“re:Inforce 2022”：再谈“云安全”，亚马逊云科技谈些什么？

“re:Inforce 2022”：再谈“云安全”，亚马逊云科技谈些什么？--丁科技网

将“云安全”在云产业中的地位专门做明确，在完整涉猎云产业方方面面的“re:Invent”大会之外专门举办“re:Inforce全球云安全大会”，这是亚马逊云科技在最近的四年间形成的一种习惯，彰显安全理念重要性的同时，也意在呈现亚马逊云科技在安全方面的不懈努力。

安全理念：防患于未然，人与数据分开，建立多层防护结构

“防患于未然”，依旧是亚马逊云科技在云安全方面最重要的理念。

具体而言，在中国媒体沟通会上做主题分享的亚马逊云科技大中华区产品部总经理陈晓建的进一步阐述是：“我们要发现所有这些安全的基本问题，并且能够把这些基本问题在第一时间以我们的努力去解决。并且我们还要做的工作是，通过我们的海量运营、通过我们去支持全球数百万客户的各种安全事件，然后把在一个客户中所取得的实践，能够复用到其他客户中来，从而取得规模效益。”

看起来，这里提到的是一个“滚雪球”式的能力养成过程。不过，这不仅是反馈和积累，更是主动出击。

当前，亚马逊云科技覆盖全球的各个数据中心每天都会收到数以十亿条的安全事件、各种日志，在这样的背景下，亚马逊云科技强化安全能力的方式是，通过自动化的处理工具自动识别这些安全风险，并且把各个用户之间的安全事件关联起来，形成全局化的理解。在笔者看来，这有些类似围棋的布局，在开局时，甚至要对最终可能的胜负手进行考量。

陈晓建的分析是不难理解的：“即便十亿条事件中的某一条发生的概率极低，但每天即便只有一个类似的安全隐患，仍会向安全事故演变，这代表，在安全领域，可接受的阈值非常低。”

亚马逊云科技“防患于未然”中的具体工作，就是“发现那些有可能发生的、极小的概率事件”。

因此，就有了可持续监控恶意活动和未经授权行为的Amazon GuardDuty，用来保护云中账户、负载、程序及存储数据的安全，更重要的是，它可以通过内嵌的机器学习能力，不断改进对威胁的探测。有效从云环境中识别出潜在的恶意用户活动，并通过机器学习的功能使安全事件的误报率降低，这是Amazon GuardDuty可以实现的。

关于“极小概率安全事件”的解决，亚马逊云科技则形成了独特机制，通过将安全代表派驻到业务团队中，将安全理念和安全工作嵌入日常流程，同时建立应用安全审核流程，以集中的安全团队对发布或更新的审核作为配合。

陈晓建说，另外的一个重要经验是“把人和数据分开”，毕竟，对两者的考量标准完全不同，对人看“权限”，对数据看“内容”，同时进行完整的考量，才能形成更严谨的方案。

云安全的“洋葱模型”，仍是亚马逊云科技在实操中提倡的，陈晓建再次表示：“每层结构之间可以起到互相保护的作用，以及层层递进的访问机制，是我们认为合理的安全机制所必须具备的”。

新品发布：云安全产品继续焕新，中国出海企业可即时使用

理念传承的同时，云安全产品继续焕新，在中国媒体沟通会上，陈晓建还表示，此次在“re:Inforce”大会期间发布的多项产品和服务，中国的出海伙伴都已经可以立即使用。

Amazon IAM Roles Anywhere, 通过该服务，客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外，不但降低了运维成本和复杂度，还进一步提高了客户工作负载的安全性。

Amazon Detective for EKS，将Amazon Detective覆盖的数据源扩展至Amazon EKS，可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动，并找出根本原因，客户以此可以快速采取措施来解决问题，提升安全性。

Amazon GuardDuty Malware Protection，可帮助客户检测运行在其云环境中的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。当检测到恶意软件时，Amazon GuardDuty Malware Protection可自动向Amazon GuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective发送恶意软件调查结果及其潜在来源，客户可根据相关结果迅速采取对应措施。产品从一开始就已经把上述能力和亚马逊云科技其他的安全产品集成好了。

Amazon Config，服务可评估、审计和评价用户的 AWS 资源配置。借助该服务，用户可以查看配置更改以及 AWS 资源之间的关系、可以发现一些不合规的配置并迅速告警。过往这种合规性只能依赖于告警，这次我们新增了评分的功能，让这种资源的合规状态更加直观。Amazon Config新增合规性分数功能，帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能，该功能以百分比的形式展现客户相关资源的合规程度，方便客户逐步对照并解决合规问题。

在全球范围内提出这些云安全新举措的同时，更针对中国市场，亚马逊云科技发现有几个大的热点，是中国客户特别关注的，分别是：隐私保护、数据跨境、云安全建设。

最近，亚马逊云科技发起了一个项目，让客户有更好的安全策略，让云上业务就能够顺利发展。陈晓建说：“我们做这个工作也是基于我们跟客户之间的合作，就是说我们在最开始讲到反哺机制，因为我们整个安全能力的建设和成长，都是围绕我们和用户的深度合作，来不断提升我们双方的能力所达成的，就是Stronger Together（相倚为强），也是我们一直秉承的理念。”

另外一个在做的工作，是CISO的对话。陈晓建说：“CISO作为‘云上信息安全官’所承担的责任是非常巨大的，一要保证用户的业务在云上的安全，同时要解决所有面临的安全威胁，帮助企业去建立安全的声誉。亚马逊云科技的目的就是希望有一个这样的论坛，能够让用户和厂商一起坐下来谈在安全方面的一些经验和实践，通过交流，可以更好地了解用户对于亚马逊云科技在整个安全、合规、运营建设方面的需求，来创造一个大家互相交流、互相进步的机会。”（丁科技网原创，转载务必注明“来源：丁科技网”）