確實(shí)，從安全行業(yè)來(lái)看。零信任是整個(gè)行業(yè)都非常關(guān)注的話(huà)題，不斷變化的員工構(gòu)成，不斷加強(qiáng)的行業(yè)監(jiān)管和用戶(hù)對(duì)于精確權(quán)限管理的需求，都推動(dòng)著零信任的發(fā)展。

零信任是一套安全框架，也是一套關(guān)于“先驗(yàn)證才信任”的安全實(shí)踐，它不特指某些具體的安全服務(wù)，但很多安全服務(wù)都會(huì)基于零信任模型框架來(lái)實(shí)現(xiàn)。

2022年re:Invent，亞馬遜云科技發(fā)布了Amazon Verified Access預(yù)覽版。不久前，又宣布正式可用。Verified Access可以不需要VPN就能實(shí)現(xiàn)遠(yuǎn)程安全訪(fǎng)問(wèn)，可以減少遠(yuǎn)程連接可能會(huì)帶來(lái)的安全風(fēng)險(xiǎn)。

在re:Inforce活動(dòng)上，亞馬遜云科技宣布Amazon Verified Permissions正式可用，Amazon Verified Permissions將零信任的能力延展到了用戶(hù)自己的應(yīng)用程序里，在應(yīng)用開(kāi)發(fā)階段就能落地零信任。

除了對(duì)于零信任的重視，作為亞馬遜云科技的品牌活動(dòng)，re:Inforce要傳遞的另外一個(gè)信息是，亞馬遜云科技希望用戶(hù)以更少的阻力享受到安全。

亞馬遜云科技幫助用戶(hù)以更少的阻力實(shí)現(xiàn)安全

眾所周知，亞馬遜云科技在安全方面提出了責(zé)任共擔(dān)模型。一部分安全問(wèn)題由亞馬遜云科技來(lái)解決，叫做Security of the Cloud。另外一部分由用戶(hù)來(lái)負(fù)責(zé)，叫做Security in the Cloud。

亞馬遜云科技負(fù)責(zé)云基礎(chǔ)架構(gòu)本身的安全問(wèn)題，這一部分包含很多關(guān)鍵技術(shù)服務(wù)，比如Amazon Nitro、Firecracker、Amazon Backup、Amazon GuardDuty、Amazon Route 53 Resolver DNS Firewall、Amazon Shield等等。

而在Security in the Cloud部分，亞馬遜云科技會(huì)提供多種安全服務(wù)來(lái)幫助用戶(hù)解決安全問(wèn)題。此次re:Inforce活動(dòng)期間又發(fā)布了很多新服務(wù)，為的是幫助幫助用戶(hù)以更少的阻力實(shí)現(xiàn)安全。

re:Inforce活動(dòng)期間，亞馬遜云科技在零信任方面發(fā)布了Amazon Verified Permission，在安全合規(guī)方面發(fā)布了Amazon Inspector SBOM （軟件物料清單）Export，在代碼掃描方面發(fā)布了Amazon Inspector Code Scans For Lambda和Amazon CodeGuru Security，在第三方應(yīng)用安全認(rèn)證方面，發(fā)布了Amazon Built-in Partner Solutions來(lái)給第三方應(yīng)用的安全性背書(shū)。

大語(yǔ)言模型是2023年科技圈繞不開(kāi)的話(huà)題，盡管大模型會(huì)帶來(lái)顯而易見(jiàn)的安全問(wèn)題，比如用來(lái)生成以假亂真的釣魚(yú)郵件，但亞馬遜云科技安全專(zhuān)家的態(tài)度是積極迎接大語(yǔ)言模型帶來(lái)的影響，將其用在安全方面。

于是，亞馬遜云科技發(fā)布了叫Findings Groups for Amazon Detective的新服務(wù)，使用機(jī)器學(xué)習(xí)技術(shù)和圖技術(shù)找出事件之間的關(guān)聯(lián)性，最后定位出問(wèn)題所在。

