加速业务数字化,熵基科技携手亚马逊云科技构建安全稳健云底座
熵基科技于 2021 年开始与亚马逊云科技合作,推进集团云转型,逐步将各产品线云化,其中最重要的里程碑是基于亚马逊云底座构建了 MinervaIoT 物联网平台,推进多模态BioCV与千行百业的融合应用。
一、全新一代物联网平台——MinervaIoT
MinervaIoT平台是由熵基科技独立开发的新一代物联网平台,它可以快速、方便、远程地连接前端智能设备和应用,支持边缘端AI计算,提供基于平台的SaaS 云服务,也开放API市场给第三方合作伙伴集成和连接。MinervaIoT平台是熵基科技的数字化革新产品之一,它融合了大数据、物联网、5G等数字技术,为用户提供全栈式智能化解决方案。
以上是MinervaIoT平台的亚马逊云基础架构,主要分为三层:
第一层是核心物联网平台层,该层通过一系列AWS服务来处理设备连接、数据收集与分析、视频流处理以及机器学习等功能。MinervaIoT具体使用到无服务器的AWS Fargate容器服务自动管理容器、AWS IoT Core服务实现设备连接和通信、AWS Kinesis Video Stream服务处理视频流、AWS Lambda服务实现事件驱动计算、Amazon Redshift 数据仓库存储和分析大数据,以及Amazon SageMaker提供机器学习模型搭建与训练。
第二层是基础认证服务层,提供核心平台所需的基础支持服务。比如,位置服务、组织服务、身份服务、LDAP 目录服务、订阅服务以及通用存储服务等,用于管理用户、设备、组织,以及数据存储和访问。
第三层是存储层,提供不同类型的数据存储。比如,对象存储AWS S3、关系数据库Amazon Aurora、非关系数据库Amazon DynamoDB、缓存数据库 Amazon ElastiCache、数据仓库Amazon Redshift 等,满足平台的多样化存储需求。
通过上述模块化的层次划分,MinervaIoT平台可以充分利用AWS云服务的托管能力,实现高性能、高可用、安全可扩展的物联网平台。无服务器架构降低管理成本,机器学习提升平台智能,大数据分析提供深入见解。架构的清晰解耦,也利于敏捷迭代与扩展。
二、云安全底座--Cloud Foundations
“源浚者流长,根深者叶茂”。如果企业希望云上各种生产应用和工作负载“行稳致远”,安全稳健的云上运行环境是重中之重。熵基科技和亚马逊云科技合作,部署了Cloud Foundations解决方案,以AWS良好架构(Well-Architected Framework)最佳实践为指导,围绕卓越运维、安全、可靠、性能效率、成本优化和可持续等六大支柱,构建MinervaIoT高质量的云底座。
(一)解决方案概览
Cloud Foundations系统地定义了云上生产环境所需的30多种“功能”,范围涵盖基础设施、安全、业务连续性、财务、运维、治理与合规等六大支柱,是对企业上云基础能力的全面提升。
Cloud Foundations快速启动包帮助熵基科技在两周内,利用云原生技术和自动化方案,快速搭建包括着陆区、安全基线和运维功能的上云就绪环境,以迅速供生产系统使用。熵基科技DevOps团队可以此为基础,持续构建和加强Cloud Foundations定义的技术功能。
本方案主要有以下优势:
快速交付:Cloud Foundations快速启动包加快了熵基科技实现业务价值的时间并降低了实施成本,促进了安全最佳实践的使用。熵基科技可以将有限的IT资源集中在诸如大规模迁移、构建下一代无服务器应用程序和云上重塑业务流程等高价值的机会上;
提高安全性:使用一套集中管理的部署代码,可以提高质量和安全性。Cloud Foundations快速启动包内置了安全和合规的基本配置。熵基科技提出的新安全要求,可以很容易的集成到目前的代码中,有利于持续改善安全状况;
简化工作:Cloud Foundations快速启动包简化了为熵基科技构建多账户亚马逊云科技环境所采用的复杂方法。通过预先完成大部分工程、代码的开发和测试工作,从而降低了出现缺陷的可能性。
(二)安全风险防范和安全增强
安全一直是构建云上环境的重中之重。我们遵循以下基本原则。首先,是在可以使用Amazon KMS客户密钥的资源都进行静态加密,其次是在安全账户集中管理这些密钥,再次是对各类策略授予最小权限。
本方案根据安全最佳实践配置资源。以下我们列举部分实例,说明本方案如何有效防范安全风险:
通过账户级别的工作负载隔离,避免一个账户的管理员权限被攻破,而导致所有云上资源面临危险;
可以通过强制密码策略,防止IAM用户的密码过于简单或者长期不更新密码;
可以通过制定备份策略,在系统遭到勒索等数据不可用的情况下,使用备份将系统恢复到正常状态;
可以通过制定安全策略,杜绝创建可以公共访问的S3存储桶,防止安全重要文件的意外泄露;
强制使用https访问S3存储桶,防止未经授权的数据访问、数据盗窃或数据更改;
避免账户中的关键资源遭到非授权的篡改和删除,以及避免恶意创建云上资源;
强制加密S3、EBS、EFS、RDS的数据,防止敏感数据的泄露;
杜绝敏感端服务器口对互联网开放,杜绝不安全的安全组规则,降低网络黑客入侵的成功率;
可以对资源的恶意使用、来自网络的恶意攻击和用户权限的不当使用做早期预警,并提供预先准备的响应措施。
(三)安全隐患联合调查和补救措施
本方案配合Amazon Guardduty、Amazon Security Hub等服务,对上报的安全隐患调查结果进行跨资源、跨账户联合调查,对疑似风险点创建自定义高风险调查结果,并预置数个自定义操作,协助熵基科技响应安全隐患和采取补救措施。
熵基科技部署了Cloud Foundations 解决方案,根据AWS良好架构最佳实践,从六大支柱着手构建了MinervaIoT的云底座。Cloud Foundations 不仅可以有效协助熵基科技高效部署、运维和治理云上工作负载,迅速供业务生产使用,还系统性地提升了安全基线,持续改善云上环境的安全性,从而为MinervaIoT 云平台和熵基科技未来在AWS上的业务发展,奠定安全可靠的基础。
三、数字化应用介绍
基于MinervaIoT平台数字化基座,熵基科技构建端、边、云、服技术生态,推出熵基云商、熵基互联等系列应用,面向客户以混合云+云订阅服务重构商业模式,并持续在人与场景的交互价值和场景赋能价值体现创新价值。
熵基云商着力打造产品商城、方案商城、应用商城、知识商城、服务商城等产业互联网社群平台型工具,覆盖百万泛出入口行业从业者和用户,助力合作伙伴企业在营销拓客、运营变现、服务在线等全链路上不断进化,加强产业协同交互,实现资源优化配置,成为用户信任的一站式优质产品及服务提供商,协同服务商从传统经营向数字化经营发展,为客户提供优质产品和一站式数智化营销服务平台。
熵基互联针对物联网场景提供解决方案,陪伴中小企业数字化转型,围绕公司核心业务“智慧办公,智慧出入口,智慧身份核验”领域的场景沉淀经验,聚焦SMB中小企业客群,利用长尾市场效应,发挥公司“前端门禁+后端线下业务平台+MinervaIoT平台+SaaS应用”的综合立体优势,为中小企业客群提供“经营场所管理+经营管理”的场景化解决方案,陪伴中小企业成长,为企业从“粗犷”到“精细”化管理提供多位数智化“助理”。