技的云自身安全及云中安全服务，用户能够在云上开展业务的同时获得自动化、规模化的安全保障，让安全成为企业创新助推器。