將“云安全”在云產(chǎn)業(yè)中的地位專門做明確,在完整涉獵云產(chǎn)業(yè)方方面面的“re:Invent”大會之外專門舉辦“re:Inforce全球云安全大會”,這是亞馬遜云科技在最近的四年間形成的一種習(xí)慣,彰顯安全理念重要性的同時,也意在呈現(xiàn)亞馬遜云科技在安全方面的不懈努力。
安全理念:防患于未然,人與數(shù)據(jù)分開,建立多層防護(hù)結(jié)構(gòu)
“防患于未然”,依舊是亞馬遜云科技在云安全方面最重要的理念。
具體而言,在中國媒體溝通會上做主題分享的亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建的進(jìn)一步闡述是:“我們要發(fā)現(xiàn)所有這些安全的基本問題,并且能夠把這些基本問題在第一時間以我們的努力去解決。并且我們還要做的工作是,通過我們的海量運營、通過我們?nèi)ブС秩驍?shù)百萬客戶的各種安全事件,然后把在一個客戶中所取得的實踐,能夠復(fù)用到其他客戶中來,從而取得規(guī)模效益?!?/span>
看起來,這里提到的是一個“滾雪球”式的能力養(yǎng)成過程。不過,這不僅是反饋和積累,更是主動出擊。
當(dāng)前,亞馬遜云科技覆蓋全球的各個數(shù)據(jù)中心每天都會收到數(shù)以十億條的安全事件、各種日志,在這樣的背景下,亞馬遜云科技強化安全能力的方式是,通過自動化的處理工具自動識別這些安全風(fēng)險,并且把各個用戶之間的安全事件關(guān)聯(lián)起來,形成全局化的理解。在筆者看來,這有些類似圍棋的布局,在開局時,甚至要對最終可能的勝負(fù)手進(jìn)行考量。
陳曉建的分析是不難理解的:“即便十億條事件中的某一條發(fā)生的概率極低,但每天即便只有一個類似的安全隱患,仍會向安全事故演變,這代表,在安全領(lǐng)域,可接受的閾值非常低?!?/span>
亞馬遜云科技“防患于未然”中的具體工作,就是“發(fā)現(xiàn)那些有可能發(fā)生的、極小的概率事件”。
因此,就有了可持續(xù)監(jiān)控惡意活動和未經(jīng)授權(quán)行為的Amazon GuardDuty,用來保護(hù)云中賬戶、負(fù)載、程序及存儲數(shù)據(jù)的安全,更重要的是,它可以通過內(nèi)嵌的機器學(xué)習(xí)能力,不斷改進(jìn)對威脅的探測。有效從云環(huán)境中識別出潛在的惡意用戶活動,并通過機器學(xué)習(xí)的功能使安全事件的誤報率降低,這是Amazon GuardDuty可以實現(xiàn)的。
關(guān)于“極小概率安全事件”的解決,亞馬遜云科技則形成了獨特機制,通過將安全代表派駐到業(yè)務(wù)團(tuán)隊中,將安全理念和安全工作嵌入日常流程,同時建立應(yīng)用安全審核流程,以集中的安全團(tuán)隊對發(fā)布或更新的審核作為配合。
陳曉建說,另外的一個重要經(jīng)驗是“把人和數(shù)據(jù)分開”,畢竟,對兩者的考量標(biāo)準(zhǔn)完全不同,對人看“權(quán)限”,對數(shù)據(jù)看“內(nèi)容”,同時進(jìn)行完整的考量,才能形成更嚴(yán)謹(jǐn)?shù)姆桨浮?/span>
云安全的“洋蔥模型”,仍是亞馬遜云科技在實操中提倡的,陳曉建再次表示:“每層結(jié)構(gòu)之間可以起到互相保護(hù)的作用,以及層層遞進(jìn)的訪問機制,是我們認(rèn)為合理的安全機制所必須具備的”。
新品發(fā)布:云安全產(chǎn)品繼續(xù)煥新,中國出海企業(yè)可即時使用
理念傳承的同時,云安全產(chǎn)品繼續(xù)煥新,在中國媒體溝通會上,陳曉建還表示,此次在“re:Inforce”大會期間發(fā)布的多項產(chǎn)品和服務(wù),中國的出?;锇槎家呀?jīng)可以立即使用。
包括:
