隨著云計算應用的日益深入，用戶考慮的不再僅僅是如何上云，而是更關(guān)注如何保證云上的安全。受近年來云安全事件頻發(fā)的影響，用戶對云上安全的需求越來越迫切?！毒W(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法規(guī)政策的出臺，GDPR、CCPA等相關(guān)數(shù)據(jù)安全法律法規(guī)的發(fā)布，強化了企業(yè)安全合規(guī)的要求，進一步推動了云安全市場的快速發(fā)展。在這樣的背景下，各大云廠商都在強化自身安全能力，同時將自身安全能力產(chǎn)品化輸出。

“云上安全的態(tài)勢時刻變化，日新月異，我們必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護?！?亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示。

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建

亞馬遜云科技始終將安全作為最高優(yōu)先級的工作，將安全作為一種文化貫穿在亞馬遜云科技的企業(yè)運營中。在近日舉辦的亞馬遜云科技re:Inforce全球云安全大會中國媒體溝通會上，陳曉建從安全理念、安全文化和機制、新的產(chǎn)品服務的發(fā)布三個方面，深入介紹了亞馬遜云科技在安全方面的布局。

防患于未然的安全理念

亞馬遜云科技的云安全理念是防患于未然，要發(fā)現(xiàn)所有的安全問題，把基本問題在第一時間解決掉，并且將海量運營、以及支持全球數(shù)百萬客戶各種安全事件的經(jīng)驗和實踐，復用到其他客戶中，從而取得規(guī)模效益。同時，亞馬遜云科技將安全融入產(chǎn)品或服務的開發(fā)生命周期和運營當中，設置安全守護者小組，按照一定比例在產(chǎn)品團隊中設置安全人員崗位，為產(chǎn)品和服務的所有安全負責，設置獨立的應用安全審查流程，適用于所有產(chǎn)品的服務的更新與發(fā)布。

洋蔥型的、層層遞進的防護機制是亞馬遜云科技安全的一大特色，包括威脅檢測與事件響應、身份認證與訪問控制、網(wǎng)絡與基礎(chǔ)架構(gòu)安全、數(shù)據(jù)保護與隱私、風險管控及合規(guī)五層。“客戶對安全的需求，促使我們進步和提升，我們再把這些發(fā)現(xiàn)、經(jīng)驗和實踐總結(jié)出來，告訴給更多的客戶。最終的結(jié)果就是亞馬遜云科技和用戶一起攜手進步，變得更強大?！?/p>

加強企業(yè)安全文化與機制的建設

安全不只是CEO的責任，也不只是公司安全團隊的責任，而是公司每個人的責任。亞馬遜云科技每周一次的安全會議，會有各個業(yè)務的負責人參加，確保業(yè)務需求并關(guān)注安全問題，這種機制加強了安全文化建設。亞馬遜云科技還通過自動化工具來提高效率和競爭力，將安全嵌入整個開發(fā)過程。通過對基礎(chǔ)問題或復雜問題使用不同的工具，開發(fā)者可以清楚了解安全的邊界，使得開發(fā)過程更安全，審查效率也更高。

亞馬遜云科技在多年的服務客戶的實踐中，總結(jié)出來了四點最佳實踐：首先是最小權(quán)限，考慮用戶的角色和職責范圍，對訪問權(quán)限設置有效期。第二是漏洞報告，設置對內(nèi)、對外兩套漏洞報告機制，鼓勵員工和客戶發(fā)現(xiàn)并上報任何安全漏洞，而無需擔心誤報，亞馬遜云科技后臺的專業(yè)安全團隊會評估和解決漏洞報告。第三是針對勒索軟件，要發(fā)現(xiàn)問題并做好預報，此時，可以使用Amazon Inspector 提前檢測漏洞，使用 Amazon GuardDuty 檢測異?；顒?，使用 Amazon Backup 來實現(xiàn)存儲備份功能。第四，對于Log4J漏洞，要嚴格限制來自互聯(lián)網(wǎng)的訪問，要擁有全面的軟件清單及其使用方式，同時要保持第三方產(chǎn)品更新到最新版本，進行深度防御，做好日志記錄。

