通過AmazonWebServices實現云上網頁防篡改
隨著網絡的廣泛連接和數據的海量增長����,我們面臨著越來越多的安全風險。
國家有關部門為了進一步保護加強信息安全����,在《中華人民共和國網絡安全法》中規定�����,網絡運營者應當按照網絡安全等級保護制度的要求����,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問�,防止網絡數據泄露或者被竊取�、篡改��。
在等級保護規范《GBT 25070-2019 信息安全技術網絡安全等級保護安全設計技術要求》中,明確要求用戶數據完整性保護,可采用常規校驗機制�,檢驗存儲的用戶數據的完整性,以發現其完整性是否被破壞。
企業網站是企業的重要數字門戶���,網頁防篡改正是為了防止網站內容被惡意篡改破壞�,確保網站數據的真實性和完整性,滿足等級保護用戶數據完整性保護要求。
同時,網頁防篡改也有助于維護企業網站聲譽�、保障業務正常運行、避免法律責任。
網頁被篡改通常有以下幾種方式:
-
通過服務器漏洞: 攻擊者利用服務器操作系統或應用程序(如 Web 服務器軟件)的安全漏洞���,獲取對服務器的非法訪問權限��,進而修改網頁文件�。
-
賬號密碼被竊取: 如果網站管理員或相關賬號的密碼強度不夠或被泄露�,攻擊者獲取到這些賬號后��,可以登錄到后臺管理系統進行網頁篡改����。
-
惡意軟件感染: 服務器或網站所在的系統感染了惡意軟件�,這些惡意軟件可能會修改網頁文件�。
-
網絡連接被劫持: 攻擊者通過網絡劫持技術����,在數據傳輸過程中篡改網頁內容���。
-
內部人員篡改: 網站內部的工作人員由于各種原因�,故意篡改網頁內容�����。
要防止網頁被篡改�,需要 加強服務器安全防護、定期更新軟件���、使用強密碼�����、加強網絡安全監控 等措施���。
對于已經被入侵的系統���,如何防止網頁被篡改�,主要有以下技術手段:
-
系統文件過濾驅動: 在操作系統內核層對文件操作進行監控和過濾,實時阻止非法的文件寫入和修改���。
-
事件觸發機制: 設定特定事件(如文件修改事件)觸發檢測和保護動作���。
-
數字水印技術: 在網頁中嵌入數字水印���,一旦網頁被篡改,水印信息會發生變化�����,從而被檢測到。
-
加密技術: 對網頁文件進行加密���,使攻擊者難以直接修改加密后的內容�����。
-
完整性校驗技術: 如哈希算法�����,計算網頁文件的特征值�,通過對比特征值來判斷是否被篡改�。
本文將介紹在 Amazon Web Services 上�,如何使用系統能力以及 Amazon Web Services 提供的服務能力���,實現網頁防篡改。
如果我們的網站業務直接部署于 Amazon EC2 系統中,為了確保內容不被篡改�,最簡單的辦法就是讓系統內文件只讀。 但是只讀后文件無法更新,所以,我們還需要對應的更新方案���。
對于掛載后�����,我們也需要持續的監控文件是否有變化�。如果有,要及時發現�。
下面我們分別針對 Linux 與 Windows 系統進行介紹。
Amazon EC2 Linux 系統預防篡改
1.在 Amazon Web Services 控制臺�,我們先創建一塊新的 Amazon EBS 硬盤���,具體操作流程參考創建 Amazon EBS 卷�����。 https://docs.amazonaws.cn/zh_cn/ebs/latest/userguide/ebs-creating-volume.html
2.創建成功后,將創建的 Amazon EBS 硬盤,附加到我們的內容服務器���,具體流程參考將 Amazon EBS 卷掛載到實例�。 https://docs.aws.amazon.com/zh_cn/ebs/latest/userguide/ebs-attaching-volume.html
3.掛載完成后,還需要在 Linux 系統內對 Amazon EBS 卷進行分區、格式化�、掛載等操作,具體流程請參考使 Amazon EBS 卷可供使用。 https://docs.amazonaws.cn/zh_cn/ebs/latest/userguide/ebs-using-volumes.html
4.之后���,我們就可以使用 Amazon EBS 卷進行讀寫操作�����,編輯我們的網站內容�,編輯完成后,即可對該 Amazon EBS 卷進行快照操作,創建快照的操作參考創建 Amazon EBS 快照�。 https://docs.aws.amazon.com/zh_cn/ebs/latest/userguide/ebs-creating-snapshot.html
5.創建好的快照���,就是我們后面網站內容的“模版”,通過該快照創建 Amazon EBS,實現內容的發布���。
1.通過之前創建好的快照�����,創建 Amazon EBS 卷���,過程可以參考官方文檔從快照創建卷。 https://docs.amazonaws.cn/zh_cn/ebs/latest/userguide/ebs-creating-volume.html#ebs-create-volume-from-snapshot
2.然后��,與前文一致,將 Amazon EBS 卷掛載到實例���。
3.掛載完成后�,在 Linux 系統內,我們還需要進行加載��。為了保護內容,我們采用只讀掛載的方式�。
1.# 確保目錄存在
2.sudo mkdir -p /mnt/protect-content
3.# 確保沒有掛載其他盤
4.sudo umount /mnt/protect-content
5.# `/dev/nvm1p1` 更換為實際device node
6.sudo mount -o ro /dev/nvm1p1 /mnt/protect-content
4.掛載完成�,只讀的內容即可供外部訪問�。由于是只讀掛載,內容不可被修改���。
未來,我們肯定希望對內容進行更新�。更新的流程�,與創建內容�、只讀掛載發布類似���。
1.通過快照創建 Amazon EBS 卷���。
2.正常可讀寫方式掛載到內容編輯服務器���,在服務器內進行內容編輯�。
3.編輯完成,重新制作 Amazon EBS 卷快照�。
4.使用新的 Amazon EBS 卷快照���,生成新的 Amazon EBS 卷�。
5.將原來的 Amazon EBS 卷從實例分離�,參考將 Amazon EBS 卷與實例分離。 https://docs.amazonaws.cn/zh_cn/ebs/latest/userguide/ebs-detaching-volume.html
6.只讀方式���,掛載新的 Amazon EBS 卷
7.刪除原來的 Amazon EBS 卷�,參考刪除 Amazon EBS 卷。 https://docs.amazonaws.cn/zh_cn/ebs/latest/userguide/ebs-deleting-volume.html
Amazon EC2 Linux 系統偵測篡改事件
Inotify 是一種 Linux 內核機制�,用于監視文件系統中的事件�。它允許應用程序監視文件或目錄的創建���、刪除�����、修改、屬性更改,以及移動或重命名等事件。
Inotify 提供了一種高效且可擴展的方式�,來監視文件系統活動,并使其成為各種應用程序的寶貴工具。
Inotify 有多種應用場景���,包括:
-
文件系統監控: inotify 可用于監視文件系統活動���,例如文件創建�����、刪除�����、修改和重命名�。這對于備份應用程序���、病毒掃描程序和其他需要監視文件系統活動的應用程序很有用�。
-
桌面通知: inotify 可用于在文件或目錄發生更改時向用戶發送桌面通知。這對于文件共享應用程序、同步工具和其他需要通知用戶文件系統活動的應用程序很有用�����。
-
實時事件處理: inotify 可用于實時處理文件系統事件�����。這對于日志記錄應用程序、審計工具和其他需要實時響應文件系統活動的應用程序很有用。
Inotify 的特性,使得它在文件保護、防篡改方面�����,是最適合的工具���。
下面的示例代碼���,可用于監控 Linux 文件變化,在變化的時候通知我們,讓我們能第一時間反應�����、處理:
1.#include <stdio.h>
2.#include <stdlib.h>
3.#include <sys/inotify.h>
4.#include <unistd.h>
5.#include <fcntl.h>
6.#include <string.h>
7.
