亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理
陳曉建從安全理念�����、安全文化和機制��、以及一些新舉措三方面進行了介紹��,看亞馬遜云科技如何給用戶以安全�����。
亞馬遜云科技的安全理念
首先��,防患于未然是一種重要的安全能力�����,它能在事情發(fā)生前就開始預(yù)防���。
在re:Inforce媒體溝通會上���,陳曉建表示:“亞馬遜云科技支持全球數(shù)百萬客戶處理各種安全事件,然后����,把在一個客戶中所取得的實踐�����,復(fù)用到其他客戶中來�����,從而取得規(guī)模效益�����?�!?/p>
當然��,如此規(guī)模的跟蹤數(shù)據(jù)不可能由人來手動處理����,亞馬遜云科技通過自動化的處理工具來自動識別這些安全風(fēng)險�,并且把各個安全事件關(guān)聯(lián)起來����,從而獲得一個全局的理解。
作為典型具體產(chǎn)品的就是——Amazon
GuardDuty,它提供的是一種防患于未然的安全能力��。這是一種威脅檢測服務(wù)���,可持續(xù)監(jiān)控惡意活動和未經(jīng)授權(quán)的行為����,它內(nèi)置了機器學(xué)習(xí)引擎來不斷改進對威脅的探測�����,而云的規(guī)模會讓它的威脅檢測能力變得更強���。
比如�����,Amazon
GuardDuty能監(jiān)控Amazon S3用戶所接收到的外部請求���,并能通過機器學(xué)習(xí)來判斷哪些是異常請求,比如����,當某用戶的請求都來自東南亞��,突然收到了來自非洲的請求�����,則可能有問題�,當某用戶在業(yè)務(wù)低峰期的請求量遠超日常請求量時�,也可能有問題。
第二點���,安全不應(yīng)該是先上車后補票�����,而是應(yīng)該在產(chǎn)品構(gòu)建時就嵌入其中����。
陳曉建表示��,“亞馬遜云科技把安全的理念和安全的工作嵌入到每一個產(chǎn)品和服務(wù)團隊的日常工作流程之中��,這是亞馬遜云科技一個非常獨特的機制�。”
亞馬遜云科技有“安全守護者”機制來保證他們所派駐團隊的產(chǎn)品和服務(wù)能夠?qū)崿F(xiàn)安全的責(zé)任��,同時�,亞馬遜云科技的任何產(chǎn)品、服務(wù)的發(fā)布都會通過應(yīng)用安全審核流程����,任何發(fā)布或更新都必須要通過這個流程。
此外����,亞馬遜云科技還提倡“把人和數(shù)據(jù)分開”和“洋蔥模型”兩大安全理念,把人和數(shù)據(jù)分開指的是控制好人的訪問權(quán)限�����,處理好數(shù)據(jù)要不要脫敏����、要不要加密、給誰用的問題���?��!把笫[模型”指的是要構(gòu)建多層防護結(jié)構(gòu),各層間有相互保護的作用�,防止有一層被突破就中招的情況��。
亞馬遜云科技的安全文化和機制
首先是要重視安全��,并且是所有人都要重視安全����。
非安全相關(guān)人員總覺得自己并不需要關(guān)心安全�����,但亞馬遜云科技認為“安全是公司每個人的責(zé)任”��,不只是CEO的�,也不只是安全團隊的,亞馬遜云科技會定期跟業(yè)務(wù)人員會面�,傳遞安全工作的價值。
第二點是依靠工具來提高效率���。
CI/CD(持續(xù)集成/持續(xù)交付)可以提高開發(fā)和運營的效率��,將高效率的安全工具嵌入到開發(fā)者的流程里面之后�����,很多基本問題便可以通過安全工具去解決����,而不是每次碰到問題都要去找安全人員去解決,從而提升安全工作的效率���。
第三點,盡量降低安全對業(yè)務(wù)產(chǎn)生的影響�����。
成功的安全團隊不應(yīng)該對業(yè)務(wù)部門說不����,不給業(yè)務(wù)部門設(shè)置障礙,而是要告訴業(yè)務(wù)團隊應(yīng)該通過哪種方式去做��,幫業(yè)務(wù)團隊找到一條更安全����、更高效的實現(xiàn)路徑。
第四點����,給安全團隊建立KPI指標。
