亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理
陳曉建從安全理念��、安全文化和機(jī)制�����、以及一些新舉措三方面進(jìn)行了介紹�,看亞馬遜云科技如何給用戶以安全����。
亞馬遜云科技的安全理念
首先�,防患于未然是一種重要的安全能力,它能在事情發(fā)生前就開始預(yù)防�����。
在re:Inforce媒體溝通會(huì)上�����,陳曉建表示:“亞馬遜云科技支持全球數(shù)百萬客戶處理各種安全事件���,然后�����,把在一個(gè)客戶中所取得的實(shí)踐���,復(fù)用到其他客戶中來���,從而取得規(guī)模效益?�!?/p>
當(dāng)然��,如此規(guī)模的跟蹤數(shù)據(jù)不可能由人來手動(dòng)處理�����,亞馬遜云科技通過自動(dòng)化的處理工具來自動(dòng)識(shí)別這些安全風(fēng)險(xiǎn)��,并且把各個(gè)安全事件關(guān)聯(lián)起來��,從而獲得一個(gè)全局的理解����。
作為典型具體產(chǎn)品的就是——Amazon
GuardDuty,它提供的是一種防患于未然的安全能力�。這是一種威脅檢測服務(wù),可持續(xù)監(jiān)控惡意活動(dòng)和未經(jīng)授權(quán)的行為����,它內(nèi)置了機(jī)器學(xué)習(xí)引擎來不斷改進(jìn)對(duì)威脅的探測�����,而云的規(guī)模會(huì)讓它的威脅檢測能力變得更強(qiáng)����。
比如�����,Amazon
GuardDuty能監(jiān)控Amazon S3用戶所接收到的外部請(qǐng)求����,并能通過機(jī)器學(xué)習(xí)來判斷哪些是異常請(qǐng)求���,比如�����,當(dāng)某用戶的請(qǐng)求都來自東南亞���,突然收到了來自非洲的請(qǐng)求���,則可能有問題��,當(dāng)某用戶在業(yè)務(wù)低峰期的請(qǐng)求量遠(yuǎn)超日常請(qǐng)求量時(shí)��,也可能有問題���。
第二點(diǎn)��,安全不應(yīng)該是先上車后補(bǔ)票����,而是應(yīng)該在產(chǎn)品構(gòu)建時(shí)就嵌入其中��。
陳曉建表示�����,“亞馬遜云科技把安全的理念和安全的工作嵌入到每一個(gè)產(chǎn)品和服務(wù)團(tuán)隊(duì)的日常工作流程之中����,這是亞馬遜云科技一個(gè)非常獨(dú)特的機(jī)制?���!?/p>
亞馬遜云科技有“安全守護(hù)者”機(jī)制來保證他們所派駐團(tuán)隊(duì)的產(chǎn)品和服務(wù)能夠?qū)崿F(xiàn)安全的責(zé)任���,同時(shí),亞馬遜云科技的任何產(chǎn)品����、服務(wù)的發(fā)布都會(huì)通過應(yīng)用安全審核流程,任何發(fā)布或更新都必須要通過這個(gè)流程��。
此外�����,亞馬遜云科技還提倡“把人和數(shù)據(jù)分開”和“洋蔥模型”兩大安全理念��,把人和數(shù)據(jù)分開指的是控制好人的訪問權(quán)限�����,處理好數(shù)據(jù)要不要脫敏��、要不要加密���、給誰用的問題���?����!把笫[模型”指的是要構(gòu)建多層防護(hù)結(jié)構(gòu),各層間有相互保護(hù)的作用���,防止有一層被突破就中招的情況���。
亞馬遜云科技的安全文化和機(jī)制
首先是要重視安全,并且是所有人都要重視安全����。
非安全相關(guān)人員總覺得自己并不需要關(guān)心安全,但亞馬遜云科技認(rèn)為“安全是公司每個(gè)人的責(zé)任”���,不只是CEO的����,也不只是安全團(tuán)隊(duì)的�����,亞馬遜云科技會(huì)定期跟業(yè)務(wù)人員會(huì)面,傳遞安全工作的價(jià)值�。
第二點(diǎn)是依靠工具來提高效率。
CI/CD(持續(xù)集成/持續(xù)交付)可以提高開發(fā)和運(yùn)營的效率�����,將高效率的安全工具嵌入到開發(fā)者的流程里面之后���,很多基本問題便可以通過安全工具去解決���,而不是每次碰到問題都要去找安全人員去解決,從而提升安全工作的效率��。
第三點(diǎn)���,盡量降低安全對(duì)業(yè)務(wù)產(chǎn)生的影響���。
成功的安全團(tuán)隊(duì)不應(yīng)該對(duì)業(yè)務(wù)部門說不,不給業(yè)務(wù)部門設(shè)置障礙���,而是要告訴業(yè)務(wù)團(tuán)隊(duì)?wèi)?yīng)該通過哪種方式去做�,幫業(yè)務(wù)團(tuán)隊(duì)找到一條更安全、更高效的實(shí)現(xiàn)路徑�。
第四點(diǎn),給安全團(tuán)隊(duì)建立KPI指標(biāo)��。
