有调查显示,CIO/CDO们大多把信息安全作为自己关注的头等大事,甚至连CEO的关注列表也把信息安全放在了重要的位置。
伴随着企业上云步伐的加快,在整体信息安全市场中,云安全已经成为增速最快的细分领域。Gartner的研究显示,2021、2022和2023年,全球云安全市场的增速分别为36.3%、22.0%、26.8%,连续三年增速都是最快。到2023年,全球云安全市场的规模将达到66.88亿美元,比2020年翻了一番还多。
与市场高速成长同步而来的是领先云服务商对安全的投入力度。以亚马逊云科技为例,不仅在刚刚结束的2022re:Invent全球大会上,安全成为热门话题,其每年还专门主办一个名为re:Inforce的全球安全大会,专注于分享在安全合规方面的理念和方法。
直到现在,仍然有不少人认为把数据放到云上,不如放在自己的服务器上安全。
实际上,安全也是有规模效应的。以亚马逊云科技为例,其在全球拥有数百万客户,每天追踪的安全事件达数十亿条。这使得亚马逊云科技能检测到更多的安全威胁,并迅速定位和解决这些安全威胁,进而把这些能力更新到安全服务中,让更多用户从中受益,免受同样的威胁或攻击,从而形成规模效应。
正是通过自身的丰富实践,亚马逊云科技提出了“洋葱型”安全的理念。所谓的“洋葱型”,指的是层层递进的防护机制,不同层次之间还有互补机制;与此相对应的“鸡蛋型”,则只有一个坚硬的外壳,一敲即破,过度依赖于某一个单点控制、单一服务或产品。
因此,一个理想的云中安全体系,应该包括从内到外的数据安全、应用安全、端点安全、网络安全、边界安全等多层次纵深防御,避免因为单点故障而发生安全事件。
此外,亚马逊云科技还强调,要将安全融入到产品或服务的开发生命周期和运营当中,包括设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,为产品和服务的所有安全负责,并设置独立的应用安全审查流程等。
与一些用户出于安全顾虑而不敢上云正相反,很多用户选择上云的原因,恰恰是因为安全问题。
在2022re:Invent全球大会的主题演讲中,亚马逊云科技CEO Adam Selipsky介绍说,很多客户告诉他,之所以选择亚马逊云科技,最重要的原因之一是,他们在亚马逊云科技上的应用和数据安全性,明显优于自己的本地基础设施或其它云。
企业开展数字化转型,在某种程度上就是对未知世界的一种探索。很多企业对此信心不足,正是因为缺乏安全保障,一旦具有了强大的安保核心,也能够看清周围事物,企业就有信心走得更远更深,成为数字化的开拓者。
Adam表示,在安全方面,亚马逊云科技能够为客户带来四个方面的价值。
首先,安全性本身是亚马逊云科技基础设施和服务的中心支柱。自成立之初,安全性就是亚马逊云科技的首要任务。亚马逊云科技对其基础设施24×7 全天候监控,提供多种故障隔离功能以提高韧性,并且允许对流经亚马逊云科技网络的所有数据离开其安全设施之前对其进行加密。如今,亚马逊云科技被公认为高度安全的环境,通过了最高级别的审查。
其次,在亚马逊云科技上,开发人员不再会因为安全而牺牲速度。在这里,安全和速度两者不再是二选一,开发者可以不费吹灰之力地安全地构建应用。开发者构建应用程序时,Amazon CodeWhisperer和Amazon CodeGuru等托管服务可以使用机器学习技术,帮助开发者从一开始就编写安全代码,改善安全状况,而且行动迅速。
再次,亚马逊云科技打造众多的安全服务,可帮助构建者识别、修复和消除应用程序中的漏洞和威胁。亚马逊云科技提供了触手可及的大量安全托管服务,例如漏洞管理服务Amazon Inspector、敏感数据保护服务Amazon Macie、安全检查与事件管理服务Amazon Security Hub、DDoS防护服务Amazon Shield 和威胁检测保护服务Amazon GuardDuty。
最后,亚马逊云科技为客户提供了广泛获取第三方安全解决方案的途径,数千个第三方解决方案与亚马逊云科技深度集成。涵盖应用安全、数据保护、边界保护、合规性、身份和访问控制等方方面面。
把安全与业务发展相对立,是很多企业考虑安全问题时常见的误区。
在亚马逊云科技看来,安全应该是一条基线,对业务产生的影响要尽可能小。一个成功的安全团队,不是对业务部门说不能做这个、不能做那个,而应该是说这个事情可以这样来做。
当用户不再把安全作为顾虑时,也就能够放心地把核心负载、关键数据放到云上。这样的顾虑也可以理解,尤其多云环境之下,企业面临着更大的安全风险以及操作和管理多种技术的复杂性。
OCC是在美国交易的所有上市股票期权的中央清算仓库,是金融市场中枢神经系统的组成部分。OCC最近决定将其核心工作负载迁移上云,把安全等方面的复杂性问题交给亚马逊云科技。
能够赢得这样的关键客户的信赖,也得益于亚马逊云科技不断完善的安全服务。在2022 re:Invent全球大会上,亚马逊推出了几款安全新服务和新功能。
日志数据和安全事件信息的数据湖Amazon Security Lake,可以帮助客户聚合、管理和分析日志及事件数据,实现更快的威胁检测、调查和事件响应。该服务可以自动将客户在云端和本地的安全数据,集中到客户在亚马逊云科技账户下专门构建的数据湖中,可以定制数据备份保留设置,实现数据生命周期管理。
Amazon GuardDuty RDS Protection功能可以在Amazon Aurora数据库上运行基于机器学习的智能威胁检测,保护企业数据。该功能可以监测数据库的访问活动,并使用定制的机器学习模型,准确地检测对Aurora数据库的可疑登录。一旦检测到异常,GuardDuty 就会生成一个安全提示信息,其中包括数据库详细信息和可疑活动的相关信息。
Amazon GuardDuty对容器运行时的威胁检测功能也即将推出。这项功能可以帮助企业同时了解容器内外部发生的情况,遇到类似执行可疑脚本等情况下发出告警,以便在恶意行为造成损害之前做出响应。
正是因为始终把安全作为最高优先级的工作,把安全作为一种文化贯穿在整个企业的运营当中,作为领先云服务商的亚马逊云科技,才能够为企业客户的云上业务创新保驾护航。
未来,随着云计算能够真正像用水用电一样方便,安全防护也将会像水和空气一样无处不在。当安全不再成为顾虑时,企业才能够专注于业务创新,通过数字化来实现价值提升。