文/深度围观 杜昊
最近,云南森林消防总队在重庆北碚山火扑救行动中得到众多网友的一致怒赞,其新颖战法、专业操作令人耳目一新。该队1993年12月从黑龙江大兴安岭调防云南,从大片林场的大兴安岭到同样大片森林覆盖的云南。近年来,年均灭火142起,最多一年281起,最多一天同时奋战在13个火场,最长时间连续鏖战66个昼夜,最远距离近万里增援黑龙江省,身经百战、经验丰富自然活该全国都在夸。
在各个领域,安全从来都是重中之重,而解决安全隐患的能力同样取决于遇到和处理安全威胁的数量。亚马逊首席信息安全官 Steve Schmidt在云安全盛会2022 re:Inforce演讲中表示:亚马逊云科技在全球拥有数百万客户,每天追踪的事件达数十亿条,这使得亚马逊云科技能检测到更多的安全威胁。亚马逊云科技会迅速定位和解决这些安全威胁,并将这些能力更新到安全服务中让更多的客户受益。 “
亚马逊云科技大中华区产品部总经理陈晓建表示:“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,为他们云上业务创新保驾护航。”
秉承“防患于未然“的安全理念
与其去救火,我们更需要做的是防患于未然,这是亚马逊云科技云安全一直在承诺的理念。
通过海量运营、去支持全球数百万客户的各种安全事件,然后把在一个客户中所取得的实践,能够复用到其他客户中来,从而取得规模效益。这是亚马逊云科技云上安全每天都在做的事。
使用自动化工具
每天的工作中怎么来获取这些信息?如果当客户发生安全故障的时候再去响应可能已经迟了。在亚马逊云科技覆盖全球的各个数据中心,每天都会收到数以十亿条的安全事件、各种日志,通过自动化的处理工具来自动识别这些安全风险,并且能够把各个用户之间的安全事件关联起来,能够有一个全局的理解。亚马逊云科技要做的工作就是发现这些有可能发生的、极小的概率事件,因为安全事故往往是不经意的小事件堆积发酵的结果。
Amazon GuardDuty是亚马逊云科技很多客户都会使用的安全服务,它是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护云中账户、负载、程序及存储数据的安全。因为它内置有机器学习的引擎,通过内嵌的机器学习能力,不断改进对威胁的探测,能够非常有效地从云环境可以识别出潜在的恶意用户活动,由于机器学习的功能可以使得安全事件的误报率降低50%。
另外,Amazon S3是对象存储,是亚马逊云科技提供给每个客户都可以使用的服务。Amazon GuardDuty能够去监控Amazon S3的每个用户所接收到的外部请求,通过在机器学习逻辑中加入了概率预测,就可以判断哪些是异常的请求。
建立独特工作机制
亚马逊云科技有一个非常独特的机制---安全守护者,设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,他们为产品和服务的所有安全负责,同时还设置了独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
人与数据分开
一个是人、一个是数据。怎么去实现安全呢?对人来说,就是控制访问权限,需要按需访问,以最小化的原则去定义访问权限,并且给这个权限设置一个有效期。对数据来说,更多需要考虑的是数据本身的数据的内容,它是不是需要去脱敏,是不是需要去加密,哪些数据需要给谁用等等。需要对这两个维度同时进行考虑之后,才会形成一个更严谨的方案。
洋葱型多重保护
亚马逊云科技一直倡导“云中安全必须是洋葱式的多层防护,而不是一个鸡蛋”。鸡蛋虽然是有一个坚硬的外壳,但是它的防护就外壳这一层,如果一个点突破之后,整个安全体系就崩塌了,但是洋葱不一样,洋葱是多层防护的结构,所以说不仅每层结构之间可以起到一个互相保护的作用,而且它会有层层递进的访问机制,这是亚马逊云科技认为一个合理的安全机制所必须具备的。
最终的结果就是亚马逊云科技和用户一起携手进步,变得更强大,Stronger together。
安全溶于企业助力效率
刚刚推出的亚马逊云科技Marketplace Vendor Insights预览版,能够大大缩减客户对亚马逊云科技Marketplace 服务的采购周期,之前可能需要好几个月的时间,现在提社升到八周至十二周,有了Vendor Insights之后,最快可以在一周之内就可以完成采购,因此可以帮助客户实现业务的快速上线。
在加密领域,为了应对未来量子计算的快速发展,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。
亚马逊云科技在此次re:Inforce上发布了众多安全领域的新服务和功能:
Amazon IAM Roles Anywhere,它把用户的IAM Roles功能从公有云延伸到了其他的云环境,它可以提供一个短期凭证。客户不必管理和创建长期凭证,使用IAM Roles Anywhere提供的临时凭证,企业及其客户都更加安全。
通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,这样不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
Amazon Detective For EKS,Amazon EKS是亚马逊云科技的一个容器服务,Amazon Detective是用户用于检测上面各种安全风险的分析工具,也是第一次把Detective的功能延伸到EKS,可以帮助用户分析在Amazon EKS集群上的潜在的安全问题和可疑的活动,提升Amazon EKS的安全性。
Amazon Amazon GuardDuty Malware Protection,当检测到恶意软件时,Amazon GuardDuty Malware Protection可自动向Amazon GuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective发送恶意软件调查结果及其潜在来源,客户可根据相关结果迅速采取对应措施。
Amazon Config。Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性借助该服务,用户可以查看配置更改以及 AWS 资源之间的关系、可以发现一些不合规的配置并迅速告警。
通过新产品、新功能、新技术和各项制度建设,把安全的理念和安全工作嵌入到每一个产品和服务团队的日常工作流程中。让工具来和制度来帮助工作更高效。
结 语
亚马逊云科技一直十分重视中国市场,而且中国客户有着自己独特的安全合规要求和环境,问题大多集中在隐私保护、数据跨境和云上安全建设,亚马逊云科技希望能帮助客户解决云上安全合规最棘手的问题,享受云上的好日子。
另外,亚马逊云科技推出Cloud Audit Academy(CAA)审计、风控和合规工作培训,专门为云计算所设计的,通过CAA可以指导用户把云的技术应用到日常的审计工作中来,可以应用于安全、合规、审计、风控等等部门。整个课程也计划在今年引入到中国来,为中国的客户提供支持。并且今年开始亚马逊云科技在中国举办CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。
亚马逊云科技既防患于未然积极发现问题,并与众多合作伙伴一道通过实力创新和重塑,提供对应的产品和解决方案,让云上安全不是问题,而是答案。