ULA通过大规模降低云合规风险来加速创新

  • 出海新观点

    2025-07-07 21:58:09
  • 公有云实践
  • 转载


导读

对于发射服务等关键任务操作来说,高度管控的云环境是必需的,但这可能会阻碍创新。探索联合发射联盟(ULA)这一航空航天行业的领导者如何在受监管的云环境中大规模维持最小权限原则,同时确保在亚马逊云科技 GovCloud(美国)上实现严格的安全性和合规性。这种由ULA和亚马逊云科技专业服务部门开发的“功能性权限”方法,将最小权限理念与跨职能实践社区以及ULA设计的强大安全合规控制和防护机制相结合。这使得用户、开发人员和工程师能够自由创新,增强了ULA的安全态势,并有助于在保持高安全标准的同时支持100%的任务成功率。

演讲精华

以下是小编为您整理的本次演讲的精华。

在引人入胜的亚马逊云科技 re:Invent 2024会议上,美国联合发射联盟(ULA)和亚马逊云科技专业服务公司揭示了一种在高度监管的GxP云环境中进行身份管理和合规性管理的创新方法。这种新颖的策略使ULA能够以前所未有的速度加快创新步伐,同时保持严格的安全标准和合规性态势。

会议伊始,ULA云安全架构师Jeff McClain、亚马逊云科技专业服务高级顾问Brian Gunter和ULA云工程师Cody Hartman进行了介绍。他们强调了本次会议的重点是ULA创新的身份管理和合规性框架,使其能够在GxP云环境中加速创新。

Jeff McClain概述了ULA作为洛克希德马丁和波音合资企业的使命和能力,专门为商业和政府任务建造和发射火箭。ULA已经成功发射了163次任务,取得了100%的成功率,这是一项令人骄傲的非凡成就。他接着深入探讨了ULA在云采用之旅的早期所面临的挑战,包括复杂的用户供应、扩展问题、实现最小特权、工作负载迁移挑战以及缺乏云知识。为了应对这些挑战,ULA开始深入研究政策、与用户和团队负责人接触、识别效率低下的领域、标准化角色、探索架构理念,并寻求亚马逊云科技专业服务的帮助。

来自亚马逊云科技专业服务的Brian Gunter阐释了解决方案的方法,包括利用亚马逊云科技着陆区加速器(LZA)进行供应、治理、安全性,以及可选的网络。他详细阐述了通过LZA和亚马逊云科技组织实施边界策略和服务控制策略(SCP)的过程,以及利用亚马逊云科技 IAM身份中心进行身份管理和角色供应。Brian仔细地逐层讲解了身份策略、服务控制策略和边界策略,强调了它们各自的作用和相互作用。服务控制策略被用于通过精确的拒绝语句实施安全策略框架,而边界策略则充当经批准服务的允许列表,使开发人员能够在安全的绿色区域内运作。在给出的示例中,边界策略允许访问20个经过审查的服务,同时自动排除任何新的或未经批准的服务。

Jeff McClain随后讨论了ULA对这一方法的实施,强调了有效权限管理和“功能特权”概念的重要性。这包括非技术性的工作,如教育用户、通过架构CoP建立标准和政策,以及实施严格的新服务审批流程以进行安全审查。在技术层面上,ULA使用LZA管道实施了权限边界策略,并将服务控制策略作为标准化的阻止列表。提出了“原则特权”的概念,反映了在授予用户探索自由与保持健全安全控制之间的平衡。

Cody Hartman深入探讨了ULA策略中的工具和自动化方面,强调在实施工具之前必须拥有坚实的治理策略和架构基础。ULA开发了CLI工具,根据CloudTrail日志、IAM访问分析器报告和Terraform等服务的基础架构即代码分析来自动生成策略,从而实现更细粒度、更符合开发人员需求的响应式策略。该过程包括将开发人员纳入专用的入职账户、捕获他们的操作和资源使用情况、生成最小特权策略和角色,并将它们部署到账户。这种方法加快了开发周期、减少了手动工作量,并提供了灵活性来根据开发人员需求的变化调整策略。在一个示例中,某开发人员在某个角色中工作了大约一个月,ULA能够通过分析特定时间窗口内使用的操作来过滤掉不必要的操作,确保生成的策略符合他们当前的需求。

本次会议重点介绍了ULA在高度监管的GxP云环境中实现身份管理和合规性的创新方法,利用了亚马逊云科技服务(如LZA、IAM身份中心、组织)和自定义工具,以及一个明确的策略,使其能够在保持高安全标准和合规性态势的同时加速创新。通过实施这一框架,ULA已经取得了令人瞩目的供应时间缩减,从几天或几小时缩短到仅几分钟,同时确保遵守严格的安全和合规性要求。

演讲者强调了解每项服务的控制措施,以缓解潜在的安全漏洞的重要性。ULA的服务审批流程包括对新服务进行全面评估,包括执行摘要、拟议用例、共享责任模型考虑因素、合规性影响,以及制定安全控制措施,如SCP、身份策略、配置规则、CloudWatch警报、漏洞扫描和SIEM注释。

ULA的特权管理方法(称为“功能特权”)允许实施更广泛的身份策略,同时保持必要的安全控制。入职账户在此过程中发挥了关键作用,使开发人员能够在受控环境中探索和创新,同时捕获他们的操作和资源使用情况,以便使用CloudTrail和IAM访问分析器等服务生成策略。

ULA开发的CLI工具有助于根据CloudTrail日志、IAM访问分析器报告和Terraform等服务的基础架构即代码分析自动生成策略。这种方法确保了策略能够满足开发人员的实际需求,减少了手动工作量,并实现了更细粒度、更具响应性的策略。与代码存储库的集成进一步增强了这一过程,使ULA能够根据计划的基础架构部署和API调用主动生成策略。

在整个会议过程中,演讲者强调了与各利益相关方(包括云卓越中心、架构CoP和开发团队)进行协作和获得认可的重要性。这种协作方式确保了该策略在整个组织内得到明确定义、理解和支持。

总之,在亚马逊云科技 re:Invent 2024大会上,ULA展示了其在高度监管的GxP云环境中实现身份管理和合规性的开创性方法。通过利用亚马逊云科技服务(如LZA、IAM身份中心、组织、CloudTrail、IAM访问分析器和Terraform)以及自定义工具和明确的策略,ULA实现了加速创新与严格的安全和合规性标准之间的卓越平衡,为运营在受监管云环境中的组织树立了新的标杆。

我们正处在 Agentic AI 爆发前夜。 2025 亚马逊云科技中国峰会提出,企业要从 " 成本优化 " 转向 " 创新驱动 " ,通过完善的数据战略和 AI 云服务,把握全球化机遇。亚马逊将投入 1000 亿美元在 AI 算力、云基础设施等领域,通过领先的技术实力和帮助“中国企业出海“和”服务中国客户创新“的丰富经验,助力企业在 AI 时代突破。



请使用浏览器的分享功能分享到微信等