Volkswagen Group 採集中化管理方式,透過 Amazon GuardDuty 控管 AWS 的安全威脅

2021 年

旗下員工超過 650,000 的 Volkswagen Group (Volkswagen) 需要更強大的安全機制才能支撐其營運。這家全球汽車製造商使用內部部署和以雲端為基礎的解決方案,這包括了由 Amazon Web Services (AWS) 提供技術支援的應用程式。為了進一步強化安全狀態,Volkswagen 部署了 Amazon GuardDuty (一種威脅偵測服務,可持續監控是否有惡意活動和未經授權的行為,以保護組織的 AWS 帳戶、工作負載以及資料)。該公司透過 AWS 安全服務得以集中管理其 AWS 帳戶,並在出現安全威脅時自動採取應變措施。

The car moves at great speed at the night.
kr_quotemark

AWS 是一家以客戶為尊的公司,AWS 團隊重視我們的需求。Amazon GuardDuty 的 AWS Organizations 讓我們省下大把時間。」

Sachin Patil
Volkswagen Group AWS 雲端基礎服務產品負責人

隨著應用程式的託管需求增加而擴展規模

總公司位於德國的 Volkswagen 於 1937 年成立,旗下的 118 間車廠遍布於歐洲地區 20 個國家。它創立了 10 大汽車產品品牌,包括 Volkswagen Passenger Cars、Audi、SEAT、ŠKODA、Bentley、Bugatti、Lamborghini、Porsche、Ducati 和 Volkswagen Commercial Vehicles。為了管理公司內部的應用程式,Volkswagen 必須設法擴展其專案規模。它在 2016 年開始使用 AWS 來擴展專案規模,例如採用可整合控管其電動車輛的應用程式。Volkswagen AWS 雲端基礎服務產品負責人 Sachin Patil 表示:「在我們開始使用 AWS 服務來擴展模組化電動車輛平台的規模後,託管應用程式的需求提高。然後我們就開始大量使用 AWS 來支援這些擴展專案。」

Volkswagen 使用的 AWS 服務超過 200 項,包括 Amazon Elastic Compute Cloud (Amazon EC2,這是一種 Web 服務,可在雲端提供安全、可調整大小的運算容量) 在內。隨著該公司使用 AWS 服務的時間漸長,它開始想要加強所有 AWS 帳戶的安全機制和漏洞偵測。為了達到這個目標,Volkswagen 使用 Amazon GuardDuty 及內部部署安全資訊和事件管理服務 (由 Splunk 提供技術支援) 開發出一款解決方案,這款軟體解決方案可使用可搜尋介面近乎即時地擷取、檢索資料並建立資料之間的關聯性。

使用 Amazon GuardDuty 輔助組織安全性

Volkswagen 使用其內部開發的帳戶佈建系統來部署 Amazon GuardDuty。不過整個過程曠日廢時,Volkswagen 發現自訂個別 AWS 帳戶的安全控管措施對於大型企業而言較為繁複。在一次季度業務檢討會中,公司向 AWS 告知此事,AWS 團隊就在 Amazon GuardDuty 中新增了 AWS Organizations 支援功能。AWS Organizations 服務可協助企業集中管理和管治日益成長及擴展的 AWS 環境。使用 AWS Organizations 可讓 Volkswagen 在一建立 AWS 帳戶時就部署 Amazon GuardDuty。Sachin 表示:「因為 Amazon GuardDuty 原本就支援 AWS Organizations,我們使用個別帳戶時,就不需要再啟動 Amazon GuardDuty。在預設情況下,我們建立的每個帳戶都會建置這個功能。」「AWS 是一家以客戶為尊的公司,AWS 團隊重視我們的需求。Amazon GuardDuty 的 AWS Organizations 讓我們省下大把時間。」 使用 Amazon GuardDuty 的 AWS Organizations 讓 Volkswagen 佈建每一批帳戶的時間縮短了 5–7 分鐘。

Volkswagen 也使用 AWS Organizations 來建置 AWS Security Hub (此服務可全盤掌握所有 AWS 帳戶的安全提醒和安全狀態,使帳戶擁有者可集中查看安全威脅與分析結果)。由於使用 AWS Organizations 啟動 AWS Security Hub 以及其他企業服務,Volkswagen 進一步將其佈建每一批帳戶的整體時間縮短了 15–20 分鐘。它還可在建立帳戶時偵測安全威脅,進而提高安全性。當系統偵測到威脅時,就會將此結果傳送至 Splunk 安全資訊和事件管理執行個體,提醒 Volkswagen 的資安作業中心 (SOC) 採取行動。

