Dropbox 將 AWS 安全服務分層,以擴展簽章服務保護
2021
Dropbox 雲端檔案儲存與智慧工作區公司於 2019 年收購 HelloSign 的電子簽章與儲存解決方案。HelloSign 的客戶量在 2021 年迅速突破 80,000 人,該公司認識到保護客戶的個人身分識別資訊 (PII) 和支付卡資訊資料的重要性,希望提高其服務的安全性與可用性,而這需要保護其服務免受分散式拒絕服務 (DDoS) 和其他安全事件的影響。
該公司已使用 Amazon Web Services (AWS) 滿足其許多基礎架構的需求,因此決定擴大 AWS 的使用範圍,以便增強其安全狀態。在短短 6 個月內,HelloSign 使用 AWS 的可擴展自訂安全工具套件提升了安全性,進而實作最佳實務、為開發人員省下時間、縮短安全回應時間,同時還能避免發生安全事件。
使用 AWS 後,我們就能夠使安全模型趨於成熟,並使手動程序自動化。在安全營運事件分類時間、人員配置和授權成本方面,我們每年能節省約一百萬美元。」
Mark Dorsi
HelloSign 安全總監
實作 AWS 服務套件
Dropbox 智慧工作區可提供檔案同步及共享功能,以最佳化工作流程。在收購 HelloSign 後,Dropbox 可為客戶提供線上傳送、簽署和儲存文件的功能,無需離開 Dropbox。HelloSign 決定提升其安全狀態,包括取得其 Web 應用程式安全的可見性,並主動辨識儲存的 PII 資料,以識別欲放置其他控制項的位置。
HelloSign 需要一個可擴展、完善,且無需將資料卸載至第三方解決方案的選項,否則將會因外部公司能夠存取 PII,而需要耗時的安全審查流程。HelloSign 已信任 AWS 的基礎架構,使用專為從任何位置擷取任何數量資料所建立的物件儲存功能 Amazon Simple Storage Service (Amazon S3) 儲存加密資料。HelloSign 並非逐一採用安全服務,而是在內部工作流程中快速實作 AWS 安全服務套件。
加強 AWS 上的安全狀態
HelloSign 安全解決方案的第一層是 Amazon Macie,其為全受管資料安全和資料隱私服務,並使用機器學習和模式比對來探索及保護 Amazon S3 儲存貯體中的敏感資料。Amazon Macie 可大規模運作,且不會將資料卸載至第三方。針對漏洞管理,HelloSign 使用 Amazon Inspector,其透過評估應用程式是否存在漏洞,並檢查是否有意外的網路可存取性,從而協助改善 AWS 上所部署應用程式的安全性和合規性。HelloSign 資深安全工程師 Kirtika Dommeti 表示:「我們使用 Amazon Inspector 調查結果作為修補程式管理自動化流程的一部分,進而節省大量用於更新軟體及系統的時間和資源。」為提升安全可見性,HelloSign 使用 Amazon GuardDuty 威脅偵測服務,其可持續監控是否有惡意活動和未經授權的行為,以保護 AWS 帳戶、工作負載與儲存在 Amazon S3 中的資料。為深入了解 Amazon GuardDuty 安全調查結果的根本原因,該公司正在評估 Amazon Detective 功能,其使用機器學習、統計分析和圖形理論建立相連的資料集,讓使用者能夠輕鬆執行快速且更有效的安全調查。
為監控和報告 HelloSign 的 AWS 安全狀態,該公司使用 AWS Security Hub,其會彙總所有安全調查結果,並在整個 AWS 部署中執行安全最佳實務檢查。此對於安全警示和安全狀態的全面了解有助於支援合規性。例如,HelloSign 使用 Amazon Macie 功能協助偵測 PII 和支付卡資訊,以及 AWS Security Hub 的全方位安全狀態檢查,以達到網際網路安全中心基準和支付卡產業資料安全標準。
HelloSign 使用專利處理邏輯、AWS Lambda及Amazon DynamoDB等服務管理調查結果;AWS Lambda 是一款無伺服器運算服務,可讓使用者在無需佈建或管理伺服器的情況下執行程式碼;Amazon DynamoDB 為鍵值和文件資料庫,其在任何規模下皆可達到低於 10 毫秒的效能。HelloSign 的內部團隊接著會透過公司的票證和事件回應工作流程解決任何問題。
解決 Web 應用程式的安全問題
該公司使用 AWS Web Application Firewall (AWS WAF) 因應 Web 應用程式安全事件。AWS WAF 可協助保護 Web 應用程式或 API 不受常見的 Web 入侵程式和機器人侵擾,使可用性和安全不受影響,且不耗用過多資源。透過使用 AWS WAF,HelloSign 可在流量到達公司 Web 伺服器之前進行篩選,在短短 15 到 30 分鐘內緩解事件、自訂規則以主動封鎖常見的安全事件模式,並將地理區域或國家特定區塊套用至美國制裁區域。使用 AWS WAF 可協助 HelloSign 避免 12 次 DDoS 安全事件,以及其他可能導致系統失效的安全威脅。HelloSign 亦使用 AWS Shield Advanced 受管 DDoS 保護服務,可協助保護在 AWS 上執行的應用程式。對於受 AWS Shield Advanced 保護的資源,客戶無需額外付費即可獲得 AWS WAF 和 AWS Firewall Manager 安全管理服務。Dommeti 表示:「現在,我們可以做出明智的決策,並了解客戶來自何處。」
HelloSign 使用 AWS Single Sign-On (AWS SSO) 升級其身分驗證流程,讓您能夠輕鬆地集中管理對多個 AWS 帳戶和商業應用程式的存取,以及從一個位置以單一登入的方式存取所有指派給他們的所有帳戶和應用程式。在 3 個月內自動化安全功能,進而簡化工作流程並減少耗時的工作。總體而言,此類遷移提升了效率,使 HelloSign 每週約節省 120 小時的工作時間。Dommeti 表示:「因為這些服務非常直觀,所以我們能夠輕鬆執行,並訓練新人員管理這些服務。」
持續提升效率
關於 Dropbox
AWS 的優勢
- 避免了 12 次 DDoS 安全事件
- 透過自動化,每週省下約 120 小時的工作時間
- 取得了安全狀態的可見性
- 可實作安全最佳實務
- 可自訂安全工具
- 3 個月內自動化安全功能
使用的 AWS 服務
Amazon Macie
Amazon Macie 是一個全受管資料安全和資料隱私服務,利用機器學習和模式比對來探索和保護 AWS 中的敏感資料。
AWS Shield Advanced
AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。AWS Shield 不只提供永遠開啟的偵測服務,還提供自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無需聯絡 AWS Support 也能輕鬆享受 DDoS 保護。
Amazon GuardDuty
Amazon GuardDuty 是一種威脅偵測服務,可持續監控您的 AWS 帳戶和工作負載是否有惡意活動,並提供詳細的安全問題清單以了解及進行修復。
AWS Security Hub
AWS Security Hub 是一種雲端安全狀態管理服務,可執行安全最佳實務檢查、彙總提醒並啟用自動修復。
開始使用
各行各業各種規模的組織每天都在使用 AWS 來變革其業務和履行其使命。聯絡我們的專家,立即開始您的專屬 AWS 雲端之旅。