亚马逊AWS官方博客
在 AWS 上构建安全的电商平台
电商已经深入生活的方方面面,电商平台作为直接面对消费者的业务平台,处理着大量的个人敏感数据,包括姓名,住址,电话号码,银行卡号等等。同时电商平台要维持24小时的运营,任何原因导致的业务中断都可能会造成订单的损失,用户体验下降等等。又由于平台面对的消费者通常来自于不同的国家和地区,这就使得电商平台要适应不同区域的合规要求。
电商平台的安全合规具有行业特性,例如在产品的设计阶段(例如服装)就要特别注意信息的保密,在促销季,新品发布季就要特别注重网络的 DDoS 防护 ,售后发货则要保护用户的个人信息。
构建安全合规的电商平台是迫在眉睫,重中之重,AWS 提供了相对应的解决方案。与AWS 其他云服务一样,AWS 安全服务同样具备敏捷性,可扩展性和经济实用性。主要体现在可安全地扩展业务,自动化布署,隐私保护和数据安全为第一任务,丰富的合作伙伴网络,以及全球化的合规认证。
AWS 提供的安全服务和管理工具服务已经多达38种,并且还在持续不断地根据用户的需求和实际发生的安全事件进行创新。从身份认证开始,到资源保护,再到危胁入倾检测,合规检测,最后是根据系统异常进行纠正,AWS提供了丰富的安全服务和管理工具。
以下从电商平台外部,内部,合规,日常管理和反欺诈五个场景来展开,将AWS的安全服务应用到这五个场景中去。
系统外部的安全。对VPC外围的环境来说,电商平台需要关注的安全问题包括DDoS攻击,非法扫描攻击,账户盗用,存储桶入侵等。
在DDoS防护方面,AWS提供了AWS Shield和AWS WAF两种服务。
由于疫情的影响, 导致线上活动的时间和频率都明显增加,人们更喜欢在网上游戏,交友,办工以及购物,因而线上活动更容易成为DDoS攻击的目标。下表总结了AWS Shield在2020年第一季度检测到的威胁事件,并与2019年第四季度和2019年第一季度进行了比较,我们可以从环比和同比的角度去看整个攻击事件的变化。所有被 AWS Shield检测为DDoS攻击的网络事件,AWS Shield都会自动采取缓解保护措施。通常针对攻击类型,资源状况进行检测。
参数 2019年四季度 2020年一季度 变化情况
攻击事件总数 | 282,582 | 310,954 | +10% |
容量攻击峰值(Tbps) | 0.6 | 2.3 | +283% |
数据包攻击峰值(Mpps) | 282.2 | 293.1 | +4% |
请求攻击峰值(rps) | 1,585,615 | 694,201 | -56% |
表1. 比较 2019四季度 和2020一季度
参数 2019年一季度 2020年一季度 变化情况
攻击事件总数 | 253,231 | 310,954 | +23% |
容量攻击峰值(Tbps) | 0.8 | 2.3 | +188% |
数据包攻击峰值(Mpps) | 260.1 | 293.1 | +13% |
请求攻击峰值(rps) | 1,000,414 | 694,201 | -31% |
表2. 比较 2019一季度 和2020一季度
在2020年第一季度,AWS观察到之前未出现过的攻击峰值2.3Tbps,这是通过一个已知的UDP反射攻击–CLDAP反射达到的。这比先前在AWS上检测到的历史攻击峰值加了将近44%。 如此大规模的CLDAP反射攻击发生在2020年2月的第三周,AWS针对此次攻击采取了最高级别响应,最终成功防御了此次攻击。
针对应用层的攻击,AWS提供了WAF服务,并为用户提供了简易上手的自动化布署模板,用户可根据此模板加载相关规则,设置白名单,黑名单,SQL注入防护等规则,该服务还提供了蜜罐功能用于反爬虫和恶意机器人。同时可使用AWS Athena对WAF日志进行分析,再根据分析结果去更新规则。值得一提的是,用户除了可以使用AWS提供的托管规则,或自定义规则外,用户还可以在Marketplace上选用第三方的规则并加载到WAF上,以此来实现多WAF规则的布署。
在应对外部的安全危胁时,电商平台用户可以通过Amazon GuardDuty 威胁检测功能来持续监控和保护 AWS 账户、工作负载以及 Amazon S3 中存储的数据。特别是对于存放用户敏感数据 ,交易信息,产品设计文稿的S3,更加应该注意非授权的访问,非授权的外部分享,恶意IP的访问等。
