6月10日,我作为DOIT传媒编辑参加了在美国费城举办的亚马逊云科技re:Inforce安全大会。当我和朋友聊起这件事时,一位资深的IT媒体朋友发出灵魂拷问:还有这样的会?
re:Inforce大会,一场重要但鲜为人知的技术大会
是的,这是一个鲜为人知的大会,即便它的主办方是全球市场规模最大的公有云服务商亚马逊云科技。
提到安全,很多人既熟悉又陌生。20年前,谈安全是讲黑客的传奇故事。如今,黑客用勒索软件勒索钱财,用别人的资源挖矿赚钱,现在的黑客不炫技,只要钱,更加成熟。
20年前,信息技术对现实社会的影响较小。如今,随着数字化转型的深入,信息安全问题的影响越来越大。因此,安全防护变得更加严肃和专业,成了专业领域专业人士的事情,与普通群众渐行渐远。
这次re:Inforce大会远不如re:Invent大会受关注,但它的存在,证明了亚马逊云科技对于安全的重视。这是云服务能得以存在的最重要基础。
亚马逊云科技对安全的重视体现在企业文化上,具体而言,主要体现为三点:
内部每周五召开的安全会议每次都有CEO参与,雷打不动;
内部推崇应用开发阶段就考虑安全问题,让开发人员变成懂安全的开发人员;
当发现安全问题时,员工都有权力将问题升级到较高的级别,让问题快速得到解决,并且,员工还会因此得到奖励。
亚马逊云科技常说的责任共担模型模型,亚马逊云科技自己负责一部分安全任务,用户也要负责一部分安全任务,光自己懂安全是不行的,用户也要懂安全,才能获得上云的勇气。
作为帮助客户和员工了解和掌握最新的安全最佳实践的平台,re:Inforce已经是最高调的安全活动了。除此之外,亚马逊云科技还会提供包括培训和认证计划、安全研讨会和在线资源。
2024年re:Inforce的悬念:会有几个关于生成式AI的新服务?
2024年科技界的顶流是生成式AI,很多人期盼着生成式AI在更多领域里大放光彩。
我很好奇,生成式AI对于安全有何影响,也很想知道,亚马逊云科技作为最大的云厂商,要怎么看待生成式AI对安全的影响?
大会开始前,我去活动举办地费城的街头转了转,看见人流如织的地方有一座比较庄严的建筑。
我顺手拍了照片问ChatGPT这是什么,结果被告知说,这个地方叫Independence hall,纪念美国宣布独立。
当我追问ChatGPT,纪念馆前的雕像是谁,它一会儿说是华盛顿,一会儿说是富兰克林,搞得我很乱。最后,我手动查了很多资料之后,才敢确定这就是华盛顿。
这件事可以说明,生成式AI作为一项技术,其本身存在明显的缺陷和问题,当它作为一项要让别人付钱的服务时,它会存在更多的挑战。
这种缺陷和问题又会对安全有什么影响呢?尤其是作为提供云服务的专业厂商,要怎么与生成式AI相处呢?
已有多项安全服务采用了AI和ML技术
2024年6月11日,re:Inforce大会开始了,听完亚马逊云科技首席信息安全官(CISO)Chris Betz的主题演讲,我注意到,直接与生成式AI相关的新服务只有一项,那就是让生成式AI来分析托管数据湖服务Amazon CloudTrail Lake里的安全日志。
Amazon CloudTrail Lake存放了大量用日志数据,生成式AI允许用户用自然语言来分析这些数据,系统自动生成SQL语句,让安全日志分析的过程变得更简单和直观。例如,用户直接问:“告诉我有多少数据库实例在没有快照的情况下被删除了?
