隨著云安全變得越來越復雜，作為全球最大的云計算提供商，AWS公司在建議和協助客戶避免常見陷阱方面發揮了更加積極的作用。Steve Schmidt對AWS公司對客戶安全采取了更具規范性方法的原因，以及它如何影響事件響應等領域進行了分析和討論，并解答了為什么限制對云計算資源公共訪問這樣的問題。隨著越來越多的企業將業務遷移到云平臺并需要不同級別的指導，AWS 公司擴展了一些方法以提供默認和規范的實施需求。

 

Schmidt表示，盡管目前采用云共享責任模型，但優先考慮客戶服務對于云計算提供商來說是必須采取的措施。他探討了AWS公司近年來為減少錯誤配置所做的更改，以及它在事件響應中的作用以及AWS公司如何解決云服務的漏洞。

 

你曾經在一次主題演講中談到了限制用戶對AWS云計算資源的公共訪問。這似乎在影響客戶的大量常見錯誤配置方面取得了進展，因為我們看到的意外數據泄露或違規事件越來越少，這是怎么做到的?

 

Schmidt：在三年前，我們在默認情況下為S3啟用了“阻止公共訪問”。對于默認關閉的實例，我們一直采用安全組防火墻規則。自從開始提供服務以來就是這種情況。這是我們長期以來認真對待的事情。而且我認為很多客戶對提供的安全工具有了更多的了解;例如，如果使用GuardDuty，它會告訴用戶是否有暴露的資源，并會發出警告。現在，用戶決定做什么取決于他們自己。我們作為云計算供應商并不知道他們的業務是什么。他們可能正在運行一個網站，在這種情況下，開放它可能是完全合理的。我們對這些不知情是因為沒有看到他們的數據。但與此同時，我們必須向他們提供阻止公共訪問這樣的信息，并向他們說，“請檢查一下，可以嗎?”

 

你是否了解AWS公司就公共訪問與客戶聯系的頻率?

 

Schmidt：除非是特殊情況，否則我們的安全團隊不會主動與客戶聯系。例如，當Log4J漏洞事件發生時，我們確實聯系那些可能易受攻擊的客戶，并在這種情況下向他們發出警告。但是，在大多數情況下，客戶訂閱的工具會通知他們。GuardDuty就是警告他們的工具。

 

具有諷刺意味的是，我的團隊很久以前就構建了GuardDuty，這是一個關于用戶界面的非常棒的工具。很多人并沒有意識到為了啟動GuardDuty需要進行大量的配置。花費一段時間才啟動它的原因之一是我們構建了用戶界面，所以實際上只有一個復選框可以打開它。它成功了。我們看到的效果是驚人的。但是它的啟動需要更加簡單一些，可以讓客戶輕松做出決定。

 

你是否從客戶那里得到了很多關于如何進行配置和正確設置資源以使其不公開的反饋?看起來，盡管云服務的設計比客戶管理自己的基礎設施更容易，但云計算客戶仍然在與所有安全控制、設置和配置作斗爭。

 

Schmidt：我們并沒有聽到多少這樣的反饋。我們從客戶那里聽到的是要求給他們更多規范性指導的請求。他們希望我們告訴他們做事的正確方法。所以我們選擇做的是在開始引入的一些服務中體現這一點，例如GuardDuty;它有一套非常規范的標準規則。如果客戶愿意，可以選擇關閉它們，但它們在默認情況下存在，而客戶告訴我們，“你比我更了解這些情況，所以要告訴我應該怎么做。”

 

在規定性指導上，這種方法是出于客戶的要求而采取的必要措施?還是隨著云安全變得越來越復雜，最終不得不這樣做?

 

Schmidt：兩者兼而有之。我們首先要做的是了解客戶希望能夠使用的選項，然后我們構建了這些選項。然后我們說，“我們現在有很多選擇。”而客戶往往希望更加簡單。有些客戶需要默認設置，有些需要指導，還需要規范性實施。而在另一方面是真正的大客戶，他們希望采用定制服務，而這些客戶是真正希望自己有控制權利的人。我們必須為這兩種客戶提供服務。現在，客戶看到的是GuardDuty之類的復選框將附帶的內容，所有功能均已啟用。但在幕后，有些客戶可以根據具體情況調整這些規則中的每一條，但是我們從認為合適的默認值開始。

 

如何將事件響應因素納入這一規定性方法?讓我們以Zoom為例，AWS公司已經與該公司合作，幫助擴大其事件響應團隊，并提供培訓和指導。但是假設遭遇一次重大的網絡攻擊。即使網絡攻擊與AWS公司的技術無關，那么AWS公司在事件響應方面的作用是什么?是否調動了安全團隊并讓客戶與他們聯系?