8.#define EVENT_SIZE? ( sizeof(struct inotify_event) )
9.#define EVENT_BUF_LEN ( 1024 * ( EVENT_SIZE + 16 ) )
10.
11.void handle_event(struct inotify_event *event) {
12.? if (event->len) {
13.? ? // Check for specific events (modify, create, delete)
14.? ? if (event->mask IN_MODIFY) {
15.? ? ? printf("File %s in directory was modified.\n", event->name);
16.? ? } else if (event->mask IN_CREATE) {
17.? ? ? printf("File %s was created in directory.\n", event->name);
18.? ? } else if (event->mask IN_DELETE) {
19.? ? ? printf("File %s was deleted from directory.\n", event->name);
20.? ? }
21.? }
22.}
23.
24.int main(int argc, char *argv[]) {
25.? if (argc !=2) {
26.? ? printf("Usage: %s <directory>\n", argv[0]);
27.? ? exit(1);
28.? }
29.
30.? // Open the inotify instance
31.? int fd=inotify_init();
32.? if (fd==-1) {
33.? ? perror("inotify_init");
34.? ? exit(1);
35.? }
36.
37.? // Add a watch on the specified directory
38.? int wd=inotify_add_watch(fd, argv[1], IN_MODIFY | IN_CREATE | IN_DELETE);
39.? if (wd==-1) {
40.? ? perror("inotify_add_watch");
41.? ? exit(1);
42.? }
43.
44.? char buffer[EVENT_BUF_LEN];
45.
46.? // Continuously read events
47.? while (1) {
48.? ? int nread=read(fd, buffer, EVENT_BUF_LEN);
49.? ? if (nread==-1) {
50.? ? ? perror("read");
51.? ? ? exit(1);
52.? ? }
53.
54.? ? int i=0;
55.? ? while (i < nread) {
56.? ? ? struct inotify_event *event=(struct inotify_event *) buffer[ i ];
57.? ? ? // Check if event refers to the watched directory (avoid subdirectories)
58.? ? ? if (strcmp(event->name, "")==0) {
59.? ? ? ? continue; // Skip events for the directory itself (empty name)
60.? ? ? }
61.? ? ? handle_event(event);
62.? ? ? i +=EVENT_SIZE + event->len;
63.? ? }
64.? }
65.
66.? // Close inotify instance (would never be reached in this example)
67.? close(fd);
68.
69.? return 0;
70.}
通過編譯�,執行該代碼�,即可實現網頁文件內容變更通知:
1.# 編譯代碼
2.gcc -o inotify inotify.c
3.# 運行監控
4../inotify <dir>
Amazon EC2 Windows 系統預防篡改
Amazon EC2 Windows 只讀掛載防篡改與 Linux 基本一致�����,差異部分在于如何只讀掛載 Amazon EBS 卷。
1.# 關閉自動掛載
2.mountvol.exe /N
3.# 進入分區管理
4.diskpart
5.# 列出磁盤
6.list volume
7.# 根據上面列出的�����,選擇分區�����,替換<X>
8.select volume <X>
9.# 設置分區屬性, readonly
10.attributes volume set readonly
11.# 查看結果
12.detail volume
其他的���,與前文 Linux 系統內容類似���。
Amazon EC2 Windows 系統偵測篡改事件
與 Linux 類似�����,Windows .NET SDK 提供了 FileSystemWatcher 這個接口�����。
它是 Windows 中用于監視文件系統活動的 API�。它允許應用程序監視文件或目錄的創建、刪除�、修改�、重命名等事件。
我們可以參考官網的例子�,編寫對應的應用來監控變化�����。 https://learn.microsoft.com/en-us/dotnet/api/system.io.filesystemwatcher?view=net-8.0redirectedfrom=MSDN
也可以直接使用一些現有的開源工具�, 比如 https://github.com/thekid/inotify-win
Inotify-win 實現了類似 Linux inotify 的功能�,通過以下命令�,即可實現文件目錄的監控通知:
1.inotifywait.exe -r -m <dir>