Volkswagen 也落實了威脅偵測作業流程的自動化,減輕員工的工作量與負擔。例如,當 Amazon GuardDuty 偵測到有 Amazon EC2 執行個體遭 Rootkit 病毒感染時,就會啟動一套寄電子郵件給帳戶擁有者的工作流程。它還會將此結果列入 AWS Security Hub 中以提醒 SOC 團隊。然後團隊成員即可驗證 Amazon GuardDuty 的結果並執行修復措施,如解除 Amazon EC2 執行個體委任並在 SOC AWS 帳戶中建立副本。此帳戶內含分析根本原因並修復問題所用的工具。問題一經修復並標示為「已解決」,Amazon GuardDuty 就會提醒該帳戶到 AWS Security Hub 中查看安全結果。如果發生特別嚴重的問題,SOC 團隊和帳戶擁有者都會收到可立即自動封鎖受影響之應用程式或帳戶、防止安全威脅損害 Volkswagen 系統的其他部分等提醒。

Volkswagen 也會使用 AWS Organizations 來強制執行服務控制政策並管理所有 AWS 帳戶的權限許可。例如,SOC 團隊會管理經核准的 AWS 區域清單,此清單列出了帳戶擁有者可使用的 AWS 區域。當員工開始進行專案時,團隊會根據專案需求、用途及相關法規而核准相應的 AWS 區域。這些政策可讓 SOC 團隊掌握可能的安全問題,並防止員工在未核准的 AWS 區域內佈建和存取資源。在佈建帳戶的過程中,Volkswagen 會自動套用服務控制政策、防止個別帳戶更動 Amazon GuardDuty 或 AWS Security Hub。集中式的預防政策建置完成後,Volkswagen 就可以減少可能的疏失,致力於創新精進。Sachin 表示:「當我們的使用者想用 AWS 服務來加強安全時,就有現成的功能可以使用,他們不需要從頭開始建置一套新的解決方案。這樣一來,使用者可以省下大量時間,因為他們知道這個解決方案不僅安全,也符合 Volkswagen 的標準。他們可以把全副心力放在建置要跟車輛連線的應用程式上。」

加速 AWS 的新型應用程式開發

透過運用 Amazon GuardDuty、AWS Security Hub 和 AWS Organizations,Volkswagen 得以自動辨識安全威脅,並且可以很快地部署解決方案,進而保護其 AWS 帳戶、商務應用程式和基礎設施。Volkswagen 仍將繼續使用 AWS 服務來開發 Firestarter (執行於 Amazon API Gateway 的應用程式,使用開放原始碼的 JavaScript React 程式庫編寫而成) 這類的創新解決方案。Volkswagen 會透過 Amazon API Gateway (一種全受管服務,便於讓開發人員建立、發佈、維護、監控和保護任何規模的 API) 執行 Firestarter。Volkswagen 可望利用 Firestarter 簡化並加快其新客戶的 AWS 環境的正式上線速度。

AWS 團隊同時也是 Volkswagen 的得力助手。Volkswagen 的基礎平台負責人 Anurag Agrawal 表示:「AWS 的服務明顯以客戶為中心。AWS 讓我們學到很多,我們也將我們的所學融入公司策略。」

Volkswagen Group 參考架構

按一下可放大並觀看全螢幕。


關於 Volkswagen Group

Volkswagen Group 是一家全球汽車製造商。囊括 10 大品牌,包括 Volkswagen Passenger Cars、Audi、SEAT、ŠKODA、Bentley、Bugatti、Lamborghini、Porsche、Ducati 和 Volkswagen Commercial Vehicles。

AWS 的優勢

  • 帳戶佈建完成時即自動部署安全服務
  • 節省資安團隊成員的時間
  • 全公司實施一致的資安控管措施
  • 資安問題集中式管理
  • 在應用程式託管需求提高時隨之擴展規模
  • AWS 帳戶批量佈建時間縮短 20–27 分鐘

使用的 AWS 服務

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可持續監控您的 AWS 帳戶和工作負載是否有惡意活動,並提供詳細的安全問題清單以了解及進行修復。

進一步了解 »

AWS Organizations

AWS Organizations 可協助您在增長和擴展 AWS 資源時集中管理和管控環境。

進一步了解 »

AWS Security Hub

AWS Security Hub 是一種雲端安全狀態管理服務,可執行安全最佳實務檢查、彙總提醒並啟用自動修復。

進一步了解 »

Amazon EC2

Amazon Elastic Compute Cloud (Amazon EC2) 是一種 Web 服務,可在雲端提供安全、可調整大小的運算容量。該服務旨在降低開發人員進行 Web 規模雲端運算的難度。

進一步了解 »


開始使用

各行各業各種規模的組織每天都在使用 AWS 來變革其業務和履行其使命。聯絡我們的專家,立即開始您的專屬 AWS 雲端之旅。