系统内部的安全。在VPC内部,安全的问题就集中在访问控制,网络和实例的安全以及数据的保护和备份。在今年,频频出现数据泄露,数据被恶意删除等事件,电商平台处理的数据多且集中。数据的安全,需要在以下四个维度做好功课,访问控制,审计,加密和备份。AWS在这四个维度都提供了相应的服务供用户使用。
以访问凭证的管理为便,在日常工作中,凭证管理容易出现各种疏忽,比如用邮件传送相关凭证,开发者可以看到或者共享相关凭证,凭证的管理杂乱无序,对凭证的使用没有跟踪记录,缺乏可见性,凭证的产生和获得完全依靠安全团队,耗费时力,凭证轮换会影响系统运行的稳定性。 这时可以通过AWS Secrets Manager进行管理,获取和轮换凭证, 解决凭证明文使用的问题,可以更频繁地进行轮换更新,实现程序化地运行,减少人工参与,同时可审计并追溯凭证使用的情况。
对于内部的网络可到达性和实例的安全性,AWS提供了Inspector服务,在网络层面 可以检测到具体哪个端口在哪条路径被打开,以及正在被哪个进程以什么样的方式使用,在实例层面,可以检测到CVE漏洞,并告知用户可能产生的影响,以及推荐的改进措施。
数据是一切安全合规的本源,对数据进行分类并保护是所有合规的基础。随着业务的发展,生产数据越来越多,各个国家和地区对敏感数据的定义也越来越广,同时数据分布也越来越分散,这一切都使得对敏感数据的识别和保护变更日益重要,特别是电商行业用户。AWS Macie根据现行的GDPR, PCI,HIPAA等合规要求定义出了敏感数据的类型,包括个人信息,家庭信息,健康信息,同时也支持用户自定义敏感信息,AWS Macie可以根据预置的和自定义的敏感数据规则进行分类筛选,并根据发掘出来的数据类型提供不同的保护建议。
对于已经查找出来的敏感数据 ,AWS提供了不同的加密服务,包括ACM, KMS, CloudHSM来满足不同的加密场景,例如传输加密,存储加密,数据库加密和应用加密。
安全合规的风险。安全合规除了应关注具体的合规认证审计之外,也应该关注对整 体运行环境的持续性安全合规检测。以PCI-DSS为例,如果在通过认证之后,有恶意攻击者对整体环境做了异常的配置或操作,也会导致PCI-DSS不合规。这就需要引入工具来对运行环境做持续性的安全合规检测,并针对异常进行告警并纠正,AWS SecurityHub正正是符合这一需求。
AWS Security Hub 可让用户全面查看 AWS 账户中的高优先级安全警报与合规性状态。借助 Security Hub,可以对来自多个 AWS 服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。相关检测结果可在具有可操作图形和表格的集成控制面板上进行直观汇总。用户还可以使用自动合规性检查,持续监控运行环境。为提高使用的直观性和便利性,该服务可以根据合规检测的结果进行打分,用户可以直接根据得分情况进行改进。
AWS还提供了PCI-DSS的最佳实践,同时用户也可以通过AWS Artifact去获取AWS的PCI-DSS证书。
提高安全管理的效率。虽然事关安全无大小,但还是应该简化安全的管理流程,将更多的精力和时间投入到业务创新中去。例如证书的管理,和APP用户的管理,就是耗时耗力的工作。AWS ACM可支持通过邮件或DNS进行认证,证书有效期是13个月,支持全托管的更新和布署,被多个浏览器信任,并且完全免费,非常适用于初创企业,客户也可以导入第三方证书到ACM进行简化管理。 在APP用户管理方面,AWS提供了Cognito, 可结合多种社交应用进行注册登陆,也可以支持对注册账号进行综合的安全认证,例如邮件,电话号码唯一性。Cognito可结合AWS Pinpoint对用户进行分类和分析,并产生分析报告,例如用户的区域,注册时间,消费偏好等。
反欺诈。在疫情过后,经济正在逐渐恢复,但也出现了各种网络欺诈事件,包括假合同,虚假信用卡支付等。传统应对欺诈的做法是组织人工团队,并针对已发生的欺诈行为进行总结归纳找到规律,再制订相关规则更新到系统中进行防护,此做法通常会滞后,缺乏实时性。近几年也出现了专门提供反欺诈解决方案的公司,但由于欺诈行为通常发生在不同的行业,例如电商,游戏等,这种方案显得针对性不够。AWS Fraud Detector可以用来解决期诈识别,该服务先构建一个机器学习的模型,同时结合了AWS和AMAZON.COM多年的反欺诈经验,最后允许用户上传历史欺诈交易数据,这三方面的结合就给客户提供了一个可用于识别虚假账户,虚假交易,虚假信用卡的方案。此服务还提供了API, 在用户对某一笔交易存疑时,可以实时调用API进行欺诈评估。