ZS 徽标

ZS 使用 AWS 安全服务提供始终在线的安全最佳实践

2022 年

ZS Associates (ZS) 致力于为具有复杂而苛刻的安全需求的多元化全球客户群提高可见性,并简化其安全状态的管理。公司的许多客户需要满足因国家/地区和行业而异的合规标准。ZS 一直在使用 Amazon Web Services (AWS) 为各个客户构建专属的云解决方案架构,因此它正在寻找一种可复制的安全解决方案,该解决方案可以轻松扩展,并能与其已在使用的数百种 AWS 服务完美配合。借助 AWS,ZS 构建了一个可扩展的综合性安全环境,可自动执行耗时的手动安全程序,并为客户简化了云架构的部署。

Group of business people is working on new business strategy with a financial analyst while analyzing financial chart during meeting in the office.
kr_quotemark

我们在 AWS Security Hub 中的许多控制措施最终会映射回客户各种安全框架中的控制措施。它确实提供了良好的技术支持。”

Rujuswami Gandhi
ZS Associates 云服务总监

管理复杂架构中的安全性

自 1983 年成立以来,ZS 一直使用软件来解决客户问题。多年来,该公司利用分析、人工智能和机器学习功能构建创新产品,并将其作为软件即服务提供。ZS 经常使用自己的专有平台 ZAIDYN 来构建客户解决方案,该平台建立在 AWS 之上,并通过各种托管 AWS 服务得到增强。该公司拥有自己的云卓越中心 (CCoE),该部门专门负责建立、维护和帮助架构 250 多个 AWS 账户,这些账户是 ZS 为其客户提供的解决方案的一部分。各种 AWS 服务在 ZS 的“分支 AWS 账户”中为每个客户协同工作,ZS 可以通过集中相关日志、指标和事件来监控所有这些账户。

这些日志、指标和事件会生成数 TB 的原始信息,ZS 使用 Amazon Simple Storage Service (Amazon S3) 将这些信息存储至少一年,Amazon S3 是一种对象存储服务,提供业界领先的可扩展性、数据可用性、安全性和性能。CCoE 创建了一种过滤这些信息的方法,通过中间组件将数百 GB 的数据发送到一个集中式可观测性平台。(参见图 1,AWS 可观测性平台参考架构。)ZS 云服务总监 Rujuswami Gandhi 说:“你必须制定针对公司的尽职调查流程,创建不同的数据层,这样才能查看可以给你提供最多洞察的日志。” 

图 1:AWS 可观测性平台参考架构

与第三方系统集成

安全性是这一信息流的重要组成部分。ZS 以美国国家标准与技术研究所 (NIST) 的网络安全框架为中心构建了强大的安全环境,该框架的功能包括:识别、保护、检测和响应以及恢复。ZS 添加了治理功能,这是一项旨在帮助公司为第三方安全审计做好准备的内部举措。Gandhi 说:“在我们为客户采用的独特租赁架构所使用的众多不同 AWS 服务中,安全性是一个非常重要的元素,因为我们的客户对信息安全有很高的期望。”“客户可以放心,我们不仅以成熟的方式使用 AWS 服务,而且还符合行业标准框架。” 有关 ZS 构建的安全环境的详细信息,请参阅图 2 “ZS AWS 云信任环境 – 安全视角”。

图 2:ZS AWS 云信任环境 – 安全视角

以 NIST 网络安全框架为蓝本

建立始终在线的最佳实践

例如,作为其检测和响应支柱的一部分,ZS 使用 AWS 提供的八项服务,并通过众多第三方解决方案得到增强。ZS 使用 AWS Security Hub 云安全状态管理服务实现了近乎实时的集中可见性,该服务可执行安全最佳实践检查、汇总警报并支持自动修复。此外,ZS 还简化了基础合规性管理,为 ZS 客户所需的许多安全框架(如 SOC 2、ISO/IEC 27001 和 HITRUST)提供了映射功能。使用 AWS Security Hub 促进了 ZS 的全球扩张,因为全球安全标准各不相同,例如欧盟的《通用数据保护条例》和被称为 “多层次保护制度” 的中国监管框架。Gandhi 说:“利用 AWS Security Hub,我们只需从预先构建的打包规则集中进行选择,它就会自动部署这些规则集,以便在修复工作进行过程中提供遵从性洞察和趋势。”“AWS Security Hub 管理起来非常轻松。”