Amazon S3 簡介
Amazon Simple Storage Service(Amazon S3)是一種對象存儲服務���,提供行業領先的可擴展性���、數據可用性���、安全性和性能。
各種規模和行業的客戶都可以使用 Amazon S3 存儲和保護任意數量的數據�,用于數據湖�����、網站���、移動應用程序�����、備份和恢復、歸檔、企業應用程序、IoT 設備和大數據分析�����。
可以使用 Amazon S3 托管靜態網站�����,還可以將 Amazon S3 與內容分發網絡(CDN)(如 Amazon CloudFront)結合使用來交付網頁。
Amazon S3 作為 Website 先決條件
在將自定義域配置為在 Amazon Web Services 中國(寧夏)區域托管 Amazon S3 靜態網站之前,必須滿足以下先決條件���。
取得 ICP 備案
如果域名通過 Amazon Web Services 中國(寧夏)區域中���,由寧夏西云數據科技有限公司(NWCD)運營的服務器進行公共訪問���,必須通過 NWCD 申請 ICP 備案。
配置 Amazon S3 靜態網站
1.創建域存儲桶和可選的子域存儲桶:
-
對于域存儲桶�,啟用靜態網站托管�����,然后上傳網站內容���。啟用靜態網站托管后�����,域存儲桶會被分配一個 Amazon S3 網站端點,例如 www.example.com.cn.s3-website.cn-north-1.amazonaws.com.cn�����,使用此網站端點配置 Amazon Route 53 自定義域。
-
對于子域存儲桶�,在靜態網站托管下���,為對象配置重定向請求,以重定向至上傳到域存儲桶的網站內容�。
域存儲桶包含構成網站的文件�����,子域存儲桶會將請求重新路由到域存儲桶�。例如,如果客戶進入 www.example.com.cn�����,子域存儲桶會將請求轉發到域存儲桶:example.com.cn。
2.清除所有四種 Amazon S3 屏蔽公共訪問權限設置,以便可以添加允許對存儲桶進行公共讀取訪問的存儲桶策略。
3.添加允許對存儲桶進行公共讀取訪問的存儲桶策略�����,將網站暴露給外部進行訪問。
使用 Amazon Route 53 配置自定義域
完成在 Amazon S3 中配置靜態網站后,就有了網站端點,假設為 www.example.com.cn.s3-website.cn-north-1.amazonaws.com.cn(www.example.com.cn),可以將自定義域名映射到此端點,并通過自定義域訪問網站���。
要為域和子域配置別名記錄�����,請按照以下步驟操作:
1.通過以下網址打開 Amazon Route 53 控制臺: https://console.aws.amazon.com/route53/
2.請選擇托管區域�。
3.在托管區域列表中,請選擇與域名匹配的托管區域的名稱�����。
4.要為托管區創建別名記錄,請選擇創建記錄���。
5.請選擇切換到向導。
6.選擇簡單路由�,然后選擇下一步���。
7.選擇定義簡單記錄。
8.通過自定義域名(例如 http://example.com.cn)訪問網站,以驗證網站和重定向是否有效�����。
通過 Amazon CloudFront 建立加速緩存
Amazon CloudFront 是 Amazon Web Services 上的 CDN 服務,它可以將 Amazon S3 設置為分發的對象,將 Amazon S3 上的資源�,通過 Amazon Web Services 分布在邊緣節點將內容提供給用戶���。
同時�����,Amazon CloudFront 還提供了 Amazon S3 不支持的 HTTPS 協議,讓前端應用更加安全�。然而由于 Amazon Web Services 中國(寧夏)區域的一些特殊情況�,在此使用 Amazon S3 + Amazon CloudFront�����,需要一些不同于 Global 的額外配置。
1. 建立 Amazon S3 數據桶�。
注意:需要設置阻止公開訪問�。
2. 建立 Amazon Route 53。
紅框內輸入已備案的域名�����。
3. 建立 Amazon CloudFront 分配���。
源選擇存放前端資源的 Amazon S3 桶,桶中如果沒有子文件夾���,則留空源路徑輸入框�,來源訪問選擇“遺留訪問身份”�����,點擊“建立新的 OAI”���,下面選擇“否���,我將更新存儲桶策略”。
在備用域名中,添加剛才在 Amazon Route 53 添加的域名,默認根對象填寫 index.html (根 HTML 文件文件名)���。
建立完成后�,進入“源”標簽頁,記下 Origin access 的值,如圖紅框所示:
4. 更新 Amazon S3 桶策略并保存。
代碼如下(替換{$ORIGIN_ACCESS_ID}和BUCKET_ARN/*):
1.{
2.? ? "Version": "2012-10-17",
3.? ? "Statement": [
4.? ? ? ? {
5.? ? ? ? ? ? "Effect": "Allow",
6.? ? ? ? ? ? "Principal": {
7.? ? ? ? ? ? ? ? "AWS": "arn:aws-cn:iam::cloudfront:user/CloudFront Origin Access Identity {$ORIGIN_ACCESS_ID}"
8.? ? ? ? ? ? },
9.? ? ? ? ? ? "Action": "s3:GetObject",
10.? ? ? ? ? ? "Resource": “BUCKET_ARN/*"
11.? ? ? ? }
12.? ? ]
13.}
5. 回到 Amazon Route 53�,增加別名。
如果實用子域名���,則需要新增 CNAME 記錄,并在 Amazon CloudFront 的備用域名中�,輸入該記錄的完整域名�����。
全部完成后�����,等待片刻,即可去設定的域名測試效果���。
Amazon S3 對象版本
