2022年，隨著企業(yè)數(shù)字化轉(zhuǎn)型的逐漸深入，對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的應(yīng)用越來(lái)越廣泛，與此同時(shí)，愈演愈烈的網(wǎng)絡(luò)攻擊已成為企業(yè)數(shù)字化的新挑戰(zhàn)，CIO、CTO、CISO們對(duì)云安全的重視程度也越來(lái)越高。

亞馬遜云科技作為全球最大的云計(jì)算廠商，對(duì)安全亦十分重視，始終將安全作為最高優(yōu)先級(jí)的工作。一年一度的re:Inforce全球云安全大會(huì)，今年已是第四屆。在近日舉辦的re:Inforce中國(guó)媒體溝通會(huì)上，亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建分享了亞馬遜云科技在安全方面秉承的理念、企業(yè)文化與安全機(jī)制，今年推出的安全項(xiàng)目和新舉措，re:Inforce發(fā)布的新動(dòng)向、新產(chǎn)品和新功能，以及針對(duì)中國(guó)市場(chǎng)的兩大舉措。

“云上安全的態(tài)勢(shì)時(shí)刻變化，日新月異，我們必須進(jìn)行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無(wú)處不在的安全防護(hù)。與其去救火，我們更需要做的是防患于未然，這個(gè)是亞馬遜云科技云安全一直在承諾的理念。”陳曉建如是說(shuō)。

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建

亞馬遜云科技的六大主要安全理念

1)安全的最高優(yōu)先級(jí)是解決基本問(wèn)題，亞馬遜云科技在這一領(lǐng)域擁有豐富實(shí)踐，并將這些實(shí)踐內(nèi)置到云服務(wù)中;

2)云安全具有規(guī)模效應(yīng)，通過(guò)亞馬遜云科技的海量運(yùn)營(yíng)，在支持全球數(shù)百萬(wàn)客戶的各種安全事件的同時(shí)，可以把這些客戶實(shí)踐和安全能力復(fù)用，讓其他用戶從中受益;

3)將安全融入產(chǎn)品或服務(wù)的開發(fā)生命周期和運(yùn)營(yíng)當(dāng)中，設(shè)置安全守護(hù)者小組，在產(chǎn)品團(tuán)隊(duì)中設(shè)置安全人員崗位，同時(shí)設(shè)置獨(dú)立的應(yīng)用安全審查流程，適用于所有產(chǎn)品、服務(wù)的更新與發(fā)布;

4)從人和數(shù)據(jù)兩個(gè)維度同時(shí)考慮形成更嚴(yán)謹(jǐn)?shù)陌踩桨福瑢?duì)人以最小化的原則定義訪問(wèn)權(quán)限，并且給權(quán)限設(shè)置有效期，對(duì)數(shù)據(jù)則需要考慮加密、脫敏等更多內(nèi)容;

5)不能過(guò)度依賴于某一個(gè)單點(diǎn)控制、單一服務(wù)或產(chǎn)品，而是以洋蔥型的多層防護(hù)形成層層遞進(jìn)的防護(hù)機(jī)制，不同層次之間有互補(bǔ)機(jī)制;

6)發(fā)現(xiàn)客戶對(duì)安全的需求，將經(jīng)驗(yàn)和實(shí)踐總結(jié)出來(lái)，反哺給更多的客戶，使亞馬遜云科技和用戶一起攜手進(jìn)步，變得更強(qiáng)大。

樹立安全方面的企業(yè)文化與安全機(jī)制

在企業(yè)文化和安全機(jī)制方面，亞馬遜云科技認(rèn)為：安全是公司每個(gè)人的責(zé)任，團(tuán)隊(duì)協(xié)作的精神對(duì)安全而言至關(guān)重要。為此，亞馬遜云科技各個(gè)業(yè)務(wù)的負(fù)責(zé)人定期會(huì)面，每周一次的安全會(huì)議CEO也會(huì)參加，這種機(jī)制加強(qiáng)了亞馬遜云科技的安全文化。

安全是一項(xiàng)極其復(fù)雜的工作，需要很多工具來(lái)幫助安全工作更高效。亞馬遜云科技通過(guò)自動(dòng)化工具來(lái)提高效率和競(jìng)爭(zhēng)力，將安全嵌入整個(gè)開發(fā)過(guò)程。

