ZKTeco背景介绍

 熵基科技股份有限公司（ZKTeco）成立于2007年，是一家多模态“计算机视觉与生物识别”领域的领军企业。熵基科技于2021年开始与亚马逊云科技合作，推进集团云转型，逐步将各产品线云化。其中最重要的里程碑是基于亚马逊云底座构建了MinervaIoT物联网平台。

 MinervaIoT平台架构

 MinervaIoT平台是由ZKTeco独立开发的新一代物联网平台，它可以快速、方便、远程地连接前端智能设备和应用，支持边缘端AI计算，提供基于平台的SaaS云服务，也开放API市场给第三方合作伙伴集成和连接。MinervaIoT平台是ZKTeco的数字化创新产品之一，它结合了大数据、物联网、5G等科技布局，为用户提供了全面的智能解决方案。

 以上是MinervaIoT平台的亚马逊云科技架构，主要分为三层：

 第一层是核心物联网平台层，该层通过一系列亚马逊云科技服务来处理设备连接、数据收集与分析、视频流处理以及机器学习等功能。具体使用了无服务器的AWS Fargate容器服务自动管理容器，AWS IoT Core服务实现设备连接和通信，AWS Kinesis Video Stream服务处理视频流，AWS Lambda服务实现事件驱动计算，Amazon Redshift数据仓库存储和分析大数据，Amazon SageMaker提供机器学习模型搭建与训练。

 第二层是基础认证服务层，提供核心平台所需的基础支持服务，比如位置服务、组织服务、身份服务、LDAP目录服务、订阅服务以及通用存储服务等，用于管理用户、设备、组织，以及数据存储和访问。

 第三层是存储层，提供不同类型的数据存储,比如对象存储AWS S3，关系数据库Amazon Aurora，非关系数据库Amazon DynamoDB，缓存数据库Amazon ElastiCache，数据仓库Amazon Redshift等，满足平台的多样化存储需求。

 通过上述模块化的层次划分，平台可以充分利用亚马逊云科技云服务的托管能力，实现高性能、高可用、安全可扩展的物联网平台。无服务器架构降低管理成本，机器学习提升平台智能，大数据分析提供深入见解。架构的清晰解耦也利于敏捷迭代与扩展。

 Cloud Foundations方案

 “源浚者流长，根深者叶茂”。如果企业希望云上各种生产应用和工作负载“行稳致远”，安全稳健的云上运行环境是重中之重。ZKTeco和亚马逊云科技合作，部署了Cloud Foundations解决方案，以亚马逊云科技良好架构（Well-Architected Framework）最佳实践为指导，从卓越运维、安全、可靠、性能效率、成本优化和可持续等六大支柱构建MinervaIoT高质量的云底座。

 解决方案概览

 Cloud Foundations系统地定义了云上生产环境所需的三十种“功能”，范围涵盖基础设施、安全、业务连续性、财务、运维、治理与合规等六大支柱，是对企业上云基础能力的全面提升。Cloud Foundations快速启动包帮助ZKTeco在两周内，利用云原生技术和自动化方案，快速搭建了包括着陆区、安全基线和运维功能的上云就绪环境，以迅速供生产系统使用。ZKTeco DevOps团队可以此为基础，持续构建和加强Cloud Foundations定义的技术功能。本方案主要有以下优势：

• 快速交付：Cloud Foundations快速启动包加快了ZKTeco实现业务价值的时间并降低了实施成本，促进了安全最佳实践的使用。ZKTeco可以将有限的IT资源集中在诸如大规模迁移、构建下一代无服务器应用程序和云上重塑业务流程等高价值的机会上。

• 提高安全性：使用一套集中管理的部署代码，可以提高质量和安全性。Cloud Foundations快速启动包内置了安全和合规的基本配置。ZKTeco提出的新安全要求可以很容易的集成到目前的代码中，有利于持续改善安全状况。

• 简化工作：Cloud Foundations快速启动包简化了为ZKTeco构建多账户亚马逊云科技环境所采用的复杂方法。通过预先完成大部分工程、代码的开发和测试工作，从而降低了出现缺陷的可能性。

 安全风险防范和安全增强

 安全一直是构建云上环境的重中之重。亚马逊云科技遵循以下基本原则。首先是在可以使用Amazon KMS客户密钥的资源都进行静态加密，其次是在安全账户集中管理这些密钥，再次是对各类策略授予最小权限。

 本方案根据安全最佳实践配置资源。以下列举部分实例，说明本方案如何有效防范安全风险：

• 通过账户级别的工作负载隔离避免一个账户的管理员权限被攻破而导致所有云上资源面临危险；

• 可以通过强制密码策略防止IAM用户的密码过于简单或者长期不更新密码；

• 可以通过制定备份策略，在系统遭到勒索等数据不可用的情况下，使用备份将系统恢复到正常状态；

• 可以通过制定安全策略杜绝创建可以公共访问的S3存储桶，防止安全重要文件的意外泄露；

• 强制使用https访问S3存储桶，防止未经授权的数据访问、数据盗窃或数据更改；

• 避免账户中的关键资源遭到非授权的篡改和删除，以及避免恶意创建云上资源；

• 强制加密S3，EBS，EFS，RDS的数据，防止敏感数据的泄露；

• 杜绝敏感端服务器口对互联网开放，杜绝不安全的安全组规则，降低网络黑客入侵的成功率；

• 可以对资源的恶意使用、来自网络的恶意攻击和用户权限的不当使用做早期预警，并提供预先准备的响应措施。

 安全隐患联合调查和补救措施

 本方案配合Amazon GuardDuty，Amazon Security Hub等服务，对上报的安全隐患调查结果进行跨资源、跨账户联合调查，对疑似风险点创建自定义高风险调查结果，并预置数个自定义操作，协助ZKTeco响应安全隐患和采取补救措施。

 总结

 ZKTeco与亚马逊云科技合力构建基于亚马逊云科技的核心云平台MinervaIoT，支持公司业务云转型。ZKTeco部署了Cloud Foundations解决方案，根据亚马逊云科技良好架构最佳实践，从六大支柱着手构建了MinervaIoT的云底座。Cloud Foundations不仅可以有效协助ZKTeco高效部署、运维和治理云上工作负载，迅速供业务生产使用，还系统性地提升了安全基线，持续改善云上环境的安全性。从而为MinervaIoT云平台和ZKTeco未来在亚马逊云科技上的业务发展奠定了安全可靠的基础。