ZS 使用 AWS 安全服務提供永遠啟用的安全最佳實務

ZS Associates (ZS) 致力於助力具有複雜、苛刻安全需求的多元化全球客戶群體深入了解其安全狀態並簡化管理。該公司的許多客戶需要滿足因不同國家和產業而異的合規標準。ZS 一直在使用 Amazon Web Services (AWS) 建置個別客戶獨有的雲端解決方案架構，因此它尋求可複製的安全性解決方案，該解決方案可輕鬆擴展並與已經使用的數百個 AWS 服務良好配合。ZS 使用 AWS 建置可擴展、全面的安全性環境，在其中可自動化耗時的手動安全程序，並且面向客戶輕鬆推出雲端架構。

自 1983 年成立以來，ZS 一直使用軟體來解決客戶問題。多年以來，該公司使用分析以及人工智慧和機器學習功能建置創新的產品，並以軟體即服務的方式提供。ZS 通常使用自己的專有平台 ZAIDYN 來建置客戶解決方案，該平台在 AWS 上建置，並透過各種受管的 AWS 服務得到增強。公司擁有自己的雲端卓越中心 (CCoE)，該部門致力於建置、維護和協助架構超過 250 個 AWS 帳戶，這些帳戶是 ZS 客戶解決方案的一部分。各種 AWS 服務在 ZS 所稱謂的「分支 AWS 帳戶」中協同服務每位客戶，並且 ZS 可透過集中相關的日誌、指標和事件來監控所有這些服務。

這些日誌、指標和事件會產生 TB 級的原始資訊，而 ZS 使用 Amazon Simple Storage Service (Amazon S3) 儲存這些資訊至少一年，後者是一項提供業界領先可擴展性、資料可用性、安全性和效能的物件儲存服務。CCoE 建立篩選這些資訊的方法，並且透過中介元件將數百 GB 的資訊傳送至集中的可觀測性平台。(請參閱圖 1：AWS 可觀測性平台參考架構。) ZS 雲端服務總監 Rujuswami Gandhi 表示：「您必須採用公司特定的盡職調查程序，該程序會建立不同的資料層，以便您查看可提供最深遠洞見的日誌。」 

安全性是此資訊流程的重要組成部分。ZS 以國家標準技術研究所 (NIST) 的網絡安全架構為中心建置強大的安全環境：識別、保護、偵測和回應以及復原。ZS 新增控管功能，這是一項內部倡議，旨在協助公司準備應對第三方安全稽核。Gandhi 表示：「在我們使用的眾多 AWS 服務中，基於我們為客戶採用的獨特租賃架構，安全性是非常重要的一環，因為我們的客戶對資訊安全有很高的期望。」「客戶可以相信，我們不僅以成熟的方式使用 AWS 服務，同時還符合各種業界標準架構。」 如需 ZS 所建置安全環境的詳細資訊，請參閱圖 2「ZS AWS 雲端信任環境 – 安全角度」。

例如，作為偵測和回應支柱的一部分，ZS 使用 AWS 提供的八項服務，這些服務透過許多第三方解決方案得到增強。ZS 使用雲端安全狀態管理服務 AWS Security Hub 實現近乎即時的集中式安全可見性，該服務可執行安全性最佳實務檢查、彙總提醒並支援自動修復。此外，針對 ZS 客戶所需的許多安全架構 (例如 SOC 2、ISO/IEC 27001 和 HITRUST)，ZS 透過映射功能簡化了其基礎合規管理。使用 AWS Security Hub 有助於 ZS 在全球範圍內擴大規模，因為全球各地有著不同的安全標準，例如歐盟的《一般資料保護規範》和中國的「多層保護機制」控管架構。「使用 AWS Security Hub，我們只需從預先建置的封裝規則集中進行選擇，該服務會自動部署以提供標準遵循洞見和修復工作進展趨勢，」Gandhi 說道。「只需少量工作即可妥善管理 AWS Security Hub。」

ZS 用於偵測和回應威脅的另一項服務是 Amazon Inspector，這是自動化漏洞管理服務，可不斷掃描 AWS 工作負載以尋找軟體漏洞和意外網路風險。為阻止近在眼前的威脅，ZS 使用 Amazon GuardDuty，這是一項威脅偵測服務，可持續監控 AWS 帳戶和工作負載是否有惡意活動，並提供詳細的安全問題清單以了解及進行修復。Gandhi 表示：「使用 Amazon GuardDuty 已為我們帶來出色的洞見，這些可能是我們的事件回應團隊未能迅速意識到的安全事件。」為協助證明合規性，ZS 使用 AWS CloudTrail，該服務可監控和記錄 AWS 基礎設施中的帳戶活動。這種更深入的可見性簡化了稽核程序。

為打造與 NIST 架構保護支柱相一致的環境，ZS 使用 AWS Identity and Access Management (AWS IAM)，該服務能夠在所有 AWS 服務中提供精細的存取控制。ZS 雲端架構師 Being Chang 表示：「如果未使用 AWS，這會是我們自己難以解決的複雜問題。」

CCoE 的整個工作負載都基於 AWS 登陸區域的概念建置，該解決方案可協助客戶依據 AWS 最佳實務更快地設定安全的多帳戶 AWS 環境。AWS 登陸區透過自動化設定來執行安全且可擴展的工作負載，從而協助節省時間。ZS 估計，AWS 解決方案的自動化、始終啟用的合規模式每月可節省大約 1,000 小時的人力時間，可利用這些時間手動檢查安全最佳實務的遵守情況。此外，ZS 使用可堆疊安全性和 AWS 的其他服務，將吸納新客戶的速度提升了三倍。

ZS 的 CCoE 團隊持續專注於安全性，因為它旨在改善 AWS Well-Architected Framework，該架構可幫助雲端架構設計師為各種應用程式和工作負載建置安全、高效能、可恢復和高效的基礎設施。

此外，自從將重點轉移到 AWS 解決方案以來，ZS 提高了利用創新分析和機器學習功能的靈活性，同時吸引優秀人才並增強員工自身的能力。員工使用這些尖端技術與客戶合作，協助解決複雜的問題。Gandhi 說道：「使用 AWS 有助於我們集中了解各種問題。」「AWS 始終啟用並保持活躍狀態。它正在轉變我們的整個思維。」