Dropbox 对 AWS 安全服务分层以扩大其签名服务保护范围

Dropbox 是一家基于云的文件存储和智能工作空间公司，于 2019 年收购了电子签名和存储解决方案公司 HelloSign。2021 年，HelloSign 的客户数量快速增长至 8 万多名，使其意识到保护客户的个人身份信息（PII）和支付卡信息数据至关重要。该公司希望提供安全且高度可用的服务，而这需要保护其服务免受分布式拒绝服务（DDoS）和其他安全事件的影响。

该公司已将 Amazon Web Services（AWS）用于满足多方面的基础设施需求，故其决定扩展对 AWS 的应用以改善安保状况。在短短 6 个月内，HelloSign 借助 AWS 提供的一系列可扩展的自定义安全工具实施了最佳实践、节省了开发人员的时间、缩短了安全响应周期并规避了安全事件，从而提升了安全性。

Dropbox 是一个智能工作空间，提供文件同步和共享功能，以优化工作流程。收购 HelloSign 后，Dropbox 使客户无需离开 Dropbox 即可在线发送、签署和存储文档。HelloSign 决定加强其安保状况，包括深入了解其 Web 应用程序安全性和主动识别存储的 PII 数据，以便确定在何处进行额外控制。

HelloSign 想要一个强大的可扩展解决方案，无需将数据转移到第三方，因为这可能会允许外部公司访问 PII，因此需要进行耗时的安全审查流程。HelloSign 非常信赖 AWS 的基础设施，通过 Amazon Simple Storage Service（Amazon S3）来存储加密数据，这是一种专为从任意位置检索任意数量的数据而构建的对象存储。HelloSign 没有采用零散的安全服务，而是在其内部工作流程中迅速实施了一套 AWS 安全服务。

HelloSign 安全解决方案的第一层是 Amazon Macie，这是一项完全托管的数据安全和数据隐私服务，它利用机器学习和模式匹配来发现和保护 Amazon S3 存储桶中的敏感数据。Amazon Macie 可以大规模运行，无需将数据转移给第三方。在漏洞管理方面，HelloSign 使用 Amazon Inspector，通过评估应用程序是否存在漏洞并检查意外的网络可访问性，来帮助提高部署在 AWS 上的应用程序的安全性和合规性。HelloSign 的高级安全工程师 Kirtika Dommeti 说：“我们将 Amazon Inspector 的调查发现用作补丁管理自动化流程的一部分，因而在更新软件和系统方面节省了大量的时间和资源。”为进一步增强安全可见性，HelloSign 使用了 Amazon GuardDuty，这是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护 AWS 账户、工作负载和在 Amazon S3 中存储的数据。为了更好地了解 Amazon GuardDuty 安全调查发现的根本原因，该公司正在评估 Amazon Detective，此服务通过机器学习、统计分析和图论来构建一组关联的数据，以帮助用户轻松进行更快速、更有效的安全调查。

为了监控和报告 HelloSign 的 AWS 安保状况，该公司使用了 AWS Security Hub，此服务汇总了所有安全调查发现并在其 AWS 部署期间执行安全最佳实践检查。这种安全警报和安保状况的全面视图有助于支持合规性。例如，HelloSign 使用 Amazon Macie 的功能来协助检测 PII 和支付卡信息，同时对 AWS Security Hub 进行全面的安保状况检查，以满足互联网安全中心基准和支付卡行业数据安全标准。

HelloSign 使用专有处理逻辑以及诸如 AWS Lambda（一项无服务器计算服务，允许用户运行代码而无需预置或管理服务器）和 Amazon DynamoDB（一个键值和文档数据库，可在任何规模的环境中提供个位数的毫秒级性能）等服务来管理调查发现。随后，HelloSign 的内部团队通过公司的票务和事故响应工作流程解决问题。

该公司使用 AWS Web Application Firewall（AWS WAF）应对 Web 应用程序的安全事件，这有助于保护 Web 应用程序或 API 免受常见的 Web 漏洞和机器人的攻击，这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。借助 AWS WAF，HelloSign 可以在流量到达公司 Web 服务器之前对其进行筛选，从而在短短 15 – 30 分钟内规避事故，同时自定义规则以主动阻止常见安全事件模式，并对受美国制裁的地区应用地理或特定国家/地区的访问阻止。AWS WAF 帮助 HelloSign 避免了 12 个 DDoS 安全事件以及其他可能导致其系统崩溃的安全威胁。HelloSign 还采用了 AWS Shield Advanced，这是一种托管式 DDoS 保护服务，可以保护在 AWS 上运行的应用程序。对于使用 AWS Shield Advanced 的受保护资源，客户可以获得 AWS WAF 和安全管理服务 AWS Firewall Manager，无需额外付费。Dommeti 说：“现在，我们可以做出明智的决策，并了解客户来自哪里。”

HelloSign 使用 AWS Single Sign-On（AWS SSO）对身份验证流程进行升级，从而轻松地集中管理对多个 AWS 账户和业务应用程序的访问权限，并为用户提供从同一位置单点登录访问分配给他们的所有账户和应用程序的权限。在 3 个月内实现安全功能自动化，简化了工作流程，减少了耗时的任务。总的来说，这些举措提高了效率，HelloSign 每周节省了大约 120 个小时的工作时间。Dommeti 说：“这些服务非常直观，我们能够将其运行并培训新员工对其进行轻松管理。”

AWS 安全服务的易用性和集成性帮助 HelloSign 实现了超越行业标准的安全级别。HelloSign 的安全总监 Mark Dorsi 表示：“借助 AWS，我们得以完善安全模型并实现手动流程的自动化。”“我们每年在安全操作、人员配备和许可成本方面节省了大约一百万美元的分类时间。”