Amazon IAM Roles Anywhere, 通過該服務(wù),客戶可為其本地服務(wù)器、容器和應(yīng)用程序等工作負(fù)載設(shè)置臨時憑證,客戶在云上和本地的工作負(fù)載中使用相同的訪問控件、部署管道和測試流程,將Amazon IAM對工作負(fù)載的管理能力擴展至客戶的云環(huán)境之外,不但降低了運維成本和復(fù)雜度,還進(jìn)一步提高了客戶工作負(fù)載的安全性。
Amazon Detective for EKS,將Amazon Detective覆蓋的數(shù)據(jù)源擴展至Amazon EKS,可幫助客戶更加輕松分析和調(diào)查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動,并找出根本原因,客戶以此可以快速采取措施來解決問題,提升安全性。
Amazon GuardDuty Malware Protection,可幫助客戶檢測運行在其云環(huán)境中的惡意軟件。該功能的推出進(jìn)一步擴展了Amazon GuardDuty的威脅檢測范圍。當(dāng)檢測到惡意軟件時,Amazon GuardDuty Malware Protection可自動向Amazon GuardDuty控制臺、Amazon Security Hub、Amazon EventBridge和Amazon Detective發(fā)送惡意軟件調(diào)查結(jié)果及其潛在來源,客戶可根據(jù)相關(guān)結(jié)果迅速采取對應(yīng)措施。產(chǎn)品從一開始就已經(jīng)把上述能力和亞馬遜云科技其他的安全產(chǎn)品集成好了。
Amazon Config,服務(wù)可評估、審計和評價用戶的 AWS 資源配置。借助該服務(wù),用戶可以查看配置更改以及 AWS 資源之間的關(guān)系、可以發(fā)現(xiàn)一些不合規(guī)的配置并迅速告警。過往這種合規(guī)性只能依賴于告警,這次我們新增了評分的功能,讓這種資源的合規(guī)狀態(tài)更加直觀。Amazon Config新增合規(guī)性分?jǐn)?shù)功能,幫助客戶跟蹤資源合規(guī)性。該新功能是Amazon Config的一項增強功能,該功能以百分比的形式展現(xiàn)客戶相關(guān)資源的合規(guī)程度,方便客戶逐步對照并解決合規(guī)問題。
在全球范圍內(nèi)提出這些云安全新舉措的同時,更針對中國市場,亞馬遜云科技發(fā)現(xiàn)有幾個大的熱點,是中國客戶特別關(guān)注的,分別是:隱私保護(hù)、數(shù)據(jù)跨境、云安全建設(shè)。
最近,亞馬遜云科技發(fā)起了一個項目,讓客戶有更好的安全策略,讓云上業(yè)務(wù)就能夠順利發(fā)展。陳曉建說:“我們做這個工作也是基于我們跟客戶之間的合作,就是說我們在最開始講到反哺機制,因為我們整個安全能力的建設(shè)和成長,都是圍繞我們和用戶的深度合作,來不斷提升我們雙方的能力所達(dá)成的,就是Stronger Together(相倚為強),也是我們一直秉承的理念?!?/span>
另外一個在做的工作,是CISO的對話。陳曉建說:“CISO作為‘云上信息安全官’所承擔(dān)的責(zé)任是非常巨大的,一要保證用戶的業(yè)務(wù)在云上的安全,同時要解決所有面臨的安全威脅,幫助企業(yè)去建立安全的聲譽。亞馬遜云科技的目的就是希望有一個這樣的論壇,能夠讓用戶和廠商一起坐下來談在安全方面的一些經(jīng)驗和實踐,通過交流,可以更好地了解用戶對于亞馬遜云科技在整個安全、合規(guī)、運營建設(shè)方面的需求,來創(chuàng)造一個大家互相交流、互相進(jìn)步的機會?!保ǘ】萍季W(wǎng)原創(chuàng),轉(zhuǎn)載務(wù)必注明“來源:丁科技網(wǎng)”)
- QQ:61149512