Amazon S3 中的版本控制���,是在相同的存儲桶中保留對象的多個版本的方法���。對于存儲桶中存儲的每個對象�����,可以使用 Amazon S3 版本控制功能來保留、檢索和還原它們的各個版本�����,從而達到防止被篡改的效果�����。
啟用了版本控制的存儲桶�,可以恢復因意外或被外部惡意刪除操作而被篡改的對象���。例如,如果刪除對象�,Amazon S3 會插入刪除標記���,而不是永久刪除該對象�。
存儲桶擁有者和所有獲得授權的 Amazon IAM 用戶,都可以啟用版本控制�����。
如果為存儲桶啟用版本控制,Amazon S3 會自動為要存儲的對象生成唯一版本 ID�。例如�,在一個存儲桶中,可以擁有兩個具有相同鍵(對象名稱)的對象���,但版本 ID 不同�����,例如 photo.gif(版本 111111)和 photo.gif(版本 121212)。
無論 Amazon S3 版本控制是否啟用�����,每個對象都有一個版本 ID。
如果未啟用 Amazon S3 版本控制�����,Amazon S3 將版本 ID 的值設置為 null�����。如果啟用 Amazon S3 版本控制�,Amazon S3 會為對象分配版本 ID 值。此值將該對象與同一個鍵的其他版本區分開來。
在現有存儲桶上啟用 Amazon S3 版本控制時,已存儲在存儲桶中的對象將保持不變�����。版本 ID(null)、內容和權限保持不變。啟用 Amazon S3 版本控制后�����,添加到存儲桶的每個對象都會獲得一個版本 ID,該 ID 將此版本與同一個鍵的其他版本區分開來。
版本控制工作流程
當在啟用版本控制的存儲桶中�,通過 PUT 放入對象時�,不會覆蓋非當前版本。如下圖所示,當將 photo.gif 的新版本 PUT 到一個已經包含同名對象的存儲桶中時,會發生以下行為:
使用此功能�,如果對象被意外覆蓋或刪除,則可以檢索對象的先前版本。
當 DELETE 對象時,所有版本都將保留在存儲桶中�����,而 Amazon S3 將插入刪除標記���,如下圖所示:
刪除標記將成為對象的當前版本�����。默認情況下�,GET 請求將檢索最新存儲的版本。在當前版本為刪除標記時,執行 GET Object 請求將返回 404 Not Found 錯誤,如下圖所示:
但是���,可以通過指定對象版本 ID���,通過 GET 獲取非當前版本的對象���。在下圖中���,GET 特定對象版本 111111。即使該對象版本不是當前版本���,Amazon S3 也會返回它。
有關更多信息���,請參閱從啟用了版本控制的存儲桶中檢索對象版本�����。 https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/RetrievingObjectVersions.html
可以通過指定要刪除的版本來永久刪除對象���。只有 Amazon S3 存儲桶的擁有者或者授權的 Amazon IAM 用戶,才能永久刪除某個版本�����。如果 DELETE 操作指定了 versionId,則會永久刪除該對象版本�����,Amazon S3 不會插入刪除標記���。
可以通過配置存儲桶,來啟用多重身份驗證(MFA)刪除���,從而提升安全性。 對存儲桶啟用 MFA 刪除時���,存儲桶擁有者���,必須在任何請求中包含兩種形式的身份驗證���,以刪除版本或更改存儲桶的版本控制狀態�����。
在存儲桶上啟用版本控制
在 Amazon S3 存儲桶上�����,啟用或禁用版本控制:
1.登錄到 Amazon Web Services Management Console���。
2.在存儲桶列表中�����,請選擇要為其啟用版本控制的存儲桶的名稱���。
3.請選擇屬性�����。
4.在存儲桶版本控制下�����,請選擇編輯。
5.請選擇 Suspend (暫停) 或 Enable (啟用),然后選擇 Save changes (保存更改)。
Amazon S3 使用對象鎖
Amazon S3 Object Lock 是 Amazon S3 的一項功能�����, 允許使用一次寫入、多次讀?。╓ORM)模式存儲對象�����, 可以在數據寫入后不得更改或刪除的情況下,使用 WORM 保護,使用此功能無需支付額外費用。
Amazon S3 Object Lock 提供兩種管理對象保留的方法, 第一種是保留期�,第二種是合法保留。
保留期規定了對象保持鎖定狀態的固定時間段。在此期間�,對象受 WORM 保護�����,不能被覆蓋或刪除���。保留期的單位可以是天數�,也可以是年數,最短為 1 天�,沒有最長限制�。
合法保留提供的保護與保留期相同,但沒有過期日期���。相反,合法保留會一直存在���,直到明確將其移除�。
使用 Amazon S3 對象鎖�����,可以防止對象在固定時間內被刪除或覆蓋�,或直到合法保留被移除。一個對象版本可以同時具有保留期和合法保留。
在對對象做了相應的安全保護手段之后�����,最后我們還需要具備偵測的能力�����,即當對象真的被篡改之后�����,可以收到相應的通知���,以及時采取后續策略���。
我們可以利用 Amazon S3 的事件功能結合 Amazon SNS 服務,將通知發送到運維或相關人員的郵箱���、微信等其他應用。
目前, Amazon S3 可以發布用于以下事件的通知:
本文以對象被移除并發布郵件通知為例進行說明。
對象內容變化監控架構:
當托管在 Amazon S3 當中的靜態網頁被移除時(篡改),配置好的 Amazon S3 事件會偵測到這個動作,并且通過 Amazon SNS 服務將通知發送給訂閱好的郵箱。
實現過程
1.上傳托管的靜態文件���。
2.創建 Amazon SNS 通知主題。
這里需要注意的是,為了讓 Amazon S3 event 具有可以調用 Amazon SNS API 的權限,需要配置 topic 的 access policy���,按照如下樣例進行配置:
1.{
2.? ? "Version": "2012-10-17",
3.? ? "Id": "example-ID",
4.? ? "Statement": [
5.? ? ? ? {
6.? ? ? ? ? ? "Sid": "Example SNS topic policy",