除此之外，亞馬遜云科技推出了Marketplace Vendor Insights的預覽版，簡化對供應商的安全合規(guī)評估并實現(xiàn)對風險的持續(xù)監(jiān)測。通過該服務，可以加速對供應商的評估，將用戶的采購時間從8-12周縮短到7天，從而實現(xiàn)業(yè)務的快速上線。亞馬遜云科技還推出了專門為云計算設計的合規(guī)審計培訓課程：Cloud Academy Audit，計劃在今年將CAA的課程引入到中國，并增加等級保護的內(nèi)容。

根據(jù)客戶需求持續(xù)豐富安全服務及功能

在加密方面，亞馬遜云科技提供靜態(tài)加密功能和Amazon KMS。靜態(tài)加密功能由亞馬遜來管理和控制密鑰，Amazon KMS由用戶自行管理控制密鑰，同時可根據(jù)業(yè)務負載自動擴容。

值得注意的是，為了應對未來量子計算的快速發(fā)展，亞馬遜云科技推出混合后量子密鑰交換，目前已經(jīng)為Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務提供了量子安全算法。

在開源領(lǐng)域，亞馬遜云科技研發(fā)了開源加密庫LibCrypto。據(jù)陳曉建介紹，LibCrypto可用作開源加密庫的替代品，如OpenSSL。LibCrypto還針對云服務進行了優(yōu)化，可以在Gravition芯片上跑得更快。他透露，亞馬遜云科技正在申請FIPS的認證，希望能夠通過LibCrypto和FIPS的認證，幫助客戶提供一個更有效、更安全的加密機制。

除了加密，亞馬遜云科技推動了可證明的安全性的發(fā)展，將自動化推理應用于核心服務，以確保它們的結(jié)果是數(shù)學上可證明的。

針對企業(yè)安全建設，陳曉建也給出了三點行動建議。首先，加密是良好數(shù)據(jù)保護策略的核心組成部分，萬事皆需加密。第二，要禁止公開訪問權(quán)限，這對于Amazon S3服務尤其重要。第三，啟用多因素認證（MFA）, Amazon MFA是為訪問云提供額外安全的最簡單和最好的方法之一。

re:Inforce堪稱全球重要的安全行業(yè)大會，亞馬遜云科技在此次大會上發(fā)布了眾多安全領(lǐng)域的新服務和功能，涵蓋威脅檢測及響應、身份認證和訪問控制、合規(guī)等多個方面，并推出安全合作伙伴網(wǎng)絡相關(guān)的新舉措。包括Amazon GuardDuty Malware Protection，可幫助客戶檢測運行在其云環(huán)境中的的惡意軟件。該功能的推出進一步擴展了Amazon GuardDuty的威脅檢測范圍；Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，將Amazon IAM對工作負載的管理能力擴展至客戶的云環(huán)境之外。通過該服務，客戶可為其本地服務器、容器和應用程序等工作負載設置臨時憑證，并使用與云端工作負載相同 IAM 角色和策略來訪問相關(guān)資源；Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，將Amazon Detective覆蓋的數(shù)據(jù)源擴展至Amazon EKS，可幫助客戶更加輕松分析和調(diào)查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動，并找出根本原因；Amazon Config新增合規(guī)性分數(shù)功能，幫助客戶跟蹤資源合規(guī)性。

打造安全合規(guī)方面的交流平臺

針對中國用戶關(guān)注的隱私保護、數(shù)據(jù)跨境、云安全建設問題，亞馬遜云科技從今年開始在中國舉辦了CISO對話，旨在創(chuàng)造一個互相交流的平臺，輸出亞馬遜云在安全合規(guī)方面的經(jīng)驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規(guī)的具體訴求和需要解決的問題。通過一起探討安全管理，文化和技術(shù)，讓安全與合規(guī)不再成為業(yè)務在云上快速增長的阻礙。