图为亚马逊云科技CEO Adam Selipsky
文/在前线 老凉
云计算是数字时代的银河战舰,安全就是战舰的核心武装。亚马逊云科技在云安全底线上坚守,同样是决不妥协。
业务上云变得越来越便捷和普及,与之而来的安全问题日益突出。作为全球云计算产业的风向标,亚马逊云科技re:Invent每年都会对云的发展提出各种真知灼见,并推出大量新服务与新功能,而云安全方面也不例外,这同样是亚马逊云科技的核心优势之一。
在前不久召开的2022 re:Invent上,亚马逊云科技推出了全新的Amazon Security Lake,来帮助用户聚合、管理和分析日志及事件数据,实现更快的威胁检测、调查和事件响应。此外,亚马逊云科技还推出Amazon GuardDuty RDS Protection和Amazon GuardDuty对容器运行时的威胁检测功能,前者可以在Amazon Aurora数据库上运行基于机器学习的智能威胁检测,保护企业数据;后者主要用于确保容器安全。
在前线认为,云安全是企业解决上云过程中所面临内部、外部威胁的必备能力。亚马逊云科技一直重视云安全壁垒的构建,在2022 re:Invent上,亚马逊云科技推出Amazon Security Lake、Amazon GuardDuty RDS Protection等新的安全服务,从威胁检测,数据处理,安全预防等多个方面帮助企业用户打造更符合自身的安全措施。
上云趋势下,云安全面临三大难题
如今,云的规模和边界在不断扩大,伴随而来的,就是贯穿业务各个环节的数据安全问题。
据《Gartner中国云基础设施和平台服务市场指南》的数据,到2024年,中国将近40%的最终用户在系统的基础设施和基础设施的软件上支出将会转到“云服务”上。从整个大环境来说,云计算产业也会呈现高速增长的态势,IDC预测,到2025年,全球云计算市场规模将逾1.3万亿美元,中国将超过万亿元人民币。
亚马逊云科技CEO Adam Selipsky在谈到上云与云安全时指出,这好比人类探索大海的历程。大海深不可测,不可知,令人望而生畏。目前,深海仍然为我们带来挑战和希望。但是,当我们有了合适的设备和保护措施,就可以继续安全、自信地探索海洋的奥秘。
我们看到,在私有云、公有云、混合云等多云融合的发展趋势下,云安全的构建也变得更加复杂,主要原因有以下三点:
其一,多云环境的普遍应用,让企业IT架构变得复杂,数据类型、分布更加繁多、广泛,这使得云安全的目标随之增多,构建完善的安全制度难度变大,再加上近些年兴起的云原生和Serverless、跨云等领域,为全面的云安全提出了更高要求;
其二,云计算安全阈值的接受度是很低的,这主要是因为数据大规模爆发,云上运行的业务越来越多,任何一个小问题都有可能成为影响企业业务发展的安全隐患。预防这些小概率事件,往往需要探究多重因素,并打造实时有效的安全技术和方案,将安全嵌入到业务流程中的每一个细小环节;
其三,企业在全球化发展中面临的安全合规问题,目前,全球已经有132个国家跟地区制定了数据保护和隐私相关的法律法规,随着数字化不断演进,更多地区对企业安全合规的要求会愈加严苛,成为企业全球化布局需要面临的首要问题。
这三方面原因,让众多云服务商加大了在云安全领域的探索,而作为全球云计算的领导者,亚马逊云科技在云安全方面投入的精力和兵力远超同行。
在Adam Selipsky看来,很多公司具备强劲的增长潜力,但在现代IT中,由于缺乏安全与保障、数据与应用保护这些先决条件,使得这些公司开展数字化转型的底气不足,难以走远走深,从而无法蜕变为领域的开拓者。正是如此,安全成为了亚马逊云科技优先级最高的工作,并始终坚守这样的理念。
一年两大会,全面夯实云安全矩阵
亚马逊云科技对云安全的重视程度,可以从其举办的系列安全相关活动一探究竟。
从2019年开始,亚马逊云科技每年都会举办re:Inforce全球云安全大会,时至今年已经举办第四届,re:Inforce全球云安全大会也成为了云安全领域的新风向。再加上每年的re:Invent大会,亚马逊云科技也会持续发布安全领域的新服务、新功能,使得自身的云安全矩阵不断完善,进而为用户提供全方位的防护。
在7月底的2022 re:Inforce大会上,亚马逊云科技推出了众多安全领域的新服务和功能,涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面,包括:Amazon GuardDuty Malware Protection、Amazon IAM Roles Anywhere、Amazon Detective for EKS等,并将Amazon Detective覆盖数据源扩展至Amazon EKS,为 Amazon Config新增合规性分数功能。
需要注意的是,Amazon IAM Roles Anywhere将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外。通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,并使用与云端工作负载相同IAM角色和策略来访问相关资源。客户可以在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,这样的好处十分明显,降低运维成本和复杂度的同时,还进一步提高了客户工作负载的安全性。
为了将安全融入到企业上云全周期的各个流程,亚马逊云科技在2022 re:Invent上持续发力,推出专门针对用户聚合、管理和分析日志及事件数据而构建的安全数据湖Amazon Security Lake,旨在帮助用户实现更快的威胁检测、调查和事件响应。
一般来讲,为了能够做到主动识别潜在的威胁和漏洞,并作出相应响应,大多数企业都会依赖于不同来源的日志和事件数据,如应用程序、防火墙、身份识别系统等,这些数据源可能运行在云中或企业本地,各自使用独特的、互不兼容的数据格式。