以往���,安全團隊的目標和價值很難衡量����,有人說,不出問題就是價值���,但這明顯是不靠譜的說法�,而亞馬遜云科技設(shè)立了考核指標���,這種指標其實把兩個團隊拉到了一條船上�����。
第一類是給業(yè)務(wù)團隊的�,衡量指標在于是否提出了好的安全的建議��,促進了哪些安全功能的發(fā)布�����。第二類是給安全團隊的��,衡量指標是促進了多少新產(chǎn)品的發(fā)布,縮短了多少新產(chǎn)品上線的時間�����。
第五點���,亞馬遜云科技強調(diào)保持團隊多樣性的作用��。
亞馬遜云科技認為,不同的人對同樣一件事情可能有不同看法���,安全需要這種不同的看法��,為了能有不同的看法���,亞馬遜云科技鼓勵不斷加入新員工的做法,因為新員工往往可以帶來更新的思考視角�。
亞馬遜云科技在安全方面的新舉措
雖然亞馬遜云科技在安全方面準備了很多,但還是離不開安全合作伙伴的能力��。
在亞馬遜云科技的APN(合作伙伴網(wǎng)絡(luò))中有許多安全領(lǐng)域的廠商���,覆蓋40多個安全場景���,為了讓云用戶能盡快用上安全能力�����,亞馬遜云科技新推出了Marketplace Vendor Insights(預(yù)覽版)�����,由亞馬遜云科技來對供應(yīng)商進行評估���,省去了用戶自己評估的時間,從而縮短采購周期����。
加密是一項非常核心的安全能力,亞馬遜云科技在加密方面進行了諸多新的探索����。
比如,為用戶提供兩種密鑰管理方式�����,一種是交給亞馬遜云科技來管����,一種是用戶自己管理��;提供低成本����、高性能的加密服務(wù)�����,使用了一個叫Amazon CloudHSM的專用安全模塊硬件�����;探索用量子計算做加密����,不僅參與了標準制定��,還推出了落地的產(chǎn)品����,在Amazon KMS、Amazon
Certificate Manager���、Amazon Secrets Manager中均有使用�����。
最后���,亞馬遜云科技還發(fā)布了四款新產(chǎn)品服務(wù):
第一個叫Amazon
(IAM)
Roles Anywhere Management�,它把用戶IAM Roles管理功能從公有云延伸到了其他云環(huán)境���,這一做法不僅降低了運維成本和復(fù)雜度�����,還進一步提高了客戶工作負載的安全性����。
第二個叫Amazon
Detective for Amazon EKS�����,Amazon Detective是用戶檢測各種安全風(fēng)險的分析工具���,它可以分析和調(diào)查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動�����,并找出根本原因����。
第三個叫Amazon
GuardDuty Malware Protection, 可幫助客戶檢測運行在其云環(huán)境中的惡意軟件,新服務(wù)拓展了原來Amazon GuardDuty的威脅檢測范圍���,而且提升了與Amazon
Security Hub的集成度����,便于查找各種安全問題���。
第四個是給Amazon
Config新增合規(guī)性分數(shù)功能����,幫助用戶跟蹤資源合規(guī)性�。以百分比的形式展現(xiàn)客戶相關(guān)資源的合規(guī)程度��,方便客戶逐步對照并解決合規(guī)問題���。
為中國用戶準備的安全私房菜
陳曉建還分享了亞馬遜云科技針對中國用戶所準備的內(nèi)容�,對于中國用戶特別關(guān)心的隱私保護、數(shù)據(jù)跨境����、云安全建設(shè)等問題,亞馬遜云科技發(fā)起了一個項目�,幫助用戶制定更好的安全策略,讓云上業(yè)務(wù)能夠順利發(fā)展�。
另外一方面工作是針對CISO(首席信息安全官)準備的,CISO作為云上的信息安全官����,一要保證用戶的業(yè)務(wù)在云上的安全,同時要解決所有面臨的安全威脅����,幫助企業(yè)去建立安全的聲譽,亞馬遜云科技希望讓用戶和安全合作伙伴一起分享安全方面的經(jīng)驗和實踐�,相互學(xué)習(xí)和進步。
