re:Inforce 2023,亚马逊云科技在安全上展示出更强的开放性

亚马逊云科技一年有两个re开头的品牌大会,一个是会频繁刷屏的、关注技术产品创新的,被称作是云计算春晚的re:Invent,一个是关乎安全的re:Inforce。

亚马逊云科技是全球规模最大的公有云厂商,但似乎并没有成为最大的安全厂商的打算,并没有选择所有事情全都自己做,特别是在安全部分,它表现出了很强的开放性。

re:Inforce是一个什么样的活动?

re:Inforce策划之初,亚马逊云科技内部有人质疑安全的活动关注度不够高。但自从2019年首次举办以来,前后也一共办了五届。而且,今年的re:Inforce面向更多人开放,越发凸显了亚马逊云科技对于安全的重视。

亚马逊云科技首席安全官CJ Moses介绍称,“我们希望有一个具有强烈安全内涵的名字,而re:Inforce与re:Invent同属一个re品牌,re:Inforce希望强化(reinforce)能为用户提供的安全信息和安全培训的相关内容。”。

从CJ Moses的介绍中了解到,re:Inforce不同于传统的市场活动,活动本身更侧重安全方面的教育培训作用,活动设置了不同的难度等级,整体内容非常丰富。

我们能注意到,来这里做分享的不只是亚马逊云科技的专家,还有很多用户和行业专家,所以,这不是亚马逊云科技的独角戏。

与很多活动一样,re:Inforce会结合行业内的热点。比如,在谈到2023年re:Inforce的关键信息点时,CJ Moses提到了零信任。从各种迹象来看,亚马逊云科技非常看中零信任(Zero Turst)。

确实,从安全行业来看。零信任是整个行业都非常关注的话题,不断变化的员工构成,不断加强的行业监管和用户对于精确权限管理的需求,都推动着零信任的发展。

零信任是一套安全框架,也是一套关于“先验证才信任”的安全实践,它不特指某些具体的安全服务,但很多安全服务都会基于零信任模型框架来实现。

2022年re:Invent,亚马逊云科技发布了Amazon Verified Access预览版。不久前,又宣布正式可用。Verified Access可以不需要VPN就能实现远程安全访问,可以减少远程连接可能会带来的安全风险。

在re:Inforce活动上,亚马逊云科技宣布Amazon Verified Permissions正式可用,Amazon Verified Permissions将零信任的能力延展到了用户自己的应用程序里,在应用开发阶段就能落地零信任。

除了对于零信任的重视,作为亚马逊云科技的品牌活动,re:Inforce要传递的另外一个信息是,亚马逊云科技希望用户以更少的阻力享受到安全。

亚马逊云科技帮助用户以更少的阻力实现安全

众所周知,亚马逊云科技在安全方面提出了责任共担模型。一部分安全问题由亚马逊云科技来解决,叫做Security of the Cloud。另外一部分由用户来负责,叫做Security in the Cloud。

亚马逊云科技负责云基础架构本身的安全问题,这一部分包含很多关键技术服务,比如Amazon Nitro、Firecracker、Amazon Backup、Amazon GuardDuty、Amazon Route 53 Resolver DNS Firewall、Amazon Shield等等。

而在Security in the Cloud部分,亚马逊云科技会提供多种安全服务来帮助用户解决安全问题。此次re:Inforce活动期间又发布了很多新服务,为的是帮助帮助用户以更少的阻力实现安全。

re:Inforce活动期间,亚马逊云科技在零信任方面发布了Amazon Verified Permission,在安全合规方面发布了Amazon Inspector SBOM (软件物料清单)Export,在代码扫描方面发布了Amazon Inspector Code Scans For Lambda和Amazon CodeGuru Security,在第三方应用安全认证方面,发布了Amazon Built-in Partner Solutions来给第三方应用的安全性背书。

大语言模型是2023年科技圈绕不开的话题,尽管大模型会带来显而易见的安全问题,比如用来生成以假乱真的钓鱼邮件,但亚马逊云科技安全专家的态度是积极迎接大语言模型带来的影响,将其用在安全方面。

于是,亚马逊云科技发布了叫Findings Groups for Amazon Detective的新服务,使用机器学习技术和图技术找出事件之间的关联性,最后定位出问题所在。

然而,正如上文所说,re:Inforce不是亚马逊云科技自说自话的专场活动,众多安全相关的赞助商和合作伙伴的出现让这场大会更具开放性,也更有影响力。

re:Inforce表现出了更强的开放性

亚马逊云科技是全球规模最大的公有云厂商,但并没有选择所有事情全都自己做,特别是在安全部分,它表现出了很强的开放性。

亚马逊云科技在安全方面与业内安全生态保持着很多合作关系。翻开re:Inforce大会官网,我们能看到大概有80家赞助商,其中既有IBM、Crowdstrike、Datadog、PaloAlto、Wiz、Splunk、Trend(趋势科技)这些知名安全相关厂商,还有很多初创级的安全相关厂商。

亚马逊云科技在安全技术架构方面有很强的开放性。前不久,Amazon Security Lake(安全湖)宣布正式可用,安全湖会自动收集、组合和分析来自80多个数据来源的安全数据,这些数据源有的来自亚马逊云科技自己,有的来自安全合作伙伴,还有的来自分析提供商。

亚马逊云科技为Amazon Security Lake(安全湖)设定了OCSF(Open Cyber​​security Schema Framework)开放标准,将传入的数据全都转换成符合 (OCSF) 开放标准的格式后,就能高效分析和利用这些安全数据。

OCSF是亚马逊云科技向业界开源的一个项目,作为一个开放标准,它可在任何环境、应用程序或解决方案中采用,安全服务提供商和数据提供者都可以采用该架构,它可以帮助安全团队简化数据的摄取和使用流程。

从亚马逊云科技Amazon Security Lake总经理Rod Wallace的介绍中了解到,安全湖接下来的发展目标是与更多安全类的合作伙伴进行合作,接入更多数据源。

类似的,亚马逊云科技在安全方面开放了 Cedar 策略语言,新发布的Amazon Verified Permissions 支持用户使用 Cedar 在自己的应用中进行精细的权限控制。

从亚马逊云科技网络边缘服务副总裁Jesse Dougherty的介绍中了解到,Cedar的开放性是有意而为之的,它的开放性使得它具备了构建广泛生态的基础,而作为最大的公有云服务商,亚马逊云科技能让Cedar成为事实上的标准,有助于为用户提供统一的、一致的零信任体验。

上文提到的Verified Access可以在部分场景里替代VPN,可以减少与远程连接相关的风险,为了提高新服务的实用性,Verified Access与很多安全合作伙伴进行了整合,包括:Beyond Identity, CrowdStrike, CyberArk, Cisco Duo等等。