说起亚马逊云科技一年一度的re:Invent全球大会,相信IT行业的小伙伴们个个都耳熟能详。不过从2019年开始,另一场名字与其极其相似的re:Inforce全球云安全大会,也在全球安全领域声名鹊起。
近日,亚马逊云科技2022 re:Inforce全球云安全大会在美国波士顿落幕。作为全球安全领域的顶级盛宴,这场大会通过主题演讲、技术分享和动手实践等上百场活动,与全球客户分享了亚马逊云科技在云安全和合规领域的最新洞察、成功经验及最佳实践,并发布了多项新的安全服务及功能,以帮助客户更有效地构建云上安全环境及满足合规要求。
“为什么我们除了re:Invent之外,还要再举办re:Inforce呢?这是因为对于企业来说,安全实在是太重要了,所以我们才把安全单独拎出来,作为一个主题每年举办一场活动。”亚马逊云科技大中华区产品部总经理陈晓建向趣味科技介绍道。
亚马逊云科技的安全理念
既然安全如此重要,那么亚马逊云科技自身又抱有怎样的安全理念呢?
“与其去救火,不如防患于未然。在发现安全问题并在第一时间加以解决之后,亚马逊云科技还会通过我们的海量运营、通过我们去支持全球数百万客户的各种安全事件,把在一个客户中所取得的实践复用到其他客户,从而取得规模效益。”谈到亚马逊云科技的安全理念时,陈晓建将其重点归纳为以下几个方面:
1、安全的最高优先级是解决基本问题:在安全领域,亚马逊云科技在全球有着丰富的实践,并且已经将这些实践内置到了自己的云服务当中。
2、规模效应:亚马逊云科技每一天都会处理全球海量的API请求和日志记录,能够通过监测快速解决发生在单个客户身上的异常情形,并且让其他用户免受同样的威胁或攻击。
3、将安全融入产品或服务的开发生命周期和运营当中:设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,使其为产品和服务的所有安全负责,同时还设置独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
4、将人和数据分开:安全中最重要的两大因素就是人和数据,而两个维度的交叉形成的交集,会是一个更加严谨的安全方案。
5、洋葱型的多层防护:云中安全应该是一个洋葱型的多层防护,而不是一个鸡蛋。因此云上安全需要层层递进的防护机制,不同层次之间还有互补机制;不能过度依赖于某一个单点控制、单一服务或产品,否则点故障就会导致发生安全事件。譬如防火墙可以阻挡外部攻击,但不能解决恶意的内部攻击,这就需要访问控制,主机安全和数据加密来共同解决,这就是典型的多层防护。
6、Stronger Together聚力携手才能走向强大:从根本上来说,这些能力都来源于客户对安全的需求,促使亚马逊云科技不断进步和提升。亚马逊云科技再将这些发现、经验和实践总结出来,告诉更多的客户,与客户一起携手进步变得更加强大。
值得学习与借鉴的安全文化
在努力满足客户安全需求的同时,亚马逊云科技自身的“Job Zero安全文化”也非常值得其他企业学习和借鉴。陈晓建指出,安全不仅仅是技术的问题,同时也是管理的问题。亚马逊云科技的“Job Zero安全文化”,就是将安全作为公司最高优先级的工作,并且将其贯穿在整个企业当中。
1、Job Zero:亚马逊云科技的Job Zero安全文化,将安全视为公司每一个人的责任,在做任何工作之前首先要做的是安全工作,将安全列为最高优先级。亚马逊云科技每周都会召开一次安全会议,公司CEO会亲自参加,各个业务的负责人也会定期会面,以确保业务需求并关注安全问题。
2、自动化工具:亚马逊云科技善于通过自动化工具来提高效率和竞争力,减少安全的阻力,将安全嵌入整个开发过程,并降低对业务的影响。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。
3、设置安全指标:针对公司的不同团队,亚马逊云科技也设置了不同的安全指标。譬如针对产品团队,亚马逊云科技的衡量指标是看提出了哪些好的安全建议,促进了哪些安全功能的发布;针对安全团队,亚马逊云科技的指标则是看促进了多少新产品的发布,缩短了多少新产品上线的时间。
4、安全大使机制:亚马逊云科技设置了安全大使团队机制,将安全专业人员按照不同比例,与日常的产品和服务团队结合在一起,将安全的技术和理念带到每一个产品和服务团队,从而将安全理念与每个团队的工作结合起来。
re:Inforce发布的新产品与新功能
为了给客户提供更好的安全防护,亚马逊云科技一直在不断根据客户需求,持续丰富其安全服务及功能。譬如在加密领域,为了应对未来量子计算的快速发展,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。此外亚马逊云科技还借助自动推理,通过数据逻辑的应用来检测可能存在的安全风险和配置错误,为云本身和云中的安全性提供更高的保障,并推动可证明的安全性的发展。
在本届re:Inforce上,亚马逊云科技也发布了一系列的新产品与新功能,其中最为引人注目的有:
1、Amazon Identity and Access Management (Amazon IAM) Roles Anywhere:该服务使得客户可以更轻松地针对亚马逊云科技之外的应用程序使用IAM角色,为本地服务器、容器和应用程序等工作负载设置临时凭证,消除客户管理和创建长期凭证的需要,降低运维成本和复杂度,提高客户工作负载的安全性。
2、Amazon Detective for Elastic Kubernetes Service(Amazon EKS):该服务可将Amazon Detective覆盖的数据源扩展至Amazon EKS,帮助客户分析、调查和识别在Amazon EKS集群上的Kubernetes潜在的安全问题或可疑活动并找出根本原因,快速采取措施来解决问题,提升安全性。
3、Amazon GuardDuty Malware Protection:该服务可以帮助客户检测运行在其云环境中的的恶意软件,而无需部署安全软件或代理。
4、Amazon Config新增合规性分数功能:新增加的合规性分数功能,能够以百分比的形式展现客户相关资源的合规程度,帮助客户逐步对照并解决合规问题。
针对中国市场的举措
在谈到亚马逊云科技对中国安全市场的举措时,陈晓建透露主要有以下两个方面:
1、Stronger Together:与国外客户相比,中国客户有着自己独特的安全合规要求和环境。通过深入到客户当中与其沟通交流,亚马逊云科技发现中国的安全客户尤其关注隐私保护、数据跨境、云上安全建设等几大热点,因此亚马逊云科技针对中国市场也推出了Stronger Together反哺机制,希望能帮助更多的中国客户解决云上安全合规最棘手的问题,具备更好的安全策略,助力其云上业务顺利发展。
2、CISO对话:作为云上的信息安全官,CISO承担着非常巨大的责任,既要保证客户业务在云上的安全,又要解决所有面临的安全威胁,帮助企业去建立安全声誉。因此从2022年开始,亚马逊云科技将在中国举办CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。而CISO对话的目的,是创造一个客户与厂商互相交流的平台,输出亚马逊云科技在安全合规方面的经验和实践,同时获取客户CISO对于云安全、合规、运营建设方面的具体诉求和需要解决的问题。
“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,为他们云上业务创新保驾护航。”陈晓建表示。