云巨头亚马逊云科技,正在持续加码云安全。
编辑 | 宋慧
出品 | CSDN云计算
提到亚马逊云科技,我们首先想到的是它在云领域的计算存储等技术和优势。不过亚马逊云科技却连续四年在举办它的全球安全大会 re:Inforce,刚刚 ,2022 re:Inforce在美国波士顿落下帷幕,今年 3 月 亚马逊云科技宣布加大中国区域安全合规领域投入 ,并分享了洋葱型多层防护的云服务安全理念,都足以看到亚马逊云科技在云上的安全技术投入的决心。
2022 re:Inforce 大会上,亚马逊首席信息安全官 Steve Schmidt 就披露了亚马逊云科技在全球拥有数百万客户,每天追踪的(潜在安全威胁)事件达数十亿条,这使得亚马逊云科技能检测到更多的安全威胁。亚马逊云科技大中华区产品部总经理陈晓建则向 CSDN 介绍,安全是亚马逊云科技最高优先级的工作,云上的安全形势不断变化,亚马逊云科技会加速安全理念、新的安全服务及功能在中国区域的落地,解决云上安全和合规的棘手问题,最终为用户云上业务创新保驾护航。
亚马逊云科技大中华区产品部总经理陈晓建
抗量子计算加密、加密通信 TLS 开源,re:Inforce 发布硬核技术与产品
在加密领域,为了应对未来量子计算的快速发展,亚马逊云科技推出混合后量子密钥交换,把 signal-to-noise 代码库中实现 TLS 的代码进行了开源,目前已经为 Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和 Amazon Secrets Manager 三种服务提供了量子安全算法。
亚马逊云科技还借助自动推理,通过数据逻辑的应用来检测可能存在的安全风险和配置错误,为云本身和云中的安全性提供更高的保障,并推动可证明的安全性的发展。
亚马逊云科技在此次 re:Inforce 上发布了众多安全领域的新服务和功能,涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面,并推出安全合作伙伴网络相关的新举措。详细来说:
推出 Amazon GuardDuty Malware Protection,可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了 Amazon GuardDuty 的威胁检测范围。Amazon GuardDuty 可扫描多种文件系统,包括 Windows 和 Linux 文件、PDF 文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。当检测到恶意软件时,Amazon GuardDuty Malware Protection 可自动向 Amazon GuardDuty 控制台、Amazon Security Hub、Amazon EventBridge 和 Amazon Detective 发送恶意软件调查结果及其潜在来源,客户可根据相关结果迅速采取对应措施。
推出 Amazon Identity and Access Management (Amazon IAM) Roles Anywhere,将 Amazon IAM 对工作负载的管理能力扩展至客户的云环境之外。通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,并使用与云端工作负载相同 IAM 角色和策略来访问相关资源。客户可以在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,这样不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
推出 Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将 Amazon Detective 覆盖的数据源扩展至 Amazon EKS,可帮助客户更加轻松分析和调查在 Amazon EKS 集群上的 Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
Amazon Config 新增合规性分数功能,帮助客户跟踪资源合规性。该新功能是 Amazon Config 的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
针对亚马逊云科技 Marketplace 上的第三方应用和服务,推出了亚马逊云科技 Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务,加速了对供应商的评估,缩短了客户对亚马逊云科技 Marketplace 服务的采购周期,实现其业务的快速上线。
此外,亚马逊云科技还推出了指导用户将云技术应用到日常的合规审计中的 Cloud Audit Academy (CAA)云上审计教程,以及多种如 Amazon GuardDuty 入门、Amazon Certified Security (专业能力考试)等亚马逊云科技培训与认证,为客户提供安全合规指导和专业知识分享。
安全嵌入开发流程、安全最佳实践,亚马逊云科技的安全经验谈
除了硬核的安全技术和产品,亚马逊云科技也在实践里总结了一系列的经验与安全运营的机制。例如亚马逊云科技认为安全是公司每一个人的责任,企业内各个业务的负责人定期会面,以确保业务需求并关注安全问题,亚马逊云科技每周有一次安全会议,包括 CEO 也会参加,这种机制加强了安全文化。
另外,亚马逊云科技认为企业可以通过自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。当然,安全不该增加业务的阻力,而是要对业务产生尽可能小的影响。
亚马逊云科技设置了两类可衡量指标:针对产品团队,衡量指标是他们是否提出了好的安全建议,促进了哪些安全功能的发布;针对安全团队,衡量指标是促进了多少新产品的发布,缩短了多少新产品上线的时间。安全团队成员保持多样性,最好具有不同的性格或不同的背景或文化。
亚马逊云科技在安全方面的最佳实践:
- 最小权限,考虑用户的角色和职责范围,对访问权限设置有效期。
- 漏洞报告,设置对内对外两套漏洞报告机制;我们鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告。
- 勒索软件,发现问题并做好预报,通过以下服务提供帮助:使用 Amazon Inspector 提前检测漏洞,使用 Amazon GuardDuty 检测异常活动。最后,使用 Amazon Backup 的存储备份功能。
- Log4J 漏洞,严格限制来自互联网的访问;拥有全面的软件清单及其使用方式;保持第三方产品更新到最新版本;深度防御;日志记录。
另外,亚马逊云科技推出了 Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务,加速了对供应商的评估,将用户的采购时间从 8-12 周缩短到 7 天,从而实现业务的快速上线。
亚马逊云科技还推出了专门为云计算设计的合规审计培训课程:Cloud Academy Audit,计划在今年将 CAA 的课程引入到中国,并增加等级保护的内容,并公开亚马逊云科技内部员工安全意识培训的内容。
作为云计算领域的巨头,现在的亚马逊云科技也提供了丰富详实的安全产品与服务,以及进一步在探索前沿硬核的安全技术。如亚马逊云科技大中华区产品部总经理陈晓建所说,“(亚马逊云科技)源源不断为客户提供像水和空气一样无处不在的安全防护。”云巨头加码云安全与云化的安全服务,也值得业界关注和参考。