随着云计算应用的日益深入,用户考虑的不再仅仅是如何上云,而是更关注如何保证云上的安全。受近年来云安全事件频发的影响,用户对云上安全的需求越来越迫切。《网络安全法》、《数据安全法》、《个人信息保护法》等法规政策的出台,GDPR、CCPA等相关数据安全法律法规的发布,强化了企业安全合规的要求,进一步推动了云安全市场的快速发展。在这样的背景下,各大云厂商都在强化自身安全能力,同时将自身安全能力产品化输出。
“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。” 亚马逊云科技大中华区产品部总经理陈晓建表示。
亚马逊云科技大中华区产品部总经理陈晓建
亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技的企业运营中。在近日举办的亚马逊云科技re:Inforce全球云安全大会中国媒体沟通会上,陈晓建从安全理念、安全文化和机制、新的产品服务的发布三个方面,深入介绍了亚马逊云科技在安全方面的布局。
防患于未然的安全理念
亚马逊云科技的云安全理念是防患于未然,要发现所有的安全问题,把基本问题在第一时间解决掉,并且将海量运营、以及支持全球数百万客户各种安全事件的经验和实践,复用到其他客户中,从而取得规模效益。同时,亚马逊云科技将安全融入产品或服务的开发生命周期和运营当中,设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,为产品和服务的所有安全负责,设置独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
洋葱型的、层层递进的防护机制是亚马逊云科技安全的一大特色,包括威胁检测与事件响应、身份认证与访问控制、网络与基础架构安全、数据保护与隐私、风险管控及合规五层。“客户对安全的需求,促使我们进步和提升,我们再把这些发现、经验和实践总结出来,告诉给更多的客户。最终的结果就是亚马逊云科技和用户一起携手进步,变得更强大。“
加强企业安全文化与机制的建设
安全不只是CEO的责任,也不只是公司安全团队的责任,而是公司每个人的责任。亚马逊云科技每周一次的安全会议,会有各个业务的负责人参加,确保业务需求并关注安全问题,这种机制加强了安全文化建设。亚马逊云科技还通过自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。
亚马逊云科技在多年的服务客户的实践中,总结出来了四点最佳实践:首先是最小权限,考虑用户的角色和职责范围,对访问权限设置有效期。第二是漏洞报告,设置对内、对外两套漏洞报告机制,鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告。第三是针对勒索软件,要发现问题并做好预报,此时,可以使用Amazon Inspector 提前检测漏洞,使用 Amazon GuardDuty 检测异常活动,使用 Amazon Backup 来实现存储备份功能。第四,对于Log4J漏洞,要严格限制来自互联网的访问,要拥有全面的软件清单及其使用方式,同时要保持第三方产品更新到最新版本,进行深度防御,做好日志记录。
除此之外,亚马逊云科技推出了Marketplace Vendor Insights的预览版,简化对供应商的安全合规评估并实现对风险的持续监测。通过该服务,可以加速对供应商的评估,将用户的采购时间从8-12周缩短到7天,从而实现业务的快速上线。亚马逊云科技还推出了专门为云计算设计的合规审计培训课程:Cloud Academy Audit,计划在今年将CAA的课程引入到中国,并增加等级保护的内容。
根据客户需求持续丰富安全服务及功能
在加密方面,亚马逊云科技提供静态加密功能和Amazon KMS。静态加密功能由亚马逊来管理和控制密钥,Amazon KMS由用户自行管理控制密钥,同时可根据业务负载自动扩容。
值得注意的是,为了应对未来量子计算的快速发展,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。
在开源领域,亚马逊云科技研发了开源加密库LibCrypto。据陈晓建介绍,LibCrypto可用作开源加密库的替代品,如OpenSSL。LibCrypto还针对云服务进行了优化,可以在Gravition芯片上跑得更快。他透露,亚马逊云科技正在申请FIPS的认证,希望能够通过LibCrypto和FIPS的认证,帮助客户提供一个更有效、更安全的加密机制。
除了加密,亚马逊云科技推动了可证明的安全性的发展,将自动化推理应用于核心服务,以确保它们的结果是数学上可证明的。
针对企业安全建设,陈晓建也给出了三点行动建议。首先,加密是良好数据保护策略的核心组成部分,万事皆需加密。第二,要禁止公开访问权限,这对于Amazon S3服务尤其重要。第三,启用多因素认证(MFA), Amazon MFA是为访问云提供额外安全的最简单和最好的方法之一。
re:Inforce堪称全球重要的安全行业大会,亚马逊云科技在此次大会上发布了众多安全领域的新服务和功能,涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面,并推出安全合作伙伴网络相关的新举措。包括Amazon GuardDuty Malware Protection,可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围;Amazon Identity and Access Management (Amazon IAM) Roles Anywhere,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外。通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,并使用与云端工作负载相同 IAM 角色和策略来访问相关资源;Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因;Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性。
打造安全合规方面的交流平台
针对中国用户关注的隐私保护、数据跨境、云安全建设问题,亚马逊云科技从今年开始在中国举办了CISO对话,旨在创造一个互相交流的平台,输出亚马逊云在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。