 

Schmidt：是的。客戶可以聯系服務團隊和技術經理。通常情況下，我們會了解客戶在做什么以及需要什么幫助。然后我們將讓相關方參與。我們會為他們提供幫助。這通常可以做一些事情，例如展示他們需要查看的日志以確定正在發生的事情，并為這些日志構建查詢，這將為他們提供幫助。還教客戶如何啟動EMR集群(如果他們以前沒有這樣做過的話)來解析日志。我們還可以幫助客戶做一些事情，例如確保他們適當地對磁盤進行快照，以便他們可以對快照進行取證。

 

這取決于客戶。我們通常可以做些什么為他們提供幫助，這將使他們的員工騰出時間去做自己的事情。例如，我們可以很容易地幫助他們提供快照，因為這是從外部進行API調用的。但我們不能去查看他們的日志，并指出哪些日志有意義，因為那是他們的應用程序，所以這在多個方面進行分工，并確保他們擁有正確的專業知識來提出正確的問題。

 

這種方法似乎是對云計算責任共擔模型的一種轉變。在這種模式下，如果在客戶的環境中發生安全事件，那就是客戶的責任，而不是云計算提供商的責任?

 

Schmidt：盡管我們有共享責任模式，但總是在客戶遇到問題時為他們提供幫助。這就是亞馬遜公司秉承的一種企業精神。這正是我們內部建立客戶服務流程的方式。我們所有高管都經歷過一個客戶連接客戶服務(C2CS)的過程。例如坐下來接聽客戶服務電話，回答客戶問題。首先，可以了解客戶的真實感受以及他們的工作方式。但這也是一個讓客戶開心的機會，因為我們會說，“沒問題，我們可以解決這個問題”。我們不會說，“對不起，那是你的問題”，因為這不是我們開展業務的方式。其次，告訴客戶“對不起，你只能靠自己了”可不是什么好生意。這不會更好地為客戶提供服務。

 

隨著云計算提供商在安全方面發揮更積極的作用，并積極參與應對事件，分擔責任似乎正在發生一些變化。你是否擔心AWS公司會被進一步納入事件響應流程?

 

Schmidt：我認為這取決于個人客戶。我們提供了所有客戶可以訂閱的正常服務。我認為這是重要的事情之一——我們將盡所能幫助客戶。我們往往“盡力而為”，在這種情況下，我們必須在特定的服務水平協議(SLA)內做出響應。對于那些想要獲得幫助的客戶，他們通常簽署了支持合同。對于其他情況，我們將在適當和合理的情況下盡可能地提供服務。在那里，合理性是一個相對重要的術語。如果有客戶說，“請你幫我分析2EB的日志?”然后我們會告訴他們這有點困難。

 

云計算漏洞的話題最近一直是信息安全社區關注的一個重點，因為沒有像傳統軟件漏洞那樣記錄它們的通用漏洞披露(CVE)系統。一些專家試圖通過啟動他們自己的云計算漏洞開放數據庫來啟動這項工作。你是否認為需要包含云計算漏洞的更好的通用漏洞披露(CVE)系統，即使這些錯誤不需要與客戶的那部分交互?這會讓客戶受益嗎?

 

Schmidt：我不這么認為，其原因是客戶的數據已經存在。如果他們在選擇的搜索引擎中搜索“AWS安全公告”，將直接進入我們詳細描述所有內容的頁面。還有一個必須去看看的地方，這不會是權威的信息，我認為這對客戶沒有幫助。它可能會幫助那些出售工具的人。但是數據就在那里，這很重要。在特定的數據中，我們真正關心的是客戶是否必須做些什么。這就是為什么我們總是把它列入安全公告的原因。它非常明確地指出客戶需要采取行動，或者客戶應該更新到版本X或其他任何內容。

 

我們非常努力地找出正確的信息級別，以便它有用且不嘈雜。噪音部分是一個問題，因為如果互聯網上的每一個異常都被報告到某個地方，那么人們就會迷失方向，錯過真正重要的東西。客戶需要閱讀的部分是采取行動的部分，也就需要更新軟件。我們不只是發布公告。實際上我們有一個流程，可以向客戶推送警報。如果我們知道客戶正在運行RDS MySQ L 3.8.4，將會向他推送一條消息，說明3.8.4版本中存在需要更新的漏洞。客戶需要選擇在維護窗口期間接受我們提供的軟件更新或立即自行更新。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。