“re:Inforce 2022”:再談“雲安全”,亞馬遜雲科技談些什么?
2年前

將“雲安全”在雲產業中的地位專門做明確,在完整涉獵雲產業方方面面的“re:Invent”大會之外專門舉辦“re:Inforce全球雲安全大會”,這是亞馬遜雲科技在最近的四年間形成的一種習慣,彰顯安全理念重要性的同時,也意在呈現亞馬遜雲科技在安全方面的不懈努力。

安全理念:防患於未然,人與數據分开,建立多層防護結構

“防患於未然”,依舊是亞馬遜雲科技在雲安全方面最重要的理念。

具體而言,在中國媒體溝通會上做主題分享的亞馬遜雲科技大中華區產品部總經理陳曉建的進一步闡述是:“我們要發現所有這些安全的基本問題,並且能夠把這些基本問題在第一時間以我們的努力去解決。並且我們還要做的工作是,通過我們的海量運營、通過我們去支持全球數百萬客戶的各種安全事件,然後把在一個客戶中所取得的實踐,能夠復用到其他客戶中來,從而取得規模效益。”

看起來,這裏提到的是一個“滾雪球”式的能力養成過程。不過,這不僅是反饋和積累,更是主動出擊。

當前,亞馬遜雲科技覆蓋全球的各個數據中心每天都會收到數以十億條的安全事件、各種日志,在這樣的背景下,亞馬遜雲科技強化安全能力的方式是,通過自動化的處理工具自動識別這些安全風險,並且把各個用戶之間的安全事件關聯起來,形成全局化的理解。在筆者看來,這有些類似圍棋的布局,在开局時,甚至要對最終可能的勝負手進行考量。

陳曉建的分析是不難理解的:“即便十億條事件中的某一條發生的概率極低,但每天即便只有一個類似的安全隱患,仍會向安全事故演變,這代表,在安全領域,可接受的閾值非常低。”

亞馬遜雲科技“防患於未然”中的具體工作,就是“發現那些有可能發生的、極小的概率事件”。

因此,就有了可持續監控惡意活動和未經授權行爲的Amazon GuardDuty,用來保護雲中账戶、負載、程序及存儲數據的安全,更重要的是,它可以通過內嵌的機器學習能力,不斷改進對威脅的探測。有效從雲環境中識別出潛在的惡意用戶活動,並通過機器學習的功能使安全事件的誤報率降低,這是Amazon GuardDuty可以實現的。

關於“極小概率安全事件”的解決,亞馬遜雲科技則形成了獨特機制,通過將安全代表派駐到業務團隊中,將安全理念和安全工作嵌入日常流程,同時建立應用安全審核流程,以集中的安全團隊對發布或更新的審核作爲配合。

陳曉建說,另外的一個重要經驗是“把人和數據分开”,畢竟,對兩者的考量標准完全不同,對人看“權限”,對數據看“內容”,同時進行完整的考量,才能形成更嚴謹的方案。

雲安全的“洋蔥模型”,仍是亞馬遜雲科技在實操中提倡的,陳曉建再次表示:“每層結構之間可以起到互相保護的作用,以及層層遞進的訪問機制,是我們認爲合理的安全機制所必須具備的”。

新品發布:雲安全產品繼續煥新,中國出海企業可即時使用

理念傳承的同時,雲安全產品繼續煥新,在中國媒體溝通會上,陳曉建還表示,此次在“re:Inforce”大會期間發布的多項產品和服務,中國的出海夥伴都已經可以立即使用。

包括:

Amazon IAM Roles Anywhere, 通過該服務,客戶可爲其本地服務器、容器和應用程序等工作負載設置臨時憑證,客戶在雲上和本地的工作負載中使用相同的訪問控件、部署管道和測試流程,將Amazon IAM對工作負載的管理能力擴展至客戶的雲環境之外,不但降低了運維成本和復雜度,還進一步提高了客戶工作負載的安全性。

Amazon Detective for EKS,將Amazon Detective覆蓋的數據源擴展至Amazon EKS,可幫助客戶更加輕松分析和調查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動,並找出根本原因,客戶以此可以快速採取措施來解決問題,提升安全性。

Amazon GuardDuty Malware Protection,可幫助客戶檢測運行在其雲環境中的惡意軟件。該功能的推出進一步擴展了Amazon GuardDuty的威脅檢測範圍。當檢測到惡意軟件時,Amazon GuardDuty Malware Protection可自動向Amazon GuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective發送惡意軟件調查結果及其潛在來源,客戶可根據相關結果迅速採取對應措施。產品從一开始就已經把上述能力和亞馬遜雲科技其他的安全產品集成好了。

Amazon Config,服務可評估、審計和評價用戶的 AWS 資源配置。借助該服務,用戶可以查看配置更改以及 AWS 資源之間的關系、可以發現一些不合規的配置並迅速告警。過往這種合規性只能依賴於告警,這次我們新增了評分的功能,讓這種資源的合規狀態更加直觀。Amazon Config新增合規性分數功能,幫助客戶跟蹤資源合規性。該新功能是Amazon Config的一項增強功能,該功能以百分比的形式展現客戶相關資源的合規程度,方便客戶逐步對照並解決合規問題。

在全球範圍內提出這些雲安全新舉措的同時,更針對中國市場,亞馬遜雲科技發現有幾個大的熱點,是中國客戶特別關注的,分別是:隱私保護、數據跨境、雲安全建設。

最近,亞馬遜雲科技發起了一個項目,讓客戶有更好的安全策略,讓雲上業務就能夠順利發展。陳曉建說:“我們做這個工作也是基於我們跟客戶之間的合作,就是說我們在最开始講到反哺機制,因爲我們整個安全能力的建設和成長,都是圍繞我們和用戶的深度合作,來不斷提升我們雙方的能力所達成的,就是Stronger Together(相倚爲強),也是我們一直秉承的理念。”

另外一個在做的工作,是CISO的對話。陳曉建說:“CISO作爲‘雲上信息安全官’所承擔的責任是非常巨大的,一要保證用戶的業務在雲上的安全,同時要解決所有面臨的安全威脅,幫助企業去建立安全的聲譽。亞馬遜雲科技的目的就是希望有一個這樣的論壇,能夠讓用戶和廠商一起坐下來談在安全方面的一些經驗和實踐,通過交流,可以更好地了解用戶對於亞馬遜雲科技在整個安全、合規、運營建設方面的需求,來創造一個大家互相交流、互相進步的機會。”(丁科技網原創,轉載務必注明“來源:丁科技網”)

追加內容

本文作者可以追加內容哦 !

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。



標題:“re:Inforce 2022”:再談“雲安全”,亞馬遜雲科技談些什么?

地址:https://www.breakthing.com/post/16637.html