ZS 使用 AWS 安全服务提供始终在线的安全最佳实践

ZS Associates (ZS) 致力于为具有复杂而苛刻的安全需求的多元化全球客户群提高可见性，并简化其安全状态的管理。公司的许多客户需要满足因国家/地区和行业而异的合规标准。ZS 一直在使用 Amazon Web Services (AWS) 为各个客户构建专属的云解决方案架构，因此它正在寻找一种可复制的安全解决方案，该解决方案可以轻松扩展，并能与其已在使用的数百种 AWS 服务完美配合。借助 AWS，ZS 构建了一个可扩展的综合性安全环境，可自动执行耗时的手动安全程序，并为客户简化了云架构的部署。

自 1983 年成立以来，ZS 一直使用软件来解决客户问题。多年来，该公司利用分析、人工智能和机器学习功能构建创新产品，并将其作为软件即服务提供。ZS 经常使用自己的专有平台 ZAIDYN 来构建客户解决方案，该平台建立在 AWS 之上，并通过各种托管 AWS 服务得到增强。该公司拥有自己的云卓越中心 (CCoE)，该部门专门负责建立、维护和帮助架构 250 多个 AWS 账户，这些账户是 ZS 为其客户提供的解决方案的一部分。各种 AWS 服务在 ZS 的“分支 AWS 账户”中为每个客户协同工作，ZS 可以通过集中相关日志、指标和事件来监控所有这些账户。

这些日志、指标和事件会生成数 TB 的原始信息，ZS 使用 Amazon Simple Storage Service (Amazon S3) 将这些信息存储至少一年，Amazon S3 是一种对象存储服务，提供业界领先的可扩展性、数据可用性、安全性和性能。CCoE 创建了一种过滤这些信息的方法，通过中间组件将数百 GB 的数据发送到一个集中式可观测性平台。（参见图 1，AWS 可观测性平台参考架构。）ZS 云服务总监 Rujuswami Gandhi 说：“你必须制定针对公司的尽职调查流程，创建不同的数据层，这样才能查看可以给你提供最多洞察的日志。” 

安全性是这一信息流的重要组成部分。ZS 以美国国家标准与技术研究所 (NIST) 的网络安全框架为中心构建了强大的安全环境，该框架的功能包括：识别、保护、检测和响应以及恢复。ZS 添加了治理功能，这是一项旨在帮助公司为第三方安全审计做好准备的内部举措。Gandhi 说：“在我们为客户采用的独特租赁架构所使用的众多不同 AWS 服务中，安全性是一个非常重要的元素，因为我们的客户对信息安全有很高的期望。”“客户可以放心，我们不仅以成熟的方式使用 AWS 服务，而且还符合行业标准框架。” 有关 ZS 构建的安全环境的详细信息，请参阅图 2 “ZS AWS 云信任环境 – 安全视角”。

例如，作为其检测和响应支柱的一部分，ZS 使用 AWS 提供的八项服务，并通过众多第三方解决方案得到增强。ZS 使用 AWS Security Hub 云安全状态管理服务实现了近乎实时的集中可见性，该服务可执行安全最佳实践检查、汇总警报并支持自动修复。此外，ZS 还简化了基础合规性管理，为 ZS 客户所需的许多安全框架（如 SOC 2、ISO/IEC 27001 和 HITRUST）提供了映射功能。使用 AWS Security Hub 促进了 ZS 的全球扩张，因为全球安全标准各不相同，例如欧盟的《通用数据保护条例》和被称为 “多层次保护制度” 的中国监管框架。Gandhi 说：“利用 AWS Security Hub，我们只需从预先构建的打包规则集中进行选择，它就会自动部署这些规则集，以便在修复工作进行过程中提供遵从性洞察和趋势。”“AWS Security Hub 管理起来非常轻松。”

ZS 用来检测和响应威胁的另一项服务是 Amazon Inspector，这是一项自动漏洞管理服务，可持续扫描 AWS 工作负载中的软件漏洞和意外网络泄露。为了阻止直接威胁，ZS 采用了 Amazon GuardDuty，这是一项威胁检测服务，可持续监控您的 AWS 账户和工作负载中的恶意活动，并提供详细的安全调查发现以实现可见性和修复。Gandhi 说：“使用 Amazon GuardDuty 为我们提供了深刻的洞察，如果我们的事件响应团队没有迅速意识到这些问题，它们就可能成为安全事件。”为了帮助证明合规，ZS 使用 AWS CloudTrail 来监控和记录整个 AWS 基础设施中的账户活动。这种更高的可见性简化了审计程序。

作为其环境中符合 NIST 框架保护支柱的一部分，ZS 采用了 AWS Identity and Access Management (AWS IAM) ，为整个 AWS 提供细粒度的访问控制。ZS 的云架构师 Beeling Chang 表示：“这个问题非常复杂，如果不使用 AWS，就靠我们自己是很难解决的。”

CCoE 的整个工作负载都建立在 AWS 登录区的概念之上，该解决方案可帮助客户根据 AWS 最佳实践更快地设置安全的多账户 AWS 环境。AWS 登录区通过自动设置来运行安全和可扩展的工作负载，从而帮助节省时间。据 ZS 估算，AWS 解决方案的自动、始终在线的合规模式每月可节省约 1,000 个小时的人工时间，而这些时间原本需要用来手动检查安全最佳实践的遵守情况。此外，ZS 还利用 AWS 提供的可堆叠安全服务和其他服务，将新客户的入门速度提高了三倍。

ZS 的 CCoE 团队继续专注于安全性，旨在全面改进 AWS Well-Architected Framework，该框架可帮助云架构师为各种应用程序和工作负载构建安全、高性能、有弹性且高效的基础设施。

此外，自从将焦点转移到 AWS 解决方案以来，ZS 提高了利用创新分析和机器学习功能的灵活性，同时吸引了优秀人才并增强了员工的能力。员工使用这些尖端技术与客户合作，帮助解决复杂的问题。Gandhi 说：“使用 AWS 帮助我们实现了集中可见性。”“它始终在线，且始终正常运行。它正在改变我们的整体思维模式。”