2022年,随着企业数字化转型的逐渐深入,对云计算、大数据、物联网、人工智能等新技术的应用越来越广泛,与此同时,愈演愈烈的网络攻击已成为企业数字化的新挑战,cio、cto、ciso们对云安全的重视程度也越来越高。
亚马逊云科技作为全球最大的云计算厂商,对安全亦十分重视,始终将安全作为最高优先级的工作。一年一度的re:inforce全球云安全大会,今年已是第四届。在近日举办的re:inforce中国媒体沟通会上,亚马逊云科技大中华区产品部总经理陈晓建分享了亚马逊云科技在安全方面秉承的理念、凯发在线的文化与安全机制,今年推出的安全项目和新举措,re:inforce发布的新动向、新产品和新功能,以及针对中国市场的两大举措。
“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。与其去救火,我们更需要做的是防患于未然,这个是亚马逊云科技云安全一直在承诺的理念。”陈晓建如是说。
亚马逊云科技大中华区产品部总经理陈晓建
亚马逊云科技的六大主要安全理念
1)安全的最高优先级是解决基本问题,亚马逊云科技在这一领域拥有丰富实践,并将这些实践内置到云服务中;
2)云安全具有规模效应,通过亚马逊云科技的海量运营,在支持全球数百万客户的各种安全事件的同时,可以把这些客户实践和安全能力复用,让其他用户从中受益;
3)将安全融入产品或服务的开发生命周期和运营当中,设置安全守护者小组,在产品团队中设置安全人员岗位,同时设置独立的应用安全审查流程,适用于所有产品、服务的更新与发布;
4)从人和数据两个维度同时考虑形成更严谨的安全方案,对人以最小化的原则定义访问权限,并且给权限设置有效期,对数据则需要考虑加密、脱敏等更多内容;
5)不能过度依赖于某一个单点控制、单一服务或产品,而是以洋葱型的多层防护形成层层递进的防护机制,不同层次之间有互补机制;
6)发现客户对安全的需求,将经验和实践总结出来,反哺给更多的客户,使亚马逊云科技和用户一起携手进步,变得更强大。
树立安全方面的凯发在线的文化与安全机制
在凯发在线的文化和安全机制方面,亚马逊云科技认为:安全是公司每个人的责任,团队协作的精神对安全而言至关重要。为此,亚马逊云科技各个业务的负责人定期会面,每周一次的安全会议ceo也会参加,这种机制加强了亚马逊云科技的安全文化。
安全是一项极其复杂的工作,需要很多工具来帮助安全工作更高效。亚马逊云科技通过自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。
安全很多时候会给业务带来一定的阻力,需要强调的是:业务有起有落,但是安全应该是一条基线,并对业务产生尽可能小的影响。安全工作不是为了给业务团队设置障碍,而是帮业务团队找到一条更安全、更高效的实现路径。
为此,亚马逊云科技设置了两类可衡量指标:
a)针对产品团队的衡量指标是:是否提出了好的安全建议,促进了哪些安全功能的发布;
b)针对安全团队的指标是:促进了多少新产品的发布,缩短了多少新产品上线的时间。
除此之外,亚马逊云科技刻意保持团队的多样性,由于团队成员具有不同的性格、不同的背景或文化,能力模型不同的人对同样一件事情可能有很多不同的看法,能够为团队带来更新的思考视角。
云安全领域的四个最佳实践
陈晓建在会上分享了多年以来亚马逊云科技在服务客户的过程中总结出的云安全实践。
(1)最小权限。进行访问权限的管理时,除了考虑用户的角色和职责范围,还需要对访问权限设置有效期,同时客户也应该定期检查访问权限,来确保这些权限随着业务的变化仍然是合理和有效的,并且对管理者的权限也要进行时间控制。
(2)漏洞报告。在工作中设置对内、对外两套漏洞报告机制,鼓励员工和客户发现并上报任何安全漏洞,无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告。
(3)勒索软件。防范勒索软件最重要的工作是提前演习,发现问题并做好预报。亚马逊云科技通过以下服务为用户提供帮助,提升其业务的安全性:包括使用 amazon inspector 提前检测、排查安全漏洞;使用 amazon guardduty 检测异常活动;使用 amazon backup 的存储备份功能,定期进行数据备份,可以一键回滚、及时恢复数据和业务。
