与现实世界一样,在数字世界里,安全也是基础保障。
同样与现实世界一样,数字世界里最好的安全,也是防患于未然,而不是出了问题才去“救火”。
亚马逊云科技大中华区产品部总经理陈晓建表示,这也是亚马逊云科技云安全一直在秉承的理念,去发现那些有可能发生的极小概率安全事件。
直到今天,仍然有很多人认为把数据放到云上,不如放在自己的服务器上安全。
对此,陈晓建认为,安全也是有规模效应的。他表示,亚马逊云科技通过海量运营、去支持全球数百万客户的各种安全事件,然后把在一个客户中所取得的实践,复用到其他客户中去,从而取得规模效益。
他举例说,亚马逊云科技每天都在处理全球海量的API请求和日志记录,从中能够监测到更多异常,快速解决发生在单个客户身上的异常情形,并让其他用户从中受益,免受同样的威胁或攻击,这就是安全规模化带来的好处。
基于亚马逊云科技的切身实践,陈晓建认为,云中安全必须是洋葱型的多层防护,而不是鸡蛋型的只有一个坚硬的外壳。他所说的“洋葱型”,指的是层层递进的防护机制,不同层次之间还有互补机制,不过度依赖于某一个单点控制、单一服务或产品。
因此,一个理想的云中安全体系,应该包括从内到外的数据安全、应用安全、端点安全、网络安全、边界完全灯多层次纵深防御。避免因为单点故障而导致发生安全事件。
为了帮助客户更有效地构建云上安全环境及满足合规要求,亚马逊云科技在近日举办的2022 re:Inforce上,发布了多项新的安全服务及功能。
Amazon Identity and Access Management (Amazon IAM) Roles Anywhere。通过该服务,客户可以将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,为其本地服务器、容器和应用程序等工作负载设置临时凭证。客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
Amazon GuardDuty Malware Protection。该功能进一步扩展了Amazon GuardDuty的威胁检测范围,可以帮助客户检测运行在其云环境中的的恶意软件。Amazon GuardDuty可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。
Amazon Detective for Elastic Kubernetes Service(Amazon EKS)。将Amazon Detective覆盖的数据源扩展至Amazon EKS,帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
Amazon Config新增合规性分数功能。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题,帮助客户跟踪资源合规性。
陈晓建介绍说,目前亚马逊云科技已经建立了一个全球最为完善、最为庞大的合作伙伴网络,其中包括安全合作伙伴。同时,还推出了合作伙伴的安全能力认证,伊克罗德、华讯等国内合作伙伴已经通过了该认证。
为了方便客户采用合作伙伴上架到亚马逊云科技Marketplace的应用和服务,亚马逊云科技还推出了一个名为Marketplace Vendor Insights的服务。这个服务可以帮助客户去评估合作伙伴提供的服务的安全性,缩减客户对亚马逊云科技Marketplace 服务的采购周期,实现业务的快速上线。这既方便了客户,也是对合作伙伴的更好的支持。
同时,亚马逊云科技还推出了有关审计、风控和合规工作的培训,即Cloud Audit Academy(CAA)。CAA可以指导用户把云的技术应用到日常的审计工作中来,应用于安全、合规、审计、风控等部门。
目前,亚马逊云科技正计划将CAA引入到中国来,为中国的客户提供支持,并根据中国市场的需求,增加等级保护的内容。
此外,从今年开始,亚马逊云科技还将在中国举办CISO对话。举办CISO对话的目的,是创造一个互相交流的平台,输出亚马逊云在安全合规方面的经验和实践,同时了解用户CISO对于云安全合规的具体诉求和需要解决的问题。