7.? ? ? ? ? ? "Effect": "Allow",
8.? ? ? ? ? ? "Principal": {
9.? ? ? ? ? ? ? ? "Service": "s3.amazonaws.com"
10.? ? ? ? ? ? },
11.? ? ? ? ? ? "Action": [
12.? ? ? ? ? ? ? ? "SNS:Publish"
13.? ? ? ? ? ? ],
14.? ? ? ? ? ? "Resource": "SNS-topic-ARN",
15.? ? ? ? ? ? "Condition": {
16.? ? ? ? ? ? ? ? "ArnLike": {
17.? ? ? ? ? ? ? ? ? ? "aws:SourceArn": "arn:aws:s3:*:*:bucket-name"
18.? ? ? ? ? ? ? ? },
19.? ? ? ? ? ? ? ? "StringEquals": {
20.? ? ? ? ? ? ? ? ? ? "aws:SourceAccount": "bucket-owner-account-id"
21.? ? ? ? ? ? ? ? }
22.? ? ? ? ? ? }
23.? ? ? ? }
24.? ? ]
25.}
3.使用郵箱訂閱主題�����,完成后的郵箱會收到郵件確認�����,點擊鏈接后完成訂閱主題���。
4.在屬性標簽配置 Amazon S3 事件�,創建事件通知。
5.配置事件通知參數�����。
選擇之前創建的 Amazon SNS 主題。
6.測試刪除文件后�,是否能捕獲通知�����。
本文介紹在 Amazon Web Services 上,如何在 Amazon EC2 Linux/Windows 系統�����、Amazon S3 網站托管,實現網頁防篡改���。
在 Amazon EC2 系統中���,可以通過 Amazon EBS Snapshot 只讀掛載實現�����,同時�,通過 inotify 機制實現監控;在 Amazon S3,可以通過對象鎖�����、對象版本實現只讀,通過 Amazon Lambda 實現 Amazon S3 變更事件的通知與自動化處理。
月21日���,FedEx渠道附加費再次漲價
近日�����,聯邦快遞宣布將開始新一輪附加費加價���,包括額外操作費,高峰附加費和住宅交付費的增加���,涉及的渠道包括FedEx Express、Ground���、International Ground以及Express Package Services�。所有附加費的生效日期均為2021年6月21日���,截止日期將另行通知�����。
預計到2022年跨境電商貨量占全球航空貨量20%
麥肯錫咨詢公司最新發布的報告顯示,預計到2022年,跨境電商貨量將占全球航空貨量的20%,這相當于是2017年水平的2倍。隨著航空和海運逐步暢通�,供應鏈趨于穩定�����,跨境電商勢頭不減���,預計70%-80%的跨境電商件主要由航空運輸�����。
另據國際航空運輸協會數據顯示�����,2021年的航空貨運需求將預計增長13.1%,總貨運量將達到6310萬噸,幾乎接近疫情前的6350萬噸的峰值。
亞馬遜日本站賣家需檢查商品信息中的 HTML 標記
據悉,當買家使用非 HTML 設備瀏覽商品時�,為了確保買家的安全并提供更好的通用性�����,2021年6月27日之后�����,亞馬遜將不再支持在詳情頁面上使用 HTML 標記。亞馬遜表示�,不建議在詳情頁面上使用任何 HTML 內容���,這一點在商品詳情頁面規則中已經闡明�����。
由于亞馬遜在 2021年6月27日之后以后會停止對 HTML 標記的支持,屆時包含 HTML 標記的所有詳情頁面(商品描述)功能將無法在詳情頁面上顯示 HTML 格式���。如果商品描述的其中一行使用了 HTML 標記,則該行可能會被刪除�,也可能不顯示 HTML 格式�,具體取決于 HTML 標記的使用情況。
如果賣家要對任何包含 HTML 標記的 ASIN 商品信息進行更新�����,請在該日期之前處理�����,不管是通過賣家平臺還是按平時更新 ASIN 詳情的途徑均可���。
亞馬遜新規:企業購賣家可創建自動定價規則了!
亞馬遜歐洲站發布公告稱Amazon Business賣家可為“商業價格”和“數量折扣”創建自動定價規則�����,新的自動定價規則可將折扣設置為標準價格的百分比���。
企業商品定價規則確定了在更新標準(消費者)價格時,企業商品價格和數量折扣將發生的變化�。
例如���,可以創建一條規則���,規定企業商品價格比標準價格低 5%�。當更新此規則中 SKU 的標準價格時�����,企業商品價格都將自動更新為比最新標準價格低 5%�����。
6月1日起eBay將調整SpeedPAK中國大陸、中國香港始發運費
5月28日消息���,eBay發布公告稱�����,自北京時間2021年6月1日起,SpeedPAK將調整從中國大陸���、中國香港地區出運的SpeedPAK以下路向的運費。
eBay表示�����,后續將公布其它路向的價格調整情況,請賣家密切關注�����。更多運費和服務介紹詳情�����,賣家可通過橙聯官網進行查詢。
前,據數據統計���,亞馬遜云服務在公共云基礎設施市場中占有高達 50% 的份額�,排名第一�����。不過���,在收獲全球企業及用戶信任之際�,亞馬遜也接連受到諸多創業公司的質疑,其中包括了如阿姆斯特丹的軟件創業公司Elastic、MongoDB(利用文檔形式來組織數據的流行技術)公司等�����,其紛紛表示�����,基于開源���,亞馬遜以技術形式形成了壟斷,而這究竟是怎么一回事?
作者 | Daisuke Wakabayashi、Taylor Clauson
編譯 | 彎月���,責編 | 屠敏
以下為編譯文章:
Elastic 是一家阿姆斯特丹的軟件創業公司,其業務發展速度非常迅速,員工人數已達100名�。后來�,亞馬遜突然出現了。
2015年10月,亞馬遜的云計算部門宣布他們發布了一款免費的軟件工具,其完全復制了 Elastic 的功能,人們可以用它來搜索和分析數據�,而且他們還會將這款軟件作為付費服務出售�����。當亞馬遜做出此舉時,Elastic 的產品 Elasticsearch 已在亞馬遜上出售。