安全很多時(shí)候會(huì)給業(yè)務(wù)帶來(lái)一定的阻力，需要強(qiáng)調(diào)的是：業(yè)務(wù)有起有落，但是安全應(yīng)該是一條基線，并對(duì)業(yè)務(wù)產(chǎn)生盡可能小的影響。安全工作不是為了給業(yè)務(wù)團(tuán)隊(duì)設(shè)置障礙，而是幫業(yè)務(wù)團(tuán)隊(duì)找到一條更安全、更高效的實(shí)現(xiàn)路徑。

為此，亞馬遜云科技設(shè)置了兩類可衡量指標(biāo)：

A)針對(duì)產(chǎn)品團(tuán)隊(duì)的衡量指標(biāo)是：是否提出了好的安全建議，促進(jìn)了哪些安全功能的發(fā)布;

B)針對(duì)安全團(tuán)隊(duì)的指標(biāo)是：促進(jìn)了多少新產(chǎn)品的發(fā)布，縮短了多少新產(chǎn)品上線的時(shí)間。

除此之外，亞馬遜云科技刻意保持團(tuán)隊(duì)的多樣性，由于團(tuán)隊(duì)成員具有不同的性格、不同的背景或文化，能力模型不同的人對(duì)同樣一件事情可能有很多不同的看法，能夠?yàn)閳F(tuán)隊(duì)帶來(lái)更新的思考視角。

云安全領(lǐng)域的四個(gè)最佳實(shí)踐

陳曉建在會(huì)上分享了多年以來(lái)亞馬遜云科技在服務(wù)客戶的過(guò)程中總結(jié)出的云安全實(shí)踐。

(1)最小權(quán)限。進(jìn)行訪問(wèn)權(quán)限的管理時(shí)，除了考慮用戶的角色和職責(zé)范圍，還需要對(duì)訪問(wèn)權(quán)限設(shè)置有效期，同時(shí)客戶也應(yīng)該定期檢查訪問(wèn)權(quán)限，來(lái)確保這些權(quán)限隨著業(yè)務(wù)的變化仍然是合理和有效的，并且對(duì)管理者的權(quán)限也要進(jìn)行時(shí)間控制。

(2)漏洞報(bào)告。在工作中設(shè)置對(duì)內(nèi)、對(duì)外兩套漏洞報(bào)告機(jī)制，鼓勵(lì)員工和客戶發(fā)現(xiàn)并上報(bào)任何安全漏洞，無(wú)需擔(dān)心誤報(bào)，亞馬遜云科技后臺(tái)的專業(yè)安全團(tuán)隊(duì)會(huì)評(píng)估和解決漏洞報(bào)告。

(3)勒索軟件。防范勒索軟件最重要的工作是提前演習(xí)，發(fā)現(xiàn)問(wèn)題并做好預(yù)報(bào)。亞馬遜云科技通過(guò)以下服務(wù)為用戶提供幫助，提升其業(yè)務(wù)的安全性：包括使用 Amazon Inspector 提前檢測(cè)、排查安全漏洞;使用 Amazon GuardDuty 檢測(cè)異常活動(dòng);使用 Amazon Backup 的存儲(chǔ)備份功能，定期進(jìn)行數(shù)據(jù)備份，可以一鍵回滾、及時(shí)恢復(fù)數(shù)據(jù)和業(yè)務(wù)。

(4)Log4J漏洞。從這一安全事故中我們要吸取教訓(xùn)，并嚴(yán)格做到以下五點(diǎn)：嚴(yán)格限制來(lái)自互聯(lián)網(wǎng)的訪問(wèn);必須擁有全面的軟件清單及其使用方式;保持開源軟件等第三方產(chǎn)品更新到最新版本;深度防御;進(jìn)行日志記錄管理。

re:Inforce推出的新項(xiàng)目、新服務(wù)和新功能

據(jù)悉，亞馬遜云科技在本屆re:Inforce全球云安全大會(huì)上推出了Marketplace Vendor Insights(預(yù)覽版)，簡(jiǎn)化并加速了對(duì)供應(yīng)商的安全合規(guī)評(píng)估，實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)。如今，客戶在選擇安全伙伴時(shí)不再需要自己去評(píng)估安全伙伴提供服務(wù)的安全性，而是由亞馬遜云科技代客戶完成，此舉可將用戶的采購(gòu)時(shí)間從8-12周縮短到7天，從而實(shí)現(xiàn)業(yè)務(wù)的快速上線。

