近年來，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，讓越來越多的企業(yè)意識到在自身上云過程中，安全正在成為一個新的挑戰(zhàn)。

眾所周知，安全對于云計算乃至整體企業(yè)IT的重要性不言而喻，而對于云相關(guān)企業(yè)來講，在安全領(lǐng)域的技術(shù)與理念創(chuàng)新，將會是促使云計算業(yè)務(wù)能夠向前走多遠的前提和保障。

在此背景下，亞馬遜云科技一年一度的全球云安全盛會re:Inforce在美國波士頓落下帷幕。今年亞馬遜云科技通過主題演講、技術(shù)分享和動手實踐等上百場活動，與全球客戶分享亞馬遜云科技在云安全和合規(guī)領(lǐng)域的最新洞察、成功經(jīng)驗及最佳實踐，并發(fā)布多項新的安全服務(wù)及功能?，幫助客戶更有效地構(gòu)建云上安全環(huán)境及滿足合規(guī)要求。

此次，比特網(wǎng)有機會與亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建聊了聊他們在云上安全方面做出哪些嘗試，以及未來將如何賦能企業(yè)。

亞馬遜云科技的安全理念

亞馬遜云科技的安全理念是什么呢？其實很簡單，他們作為全球云計算的領(lǐng)導(dǎo)者，對于安全的重視程度從連續(xù)四年舉辦re:Inforce大會可以看出一斑。

亞馬遜云科技把安全的理念和安全工作嵌入到每一個產(chǎn)品和服務(wù)團隊的日常工作流程中，主要通過兩個機制實現(xiàn)。

首先，在亞馬遜云科技內(nèi)部有一個獨特機制，叫做安全守護者，或稱為“應(yīng)用安全審查流程中的安全大使”。這位“大使”是被派駐到各個業(yè)務(wù)團隊的安全團隊代表，其工作是保證所派駐團隊的產(chǎn)品和服務(wù)能夠?qū)崿F(xiàn)安全責任。

其次，除了安全守護者之外，對于任何產(chǎn)品和服務(wù)的發(fā)布，亞馬遜云科技都會通過應(yīng)用安全審核流程，也就是將所有應(yīng)用和服務(wù)交給一個集中的安全團隊進行審核。將“應(yīng)用安全審查流程中的安全大使”與“應(yīng)用安全審查流程”兩個機制相配合，這既是亞馬遜云科技自己的安全工作最佳實踐，也是亞馬遜云科技對外推薦的安全工作最佳實踐。

陳曉建表示：“云上安全的態(tài)勢時刻變化，日新月異，我們必須進行前瞻性的思考，保持敏銳的洞察，源源不斷為客戶提供像水和空氣一樣無處不在的安全防護。亞馬遜云科技始終將安全作為最高優(yōu)先級的工作，將安全作為一種文化貫穿在亞馬遜云科技整個企業(yè)運營當中。”

因此，我們總結(jié)出亞馬遜云科技的安全理念：

一、安全的最高優(yōu)先級是解決基本問題：在安全領(lǐng)域，亞馬遜云科技在全球有著豐富的實踐，并且已經(jīng)將這些實踐內(nèi)置到了自己的云服務(wù)當中。

二、規(guī)模效應(yīng)：亞馬遜云科技每一天都會處理全球海量的?API?請求和日志記錄，能夠通過監(jiān)測快速解決發(fā)生在單個客戶身上的異常情形，并且讓其他用戶免受同樣的威脅或攻擊。

三、將安全融入產(chǎn)品或服務(wù)的開發(fā)生命周期和運營當中：設(shè)置安全守護者小組，按照一定比例在產(chǎn)品團隊中設(shè)置安全人員崗位，使其為產(chǎn)品和服務(wù)的所有安全負責，同時還設(shè)置獨立的應(yīng)用安全審查流程，適用于所有產(chǎn)品的服務(wù)的更新與發(fā)布。

