安全如今已經成為一個廣泛的議題,并且滲透到了IT 事務中的方方面面。縱觀我在技術業界打拼的這么多個年頭,我發現“安全”已經成了一個能夠迅速扼殺任何創新型努力的詞匯。在云計算發展的早期階段,那些對云技術了解不深的人們總會就其安全性水平問東問西。相較于更為重要的、如何利用這項新技術幫助企業自身實現商業價值,他們往往首先把安全性作為技術演進的最大障礙。舉例為說,2012年我就開始利用AWS支持企業級項目,當時我所能依靠的只有自己的同事、團隊以及他們所擁有的解決問題的經驗。然而我們的研究結果大大堅定了自己的信心,事實上AWS為我們提供了一種遠優于孤軍奮戰的系統安全保護途徑。
作為一位前任CIO兼AWS客戶,下面我將結合自身經歷聊聊自己眼中的云環境安全性問題:
我知道,安全性目前是、未來也將繼續是AWS所關注的核心議題之一。因為只有這樣,AWS 才能為來自眾多行業及政府機構的如此廣泛且多樣化的客戶提供服務。我們擁有PCI系統、PII數據、SOX要求以及需要保護的知識產權信息。在了解到其它企業有能力在云環境下開發出足以順利滿足上述控制框架要求的、令人滿意的解決方案之后,我們既受到啟發、又對云技術的未來充滿信心。
可以確定的是,AWS 方面投入了大量資源進行其服務平臺的保護工作,相關資源總量遠遠超過我們用于運營支持的資源總和——而這還僅僅是在安全層面。與其它運行著自有數據中心的企業類似,我們也一直不斷對成本、上市時間、質量以及安全性作出權衡。在這方面作出決策絕非易事,而且我們往往很難弄清自己是否做出了正確的選擇。沒能認真評估防火墻變更、線纜配置錯誤或者過于躁進地進行操作系統配置有可能影響我們的安全水平。如果大家在企業環境中擁有長期工作經歷,我相信各位絕對能明白這兩者之間的聯系。光是想想單純因為我們自身因素而造成的安全風險,就已經足夠把我們嚇得魂不附體。而且如果把安全性當成企業運營中的頭等大事,大家幾乎沒辦法繼續完成其它業務工作。
我知道,縮小受攻擊面能夠讓我們將精力集中在自身的差異化特性當中。充分運用AWS所提供的安全機制能夠幫助我們將一部分原本用于實施裸機保護的資源解放出來,轉而用于保護應用程序。已知安全漏洞的逐步增加以及黑帽社區的日益壯大意味著我們必須進一步強化針對托管基礎設施的應用程序安全保護力度。在AWS 的幫助下,我們能夠在增添新型資源的同時、又不至于讓其它方面的配額過于捉襟見肘,這樣一來我們對于安全保障工作的心態也更加平和。當然,這種共同分擔的責任模式并不代表客戶方面可以完全卸下包袱,但由此帶來的助益卻是不容否定的。至少就個人而言,我是樂于運用一切可資利用的幫助。
根據我掌握的情況,AWS在全球安全發展前景方面的前瞻性要遠遠強于我們這單位一家企業的水平。我當然也希望能夠充分享受由此帶來的規模經濟收益。事實上,我們也希望能夠將AWS服務改進所帶來的收益分享給自己的每一位客戶。
在我看來,自動化機制能夠大大降低出現人為錯誤的可能性,而且這一點在安全性以及應用程序開發領域也同樣適用。我們希望盡可能多地將自動化方案引入那些需要反復進行的技術任務。根據我了解到的情況,AWS高度依賴于自動化技術以實現規模化提升,同時降低人為錯誤的發生空間,并借此改進自己的安全性模型。能夠擁有這樣一位出色的合作伙伴,將鼓勵并引導我們同樣利用自動化手段實現收益增長。
CIO& LEADER網站最近采訪了AWS CISO Stephen Schmidt,并就一系列安全議題展開探討。在此次采訪中,Stephen談到了AWS在安全性領域所采取的規模化、投資以及自動化機制等舉措。我認為此次采訪進一步增強了自己的信心,并堅定了我建議合作伙伴采用或者考慮采用AWS的決心。
CIO &LEADER:大多數企業信息安全負責人都沒能成功頂住DDoS以及APT等下一代安全威脅帶來的壓力。您面臨的此類安全威脅是否更大?您又是如何加以化解的?
Stephen Schmidt:我們見證著一切在互聯網上的發生。我希望分享一些有趣的數據來給大家提供更為直觀的量化印象。在每500 個IP地址當中,就有1個通過互聯網被路由至Amazon網絡當中,而且700個IP地址當中約有1個被映射至EC2實例處。大家可以把我們看作一套規模極為龐大的望遠鏡陣列,旨在發現一個極小的目標。這套設施允許我們識別出針對客戶的安全威脅,并建立起自己的服務以幫助這些客戶抵御此類威脅。舉例來說,很多APT攻擊者試圖收集大量合法的用戶名與密碼內容。正是出于這個理由,我們不允許在網絡中傳輸的用戶名與密碼中包含客戶數據。我們還推出了多種智能驗證令牌,這是因為利用物理設備進行驗證更為安全、而且其更難被攻擊者們所盜取。
CIO &LEADER:第三方風險同樣受到安全從業人員的高度關注。作為一名CISO,您如何處理這些風險呢?