(4)log4j漏洞。从这一安全事故中我们要吸取教训,并严格做到以下五点:严格限制来自互联网的访问;必须拥有全面的软件清单及其使用方式;保持开源软件等第三方产品更新到最新版本;深度防御;进行日志记录管理。
re:inforce推出的新项目、新服务和新功能
据悉,亚马逊云科技在本届re:inforce全球云安全大会上推出了marketplace vendor insights(预览版),简化并加速了对供应商的安全合规评估,实现了对风险的持续监测。如今,客户在选择安全伙伴时不再需要自己去评估安全伙伴提供服务的安全性,而是由亚马逊云科技代客户完成,此举可将用户的采购时间从8-12周缩短到7天,从而实现业务的快速上线。
亚马逊云科技还推出了专门为云计算设计的合规审计培训课程:cloud academy audit(caa),通过caa指导用户将云技术应用到日常的审计工作中,用于安全、合规、审计、风控等部门。据透露,亚马逊云科技计划在今年将caa课程引入中国,并增加等级保护的相关内容,以便为中国客户提供支持。此外,亚马逊云科技公开了内部员工安全意识培训的内容,让更多的用户受益。
为给客户带来更好的安全防护,亚马逊云科技根据客户的安全需求发布了多项安全服务及功能。在加密领域,亚马逊云科技推出混合后量子密钥交换,目前已经为amazon key management service (amazon kms)、amazon certificate manager 和 amazon secrets manager三种服务提供了量子安全算法。
亚马逊云科技研发了新的开源加密库“libcrypto”,它针对云服务进行优化,可以在gravition芯片上跑得更快,同时libcrypto可以作为opepssl的替代品。陈晓建透露亚马逊云科技正在申请fips(nist发布的联邦信息处理标准)认证,希望通过libcrypto和fips的认证,帮助客户提供一个更有效、更安全的加密机制。
此外,亚马逊云科技借助自动化推理,通过数据逻辑的应用来检测可能存在的安全风险和配置错误,为云本身和云中的安全性提供更高的保障,并推动可证明的安全性的发展。
亚马逊云科技梳理了用户需要注意的三项重要的安全策略:
1.万事皆需加密,加密是良好数据保护策略的核心组成部分;
2.禁止公开访问权限,这对于amazon s3服务尤其重要;
3.启用多因素认证(mfa), amazon mfa是为访问云提供额外安全的最简单和最好的方法之一。
在新产品、新功能方面,亚马逊云科技发布了可帮助客户检测运行在其云环境中的恶意软件的amazon guardduty malware protection;将amazon iam扩展至客户的云环境之外的amazon identity and access management (amazon iam) roles anywhere;可帮助客户分析和调查在amazon eks集群上kubernetes 潜在安全问题或可疑活动的amazon detective for elastic kubernetes service(amazon eks)等。
中国市场的两大举措
最后,陈晓建介绍了亚马逊云科技面向中国市场的两大举措。
“与海外客户不同的是,中国客户有着自己独特的安全合规要求和环境,我们发现中国客户在安全领域更关注隐私保护、数据跨境和云安全建设”,陈晓建提到。最近,亚马逊云科技发起了stronger together项目,希望帮助客户制定更好的安全策略,助力客户解决云上安全合规最棘手的问题,为他们的云上业务创新保驾护航。
此外,今年亚马逊云科技开始在中国举办ciso对话,目的是创造一个互相交流的平台,输出亚马逊云在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户ciso对于云安全合规的具体诉求和需要解决的问题,让安全与合规不再成为业务在云上快速增长的阻碍。
关于企业网d1net(www.d1net.com):
国内主流的to b it门户,同时在运营国内最大的甲方cio专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营18个it行业公众号(微信搜索d1net即可关注)。