与很多来自中国的企业用户和技术爱好者一样,2023年,我第一次在线下参加了亚马逊云科技的安全主题大会re:Inforce。re:Inforce的重点是介绍安全技术概念,分享和学习安全实践。一方面安全本身的话题性很少,另一方面re:Inforce本身更具聚焦于具体实践,所以,也很难有类似re:Invent那种刷屏式的存在感。
第一次参加re:Inforce,媒体从业者的习惯驱使找到抓人眼球的亮点,因此,我把目光投向了几个新发布的安全相关服务,其背后的要点,可以从责任共担模型、零信任等角度进行概括。此外,亚马逊云科技还介绍了大模型与安全的相关话题。
然而,在我与几位亚马逊云科技的技术专家,来自第三方的技术专家和来自vivo的技术专家对话之后发现,大家并没有花大篇幅将新发布视为话题的重点,很多参会者关注的话题很明确,此行更多是为了寻找某些问题的解决之道,或者解决思路。
比如,vivo安全技术高级总监陈辉军想学习的是数据隐私方面的优秀实践,在全球对数据隐私保护要求越来越多的背景下,作为著名出海企业的vivo自然将数据隐私视为重点。
陈辉军表示,此次参加re:Inforce,感受到了亚马逊云科技在技术战略上对于数据安全的重视。令他比较受用的是,亚马逊云科技把整个数据安全和合规的能力融入到了流程当中,这对于vivo的业务出海非常有帮助。
事实上,亚马逊云科技将安全视为Job Zero,作为头等大事,什么是Job Zero呢?意味着什么呢?
我们能看到的是,亚马逊云科技的安全团队是独立的,可以不向业务团队妥协。(尽管如此,但安全团队还是会避免成为一个经常说“No”的部门。)在亚马逊内部,亚马逊云科技的CISO是直接向Amazon的CISO汇报,而后者直接向CEO汇报。
陈辉军认可亚马逊云科技的整体安全能力。
最让他印象深刻的是,亚马逊的安全服务的设计感很强。在实际使用时,用户自然能发现很多问题,然而,这些问题在亚马逊云科技的架构设计当中,都已经考虑到了,这与一些需要后续迭代的安全服务完全不同。
从陈辉军的介绍中了解到,vivo非常看重数据安全和隐私保护,在内部构建了一套可以总结为“PROTECT”的安全能力体系,其中:
P代表隐私保护(Privacy protection);
R是代表数据安全风险(data security Risk);
O代表产品安全(product Object security);
T代表关键技术(key security Technologies),针对关键技术做一些预演;
E则代表安全工程(security Engineering),指的是基于业务开发的生命周期来构建安全能力,将业务的设计、开发、测试等全流程与安全流程结合;
C指的是合规管理(Compliance management);
第二个T指的是安全对抗(security penTesting),会对业务系统安全能力做攻防评估。
在基于PROTECT实践的基础上,最终形成了vivo千镜安全架构。vivo希望千镜安全架构能像照妖镜一样看破伪装、识破风险。
事实上,vivo基于千镜安全架构开发了千镜可信引擎,该引擎会衡量手机系统运行环境的可信的度量,它可以给上层的应用测算出风险的度量分数,帮助用户来避免遭受设备诈骗等风险。
整体而言,vivo在隐私保护、数据安全、合规管理方面的工作都得到了亚马逊云科技的帮助,亚马逊云科技助力 vivo 构建了牢固的云上防护体系,能更好地保护消费者数据安全与隐私。具体而言,亚马逊云科技提供的帮助可以总结为三个方面。
首先,在基础架构层面,亚马逊云科技的用户可以直接继承亚马逊云科技的安全能力,省去了vivo在基础架构层面上的投入。
第二,在实现过程中尽可能多地做自动化,亚马逊云科技的安全服务体系注重自动化,而自动化则可以促进安全效率的提升。
第三方面,亚马逊云科技平台上可以为vivo提供端到端的安全解决方案,这些安全能力,有的是亚马逊云科技自己的,有的是通过合作伙伴去提供的。
vivo用了很多亚马逊云科技的安全服务,这与vivo与亚马逊云科技在业务形态上的相似性不无关系。
一方面,亚马逊云科技要用安全服务取信于vivo,而vivo要用安全能力取信于手机用户。另一方面,vivo和亚马逊云科技一样,都有芯片、系统和应用。
在服务vivo的过程中,亚马逊云科技提供的不是某一项云服务,而是一套安全技术体系的参考范式,这套范式不仅需要vivo的安全相关人员来参与,还需要运维人员和前端人员的参与,甚至还需要让法务团队参与。
陈辉军表示,亚马逊云科技在数据安全合规方面给vivo进行了很多赋能工作,在vivo面向业务人员和安全人员开展了多场培训。
vivo的V学堂里有关于亚马逊的安全赋能的一系列课程,上线以来有大约三万多人是听过这门课,由于是线上课程,vivo的每一个部门的人都能来参加,课程内容会提到很多具体的问题,比如,如何用亚马逊云科技的服务来应对勒索病毒等。
可以说,亚马逊云科技要做的其实是赋能整个vivo的相关人员。
因为,放由用户自行解决安全和隐私问题,用户的业务发展步伐可能会放缓,而亚马逊云科技则是要用安全服务加快其发展,让vivo这样的企业将更多精力放在业务发展本身。
亚马逊云科技有一句话是,不是人人都是天气预报员。亚马逊云科技不是要让用户从头开始学习在云上防勒索,就像不是所有人都需要具备预测天气的能力一样,大多数人会看天气预报即可,亚马逊云科技负责提供安全能力,vivo这样的用户拿过来用就好了。
然而,亚马逊云科技的这番操作对业务的促进作用是间接作用的,并不会直接转化为任何收益,这是安全服务的一个非常大的特点。