Schmidt:為了最大程度降低此類風險,最重要的是確保我們的各合作第三方與我們遵循同樣的安全標準。我們需要嚴格確保此類規則貫徹到位,并通過審計實現約束。舉例來說,如果我們在某國建立了一套CloudFront主機代管設施,那么我們就要求該代管服務供應商提供與自身完全等同的安全水平。這部分內容在雙方合作協議當中明確標定,而且我們會定期對其進行檢查。
因此,我一個專項團隊,其任務在于每年多次到訪世界各地的每一座代管設施。我們采取突擊檢查的管理方式,以確保合作方能夠根據既定規則完成自己的份內任務。我們的要求非常嚴格,而且在檢查過程中要求對方員工全部撤離現場。舉例來說,他們是否使用經過認證的固定件、螺釘或者螺母,這樣我們才能保證自己無法從外部將其擰下。我們還會檢查墻上的檢修孔尺寸,確保其符合規定的規格要求,這樣惡意人士就無法將手伸入實施破壞。我們也在檢查中確保所有延伸出設施的線纜都包裹有保溫導管。憑借著這一系列標準,我們才能通過檢查來確保供應商滿足我們的所有特殊要求。
CIO &LEADER:看起來AWS確實擁有一套可靠的第三方風險應對策略。但您如何應對來自企業內部的安全威脅?
Schmidt:應對內部威脅的最佳途徑就是限制指向數據的人為訪問。因此,我們在內部采取的措施之一在于主動降低有能力訪問信息的人員數量。
盡管如此,我們的業界規模一直處于瘋狂增長當中,我們每一周都需要削減能夠訪問客戶信息的內部員工數量。我們能夠以自動化方式實現這一調整工作。舉例來說,如果某人需要多次——超過一次或兩次——重復同樣的工作,那么我們就會將其納入自動化流程。我們會有針對性地建立起一套能夠自動完成該項任務的工具。此類方案擁有兩大優勢。首先,工具基本不會犯錯,它們不僅能夠順利完成任務、而且可以保證每次都同樣順利完成任務。相比之下,員工則可能帶來多種意外因素,并因此造成問題。其次,工具能夠顯著提高可用性。因此,自動化對安全性及可用性的貢獻確實值得肯定。
CIO &LEADER:那么,AWS在2015年中設定了怎樣的發展方向?貴公司將關注哪些技術成果及解決方案?
Schmidt:對AWS 而言,我們下一步將高度關注的就是加密機制。加密機制將無處不在,也就是說加密技術將覆蓋到每一個領域。我們的工程技術人員將高度重視的另一個領域在于向客戶提供針對加密機制的控制能力,這樣他們就能實現密鑰內容管理。第三則是確保我們為客戶提供一系列工具,幫助他們做出更理想的安全性決策。
過去供應商往往會告知客戶,一旦有問題出現,他們將很快到場并加以修復。但在AWS,我們選擇了完全不同的解決思路。相比之下,AWS給出的方案是:目前的這種狀況還有提升的空間,而這里的這個按鈕能夠切實帶來提升或者修正。總結來講,我們為客戶提供他們所需要的工具,此類工具成本極低甚至完全免費,這樣他們完全可以自行解決問題。
CIO &LEADER:那么作為一位CISO,您下一步打算在哪些領域投入資金?
Schmidt:我們在自動化技術領域投入了大量資源,因此我們打造的主要成果之一就是工具。而我們還將大量自動化要素引入常見的安全測試、滲透測試以及配置管理測試等日常事務當中,旨在確保一切以計劃中的方式順暢運轉。在這些領域,我們每一年都會投入大量資金。
采取上述舉措的原因有二,其一當然在于安全效益,其二則單純是因為我們無法在不借助自動化機制的情況下運營如此龐大的設施體系。隨著規模的不斷提升,如果我無法快速推廣自動化機制,我們根本不可能雇傭到那么多水平出色的安全工程師來保護全部AWS服務。我們投入了大量資源以實現自動化技術。
為企業創建安全系統是每一位IT 高管人士的核心信條。為什么不使用目前市面上最出色的工具來實現同樣的效果?大多數專業的安全從業者都會告訴大家,這一切都取決于客戶所具備的實際設備。出色的方案并不足以替代人才、實踐以及艱苦的工作,但如果采用更強大的設備則能夠帶來良好的性能表現,并吸引客戶加以使用。云服務雖然無法取代業務系統中的杰出人才、專業知識以及管理機制,但確實能夠顯著提高企業獲得成功的可能性。
革命尚未成功,同志仍需努力。
京公網安備 11010502049343號