在短短不到一年的時間里,亞馬遜從這款產品上獲得的利潤就超過了 Elastic 這家創業公司,只因為亞馬遜自家產品更容易與其他服務一起使用���。因此,去年 Elastic 又添加了很多高級功能,并限制了亞馬遜等公司對這些功能的使用。但亞馬遜仍然復制了其中許多功能���,并免費提供了這些功能�����。
9月,Elastic 開始回擊���。他們以侵犯商標的罪名向加利福尼亞州的聯邦法院起訴了亞馬遜,因為亞馬遜的產品曾采用了同一個名字:Elasticsearch���。Elastic 在投訴中說,亞馬遜“誤導消費者”���。亞馬遜表示否認�����。該案正在審理中。
自1990年代中期以來���,即便當年微軟憑借 Windows 雄霸個人計算機行業時,也沒有像如今的亞馬遜這般利用云計算部門向競爭對手灌輸技術平臺的恐懼。亞馬遜與 Elastic 之爭彰顯了他們在技術世界中稱霸一方的模樣�。
盡管很多人對云計算一知半解���,但它卻構成了互聯網的基礎���。云計算已發展成為技術行業最大���、最有利可圖的業務之一���,它可以為各個公司提供計算能力和軟件���。而在云計算供應商中�����,亞馬遜一家獨大���。
亞馬遜首席執行官Jeff Bezos�����,他曾稱AWS是“無人問津”的想法���。
自2000年中期推出以來���,亞馬遜的云計算部門 Amazon Web Services(簡稱AWS) 已然成為企業的佼佼者�,其發展如此之快���,甚至連亞馬遜都有點跟不上步伐�����。盡管如今開發高性能軟件所需了解的深入知識門檻從未如此高�����,但將新軟件產品推向市場的過程卻前所未有的便宜且快速���。
AWS 的銷售增長
然而���,亞馬遜卻利用 AWS 復制和集成其他科技公司開創的軟件�。亞馬遜通過一系列的手段為自家的服務建立優勢:以更加方便使用的方式提供產品、掩蓋競爭對手的產品以及通過捆綁折扣來降低產品的價格�。這些舉措將客戶引向了亞馬遜�,而負責建立這些軟件的公司則會顆粒無收�。
即便如此,規模較小的競爭對手表示�����,他們別無選擇�,只能與亞馬遜合作�?����?紤]到亞馬遜在客戶中的廣泛影響�����,通常創業公司為了推廣產品,只能同意亞馬遜的限制�����,自愿與其共享客戶和產品的信息�����。為了獲得在 AWS 上出售產品的特權�����,創業公司只能將部分銷售收入割讓給亞馬遜。
有些公司這樣描述亞馬遜的行為:公然剝削軟件行業�。這些公司表示�����,亞馬遜巧取他人的創新�����,挖走他們的工程師,剝削他們的產品利潤,并利用這一系列手段打壓潛在的競爭對手���,強迫他們重新調整業務方向。
所有這些都加劇了對亞馬遜及其是否濫用市場主導地位和涉嫌反競爭行為的審查。該公司的策略已導致多個競爭對手商量提出反壟斷訴訟。監管機構和立法人員正在研究其在行業中的影響力�����。
Cloudflare的首席執行官 Matthew Prince�,這家公司是亞馬遜在提供保護網站免受攻擊服務方面的競爭對手。
作為 AWS 在提供保護網站免受攻擊服務方面的競爭對手,Cloudflare的首席執行官 Matthew Prince表示:“人們擔心亞馬遜的野心永無止境?!?/p>
AWS 占據了近50%的公共云消費市場份額���。最初它只提供少量的服務(S3�、SQS和EC2)�����,但如今已有170個離散服務,涵蓋23個類別(而這些只是公共領域)���。
AWS只是亞馬遜稱霸美國各個產業的一部分。該公司改變了零售�、物流�����、圖書出版和好萊塢的業務。它還打算改變人們如何購買處方藥�����、如何購買房地產�����,以及如何安裝家庭和城市的監控器���。
但是�,亞馬遜借助 AWS 制造了更多間接的影響。毋庸置疑該公司在向云計算的巨大轉變中處于市場領導者的地位�����,它的市場份額是其最有力的競爭對手微軟的3倍�����。數百萬人每天都在與 AWS 打交道而卻不自知���,他們在 Netflix 上看電影或將照片存儲在蘋果的 iCloud 上���,這些服務都是在亞馬遜的計算機上運行的�。
亞馬遜首席執行官 Jeff Bezos 曾稱AWS是“無人問津”的想法�。這個服務最早始于2000年代初期,當時零售商都在努力組裝計算機系統來啟動新項目和功能�。亞馬遜在建立通用的計算機基礎架構后�����,意識到其他公司也需要類似的功能���。
如今�,就連 Airbnb 和 General Electric 這樣的公司實際上也是從亞馬遜租用計算系統(也稱為使用“云”)�,而不是購買和運行自己的系統。這些企業可以將其信息存儲在亞馬遜的計算機上�,并從中提取數據進行分析���。
對于亞馬遜本身而言�,AWS 至關重要。去年該部門的銷售額高達250億美元���,大約相當于星巴克的規模,是亞馬遜最賺錢的業務���。這些利潤為亞馬遜提供了進軍許多其他行業的資金。
亞馬遜在一份聲明中說�,認為它是公然剝削軟件行業的想法“愚蠢又離譜”�。它說�����,它對軟件行業做出了巨大貢獻�,并且它的行為符合客戶的最大利益�。
有些科技公司表示,他們通過 AWS 找到了更多的客戶;就連與亞馬遜糾纏不清的公司也成長了。例如�,Elastic 于去年公開上市�����,現在有1,600名員工�����。
然而���,我們采訪了40多名現任和前任亞馬遜員工以及競爭對手���,許多人表示�,與AWS合作帶來的成本很大一部分是隱藏的。他們說�����,很難衡量他們有多少業務流失到了亞馬遜���,也很難衡量亞馬遜的威脅勸退了多少投資者���。許多人都在匿名的情況下接受了采訪�����,因為他們擔心會激怒亞馬遜�����。
四名知情人士表示,今年2月,7位軟件公司的首席執行官在硅谷舉行會議�����,商討針對這家科技巨頭提出反壟斷訴訟�����。他們的申訴反映了諸多亞馬遜購物網站的供應商的不滿:一旦亞馬遜成為直接競爭對手��,它就不再保持中立�����。
知情人士說����,這些公司的首席執行官沒有采取法律行動�����,部分原因是擔心這個過程需要花費大量時間�。
如今�����,監管機構正在聯系亞馬遜的一些軟件競爭對手。負責調查大型科技公司的眾議院司法委員會在9月的一封信中向亞馬遜詢問了 AWS 的做法�����。聯邦貿易委員會還在調查亞馬遜�����,他們詢問了 AWS 的競爭對手�����,據悉兩家軟件公司被傳喚,但不允許他們討論此事���。
