提到亚马逊云科技的全球技术峰会,很多人都熟悉一年一度的re:Invent峰会。实际上,
自2019年起,另一个全球性的技术峰会re:Inforce全球安全大会已经连续举办了4年。可见,这家全球最大的云计算厂商对安全的重视。
日前,2022 re:Inforce全球安全大会在美国波士顿落下帷幕。亚马逊云科技分享了其在云安全与合规领域的洞察、经验及实践,并发布多项新的安全服务及功能。
从Job Zero到洋葱模型,亚马逊云科技的安全理念与管理机制根据IDC发布2021年全球云计算追踪,亚马逊云科技在2021年全球云计算IaaS市场稳居第一,占据47.4%的份额。能够支撑如此大规模的业务量级,意味着亚马逊云科技在云上安全方面必有可取之处。
亚马逊首席信息安全官 Steve Schmidt在主题演讲中表示,亚马逊云科技在全球拥有数百万客户,每天追踪的事件达数十亿条,这使得亚马逊云科技能检测到更多的安全威胁。
“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。” 亚马逊云科技大中华区产品部总经理陈晓建表示。
亚马逊云科技大中华区产品部总经理 陈晓建
在多年为全球客户提供云服务的实战中,亚马逊云科技形成了一系列著名的安全理念,并已形成了公司文化:
首先,Job Zero与安全人人有责。亚马逊云科技强调,安全是Job Zero,是高于其他工作的首要任务。同时,强调安全不只是管理层的责任,也不只是安全团队的责任,而是公司每个人的责任。
其次,洋葱式的多层防护。“云中安全必须是洋葱式的多层防护,而不是一个鸡蛋”,陈晓建表示,任何安全防护都不能仅依赖于某一个单点防护,亚马逊云科技的安全洋葱模型分为五层,每层之间都是互相递进的,相互配合的。
第三,从人和数据两个角度设计安全防护。针对人的安全主要指以最小化原则定义访问权限,为权限设置有效期,并定期审核。针对数据则要考虑数据的脱敏、加密等安全机制。
在管理机制方面,安全守护者和应用安全审核流程是亚马逊云科技探索出的方法论,旨在将安全融入产品或服务的开发生命周期和运营当中。
安全守护者,是指设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,他们为产品和服务的所有安全负责。应用安全审核流程,是指任何产品、服务的发布,都要通过统一的应用安全审核流程才能上线。
全球最大云厂商的云安全实践此次峰会,亚马逊云科技还分享了自身发展过程中形成的几大安全最佳实践:
最小权限,权限设置考虑最小化、有效期短期化,并定期审核。
漏洞报告,设置对内对外两套漏洞报告机制;鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告。
针对勒索软件,发现问题并做好预报。建议使用一系列的安全工具防患于未然,比如,通过 Amazon Inspector 提前检测漏洞,使用 Amazon GuardDuty 检测异常活动,使用 Amazon Backup 的存储备份功能等等。
针对类似Log4J的开源漏洞,严格限制来自互联网的访问;拥有全面的软件清单及其使用方式;保持第三方产品更新到最新版本;进行深度防御和日志记录等等。
此次峰会,亚马逊云科技还发布了多项全新的安全服务,包括可帮助客户检测运行在其云环境中的恶意软件的Amazon GuardDuty Malware Protection;将Amazon IAM扩展至客户的云环境之外的Amazon Identity and Access Management (Amazon IAM) Roles Anywhere;可帮助客户分析和调查在Amazon EKS集群上Kubernetes 潜在安全问题或可疑活动的Amazon Detective for Elastic Kubernetes Service(Amazon EKS)等。
针对合作伙伴的安全评估,亚马逊云科技推出了Marketplace Vendor Insights(预览版),加速了对供应商的安全评估,将用户的采购时间从8-12周缩短到7天,从而实现业务的快速上线。
业内人士认为,在企业对上云安全日益重视的今天,亚马逊云科技的安全实践与服务创新对云安全领域的发展起到一定的引领作用。
计世资讯首席分析师任伟巍认为:“亚马逊云科技在自身的实践中,将安全融入到产品或服务的开发生命周期和运营中,在研发团队设置安全守护者角色以及增设应用安全审查流程,从人和数据两个角度设计更严谨的安全,并提倡构建多层次的纵深防护,能够为企业数字化转型提供了更安全规范的保障。”
END