关注云报
洞察深一度
所谓“成也萧何,败也萧何”,安全问题在企业上云用云的过程中就扮演着这样一个关键角色。
关注云计算的人一定都知道,云计算领域一年一度的行业盛会亚马逊云科技re:Invent,可又有多少人知道已经连续举办了四届的亚马逊云科技re:Inforce全球云安全大会?云计算的世界,安全问题如影随行。近日在美国波士顿落下帷幕的2022 re:Inforce又将带给我们多少云安全方面的启示呢?
安全是一种企业文化
“安全问题就像是水、空气,无处不在。”亚马逊云科技大中华区产品部总经理陈晓建这样打比方说,“云上安全的态势时刻变化,日新月异。因此,我们必须进行前瞻性的思考,并且保持敏锐的洞察,源源不断地为客户提供无处不在的安全防护。”


亚马逊云科技大中华区产品部总经理陈晓建
从业务的角度看,安全是一条基线。从技术的角度讲,必须将安全嵌入整个开发过程,通过对基础问题或复杂问题使用不同的工具,开发者可以清楚地了解安全的边界,使得开发过程更安全,审查效率也更高。
但是对于亚马逊云科技来说,安全问题不仅仅是技术问题、业务问题,更是一种企业文化。亚马逊云科技认为,安全是公司每一个人的责任。因此,公司各个业务的负责人会定期会面,以确保业务需求并关注安全问题。亚马逊云科技每周有一次安全会议,CEO也会亲自参加,这种机制进一步增强了公司的安全文化。
陈晓建表示,亚马逊云科技始终将安全作为最高优先级的工作,并将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。亚马逊云科技会不断加速安全理念、新的安全服务及功能在中国区域的落地,并与中国客户一起应对云上安全和合规的棘手挑战,为企业的云上业务创新保驾护航。
云安全服务面面俱到
作为全球领先的云服务商,亚马逊云科技始终紧绷安全这根弦,并以安全理念为先导,引领技术和服务创新。
在亚马逊云科技内部,安全的最高优先级是解决基本问题。亚马逊云科技在这方面拥有丰富的实践经验,并且将这些积累持续嵌入到其创新的云服务中。亚马逊云科技在全球拥有数百万客户,每天追踪的事件达数十亿条,这使得亚马逊云科技能够检测到更多的安全威胁。“我们会快速解决发生在单个客户身上的异常情形,并让其他用户从中受益,免受同样的威胁或攻击。这就是安全规模化带来的好处。”陈晓建表示。
亚马逊云科技不断将安全融入其产品或服务的开发生命周期和运营之中,设置安全守护者小组,并按照一定比例在产品团队中设置安全人员岗位,建立独立的应用安全审查流程,用于所有产品和服务的更新与发布。
从技术层面看,云中安全应该是一个洋葱型的多层防护。因此,亚马逊云科技建立了云上安全层层递进的防护机制,不同层次之间还有互补机制,而不是过度依赖某一个单点控制、单一服务或产品。除了防火墙之外,还需要访问控制、主机安全和数据加密等,共同构成多层防护体系。
正是基于上述种种考虑,亚马逊云科技根据客户的实际需求,不断丰富其安全服务及功能,为客户带来更好的安全防护。在今年的re:Inforce大会上,亚马逊云科技推出了多项新的安全服务和功能。
为了应对未来量子计算的快速发展,亚马逊云科技推出了混合后量子密钥交换,目前已为Amazon Key Management Service(Amazon KMS)、Amazon Certificate Manager 和Amazon Secrets Manager三种服务提供了量子安全算法。另外,亚马逊云科技还借助自动推理,通过数据逻辑的应用来检测可能存在的安全风险和配置错误,为云本身和云中的安全性提供更高的保障,并推动可证明的安全性的发展。
通过Amazon Identity and Access Management (Amazon IAM) Roles Anywhere服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
新推出的Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松地分析和调查在Amazon EKS集群上的Kubernetes潜在的安全问题或可疑活动,并找出根本原因。客户据此可以快速采取措施来解决问题,提升安全性。
新推出的Amazon GuardDuty Malware Protection, 可以帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围,可扫描多种文件系统,包括Windows和Linux文件、PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。Amazon Security Hub和Amazon GuardDuty之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。
Amazon Config还新增了合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
除了上述新服务、新功能之外,亚马逊云科技还发布了Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估,并实现对风险的持续监测。通过该服务,亚马逊云科技加速了对供应商的评估,将用户的采购时间从8~12周缩短到7天,支持业务快速上线。另外,亚马逊云科技还推出了专门为云计算设计的合规审计培训课程Cloud Academy Audit,计划在今年将其引入中国,并增加等级保护的相关内容。
亚马逊云科技在今年re:Inforce上发布的众多安全方面的新服务、新功能、新举措,涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面,旨在帮助客户更有效地构建云上安全环境并满足合规性要求。
双向奔赴 与中国客户共成长
中国对于亚马逊云科技来说是非常重要的一个市场。区别于其他地区的客户,中国客户有着自己独特的安全合规要求和环境。这就要求亚马逊云科技必须深入到中国客户当中,挖掘出潜藏在隐私保护、数据跨境和云上安全建设等方面的相关问题并有效解决,以保证业务的安全持续运营。
据悉,从今年开始,亚马逊云科技将在中国举办CISO对话,通过与企业CISO一起探讨安全管理的相关文化与技术,让安全与合规不再成为业务在云上快速增长的阻碍。通过与CISO对话,亚马逊云科技旨在搭建一个相互交流的平台,一方面输出亚马逊云在安全合规方面的经验和实践,另一方面也能通过这个平台获取用户对于云安全合规的具体诉求,双向奔赴,共同推动云安全的有效落地。
继续阅读
阅读原文