亚马逊云科技,云上安全应该如何守护

近年来,随着云计算市场的不断增长,企业上云和用云成为趋势,云安全的问题迅速成为整个社会的焦点。

不可否认,虽然当前安全事件频发,但云端依然是安全理念、安全服务和安全功能最为先进和领先的环境。随着上云群体越来越大,云服务商对于安全趋势的洞察值得业界所有伙伴学习。正如亚马逊云科技的re:Inforce全球安全大会,已经成为全球安全趋势发展最前沿。亚马逊云科技会与全球客户分享了在云安全和合规领域的最新洞察、成功经验及最佳实践。

近日,2022 re:Inforce峰会在美国波士顿落下帷幕。这一次,亚马逊云科技介绍了云安全的最新趋势,并且发布多项新的安全服务及功能。帮助客户更有效地构建云上安全环境及满足合规要求。

正如亚马逊云科技大中华区产品部总经理陈晓建所言:“云上安全态势时刻变化,云服务商必须进行前瞻性思考和敏锐的洞察,为云上客户提供像水和空气一样无处不在的安全防护。”

安全最重要的是防患于未然

正所谓能力越大,责任也越大。作为全球第一的云服务商,亚马逊云科技对于安全的重视程度前所未有。

事实上,亚马逊云科技通过数百万客户的运营,每天追踪的事件达数十亿条,使得其在云安全领域积累了丰富的实践,并且利用实践复制到其他客户之中,从而取得规模效应。“安全最重要的是防患于未然。”陈晓建如是说。

通过多年的积累与实践,亚马逊云科技形成了一系列全新的安全理念和机制,并且形成公司文化,融入到其产品开发、服务之中。具体来看:

第一:安全是Job Zero。亚马逊云科技认为安全具有最高优先级,是高于其他工作的首要任务;与此同时,安全也不是仅仅是管理层的责任,而是公司每个人的责任。例如,亚马逊云科技通过自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率更高效。

第二:采用洋葱式的多层防护机制,而非将鸡蛋放在一个篮子中。陈晓建介绍:“在云中的安全防护,不能仅仅以来某个单点防护。”据悉,亚马逊云科技安全洋葱模型分为五层,每层之间都是互相递进与配合,从而确保为用户提供最安全的防护与保障。

例如,防火墙除了防止内部系统受到外部黑客攻击外,也会防范来自内部的攻击,通过主机安全、安全加密等手段进行配合,形成一个综合的、立体的、互相配合的安全机制。

第三:从人和数据两个角度进行安全防护设计。在亚马逊云科技看来,多年的经验证明人和数据分开有助于安全防护,通过设置权限以及数据脱敏等举措,对两个维度交叉形成一个更严谨的安全方案。

陈晓建表示:“对于人,需要以最小化的原则去定义访问权限,并设立有效期;对于数据,需要考虑数据本身的内容,像脱敏、加密、给谁用等等。”

第四:采用安全守护者的工作机制。设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,他们为产品和服务的所有安全负责,同时还设置了独立的应用安全审查流程,适用于所有产品的服务的更新与发布。

不仅如此,亚马逊云科技极为看中将服务广大客户的经验反哺到其他所有客户之中,使所有人都从亚马逊云计算的安全实践中获益。“将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。我们会加速安全理念、新的安全服务及功能在中国区域的落地,与中国客户一起解决云上安全和合规的棘手挑战,为他们云上业务创新保驾护航。”陈晓建补充道。

多款新服务/产品为云安全保驾护航

事实上,经过多年实践,亚马逊云科技的安全产品与服务获得了用户广泛的采用。例如Amazon GuardDuty威胁检测服务在全球客户中就获得高度认可。

而在热门的量子计算领域,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。

此外,在今年2022 re:Inforce峰会上,亚马逊云科技再次推出或更新了多款云安全服务,包括:可帮助客户检测运行在其云环境中的恶意软件的Amazon GuardDuty Malware Protection;将Amazon IAM扩展至客户的云环境之外的Amazon Identity and Access Management (Amazon IAM) Roles Anywhere;可帮助客户分析和调查在Amazon EKS集群上Kubernetes 潜在安全问题或可疑活动的Amazon Detective for Elastic Kubernetes Service(Amazon EKS)等。

以Amazon Identity and Access Management (Amazon IAM) Roles Anywhere为例,客户可以利用该服务为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。

而针对业界极为关注的容器安全问题,Amazon Detective for Elastic Kubernetes Service(Amazon EKS)则可以帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。

此外,马逊云科技研发的加密库LibCrypto也已经开源,并且未来三年内将向开源安全基金会OSSF 投资1000 万美元。

“亚马逊云科技会继续与中国客户深度合作,会在中国举办CISO对话,与客户、合作伙伴一起探讨安全管理、文化和技术,让安全与合规不再成为用户上云和用云的顾虑。”陈晓建补充道。

总体来看,随着云计算的兴起,安全与合规的重要性日益突出。不同于以往的安全理念、机制和产品,亚马逊云科技正在基于自身多年丰富的安全实践与积累,形成理念、机制、文化、产品与服务来影响更多用户群体,从而为全球的信息安全保驾护航。

分享到: 更多

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注