隨著云計算應(yīng)用的日益深入，用戶考慮的不再僅僅是如何上云，而是更關(guān)注如何保證云上的安全。受近年來云安全事件頻發(fā)的影響，用戶對云上安全的需求越來越迫切?！毒W(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法規(guī)政策的出臺，GDPR、CCPA等相關(guān)數(shù)據(jù)安全法律法規(guī)的發(fā)布，強化了企業(yè)安全合規(guī)的要求，進(jìn)一步推動了云安全市場的快速發(fā)展。在這樣的背景下，各大云廠商都在強化自身安全能力，同時將自身安全能力產(chǎn)品化輸出。

“云上安全的態(tài)勢時刻變化，日新月異，我們必須進(jìn)行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護(hù)。” 亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示。

亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建

亞馬遜云科技始終將安全作為最高優(yōu)先級的工作，將安全作為一種文化貫穿在亞馬遜云科技的企業(yè)運營中。在近日舉辦的亞馬遜云科技re:Inforce全球云安全大會中國媒體溝通會上，陳曉建從安全理念、安全文化和機制、新的產(chǎn)品服務(wù)的發(fā)布三個方面，深入介紹了亞馬遜云科技在安全方面的布局。

防患于未然的安全理念

亞馬遜云科技的云安全理念是防患于未然，要發(fā)現(xiàn)所有的安全問題，把基本問題在第一時間解決掉，并且將海量運營、以及支持全球數(shù)百萬客戶各種安全事件的經(jīng)驗和實踐，復(fù)用到其他客戶中，從而取得規(guī)模效益。同時，亞馬遜云科技將安全融入產(chǎn)品或服務(wù)的開發(fā)生命周期和運營當(dāng)中，設(shè)置安全守護(hù)者小組，按照一定比例在產(chǎn)品團(tuán)隊中設(shè)置安全人員崗位，為產(chǎn)品和服務(wù)的所有安全負(fù)責(zé)，設(shè)置獨立的應(yīng)用安全審查流程，適用于所有產(chǎn)品的服務(wù)的更新與發(fā)布。

洋蔥型的、層層遞進(jìn)的防護(hù)機制是亞馬遜云科技安全的一大特色，包括威脅檢測與事件響應(yīng)、身份認(rèn)證與訪問控制、網(wǎng)絡(luò)與基礎(chǔ)架構(gòu)安全、數(shù)據(jù)保護(hù)與隱私、風(fēng)險管控及合規(guī)五層?！翱蛻魧Π踩男枨?，促使我們進(jìn)步和提升，我們再把這些發(fā)現(xiàn)、經(jīng)驗和實踐總結(jié)出來，告訴給更多的客戶。最終的結(jié)果就是亞馬遜云科技和用戶一起攜手進(jìn)步，變得更強大?！?/p>

加強企業(yè)安全文化與機制的建設(shè)

安全不只是CEO的責(zé)任，也不只是公司安全團(tuán)隊的責(zé)任，而是公司每個人的責(zé)任。亞馬遜云科技每周一次的安全會議，會有各個業(yè)務(wù)的負(fù)責(zé)人參加，確保業(yè)務(wù)需求并關(guān)注安全問題，這種機制加強了安全文化建設(shè)。亞馬遜云科技還通過自動化工具來提高效率和競爭力，將安全嵌入整個開發(fā)過程。通過對基礎(chǔ)問題或復(fù)雜問題使用不同的工具，開發(fā)者可以清楚了解安全的邊界，使得開發(fā)過程更安全，審查效率也更高。

亞馬遜云科技在多年的服務(wù)客戶的實踐中，總結(jié)出來了四點最佳實踐：首先是最小權(quán)限，考慮用戶的角色和職責(zé)范圍，對訪問權(quán)限設(shè)置有效期。第二是漏洞報告，設(shè)置對內(nèi)、對外兩套漏洞報告機制，鼓勵員工和客戶發(fā)現(xiàn)并上報任何安全漏洞，而無需擔(dān)心誤報，亞馬遜云科技后臺的專業(yè)安全團(tuán)隊會評估和解決漏洞報告。第三是針對勒索軟件，要發(fā)現(xiàn)問題并做好預(yù)報，此時，可以使用Amazon Inspector 提前檢測漏洞，使用 Amazon GuardDuty 檢測異常活動，使用 Amazon Backup 來實現(xiàn)存儲備份功能。第四，對于Log4J漏洞，要嚴(yán)格限制來自互聯(lián)網(wǎng)的訪問，要擁有全面的軟件清單及其使用方式，同時要保持第三方產(chǎn)品更新到最新版本，進(jìn)行深度防御，做好日志記錄。