当需要识别安全问题时,企业需要先将所有数据聚合并规范化为一致格式,然后才能分析、了解并作出反应。随着数据量和安全解决方案的增多,这种方式会变得越来越费时费力,当下采用的创建中央存储库的方法不仅耗时长,而且来自不同数据源的日志数据规模也会十分庞大,甚至会达到PB级。
基于此,亚马逊云科技推出了Amazon Security Lake,这是一个专门构建的安全数据湖,可以根据客户选择的数据源,自动聚合、规范来自亚马逊云科技的数据,并将其与支持OCSF的第三方数据源结合,把数据优化为易于存储和查询的格式。不仅如此,Amazon Security Lake使用Amazon S3和Amazon Lake Formation构建安全数据湖,客户可在其亚马逊云科技帐户中自动配置安全数据湖的基础设施,拥有对自身数据的完整控制权。
Amazon Security Lake的主要作用是帮助客户改善整体安全态势,为安全团队识别和了解安全事件提供更强大的可见性,并缩短安全问题的处理时间。目前,Amazon Security Lake 已在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部 (俄勒冈)、亚太地区 (悉尼)、亚太地区 (东京)、欧洲 (法兰克福)和欧洲 (都柏林) 区域提供预览版,其它亚马逊云科技区域也将很快推出。
此外,在2022 re:Invent大会上,亚马逊云科技进一步扩展了Amazon GuardDuty的威胁检测范围,推出Amazon GuardDuty RDS Protection和Amazon GuardDuty对容器运行时的威胁检测功能两项服务,前者可以在Amazon Aurora数据库上运行基于机器学习的智能威胁检测;后者主要用于检测Amazon EKS容器服务上托管的Kubernetes容器环境是否存储安全威胁。
Forrester 副总裁兼研究总监戴鲲指出,“在持续动荡的全球宏观经济环境下,广大企业客户亟需构建兼具韧性、自适应性和创造性的适应未来的技术战略。亚马逊云科技在今年re:Invent大会上的产品与服务发布不仅一如既往地贯彻自身以客户为中心的长期主义,而且持续彰显其作为全球公有云基础设施与开发平台市场领导者的前瞻性技术视野与快速产品创新能力。”
可以看到,亚马逊云科技对于云安全的探索不断加快、加深。在波诡云涌的云计算领域,企业上云的方式、规模,以及业务发展的场景、模式也在持续变化,而对安全性的要求也变得复杂。
正是在这种大环境下,亚马逊云科技在云安全领域不断满足用户需求的同时,也逐步丰富、完善自身的云安全矩阵,并以此打造坚实的技术壁垒。值得一提的是,2023 re:Inforce全球安全大会将于2023年6月召开,届时,亚马逊云科技会有更多安全新服务和新功能发布。
与用户共进,打造云安全四大柱石
安全是用户数字化转型、变革的需求,防患于未然是亚马逊云科技坚守的底线。综合来看,亚马逊云科技已经构筑了四大安全柱石,为用户的数字化转型保驾护航:
一是将安全管理建设成为亚马逊云科技基础设施和服务的中心支柱。亚马逊云科技对其基础设施24×7全天候监控,提供多种故障隔离功能以提高韧性,并允许对流经亚马逊云科技网络的所有数据在其离开亚马逊云科技安全设施前进行加密。如今,亚马逊云科技被公认为高度安全的环境,已通过最高级别审查;
二是严格确保开发安全,并保障开发人员构建安全应用。亚马逊云科技重视每一个服务的安全性,在内部,其安全团队也会深度参与每一个新服务的开发,出现任何安全问题的新服务都不会予以启动。同时,针对广泛的开发人员,亚马逊云科技提供Amazon CodeWhisperer和Amazon CodeGuru等托管服务来帮助其进行应用开发,借助机器学习技术来改善开发人员的编码安全状况;
三是坚决保护用户的数据安全和拥有权,打造广泛的安全重点服务,帮助用户识别、修复和消除应用程序中的漏洞和威胁。亚马逊云科技不碰触用户数据,只提供方便快捷的云服务,用户始终对数据具备拥有权,只需借助亚马逊云科技提供的安全托管服务,如Amazon Inspector、Amazon Macie、Amazon Security Hub、Amazon Shield 、Amazon GuardDuty等来构建符合自身的安全体系即可。
四是合规问题及更广泛的安全途径。目前,亚马逊云科技已经获得98项安全标准与合规认证,可以为用户的全球化发展提供有力保障。同时,亚马逊云科技也提供广泛获取市场上第三方解决方案的途径,已有数千个第三方解决方案与亚马逊云科技深度集成,涵盖应用安全、数据保护、边界保护、合规性、身份和访问控制等多个方面。
正是由于亚马逊云科技在安全领域的持续深耕,让其获得了更多用户的认可,同时也为亚马逊云科技在安全领域的创新提供了更多可能。据了解,亚马逊云科技将近90%的服务都是来自于客户的反馈。
这一点很重要,正是和客户的紧密联系,才让亚马逊云科技能够不断根据客户需求持续丰富其安全服务及功能,从而会给客户带来更好的安全防护。比如在加密领域,为了满足用户应对未来量子计算快速发展的需求,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。
与客户在安全领域共进,促使亚马逊云科技提出了安全责任共担模型,这也成为了云计算行业内通用的安全准则之一。亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户负责自身云业务安全。
在前线认为,万物上云,安全是底线和生命线。亚马逊云科技不但重视云服务的建设与创新,更在云安全领域持续创新、做出表率。亚马逊云科技每年在云安全领域投入重兵,使自己的安全服务、功能不断丰富,同时,加强与客户联系,通过客户反馈获得持续创新的动力,并借此巩固行业技术壁垒,与客户共进、共赢,引领云安全的新风向。