亞馬遜云科技還推出了專門為云計(jì)算設(shè)計(jì)的合規(guī)審計(jì)培訓(xùn)課程：Cloud Academy Audit(CAA)，通過(guò)CAA指導(dǎo)用戶將云技術(shù)應(yīng)用到日常的審計(jì)工作中，用于安全、合規(guī)、審計(jì)、風(fēng)控等部門。據(jù)透露，亞馬遜云科技計(jì)劃在今年將CAA課程引入中國(guó)，并增加等級(jí)保護(hù)的相關(guān)內(nèi)容，以便為中國(guó)客戶提供支持。此外，亞馬遜云科技公開了內(nèi)部員工安全意識(shí)培訓(xùn)的內(nèi)容，讓更多的用戶受益。

為給客戶帶來(lái)更好的安全防護(hù)，亞馬遜云科技根據(jù)客戶的安全需求發(fā)布了多項(xiàng)安全服務(wù)及功能。在加密領(lǐng)域，亞馬遜云科技推出混合后量子密鑰交換，目前已經(jīng)為Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務(wù)提供了量子安全算法。

亞馬遜云科技研發(fā)了新的開源加密庫(kù)“LibCrypto”，它針對(duì)云服務(wù)進(jìn)行優(yōu)化，可以在Gravition芯片上跑得更快，同時(shí)LibCrypto可以作為OpepSSL的替代品。陳曉建透露亞馬遜云科技正在申請(qǐng)F(tuán)IPS(NIST發(fā)布的聯(lián)邦信息處理標(biāo)準(zhǔn))認(rèn)證，希望通過(guò)LibCrypto和FIPS的認(rèn)證，幫助客戶提供一個(gè)更有效、更安全的加密機(jī)制。

此外，亞馬遜云科技借助自動(dòng)化推理，通過(guò)數(shù)據(jù)邏輯的應(yīng)用來(lái)檢測(cè)可能存在的安全風(fēng)險(xiǎn)和配置錯(cuò)誤，為云本身和云中的安全性提供更高的保障，并推動(dòng)可證明的安全性的發(fā)展。

亞馬遜云科技梳理了用戶需要注意的三項(xiàng)重要的安全策略：

1.萬(wàn)事皆需加密，加密是良好數(shù)據(jù)保護(hù)策略的核心組成部分;

2.禁止公開訪問(wèn)權(quán)限，這對(duì)于Amazon S3服務(wù)尤其重要;

3.啟用多因素認(rèn)證(MFA), Amazon MFA是為訪問(wèn)云提供額外安全的最簡(jiǎn)單和最好的方法之一。

在新產(chǎn)品、新功能方面，亞馬遜云科技發(fā)布了可幫助客戶檢測(cè)運(yùn)行在其云環(huán)境中的惡意軟件的Amazon GuardDuty Malware Protection;將Amazon IAM擴(kuò)展至客戶的云環(huán)境之外的Amazon Identity and Access Management (Amazon IAM) Roles Anywhere;可幫助客戶分析和調(diào)查在Amazon EKS集群上Kubernetes 潛在安全問(wèn)題或可疑活動(dòng)的Amazon Detective for Elastic Kubernetes Service(Amazon EKS)等。

中國(guó)市場(chǎng)的兩大舉措

最后，陳曉建介紹了亞馬遜云科技面向中國(guó)市場(chǎng)的兩大舉措。

“與海外客戶不同的是，中國(guó)客戶有著自己獨(dú)特的安全合規(guī)要求和環(huán)境，我們發(fā)現(xiàn)中國(guó)客戶在安全領(lǐng)域更關(guān)注隱私保護(hù)、數(shù)據(jù)跨境和云安全建設(shè)”，陳曉建提到。最近，亞馬遜云科技發(fā)起了Stronger Together項(xiàng)目，希望幫助客戶制定更好的安全策略，助力客戶解決云上安全合規(guī)最棘手的問(wèn)題，為他們的云上業(yè)務(wù)創(chuàng)新保駕護(hù)航。

此外，今年亞馬遜云科技開始在中國(guó)舉辦CISO對(duì)話，目的是創(chuàng)造一個(gè)互相交流的平臺(tái)，輸出亞馬遜云在安全合規(guī)方面的經(jīng)驗(yàn)和實(shí)踐，同時(shí)也希望通過(guò)這個(gè)平臺(tái)獲取到用戶CISO對(duì)于云安全合規(guī)的具體訴求和需要解決的問(wèn)題，讓安全與合規(guī)不再成為業(yè)務(wù)在云上快速增長(zhǎng)的阻礙。

關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com)：

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。