四、將人和數(shù)據(jù)分開：安全中最重要的兩大因素就是人和數(shù)據(jù)，而兩個維度的交叉形成的交集，會是一個更加嚴謹?shù)陌踩桨浮?/p>

五、洋蔥型的多層防護：云中安全應(yīng)該是一個洋蔥型的多層防護，而不是一個雞蛋。因此云上安全需要層層遞進的防護機制，不同層次之間還有互補機制;不能過度依賴于某一個單點控制、單一服務(wù)或產(chǎn)品，否則點故障就會導(dǎo)致發(fā)生安全事件。譬如防火墻可以阻擋外部攻擊，但不能解決惡意的內(nèi)部攻擊，這就需要訪問控制，主機安全和數(shù)據(jù)加密來共同解決，這就是典型的多層防護。

六、Stronger?Together?聚力攜手才能走向強大：從根本上來說，這些能力都來源于客戶對安全的需求，促使亞馬遜云科技不斷進步和提升。亞馬遜云科技再將這些發(fā)現(xiàn)、經(jīng)驗和實踐總結(jié)出來，告訴更多的客戶，與客戶一起攜手進步變得更加強大。

re:Inforce的新發(fā)布

今年已經(jīng)是第四屆亞馬遜云科技re:Inforce全球云安全大會，在今年的大會上亞馬遜云科技發(fā)布了一系列新洞察和新產(chǎn)品。

在安全舉措方面，推出了亞馬遜云科技Marketplace?Vendor?Insights(預(yù)覽版)，簡化對供應(yīng)商的安全合規(guī)評估并實現(xiàn)對風(fēng)險的持續(xù)監(jiān)測，亞馬遜云科技通過該服務(wù)加速了對供應(yīng)商的評估，將用戶的采購時間從8-12周縮短到7天。

亞馬遜云科技還推出了專門為云計算設(shè)計的合規(guī)審計培訓(xùn)課程：Cloud?Academy?Audit，計劃在今年將CAA的課程引入到中國，并增加等級保護的內(nèi)容。為了讓更多的用戶受益，亞馬遜云科技還不斷公開亞馬遜云科技內(nèi)部員工安全意識培訓(xùn)內(nèi)容。

在新產(chǎn)品、新功能方面，亞馬遜云科技推出了Amazon?Identity?and?Access?Management?(Amazon?IAM)?Roles?Anywhere,?通過該服務(wù)，客戶可為其本地服務(wù)器、容器和應(yīng)用程序等工作負載設(shè)置臨時憑證，將Amazon?IAM對工作負載的管理能力擴展至客戶的云環(huán)境之外;

推出Amazon?Detective?for?Elastic?Kubernetes?Service(Amazon?EKS)，將Amazon?Detective覆蓋的數(shù)據(jù)源擴展至Amazon?EKS，可幫助客戶更加輕松分析和調(diào)查在Amazon?EKS集群上的Kubernetes?潛在的安全問題或可疑活動，并找出根本原因;

推出Amazon?GuardDuty?Malware?Protection,?可幫助客戶檢測運行在其云環(huán)境中的惡意軟件;Amazon?Config新增合規(guī)性分數(shù)功能，幫助客戶跟蹤資源合規(guī)性。

寫在最后

隨著數(shù)字時代到來，云計算的價值更多體現(xiàn)在為企業(yè)業(yè)務(wù)賦能，那么安全就是為云計算本身賦能。我們看到，從亞馬遜云科技的云上安全理念、策略再到實踐，為云計算行業(yè)樹立一個標桿。

而且我們還看到，亞馬遜云科技會加速安全理念、新的安全服務(wù)及功能在中國區(qū)域的落地，與中國客戶一起解決云上安全和合規(guī)的棘手挑戰(zhàn)，為國內(nèi)企業(yè)云上業(yè)務(wù)創(chuàng)新保駕護航。