日前,亚马逊云科技一年一度的全球云安全盛会2022 re:Inforce在美国波士顿落下帷幕。亚马逊云科技大中华区产品部总经理陈晓建系统介绍了此次峰会的重点内容。
亚马逊云科技安全理念:最高优先级是解决基本问题
陈晓建指出,亚马逊云科技秉承的安全理念是:安全的最高优先级是解决基本问题,因此,亚马逊云科技在安全领域进行了丰富的实践,并将这些实践内置到云服务中。其中,重要的实践经验包括:
首先,规模效应:每一天,亚马逊云科技处理着全球海量的API请求和日志记录,从中能够监测到更多异常,会快速解决发生在单个客户身上的异常情形,并让其他用户从中受益,免受同样的威胁或攻击,这就是安全规模化带来的好处。
其次,将安全融入产品或服务的开发生命周期和运营当中,通过设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,为产品和服务的所有安全负责,同时还设置了独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
- 将人和数据分开,因为两个维度的交叉形成的交集是一个更严谨的安全方案。
- 洋葱型的多层防护:云中安全应该是一个洋葱型的多层防护,而不是一个鸡蛋:云上安全需要层层递进的防护机制,不同层次之间还需有互补机制;不能过度依赖于某一个单点控制、单一服务或产品,否则点故障就会导致发生安全事件。例如,防火墙可以阻挡外部攻击,但不能解决恶意的内部攻击,这就需要访问控制,主机安全和数据加密来共同解决,这就是典型的多层防护。
- Stronger together聚⼒携⼿才能⾛向强⼤:从根本上讲,这些能力都来源于客户,客户对安全的需求,促使亚马逊云科技的进步和提升,再把这些发现、经验和实践总结出来,告诉给更多的客户。这就是所谓的反哺,最终的结果是亚马逊云科技和用户一起携手进步,变得更强大。
亚马逊云科技重视安全领域的企业文化与安全机制
安全绝不仅仅是技术的问题,亚马逊云科技非常重视安全方面的企业文化与安全机制的经营,其重要理念包括:
安全是公司每一个人的责任:各个业务的负责人定期会面,以确保业务需求并关注安全问题,亚马逊云科技每周有一次安全会议,包括CEO也会参加,这种机制加强了安全文化。
通过自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。
安全应该是一条基线,并对业务产生尽可能小的影响。一个成功的安全团队不是对业务部门说不能做这个,不能做那个,而是说这个事情可以这样来做。
两类可衡量指标:一是针对产品团队的衡量指标:考察是否提出了好的安全建议,促进了哪些安全功能的发布;二是针对安全团队的指标:考察促进了多少新产品的发布,缩短了多少新产品上线的时间。
安全团队成员保持多样性,最好具有不同的性格或不同的背景或文化。
此外,亚马逊云科技总结出很多重要的最佳实践:最小权限,考虑用户的角色和职责范围,对访问权限设置有效期;漏洞报告,设置对内对外两套漏洞报告机制,鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告;勒索软件,发现问题并做好预报,通过以下服务提供帮助:使用 Amazon Inspector 提前检测漏洞,使用 Amazon GuardDuty 检测异常活动,并使用 Amazon Backup 的存储备份功能;Log4J漏洞,严格限制来自互联网的访问,拥有全面的软件清单及其使用方式,保持第三方产品更新到最新版本,深度防御以及重视日志记录。
“通过我们的海量运营、通过我们去支持全球数百万客户的各种安全事件,然后把在一个客户中所取得的实践,能够复用到其他客户中来,从而取得规模效益。” 陈晓建说。
re:Inforce发布的安全项目新举措、新动向,以及新产品、新功能
在安全项目新举措方面,推出了亚马逊云科技Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务,加速了对供应商的评估,将用户的采购时间从8-12周缩短到7天,从而实现业务的快速上线;推出了专门为云计算设计的合规审计培训课程:Cloud Academy Audit,计划在今年将CAA的课程引入到中国,并增加等级保护的内容;公开了亚马逊云科技内部员工安全意识培训的内容,让更多的用户受益。
此次的re:Inforce大会,还透露出亚马逊云科技在安全领域的很多新动向。
在加密方面:首先,亚马逊云科技提供了两种密钥管理方式:静态加密功能,由亚马逊来管理和控制密钥;Amazon KMS,由用户自行管理控制密钥,同时可根据业务负载自动扩容。
其次,亚马逊云科技数据加密着重考虑价格和性能因素,价格设计得非常低,并且尽可能不影响性能,还提供Amazon CloudHSM专用安全模块,可帮助用户实现硬件加密。
第三,加强了量子计算与加密的研发:亚马逊云科技认为,量子计算让现有加密技术不再安全,尤其是非对称加密技术,因此诞生了“抗量子计算密码学”。美国国家标准与技术研究所NIST公布了首批后量子密码标准,四种算法胜出,亚马逊云科技就是其中两种算法的作者之一。亚马逊云科技不但参与新技术的研究与标准的制定,同时也开展新技术的落地与产品化,包括:实现了混合后量子密钥交换技术,正在将后量子密码标准整合到服务中;把signal-to-noise代码库中实现TLS的代码进行了开源;已经为三种服务的 TLS 连接提供了这些量子安全算法和选项:Amazon KMS、Amazon Certificate Manager 和 Amazon Secrets Manager;与互联网的标准制定方IETF机构合作研究新的TLS技术标准。
第四,在开源方面,亚马逊云科技研发了开源加密库LibCrypto,可用作开源加密库如OpenSSL的替代品,LibCrypto针对云服务进行优化,可以在Gravition芯片上跑得更快,申请了LibCrypto FIPS 认证,FIPS是NIST发布的联邦信息处理标准,许多机构仍然将FIPS视为一项信息加密处理的高标准背书,未来三年内将向开源安全基金会OSSF 投资1000 万美元
自动化推理Provable Security,为安全提供真实证明:使用数学推理所有具体值、请求、网络、代码路径。亚马逊云科技推动了可证明的安全性的发展,将自动化推理应用于核心服务,以确保它们的结果是数学上可证明的。
此外,亚马逊云科技还给出了三点行动建议:一是万事皆需加密:加密是良好数据保护策略的核心组成部分;二是禁止公开访问权限,这对于Amazon S3服务尤其重要;三是启用多因素认证(MFA), Amazon MFA是为访问云提供额外安全的最简单和最好的方法之一。
re:Inforce还发布了很多新产品、新功能:
Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
推出Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
推出Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出,进一步扩展了Amazon GuardDuty的威胁检测范围。Amazon GuardDuty可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响;Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。使用该集成功能了解客户组织的整体安全状态,轻松搜索、过滤、分类、调查存在的任何安全发现,并采取行动;此外,Amazon GuardDuty拥有专业合作伙伴提供恶意软件检测方案,还提供修复能力和机器学习能力。
Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
在中国市场推出两大举措
亚马逊云科技非常重视并认同中国客户有着自己独特的安全合规要求和环境,因此会深入到客户当中,发现众多的问题集中在隐私保护、数据跨境和云上安全建设,希望能帮助客户解决云上安全合规最棘手的问题,享受云上的好日子。
此外,今年开始亚马逊云科技在中国举办了CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。举办CISO对话的目的,就是创造一个互相交流的平台,输出亚马逊云在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。
“云上安全的态势时刻变化,日新月异,我们必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作,将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,为他们云上业务创新保驾护航。”陈晓建总结说。