然而，正如上文所說(shuō)，re:Inforce不是亞馬遜云科技自說(shuō)自話(huà)的專(zhuān)場(chǎng)活動(dòng)，眾多安全相關(guān)的贊助商和合作伙伴的出現(xiàn)讓這場(chǎng)大會(huì)更具開(kāi)放性，也更有影響力。

re:Inforce表現(xiàn)出了更強(qiáng)的開(kāi)放性

亞馬遜云科技是全球規(guī)模最大的公有云廠商，但并沒(méi)有選擇所有事情全都自己做，特別是在安全部分，它表現(xiàn)出了很強(qiáng)的開(kāi)放性。

亞馬遜云科技在安全方面與業(yè)內(nèi)安全生態(tài)保持著很多合作關(guān)系。翻開(kāi)re:Inforce大會(huì)官網(wǎng)，我們能看到大概有80家贊助商，其中既有IBM、Crowdstrike、Datadog、PaloAlto、Wiz、Splunk、Trend（趨勢(shì)科技）這些知名安全相關(guān)廠商，還有很多初創(chuàng)級(jí)的安全相關(guān)廠商。

亞馬遜云科技在安全技術(shù)架構(gòu)方面有很強(qiáng)的開(kāi)放性。前不久，Amazon Security Lake（安全湖）宣布正式可用，安全湖會(huì)自動(dòng)收集、組合和分析來(lái)自80多個(gè)數(shù)據(jù)來(lái)源的安全數(shù)據(jù)，這些數(shù)據(jù)源有的來(lái)自亞馬遜云科技自己，有的來(lái)自安全合作伙伴，還有的來(lái)自分析提供商。

亞馬遜云科技為Amazon Security Lake（安全湖）設(shè)定了OCSF（Open Cyber??security Schema Framework）開(kāi)放標(biāo)準(zhǔn)，將傳入的數(shù)據(jù)全都轉(zhuǎn)換成符合 (OCSF) 開(kāi)放標(biāo)準(zhǔn)的格式后，就能高效分析和利用這些安全數(shù)據(jù)。

OCSF是亞馬遜云科技向業(yè)界開(kāi)源的一個(gè)項(xiàng)目，作為一個(gè)開(kāi)放標(biāo)準(zhǔn)，它可在任何環(huán)境、應(yīng)用程序或解決方案中采用，安全服務(wù)提供商和數(shù)據(jù)提供者都可以采用該架構(gòu)，它可以幫助安全團(tuán)隊(duì)簡(jiǎn)化數(shù)據(jù)的攝取和使用流程。

從亞馬遜云科技Amazon Security Lake總經(jīng)理Rod Wallace的介紹中了解到，安全湖接下來(lái)的發(fā)展目標(biāo)是與更多安全類(lèi)的合作伙伴進(jìn)行合作，接入更多數(shù)據(jù)源。

類(lèi)似的，亞馬遜云科技在安全方面開(kāi)放了 Cedar 策略語(yǔ)言，新發(fā)布的Amazon Verified Permissions 支持用戶(hù)使用 Cedar 在自己的應(yīng)用中進(jìn)行精細(xì)的權(quán)限控制。

從亞馬遜云科技網(wǎng)絡(luò)邊緣服務(wù)副總裁Jesse Dougherty的介紹中了解到，Cedar的開(kāi)放性是有意而為之的，它的開(kāi)放性使得它具備了構(gòu)建廣泛生態(tài)的基礎(chǔ)，而作為最大的公有云服務(wù)商，亞馬遜云科技能讓Cedar成為事實(shí)上的標(biāo)準(zhǔn)，有助于為用戶(hù)提供統(tǒng)一的、一致的零信任體驗(yàn)。

上文提到的Verified Access可以在部分場(chǎng)景里替代VPN，可以減少與遠(yuǎn)程連接相關(guān)的風(fēng)險(xiǎn)，為了提高新服務(wù)的實(shí)用性，Verified Access與很多安全合作伙伴進(jìn)行了整合，包括：Beyond Identity, CrowdStrike, CyberArk, Cisco Duo等等。

zhupb