大众汽车集团利用 Amazon GuardDuty 集中管理 AWS 上可能出现的安全威胁

大众汽车集团 (Volkswagen) 管理着 65 万多名员工，需要强有力的安全保障来支持其运营。这家全球汽车制造商使用本地部署的基于云的解决方案，包括由 Amazon Web Services (AWS) 支持的应用程序。为了进一步加强安保状况，大众汽车集团部署了 Amazon GuardDuty 这项威胁检测服务，可持续监测是否存在恶意活动和未经授权的行为，从而保护企业的 AWS 账户、工作负载和数据安全。该公司通过 AWS 安全服务集中监测 AWS 账户，并自动应对威胁。

大众汽车集团成立于 1937年，总部位于德国，在欧洲 20 个国家/地区运营着 118 家生产工厂。它为 10 个汽车品牌制造车辆，包括大众乘用车、奥迪、西雅特、斯柯达、宾利、布加迪、兰博基尼、保时捷、杜卡迪和大众商务车。大众汽车集团需要一种有效方法来扩展其项目，以便能够在其整个企业内托管应用程序。2016 年，集团开始使用 AWS 来扩展大型项目，例如整合其电动汽车控制的应用程序。“我们开始使用 AWS 服务扩展模块化电动汽车矩阵项目后，对应用程序托管的需求增加了，”大众汽车集团 AWS 云基础服务产品负责人 Sachin Patil 说。“我们随后开始大量依赖 AWS 来为这些项目提供支持。”

大众汽车集团使用了 200 多项 AWS 服务，包括 Amazon Elastic Compute Cloud (Amazon EC2)，这项网络服务在云中提供安全、可调整大小的计算容量。集团一直采用着 AWS 服务，希望加强整个 AWS 账户的安全和漏洞检测。为了实现这一目标，大众开发了一个解决方案，使用 Amazon GuardDuty 以及由 Splunk 提供支持的本地部署的安全信息和事件管理服务。该软件解决方案可以在可搜索的界面上捕获、索引和关联近乎实时的数据。

大众汽车集团使用其内部开发的账户预置系统部署了 Amazon GuardDuty。然而，这个过程很耗时，而且大众意识到，为单个 AWS 账户定制安全控制措施对大型企业而言相当麻烦。大众汽车集团在一次季度业务审查过程向 AWS 提出这一顾虑后，AWS 团队在 Amazon GuardDuty 中增加了 AWS Organizations 支持。AWS Organizations 这项服务可以帮助企业在增长和扩大规模时集中管理和治理其 AWS 环境。利用 AWS Organizations，大众汽车集团只要创建一个 AWS 账户就可以部署 Amazon GuardDuty。“由于 Amazon GuardDuty 支持 AWS Organizations，因此我们不需要在每个单独的账户中激活 Amazon GuardDuty。默认情况下，我们创建的任何账户都将实施该功能，”Sachin 说。“AWS 是一家以客户为中心的公司，AWS 团队会倾听我们的需求。适用于 Amazon GuardDuty 的 AWS Organizations 为我们节省了大量的时间。” 大众通过使用 Amazon GuardDuty 支持的 AWS Organizations，每批账户的预置时间减少了 5 到 7 分钟。

大众汽车集团还使用 AWS Organizations 实施 AWS Security Hub，这项服务能全面监控整个 AWS 账户的安全警报和安保状况，以便账户拥有者可以集中访问安全威胁和监测结果。通过使用 AWS Organizations 激活 AWS Security Hub 和其他企业级服务，大众进一步减少了整体的账户预置时间，每批账户分别减少 15 至 20 分钟。另外，该服务还可以在账户创建时检测是否存在威胁，提高安全性。当系统检测到威胁时，检测结果会传入大众汽车集团的 Splunk 安全信息和事件管理实例，提醒集团的安全运营中心 (SOC) 采取行动。

公司设置了自动检测威胁，减轻员工的工作负担。例如，如果 Amazon GuardDuty 检测到可能受到 rootkit 病毒侵害的 Amazon EC2 实例，它将启动工作流程，向账户拥有者发送电子邮件。该服务还将信息添加到 AWS Security Hub，提醒 SOC 团队注意。然后，团队成员可以验证 Amazon GuardDuty 的检测结果，并执行补救措施，例如停用 Amazon EC2 实例，并在 SOC AWS 账户中创建副本。该账户中包含了用于分析根本原因和补救问题的工具。当问题完成补救并标记为已解决时，Amazon GuardDuty 将提醒该账户在 AWS Security Hub 中查看安全结果。对于特别关键的问题，SOC 团队和账户拥有者会收到提示，可以立即自动阻拦受影响的应用程序或账户，防止威胁损害大众系统的其他部分。

此外，大众使用 AWS Organizations 执行服务控制策略，管理整个 AWS 账户的权限。例如，SOC 团队管理着一批允许账户拥有者使用的已批准 AWS 区域。员工开始一个项目时，团队将根据项目的需要、目的和适用法规批准某些 AWS 区域。这些政策可帮助 SOC 团队发现潜在安全问题，防止员工预置和访问批准的 AWS 区域以外的资源。在账户预置过程中，大众自动应用服务控制策略，防止个人账户修改 Amazon GuardDuty 或 AWS Security Hub。大众汽车集团通过实行集中的预防性政策，可以减少发生潜在错误，并专注于创新。“AWS 服务随时向有需求的用户提供。他们不必重新建立新的解决方案，”Sachin 说。“用户了解该解决方案既安全又符合大众汽车集团的标准，因而节省了大量的时间。他们可以专注于构建应用程序与车辆连接”。

通过 Amazon GuardDuty、AWS Security Hub和 AWS Organizations，大众可以自动识别安全威胁，快速部署解决方案，保护其 AWS 账户、业务应用程序和基础设施的安全。大众汽车集团将继续使用 AWS 服务来开发创新的解决方案，例如 Firestarter，这个应用程序基于开源 JavaScript 库 React 开发，在 Amazon API Gateway 上提供服务。大众汽车集团将在 Amazon API Gateway 上为 Firestarter 提供服务，这一全托管式服务便于人们创建、发布、维护、监控和保护任意规模的 API。借助 Firestarter，大众汽车集团将简化和加快引导新客户进入 AWS 环境。

大众汽车集团也因 AWS 团队提供的支持受益良多。“AWS 以客户为中心的理念十分值得称赞，”大众汽车集团基本平台负责人 Anurag Agrawal 说。“我们从 AWS 学习到的很多东西已经融入我们的企业中。”