这一做法非常合理,但显然没有让我尽兴。
CISO Chris Betz在采访环节表示,生成式AI只是用来解决问题的众多工具之一。除了生成式AI技术以外,还有很多其他重要的话题要讨论。而且,亚马逊云科技在多个技术领域都有安全专家,可以确保包括生成式AI在内的各项技术服务能以安全可靠的方式提供。
随后,在采访负责亚马逊云科技云平台副总裁Kurt Kufeld时,我还是很好奇是否会更多地采用生成式AI技术来强化或者发布相关产品。
Kurt Kufeld表示,亚马逊云科技长期以来一直在其安全服务中使用AI 和 ML技术。未来,亚马逊云科技将继续在所有安全服务和其他服务中采用生成式AI和机器学习技术。当前的重点不是开发更多的新服务,而是将现有的服务整合起来提供更清晰和一致的解决方案。
据了解,亚马逊云科技的多个产品服务已经在使用AI和ML技术。
比如,Amazon Q和Amazon Inspector可以在代码开发过程中检测和修复漏洞;Amazon Config和Security Hub允许开发团队用自然语言查询和管理资源策略;Amazon Detective可以帮助安全团队快速理解和解决复杂的安全问题。
然而,Chris Betz并不认为生成式AI会替代传统的安全工具。在他看来,生成式AI技术只是一个能够提升安全工作的效率和深度的技术,但不会替代传统的安全工具,两者是相辅相成的关系。
新的安全服务,用户已经打算开始用了
至少目前可以肯定的是,亚马逊云科技在短时间里,不会有非常重磅的、全新的、主要靠生成式AI技术来支撑的重磅安全服务。更多安全相关服务还是遵循原来服务演进路线,对已有产品进行完善,这些才是跟用户实际相匹配的部分。
亚马逊云科技在2017年发布了威胁检测服务Amazon Guarduty,它使用了机器学习技术来监控潜在威胁。只不过,它原来支持在Amazon EC2、EBS、Serverless和容器场景使用。这次更新后,开始支持对Amazon S3进行扫描,适用范围更大了。
作为基础服务的IAM也有许多更新。IAM Access Analyer,可以针对未使用的访问权限的提供可操作建议,比如管理员给了一些权限,但这些权限并没有被使用,新的功能就可以提醒管理员关掉这些权限。这体现的是亚马逊云科技在安全方面所推崇的,达成最小权限的原则。
IAM这次还新增了另外一个提高便捷性的功能,现在可以使用Mac的TouchID和Windows Hello来支持用户使用passkey进行账号登录,提高账号的安全性。此外,AWS IAM Access Analyer还能为一些关键资源的访问设置提供检查,能为审查流程带来了一些便利。
这些安全服务,看上去并没有很吸引眼球。然而,据亚马逊云科技大中华区安全合规与治理产品总监白帆表示,这些新服务发布完后的当天晚上,就已经有部分客户在打听这些新服务,咨询如何实际使用了。
看来,用户想要的,跟大众关注高的,两者之间有不小的错位,特别是在生成式AI方面。
亚马逊云科技员工和用户之间的双向流动
每年的re:Inforce活动诉说着两个重要的事实,一个是亚马逊云科技有自己的安全文化,从上到下都很重视安全。
另外一个事实是,亚马逊云科技的安全专家跟用户经常有深入的沟通,很多安全服务都是客户沟通中商量着做出来的,产品演进并没有一个清晰的Roadmap。
2024年的re:Inforce期间,我又注意到亚马逊云科技的客户和自己员工之间存在一种我看着很神奇的相互流动关系。
典型如新任CISO Chris Betz,原来在CapitalOne工作,本身就是亚马逊云科技的老客户,一直在从事安全方面的工作。采访的时候Chris Betz也直接提到,去年他是以客户的身份来参加re:Inforce,今年,直接成主办方的CISO了。
在跟白帆的沟通中注意到,亚马逊云科技现在也有很多员工就是原来的用户,并且,亚马逊云科技与客户之间的流动现象还挺多。
背后原因,反映出了安全行业本身的一些特点:想做好安全工作,既要懂安全技术服务,也要懂业务。
刚好这两拨人的双向流动,就会出现很多既懂技术又懂行业业务的人才。这或许就是亚马逊云科技能做好云相关的安全工作的秘密吧。