除此之外，亞馬遜云科技推出了Marketplace Vendor Insights的預(yù)覽版，簡化對供應(yīng)商的安全合規(guī)評估并實現(xiàn)對風(fēng)險的持續(xù)監(jiān)測。通過該服務(wù)，可以加速對供應(yīng)商的評估，將用戶的采購時間從8-12周縮短到7天，從而實現(xiàn)業(yè)務(wù)的快速上線。亞馬遜云科技還推出了專門為云計算設(shè)計的合規(guī)審計培訓(xùn)課程：Cloud Academy Audit，計劃在今年將CAA的課程引入到中國，并增加等級保護(hù)的內(nèi)容。

根據(jù)客戶需求持續(xù)豐富安全服務(wù)及功能

在加密方面，亞馬遜云科技提供靜態(tài)加密功能和Amazon KMS。靜態(tài)加密功能由亞馬遜來管理和控制密鑰，Amazon KMS由用戶自行管理控制密鑰，同時可根據(jù)業(yè)務(wù)負(fù)載自動擴容。

值得注意的是，為了應(yīng)對未來量子計算的快速發(fā)展，亞馬遜云科技推出混合后量子密鑰交換，目前已經(jīng)為Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務(wù)提供了量子安全算法。

在開源領(lǐng)域，亞馬遜云科技研發(fā)了開源加密庫LibCrypto。據(jù)陳曉建介紹，LibCrypto可用作開源加密庫的替代品，如OpenSSL。LibCrypto還針對云服務(wù)進(jìn)行了優(yōu)化，可以在Gravition芯片上跑得更快。他透露，亞馬遜云科技正在申請F(tuán)IPS的認(rèn)證，希望能夠通過LibCrypto和FIPS的認(rèn)證，幫助客戶提供一個更有效、更安全的加密機制。

除了加密，亞馬遜云科技推動了可證明的安全性的發(fā)展，將自動化推理應(yīng)用于核心服務(wù)，以確保它們的結(jié)果是數(shù)學(xué)上可證明的。

針對企業(yè)安全建設(shè)，陳曉建也給出了三點行動建議。首先，加密是良好數(shù)據(jù)保護(hù)策略的核心組成部分，萬事皆需加密。第二，要禁止公開訪問權(quán)限，這對于Amazon S3服務(wù)尤其重要。第三，啟用多因素認(rèn)證（MFA）, Amazon MFA是為訪問云提供額外安全的最簡單和最好的方法之一。

re:Inforce堪稱全球重要的安全行業(yè)大會，亞馬遜云科技在此次大會上發(fā)布了眾多安全領(lǐng)域的新服務(wù)和功能，涵蓋威脅檢測及響應(yīng)、身份認(rèn)證和訪問控制、合規(guī)等多個方面，并推出安全合作伙伴網(wǎng)絡(luò)相關(guān)的新舉措。包括Amazon GuardDuty Malware Protection，可幫助客戶檢測運行在其云環(huán)境中的的惡意軟件。該功能的推出進(jìn)一步擴展了Amazon GuardDuty的威脅檢測范圍；Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，將Amazon IAM對工作負(fù)載的管理能力擴展至客戶的云環(huán)境之外。通過該服務(wù)，客戶可為其本地服務(wù)器、容器和應(yīng)用程序等工作負(fù)載設(shè)置臨時憑證，并使用與云端工作負(fù)載相同 IAM 角色和策略來訪問相關(guān)資源；Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，將Amazon Detective覆蓋的數(shù)據(jù)源擴展至Amazon EKS，可幫助客戶更加輕松分析和調(diào)查在Amazon EKS集群上的Kubernetes 潛在的安全問題或可疑活動，并找出根本原因；Amazon Config新增合規(guī)性分?jǐn)?shù)功能，幫助客戶跟蹤資源合規(guī)性。

打造安全合規(guī)方面的交流平臺

針對中國用戶關(guān)注的隱私保護(hù)、數(shù)據(jù)跨境、云安全建設(shè)問題，亞馬遜云科技從今年開始在中國舉辦了CISO對話，旨在創(chuàng)造一個互相交流的平臺，輸出亞馬遜云在安全合規(guī)方面的經(jīng)驗和實踐，同時也希望通過這個平臺獲取到用戶CISO對于云安全合規(guī)的具體訴求和需要解決的問題。通過一起探討安全管理，文化和技術(shù)，讓安全與合規(guī)不再成為業(yè)務(wù)在云上快速增長的阻礙。