ZS 用来检测和响应威胁的另一项服务是 Amazon Inspector,这是一项自动漏洞管理服务,可持续扫描 AWS 工作负载中的软件漏洞和意外网络泄露。为了阻止直接威胁,ZS 采用了 Amazon GuardDuty,这是一项威胁检测服务,可持续监控您的 AWS 账户和工作负载中的恶意活动,并提供详细的安全调查发现以实现可见性和修复。Gandhi 说:“使用 Amazon GuardDuty 为我们提供了深刻的洞察,如果我们的事件响应团队没有迅速意识到这些问题,它们就可能成为安全事件。”为了帮助证明合规,ZS 使用 AWS CloudTrail 来监控和记录整个 AWS 基础设施中的账户活动。这种更高的可见性简化了审计程序。

作为其环境中符合 NIST 框架保护支柱的一部分,ZS 采用了 AWS Identity and Access Management (AWS IAM) ,为整个 AWS 提供细粒度的访问控制。ZS 的云架构师 Beeling Chang 表示:“这个问题非常复杂,如果不使用 AWS,就靠我们自己是很难解决的。”

CCoE 的整个工作负载都建立在 AWS 登录区的概念之上,该解决方案可帮助客户根据 AWS 最佳实践更快地设置安全的多账户 AWS 环境。AWS 登录区通过自动设置来运行安全和可扩展的工作负载,从而帮助节省时间。据 ZS 估算,AWS 解决方案的自动、始终在线的合规模式每月可节省约 1,000 个小时的人工时间,而这些时间原本需要用来手动检查安全最佳实践的遵守情况。此外,ZS 还利用 AWS 提供的可堆叠安全服务和其他服务,将新客户的入门速度提高了三倍。

使用 AWS 解决方案进行创新

ZS 的 CCoE 团队继续专注于安全性,旨在全面改进 AWS Well-Architected Framework,该框架可帮助云架构师为各种应用程序和工作负载构建安全、高性能、有弹性且高效的基础设施。

此外,自从将焦点转移到 AWS 解决方案以来,ZS 提高了利用创新分析和机器学习功能的灵活性,同时吸引了优秀人才并增强了员工的能力。员工使用这些尖端技术与客户合作,帮助解决复杂的问题。Gandhi 说:“使用 AWS 帮助我们实现了集中可见性。”“它始终在线,且始终正常运行。它正在改变我们的整体思维模式。”


关于 ZS Associates

ZS Associates 是一家咨询和专业服务公司,总部位于伊利诺伊州,在全球设有 30 个办事处,专注于咨询、软件和技术,为制药、医疗保健、技术和其他行业的客户提供服务。 

AWS 带来的效益

  • 每月可节省 1,000 小时的安全管理人工时间
  • 客户入门速度提高了 3 倍  
  • 自动进行持续、近乎实时的安全检查
  • 简化合规性管理

使用的 AWS 服务

AWS Security Hub

AWS Security Hub 是一项云安全状态管理服务,可自动执行最佳实践检查,整合警报和支持自动化修复。

了解更多 »

Amazon GuardDuty

Amazon GuardDuty 是一项威胁检测服务,它持续监控您的 AWS 账户和工作负载的恶意活动,并提供详细的安全检测结果以实现可见性和修复。

了解更多 »

AWS CloudTrail

AWS CloudTrail 监控和记录您的 AWS 基础设施中的账户活动,让您能够控制存储、分析和修复操作。

了解更多 »

Amazon Inspector

Amazon Inspector 是一项自动化漏洞管理服务,可不断扫描 AWS 工作负载以查找软件漏洞。

了解更多 »


开始使用

无论行业无论规模,每天都有各种机构在使用 AWS 实现自身业务转型、实现企业愿景。欢迎您联系我们的专家,立即踏上您的 AWS 之旅。