ZKTeco 利用 Cloud Foundations 方案构建安全稳健的云底座

中文版本 | English Version

1. ZKTeco 背景介绍

熵基科技股份有限公司（ZKTeco）成立于 2007 年，是一家多模态“计算机视觉与生物识别”领域的领军企业。熵基科技于 2021 年开始与亚马逊云科技合作，推进集团云转型，逐步将各产品线云化。其中最重要的里程碑是基于亚马逊云底座构建了 MinervaIoT 物联网平台。

2. MinervaIoT 平台架构

MinervaIoT 平台是由 ZKTeco 独立开发的新一代物联网平台，它可以快速、方便、远程地连接前端智能设备和应用，支持边缘端 AI 计算，提供基于平台的 SaaS 云服务，也开放 API 市场给第三方合作伙伴集成和连接。MinervaIoT 平台是 ZKTeco 的数字化创新产品之一，它结合了大数据、物联网、5G 等科技布局，为用户提供了全面的智能解决方案。

以上是 MinervaIoT 平台的 AWS 架构，主要分为三层：

第一层是核心物联网平台层，该层通过一系列 AWS 服务来处理设备连接、数据收集与分析、视频流处理以及机器学习等功能。具体使用了无服务器的 AWS Fargate 容器服务自动管理容器，AWS IoT Core 服务实现设备连接和通信，AWS Kinesis Video Stream 服务处理视频流，AWS Lambda 服务实现事件驱动计算，Amazon Redshift 数据仓库存储和分析大数据，Amazon SageMaker 提供机器学习模型搭建与训练。

第二层是基础认证服务层，提供核心平台所需的基础支持服务，比如位置服务、组织服务、身份服务、LDAP 目录服务、订阅服务以及通用存储服务等，用于管理用户、设备、组织，以及数据存储和访问。

第三层是存储层，提供不同类型的数据存储,比如对象存储 AWS S3，关系数据库 Amazon Aurora，非关系数据库 Amazon DynamoDB，缓存数据库 Amazon ElastiCache，数据仓库 Amazon Redshift 等，满足平台的多样化存储需求。

通过上述模块化的层次划分，平台可以充分利用 AWS 云服务的托管能力，实现高性能、高可用、安全可扩展的物联网平台。无服务器架构降低管理成本，机器学习提升平台智能，大数据分析提供深入见解。架构的清晰解耦也利于敏捷迭代与扩展。

3. Cloud Foundations 方案

“源浚者流长，根深者叶茂”。如果企业希望云上各种生产应用和工作负载“行稳致远”，安全稳健的云上运行环境是重中之重。ZKTeco 和亚马逊云科技合作，部署了 Cloud Foundations 解决方案，以 AWS 良好架构（Well-Architected Framework）最佳实践为指导，从卓越运维、安全、可靠、性能效率、成本优化和可持续等六大支柱构建 MinervaIoT 高质量的云底座。

3.1 解决方案概览

Cloud Foundations 系统地定义了云上生产环境所需的三十种“功能”，范围涵盖基础设施、安全、业务连续性、财务、运维、治理与合规等六大支柱，是对企业上云基础能力的全面提升。 Cloud Foundations 快速启动包帮助 ZKTeco 在两周内，利用云原生技术和自动化方案，快速搭建了包括着陆区、安全基线和运维功能的上云就绪环境，以迅速供生产系统使用。ZKTeco DevOps 团队可以此为基础，持续构建和加强 Cloud Foundations 定义的技术功能。本方案主要有以下优势：

• 快速交付：Cloud Foundations 快速启动包加快了 ZKTeco 实现业务价值的时间并降低了实施成本，促进了安全最佳实践的使用。ZKTeco 可以将有限的 IT 资源集中在诸如大规模迁移、构建下一代无服务器应用程序和云上重塑业务流程等高价值的机会上。
• 提高安全性：使用一套集中管理的部署代码，可以提高质量和安全性。Cloud Foundations 快速启动包内置了安全和合规的基本配置。ZKTeco 提出的新安全要求可以很容易的集成到目前的代码中，有利于持续改善安全状况。
• 简化工作：Cloud Foundations 快速启动包简化了为 ZKTeco 构建多账户亚马逊云科技环境所采用的复杂方法。通过预先完成大部分工程、代码的开发和测试工作，从而降低了出现缺陷的可能性。

3.2 安全风险防范和安全增强

安全一直是构建云上环境的重中之重。我们遵循以下基本原则。首先是在可以使用 Amazon KMS 客户密钥的资源都进行静态加密，其次是在安全账户集中管理这些密钥，再次是对各类策略授予最小权限。

本方案根据安全最佳实践配置资源。以下我们列举部分实例，说明本方案如何有效防范安全风险：

1. 通过账户级别的工作负载隔离避免一个账户的管理员权限被攻破而导致所有云上资源面临危险；
2. 可以通过强制密码策略防止 IAM 用户的密码过于简单或者长期不更新密码；
3. 可以通过制定备份策略，在系统遭到勒索等数据不可用的情况下，使用备份将系统恢复到正常状态；
4. 可以通过制定安全策略杜绝创建可以公共访问的 S3 存储桶，防止安全重要文件的意外泄露；
5. 强制使用 https 访问 S3 存储桶，防止未经授权的数据访问、数据盗窃或数据更改；
6. 避免账户中的关键资源遭到非授权的篡改和删除，以及避免恶意创建云上资源；
7. 强制加密 S3，EBS，EFS，RDS 的数据，防止敏感数据的泄露；
8. 杜绝敏感端服务器口对互联网开放，杜绝不安全的安全组规则，降低网络黑客入侵的成功率；
9. 可以对资源的恶意使用、来自网络的恶意攻击和用户权限的不当使用做早期预警，并提供预先准备的响应措施。

3.3 安全隐患联合调查和补救措施

本方案配合 Amazon GuardDuty，Amazon Security Hub 等服务，对上报的安全隐患调查结果进行跨资源、跨账户联合调查，对疑似风险点创建自定义高风险调查结果，并预置数个自定义操作，协助 ZKTeco 响应安全隐患和采取补救措施。

4. 总结

ZKTeco 与 AWS 合力构建基于 AWS 的核心云平台 MinervaIoT，支持公司业务云转型。ZKTeco 部署了 Cloud Foundations 解决方案，根据 AWS 良好架构最佳实践，从六大支柱着手构建了 MinervaIoT 的云底座。Cloud Foundations 不仅可以有效协助 ZKTeco 高效部署、运维和治理云上工作负载，迅速供业务生产使用，还系统性地提升了安全基线，持续改善云上环境的安全性。从而为 MinervaIoT 云平台和 ZKTeco 未来在 AWS 上的业务发展奠定了安全可靠的基础。

本篇作者