俗话说,打铁还需自身硬。在面对安全威胁的时候,安全产品和服务不光起到防护盾的作用,而且还要担负起哨兵斥候的功能,故而对安全厂商自身的安全能力和技术积累有着极高的要求。亚马逊云科技自然也认识到了这些问题,一直以来,他们也在这些层面不断发力,铸就了极高的安全修为。
亚马逊云科技首席信息安全官CJ Moses就在本次re:Inforce大会上强调:“安全是我们的首要优先级”。因此,在助力企业安全防护上,亚马逊云科技就拥有得天独厚的优势。尤其是如下三大利刃,更可让企业CISO及其领导者踏实安心。
高标准云基础设施
从时间角度来看,亚马逊云科技是一家拥有近二十年云科技安全技术的厂商,而这近二十年,刚好是互联网科技、数字化转型、万物上云以及网络信息安全迅猛发展的时期。
更为关键的是,亚马逊云科技最初在建设新Region的时候,都是3 AZ起步作为基础标准,以提升云基础架构的安全可靠性,造就了亚马逊云科技全球31 Region、99AZ的全球布局。而同时期业界在全球云计算节点标准上,往往以1AZ或2AZ开局,两者在底层建设逻辑和成本投入上差别相当明显。亚马逊云科技也由此积累了丰富的技术基础和云安全能力。
因此,亚马逊云科技高标准云基础设施的安全合规性和云安全文化,客户可以全面继承。因为亚马逊云科技的安全性始于核心基础设施,其构建了安全的全球云基础设施,客户无论规模大小,均可获得一致的云安全体验。
这个很好理解,如果把攻击威胁视为随时存在塌陷危险的沙漠,而亚马逊云科技的高标准云基础设施则是建造在沙漠中的坚石平台,无论是大房子还是小房子,建造在平台上,都能享受同等的坚固基石,这就确保亚马逊云科技可以全心全力打造一座基石,使其越来越坚固安稳,而不必针对大小客户建造不同的平台,分散精力的同时,也容易让客户产生了差异化对待的负面情绪。
或许有人会觉得,亚马逊云科技的基础设施坚韧有余,可能灵活度不够。实际上并非如此,其基础设施不仅根据安全最佳实践和最高标准来建立和管理,还考虑到云的独特需求,采用冗余和分层控制、持续验证和测试,大量使用自动化,确保底层基础设施得到7×24小时全天候的监控和保护。
所以,客户基于亚马逊云科技强大安全性的承诺,可以发掘新的高安全合规要求的商机,以此增加市场份额。这也印证了上文提及的将安全作为业务的起点,安全性可以提升企业竞争力。
AI/ML驱动安全自动化服务
今年re:Inforce大会的一个主要议题是由人工智能(AI)和机器学习(ML)驱动的安全服务。发布的产品是Amazon CodeGuru Security,这是一款静态应用安全工具,可以检测安全策略的违反和漏洞,提供解决安全风险的建议,并生成安全健康状况的指标。
安全自动化服务的优点不必多言,比如减少人力消耗和效率低下的人工排查、更快定位威胁和处理风险等等。自动化固然建立在工具使用上,工具本是死物,赋予其能力的便是人工智能和机器学习。
人工智能让工具拥有一定的鉴别能力,而机器学习则是让工具不断迭进能力,两者相伴相生。亚马逊云科技在人工智能和机器学习领域拥有深厚的能力积累,由AI/ML驱动的安全自动化服务,可以帮助客户更好应对事件,促进业务连续性。
今年re:Inforce大会上,CJ Moses强调:“我们AppSec工具链中的这项最新服务,与集成开发环境和CI/CD管道集成,并使用ML和自动推理,通过在开发生命周期的任何阶段检测代码中的漏洞,帮助构建更安全的代码……其增强的算法有助于工程和信息安全团队通过减少误报来节省时间。”
CJ Moses还指出,Generative AI和大型语言模型(LLM)可以通过增强和补充现有的工具和流程,会对安全团队产生重大影响,同时照顾到较低层次的任务。例如,可以训练生成性人工智能模型来感知威胁,总结攻击事件数据,编写漏洞补救代码和编写渗透测试脚本,以自动创建YARA规则进行恶意软件检测等等。
事实上,AI技术可以视为一种中性化的工具,没有善恶之分,安全防护者可以用来增强安全防御,恶意攻击者同样也可以利用AI进行攻击威胁。现实中已经发生的案例也证实,Generative AI可以使没有深厚经验的攻击者更容易创建恶意代码,比如可以生成更复杂和准确的钓鱼邮件等。
针对这类问题,亚马逊云科技也提供了保护用户免受其害的安全防护,因为亚马逊云科技的AI能力和ML能力远非一般攻击者可比,他们的安全自动化服务可以识别绝大部分由AI生成的威胁攻击。因此客户有必要使用基于人工智能和机器学习的防御措施来避免基于人工智能和机器学习的攻击。
此外,亚马逊云科技安全自动化服务和工具还有一项重要的能力,即可以帮助客户实现自动安全运营,使得安全团队腾出手来,专注于更重要的事务上,包括安全事件的检测、预防和应对等。
零信任安全架构理念
零信任已问世一二十年,但火爆于近三四年。可以说,云安全防护离不开零信任。因此,亚马逊云科技也一直强调零信任,重视零信任的研发工作。
亚马逊云科技高级首席工程师Becky Weiss在re:Inforce大会上指出,十多年来,亚马逊云科技一直支持零信任研发,着力于亚马逊云科技的身份和访问管理(IAM),IAM服务现在每秒处理超过10亿次API调用。并介绍了亚马逊云科技构建零信任能力的两大产品:Amazon Verified Access和Amazon Verified Permissions。
Amazon Verified Access旨在为客户提供对在亚马逊云科技上运行的企业应用的安全访问,不需要VPN,同时又能执行零信任原则。
Amazon Verified Permissions则是一项使客户能够为其应用程序实施和执行细粒度的权限。其优势在于,可以让用户以易于理解的策略来实现精细化的权限管理。