以往�,安全團(tuán)隊(duì)的目標(biāo)和價(jià)值很難衡量,有人說�����,不出問題就是價(jià)值���,但這明顯是不靠譜的說法,而亞馬遜云科技設(shè)立了考核指標(biāo)�����,這種指標(biāo)其實(shí)把兩個(gè)團(tuán)隊(duì)拉到了一條船上���。
第一類是給業(yè)務(wù)團(tuán)隊(duì)的��,衡量指標(biāo)在于是否提出了好的安全的建議�����,促進(jìn)了哪些安全功能的發(fā)布���。第二類是給安全團(tuán)隊(duì)的���,衡量指標(biāo)是促進(jìn)了多少新產(chǎn)品的發(fā)布,縮短了多少新產(chǎn)品上線的時(shí)間�。
第五點(diǎn),亞馬遜云科技強(qiáng)調(diào)保持團(tuán)隊(duì)多樣性的作用���。
亞馬遜云科技認(rèn)為�,不同的人對(duì)同樣一件事情可能有不同看法��,安全需要這種不同的看法�,為了能有不同的看法,亞馬遜云科技鼓勵(lì)不斷加入新員工的做法���,因?yàn)樾聠T工往往可以帶來更新的思考視角����。
亞馬遜云科技在安全方面的新舉措
雖然亞馬遜云科技在安全方面準(zhǔn)備了很多��,但還是離不開安全合作伙伴的能力����。
在亞馬遜云科技的APN(合作伙伴網(wǎng)絡(luò))中有許多安全領(lǐng)域的廠商���,覆蓋40多個(gè)安全場景,為了讓云用戶能盡快用上安全能力���,亞馬遜云科技新推出了Marketplace Vendor Insights(預(yù)覽版)�����,由亞馬遜云科技來對(duì)供應(yīng)商進(jìn)行評(píng)估��,省去了用戶自己評(píng)估的時(shí)間�,從而縮短采購周期�����。
加密是一項(xiàng)非常核心的安全能力���,亞馬遜云科技在加密方面進(jìn)行了諸多新的探索。
比如�,為用戶提供兩種密鑰管理方式,一種是交給亞馬遜云科技來管�����,一種是用戶自己管理;提供低成本�����、高性能的加密服務(wù)��,使用了一個(gè)叫Amazon CloudHSM的專用安全模塊硬件���;探索用量子計(jì)算做加密�����,不僅參與了標(biāo)準(zhǔn)制定����,還推出了落地的產(chǎn)品��,在Amazon KMS��、Amazon
Certificate Manager����、Amazon Secrets Manager中均有使用�。
最后�����,亞馬遜云科技還發(fā)布了四款新產(chǎn)品服務(wù):
第一個(gè)叫Amazon
(IAM)
Roles Anywhere Management����,它把用戶IAM Roles管理功能從公有云延伸到了其他云環(huán)境,這一做法不僅降低了運(yùn)維成本和復(fù)雜度��,還進(jìn)一步提高了客戶工作負(fù)載的安全性�。
第二個(gè)叫Amazon
Detective for Amazon EKS,Amazon Detective是用戶檢測各種安全風(fēng)險(xiǎn)的分析工具����,它可以分析和調(diào)查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動(dòng),并找出根本原因�。
第三個(gè)叫Amazon
GuardDuty Malware Protection, 可幫助客戶檢測運(yùn)行在其云環(huán)境中的惡意軟件,新服務(wù)拓展了原來Amazon GuardDuty的威脅檢測范圍�,而且提升了與Amazon
Security Hub的集成度�,便于查找各種安全問題。
第四個(gè)是給Amazon
Config新增合規(guī)性分?jǐn)?shù)功能�,幫助用戶跟蹤資源合規(guī)性。以百分比的形式展現(xiàn)客戶相關(guān)資源的合規(guī)程度����,方便客戶逐步對(duì)照并解決合規(guī)問題���。
為中國用戶準(zhǔn)備的安全私房菜
陳曉建還分享了亞馬遜云科技針對(duì)中國用戶所準(zhǔn)備的內(nèi)容,對(duì)于中國用戶特別關(guān)心的隱私保護(hù)����、數(shù)據(jù)跨境、云安全建設(shè)等問題��,亞馬遜云科技發(fā)起了一個(gè)項(xiàng)目����,幫助用戶制定更好的安全策略,讓云上業(yè)務(wù)能夠順利發(fā)展���。
另外一方面工作是針對(duì)CISO(首席信息安全官)準(zhǔn)備的�,CISO作為云上的信息安全官����,一要保證用戶的業(yè)務(wù)在云上的安全,同時(shí)要解決所有面臨的安全威脅����,幫助企業(yè)去建立安全的聲譽(yù)��,亞馬遜云科技希望讓用戶和安全合作伙伴一起分享安全方面的經(jīng)驗(yàn)和實(shí)踐�,相互學(xué)習(xí)和進(jìn)步����。