風險投資公司 Uncorrelated 的創始人 Salil Deshpande 說�,亞馬遜針對軟件創業公司的所作所為是不可持續的���。
他說:“亞馬遜巧取豪奪了他們的財富���,強行從所有者手中奪走了軟件控制權�����,并吸引客戶使用其專有服務�?��!?/p>
“公然剝削”
MariaDB首席執行官 Michael Howard 表示:“AWS的成功建立在公然剝削開源技術之上���?!?/p>
十年前���,自從亞馬遜開始 AWS 業務以來就一直在努力賺取持續的利潤�����。提供計算能力的服務似乎有點讓人迷惑�。
然而�,各個創業公司都接受了 AWS,因為這項服務為他們節省了資金�����,他們不需要購買自己的計算設備�����,只需花錢購買所需的軟件�����。不久后,越來越多的公司蜂擁而�����,向至亞馬遜尋求計算基礎設施以及最終在其計算機上運行的軟件�。
2009年,亞馬遜建立了一個模板���,以加快 AWS 的增長。同年,它推出了一項管理數據庫的服務�����,這是幫助各個公司組織信息的重要軟件���。
雖然 AWS 數據庫服務贏得了眾多用戶的喜愛���,然而它并沒有運行亞馬遜創建的軟件�����,亞馬遜選擇了一種可免費享用的軟件——開源軟件。
開源軟件與亞馬遜在業務上幾乎沒有交集。就好像一家咖啡店,發放免費咖啡�����,寄希望于人們花錢購買牛奶�����、糖或糕點���。
但是�,開源是軟件行業培育的一種久經考驗的真實模型,可以迅速將技術提供給客戶。擁有大量貢獻者的社區經常涌現出可共享的技術�����,還有人做出改進和傳播技術信息�。一般來講,開源公司可以在后期通過客服支持或付費插件賺錢。
最初,技術人員沒有注意到亞馬遜在數據庫軟件中的所作所為�。后來在2015年�,亞馬遜故伎重施�����,他們復制了 Elasticsearch�����,并提供了具有競爭力的服務�。
他們的此次行為引起了很多人的矚目。
“有一家公司利用人們喜歡使用的開源產品為基礎建立了業務,突然間出現了一位競爭對手利用你的產品與你對立�����?!盩odd Persen說。他于今年創建了一家非開源軟件公司�����,目的只是不給亞馬遜機會利用自己的產品���。他以前的創業公司 InfluxDB 就是開源的�。
開源軟件產業一次又一次地為亞馬遜所使用。當亞馬遜復制開源軟件并集成到 AWS 后���,就不需要許可,也不需要付錢給創業公司���,這重重打擊了人們創新的能力。
這些公司中的許多公司都沒有追索權�,他們無法突然開始為免費軟件收費���。因此�����,有些人只好改變如何使用其商品的規則,希望借此限制亞馬遜和其他試圖將其創造的商品變成付費服務的人。
亞馬遜想法避開了他們的一些變化�����。
去年�, Elastic 公司改變了其軟件規則���,亞馬遜在博客文章中表示�,開源軟件公司限制用戶的訪問,他們的所作所為“污染了開源領域”�。
Elastic 的首席執行官 Shay Banon 當時寫道�����,亞馬遜的行為“虛有為他人著想的外表”。Elastic拒絕了我們的采訪���。
去年,MongoDB(利用文檔形式來組織數據的流行技術)公司也宣布�����,任何將其軟件作為Web服務來提供的的公司必須免費共享其底層技術���。人們普遍認為此舉針對的就是 AWS���,因為它沒有公開分享其用于創建新服務的技術���。
AWS 很快就開發了自己的技術���,該技術與 MongoDB 極其類似,而這款新軟件不受限于 MongoDB 的要求�����。
今年�,當 MongoDB 首席執行官 Dev Ittycheria 與其他六家軟件公司的負責人一起參加晚宴時,人們第一時間就提起了 MongoDB 的這段經歷�����。他們在硅谷的一位風險投資家的家中展開了激烈的對話:討論是否公開指責亞馬遜的行為有壟斷的嫌疑�����。
據知情人士透露,在宴會上�����,包括軟件公司 Confluent 和 Snowflake 的負責人在內的首席執行官們紛紛表示他們面臨著不公平的競爭環境�。他們無處訴苦。
MariaDB首席執行官 Michael Howard 表示:“AWS的成功建立在公然剝削開源技術之上���。”據他估計���,亞馬遜利用 MariaDB 軟件獲得的收入是其公司所有業務所獲收入的五倍。
AWS 副總裁 Andi Gutmans 表示,有些公司希望成為“獨一無二”利用開源項目賺錢的公司���。他說,亞馬遜“致力于確保開源項目保持真正的開放性�����,無論客戶是否選擇 AWS�����,他們都有權選擇如何使用開源軟件�����?��!?/p>
2012年�����,在 AWS 舉行的首屆開發者大會上�,亞馬遜不再唯一的云計算巨頭�。微軟和谷歌競相推出了競爭平臺。
為此���,亞馬遜推出了更多軟件服務,希望確保 AWS 不可或缺的地位�����。AWS 的負責人 Andy Jassy 在活動中發表講話時表示�����,他們希望“利用所有可以想象的用例”���。
此后�,亞馬遜以驚人的速度增加 AWS 的服務�,從2014年的30家增長到今年12月的175家。此外,它還具有主場優勢:簡單性和便利性���。
客戶只需輕輕點擊鼠標就可以添加新的 AWS 服務,并利用同一個系統管理這些服務。而且這些新服務會添加到同一賬單中,不需要財務或合規部門的額外許可�����。
相比之下�,在 AWS 上使用非亞馬遜服務就遠遠復雜得多。
如今���,客戶登錄 AWS,就會看到一個名為管理控制臺的主頁���,頁面中央列出了約150種服務,這些都是 AWS 自己的產品���。
如果你鍵入“ MongoDB ”,搜索結果不會獲取有關 AWS 上 MongoDB 服務的信息���;相反,它會建議你使用亞馬遜提供的“與 MongoDB 兼容” 的產品�����。
即使客戶選擇了非亞馬遜的產品���,該公司還會時不時地繼續推銷自己的產品�。當有人創建新數據庫時,就會看到一則有關亞馬遜自家產品 Aurora 的廣告。如果他們選擇其他商品,亞馬遜仍會特別“推薦”自家的產品�。
Gutmans 說���,AWS 與許多公司緊密合作�����,“盡可能無縫地”集成其產品。
禁止詞
亞馬遜的 AWS 拉斯維加斯開發者大會是當前云計算行業中最大的盛事���。
亞馬遜的 AWS 開發者大會是當前世界技術領域的盛事之一,每年都會吸引成千上萬的人到拉斯維加斯來�。
