亚马逊云科技如何给用户以安全?

除了骗子,没有谁敢承诺绝对安全,断网是一些人能想到的有效避免安全问题的手段,这一方法很有效,直到现在,很多企业多多少少都有一些不能联网的软硬件基础设施。

但公有云不能这么用,公有云本身就是要通过互联网提供服务,也因此,公有云本身会成为网络攻击的显眼目标,公有云想做业务的最大前提就是要尽可能地确保安全。

任何企业都不想成为网络攻击的受害者,哪怕成为受害者的概率很低,也会影响企业上云的决心。为了让用户安心上云,作为全球最大公有云服务商的亚马逊云科技是怎么做的呢?

亚马逊云科技大中华区产品部总经理 陈晓建从安全理念、安全文化和机制、以及一些新举措三方面进行了介绍,看亚马逊云科技如何给用户以安全。

亚马逊云科技的安全理念

首先,防患于未然是一种重要的安全能力,它能在事情发生前就开始预防。

在re:Inforce媒体沟通会上,陈晓建表示:“亚马逊云科技支持全球数百万客户处理各种安全事件,然后,把在一个客户中所取得的实践,复用到其他客户中来,从而取得规模效益。”

当然,如此规模的跟踪数据不可能由人来手动处理,亚马逊云科技通过自动化的处理工具来自动识别这些安全风险,并且把各个安全事件关联起来,从而获得一个全局的理解。

作为典型具体产品的就是——Amazon GuardDuty,它提供的是一种防患于未然的安全能力。这是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,它内置了机器学习引擎来不断改进对威胁的探测,而云的规模会让它的威胁检测能力变得更强。

比如,Amazon GuardDuty能监控Amazon S3用户所接收到的外部请求,并能通过机器学习来判断哪些是异常请求,比如,当某用户的请求都来自东南亚,突然收到了来自非洲的请求,则可能有问题,当某用户在业务低峰期的请求量远超日常请求量时,也可能有问题。

第二点,安全不应该是先上车后补票,而是应该在产品构建时就嵌入其中。

陈晓建表示,“亚马逊云科技把安全的理念和安全的工作嵌入到每一个产品和服务团队的日常工作流程之中,这是亚马逊云科技一个非常独特的机制。”

亚马逊云科技有“安全守护者”机制来保证他们所派驻团队的产品和服务能够实现安全的责任,同时,亚马逊云科技的任何产品、服务的发布都会通过应用安全审核流程,任何发布或更新都必须要通过这个流程。

此外,亚马逊云科技还提倡“把人和数据分开”和“洋葱模型”两大安全理念,把人和数据分开指的是控制好人的访问权限,处理好数据要不要脱敏、要不要加密、给谁用的问题。“洋葱模型”指的是要构建多层防护结构,各层间有相互保护的作用,防止有一层被突破就中招的情况。

亚马逊云科技的安全文化和机制

首先是要重视安全,并且是所有人都要重视安全。

非安全相关人员总觉得自己并不需要关心安全,但亚马逊云科技认为“安全是公司每个人的责任”,不只是CEO的,也不只是安全团队的,亚马逊云科技会定期跟业务人员会面,传递安全工作的价值。

第二点是依靠工具来提高效率。

CI/CD(持续集成/持续交付)可以提高开发和运营的效率,将高效率的安全工具嵌入到开发者的流程里面之后,很多基本问题便可以通过安全工具去解决,而不是每次碰到问题都要去找安全人员去解决,从而提升安全工作的效率。

第三点,尽量降低安全对业务产生的影响。

成功的安全团队不应该对业务部门说不,不给业务部门设置障碍,而是要告诉业务团队应该通过哪种方式去做,帮业务团队找到一条更安全、更高效的实现路径。

第四点,给安全团队建立KPI指标。

以往,安全团队的目标和价值很难衡量,有人说,不出问题就是价值,但这明显是不靠谱的说法,而亚马逊云科技设立了考核指标,这种指标其实把两个团队拉到了一条船上。

第一类是给业务团队的,衡量指标在于是否提出了好的安全的建议,促进了哪些安全功能的发布。第二类是给安全团队的,衡量指标是促进了多少新产品的发布,缩短了多少新产品上线的时间。

第五点,亚马逊云科技强调保持团队多样性的作用。

亚马逊云科技认为,不同的人对同样一件事情可能有不同看法,安全需要这种不同的看法,为了能有不同的看法,亚马逊云科技鼓励不断加入新员工的做法,因为新员工往往可以带来更新的思考视角。

亚马逊云科技在安全方面的新举措

虽然亚马逊云科技在安全方面准备了很多,但还是离不开安全合作伙伴的能力。

在亚马逊云科技的APN(合作伙伴网络)中有许多安全领域的厂商,覆盖40多个安全场景,为了让云用户能尽快用上安全能力,亚马逊云科技新推出了Marketplace Vendor Insights(预览版),由亚马逊云科技来对供应商进行评估,省去了用户自己评估的时间,从而缩短采购周期。

加密是一项非常核心的安全能力,亚马逊云科技在加密方面进行了诸多新的探索。

比如,为用户提供两种密钥管理方式,一种是交给亚马逊云科技来管,一种是用户自己管理;提供低成本、高性能的加密服务,使用了一个叫Amazon CloudHSM的专用安全模块硬件;探索用量子计算做加密,不仅参与了标准制定,还推出了落地的产品,在Amazon KMS、Amazon Certificate Manager、Amazon Secrets Manager中均有使用。

最后,亚马逊云科技还发布了四款新产品服务:

第一个叫Amazon (IAM) Roles Anywhere Management,它把用户IAM Roles管理功能从公有云延伸到了其他云环境,这一做法不仅降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。

第二个叫Amazon Detective for Amazon EKS,Amazon Detective是用户检测各种安全风险的分析工具,它可以分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因。

第三个叫Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的恶意软件,新服务拓展了原来Amazon GuardDuty的威胁检测范围,而且提升了与Amazon Security Hub的集成度,便于查找各种安全问题。

第四个是给Amazon Config新增合规性分数功能,帮助用户跟踪资源合规性。以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。

为中国用户准备的安全私房菜

陈晓建还分享了亚马逊云科技针对中国用户所准备的内容,对于中国用户特别关心的隐私保护、数据跨境、云安全建设等问题,亚马逊云科技发起了一个项目,帮助用户制定更好的安全策略,让云上业务能够顺利发展。

另外一方面工作是针对CISO(首席信息安全官)准备的,CISO作为云上的信息安全官,一要保证用户的业务在云上的安全,同时要解决所有面临的安全威胁,帮助企业去建立安全的声誉,亚马逊云科技希望让用户和安全合作伙伴一起分享安全方面的经验和实践,相互学习和进步。