大會的壓軸項即是 Jassy 在演講中展示新服務���。因為新的 AWS 功能經常都會給一些創業公司帶來災難�,所以這場演示也贏得了“血色婚禮”的稱號——《權力的游戲》第三季中著名的一幕�。
“沒有人知道下一個死的是誰?����!?Duckbill Group 的 Corey Quinn說�����,他幫助各個公司管理 AWS 賬單,還寫了一篇新聞報道題為:“Last Week in AWS”�����。
在去年的會議上�,亞馬遜推出了一種新工具:Amazon CloudWatch Logs Insights,可以幫助客戶分析有關其服務的信息�����。
前 AWS 軟件工程師 Daniel Vassallo 幫助公司開發了這款產品�,他表示,高管們想進入這個市場�����,但他們擔心人們會以為亞馬遜又有瞄準了一家名叫 Splunk 的公司�,該公司提供了類似的工具,同時也是 AWS 的主要消費者�����。
Vassallo 說���,亞馬遜在會議之前讓 Splunk 預覽了新產品�����,并同意 Jassy 不會在演講期間宣布該產品�����。
“他們不是特別高興���。當然了遇到這種事兒誰會高興啊?” Vassallo (于今年2月離開了亞馬遜)在談到 Splunk 時說,“但我們還是堅持做下去了�����?��!?/p>
Splunk 表示他們與 AWS 建立了 “堅實的伙伴關系”���,并拒絕進一步評論���。
亞馬遜還為開發者大會制定了規則�����。各個公司需要支付數萬或數十萬美元才能拿到一個展位�����,他們必須將廣告橫幅、小冊子和新聞稿提交給亞馬遜以供批準�。
根據 AWS 八月份發布的文件闡明了他們與其他公司合作的營銷準則���,亞馬遜禁止使用“多云”(使用兩個或多個云平臺的概念)等詞語或短語�。亞馬遜發言人表示他們已經停止了這種做法���。
各家公司還不能稱自己是“最佳”�、“第一”�、“唯一”、“領導者”�����,除非經過獨立研究機構的證實�。
“愛恨交織的關系”
利福尼亞州米爾布雷的軟件創業公司 Nexla 的首席執行官 Saket Saurabh 表示,他對與亞馬遜的合作關系持保留態度。
Redis Labs 于2011年在以色列特拉維夫成立,致力于管理名為Redis的免費軟件,人們可以使用該軟件快速組織和更新數據。亞馬遜很快就提供了具有競爭性的付費服務。
雖然 Redis Labs 迎來了強大的競爭對手���,但亞馬遜的舉動也證實了 Redis 技術的堅實。在那之后,這家創業公司籌集到了1.5億美元�,這充分說明了許多軟件公司與亞馬遜之間“無法和平共處�����,卻又唇齒相依”的關系。
Redis Labs 的前員工估計,每年亞馬遜利用 Redis 技術獲取的收入高達10億美元�����,至少是 Redis Labs 收入的10倍以上�。他們說,亞馬遜還試圖挖走員工�,并以超高的折扣低價出售 Redis 技術���。
AWS 承諾客戶的消費超過一定金額就可以享受折扣���,但是他們沒有公平地對待自家服務和競爭對手服務的消費額度���。外部服務的消費額僅占自家服務消費額的一半�����。據 AWS 客戶稱,他們的折扣不適用于非亞馬遜產品�����。
如果客戶仍然通過 AWS 選擇 Redis Labs�,則 Redis Labs 必須將其收入的15%返還給亞馬遜���。
前員工說�����,有一段時間�����,亞馬遜十分熱切地渴望招聘 Redis Labs 員工�����,高管們甚至從網站上刪除了部分 Redis Labs 的技術人員。不過Redis Labs 的一位發言人說���,他們不記得這件事。
前員工還說���,部分 Redis Labs 高管考慮今年對亞馬遜提出反壟斷訴訟。而其他人則表示反對�,因為這家創業公司80%的收入都來自 AWS 的客戶���。
“這是一種愛恨交織的關系�����,” Redis Labs 前營銷副總裁 Leena Joshi 說,“一方面,我們的大多數客戶都在 AWS���,因此���,與他們緊密結合符合我們的利益���。同時�����,我們也知道 AWS 搶走了我們的業務���?��!?/p>
Redis Labs 拒絕就公司收入或 AWS 的動作做出評論�����。它說亞馬遜提供了“重要的服務”���。
并非每個公司都將 AWS 視作威脅���。舊金山的創業公司 Databricks 使用人工智能來分析數據���,公司的首席執行官 Ali Ghodsi 說 AWS 的銷售人員提高了他們公司產品的銷售量�����。
他說:“我并沒有看到他們耍詭計來阻止我們的發展�����?����!?/p>
但是�,位于加利福尼亞州米爾布雷的創業公司 Nexla 只有14名員工���,公司的首席執行官 Saket Saurabh 表示�,他對亞馬遜持保留態度�����。
8月份�,亞馬遜開始提供一項數據處理和監控服務,與 Nexla 展開了競爭���。投資者們警告他�,不要向這家科技巨頭透漏太多信息�。
然而,Saurabh 還是在9月份簽署了與亞馬遜合作的合同���。為什么?因為亞馬遜龐大的銷售團隊可以為 Nexla 帶來更多受眾�����。
他說:“我們有選擇的余地嗎���?”
如果亞馬遜推出競爭產品���,創業公司該何去何從?
對于所有創業公司來說,這都是一個無法回避的問題。我不太擔心科技巨頭擠兌創業公司的問題�����。以我的經驗來看,在創業公司倒閉的諸多原因中���,科技巨頭的威脅并不是主要原因。雖說如此���,對于面向開發人員的創業公司來說,這確實是一個令人擔憂的因素�����。
AWS 與開源的關系非常復雜���。值得注意的是,Mongo 和 Redis 都必須采取行動與 AWS 開戰�。此外�����,這些公司在想法賺錢的時候都要面對這個問題,而且這也不會成為妨礙別人使用你家產品的原因�����。換句話說���,創業公司能夠達到如此規模和水平���,我們都應該感到慶幸�����。很多時候,在這些公司達到這種規模之前�����,AWS 不會與之展開競爭�。
原文:https://www.nytimes.com/2019/12/15/technology/amazon-aws-cloud-competition.html
https://www.tclauson.com/2019/09/11/Unbundling-AWS.html
責編:王楠
