“如果将安全比作消防,大家可以很清晰地理解到,消防能解决的问题是发生火灾,我们去救火,但是回过头来看,你在这里面付出的努力、付出的代价,远远不如在发现火灾开始之前就把隐患解决。”安全也是一样,与其去救火,我们更需要做的是防患于未然——通过海量运营和安全实践,复用到其他客户,从而取得规模效益。这就是亚马逊云科技云安全一直在承诺的理念。
“亚马逊云科技覆盖全球的各个数据中心,每天都会收到数十亿条安全事件和日志,通过人力难以完成。” 亚马逊云科技大中华区产品部总经理陈晓建表示,亚马逊云科技的工作就是通过“强化”自身的安全能力——以自动化处理工具自动识别安全风险,将各个用户之间的安全事件关联,从全局的视角进行处理。
例如,从技术的角度来看,Amazon GuardDuty是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护云中账户、负载、程序及存储数据的安全。而且,Amazon GuardDuty内置有机器学习的引擎,通过内嵌的机器学习能力,不断改进对威胁的探测,能够有效地从云环境可以识别出潜在的恶意用户活动,使得安全事件的误报率降低50%。
除了技术上的支持,亚马逊云科技一直在尝试将安全融入产品或服务的开发生命周期和运营当中:设置安全守护者小组,按照一定比例在产品团队中设置安全人员岗位,他们为产品和服务的所有安全负责,同时还设置了独立的应用安全审查流程,适用于所有产品的服务的更新与发布。
“亚马逊云科技深耕安全领域多年,有一个很重要的经验:人和数据需要分割。”陈晓建表示,人和数据是安全最重要的两个因素。对人来说,以最小化的原则定义访问权限,设置有效期即可;而数据则不同,需要考虑数据本身的内容,是否需要脱敏和加密等。“我们一直在倡导云中安全必须是洋葱式的多层防护,而不是一个鸡蛋:云上安全需要层层递进的防护机制,不同层次之间还有互补机制。不能过度依赖于某一个单点控制、单一服务或产品,否则点故障就会导致发生安全事件。就像防火墙可以阻挡外部攻击,但不能解决恶意的内部攻击,这就需要访问控制,主机安全和数据加密来共同解决,这就是典型的多层防护。”
一级方程式锦标赛车手冠军刘易斯·汉密尔顿讲过一句话,“一荣俱荣,一损俱损”。安全也是如此,需要团队协作的精神,是公司每个人的责任。亚马逊云科技一直强调,安全是Job Zero,高于其他工作和业务, 需要定期跟业务负责人会面,了解需求,传递安全工作的价值。
在亚马逊云科技,各个业务的负责人定期会面,以确保业务需求并关注安全问题,亚马逊云科技每周有一次安全会议,包括CEO也会参加,这种机制加强了安全文化。
此外,除了强调每个人的参与,还需要自动化工具来提高效率和竞争力,将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具,开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。
比较重要的一点是,工作不是为了给业务团队设置障碍,而是是帮业务团队找到一条更安全、更高效的实现路径。为此亚马逊云云科技设置了两类指标:针对产品团队,衡量指标是他们是否提出了好的安全建议,促进了哪些安全功能的发布;针对安全团队,指标是促进了多少新产品的发布,缩短了多少新产品上线的时间。
陈晓建分享了亚马逊云科技安全机制和文化的最佳实践:最小权限,考虑用户的角色和职责范围,对访问权限设置有效期;漏洞报告,设置对内对外两套漏洞报告机制;鼓励员工和客户发现并上报任何安全漏洞,而无需担心误报,亚马逊云科技后台的专业安全团队会评估和解决漏洞报告;勒索软件,发现问题并做好预报,通过以下服务提供帮助:使用 Amazon Inspector 提前检测漏洞,使用 Amazon GuardDuty 检测异常活动。最后,使用 Amazon Backup 的存储备份功能;Log4J漏洞,严格限制来自互联网的访问;拥有全面的软件清单及其使用方式;保持第三方产品更新到最新版本;深度防御;日志记录。
值得一提的是,亚马逊云科技推出了亚马逊云科技Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估并实现对风险的持续监测。通过该服务,加速了对供应商的评估,将用户的采购时间从8-12周缩短到7天,从而实现业务的快速上线。
同时,推出专门为云计算设计的合规审计培训课程:Cloud Academy Audit,计划在今年将CAA的课程引入到中国,并增加等级保护的内容。公开亚马逊云科技内部员工安全意识培训的内容,让更多的用户受益。
在前不久,re:Inforce大会上,亚马逊云科技发布了一系列新的关于安全方面的产品动向。
Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外,不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
Amazon Detective for Elastic Kubernetes Service(Amazon EKS),将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展Amazon GuardDuty的威胁检测范围。同时,Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验,让客户可以轻松地查找可能遇到的任何安全问题。
Amazon Config新增合规性分数功能,帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能,以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。
“我们要关注的不是说整个用户的云环境在过去是怎样的,而是接下来可能会发生的事件和风险,这很好的形容了整个安全团队应该要做的事情。”陈晓建透露,在re:Inforce大会上,亚马逊云科技发布新产品和新功能的同时,也分享了未来关于安全方面的产品动向。
首先,加密是整个安全工作中非常重要的环节,良好的加密机制是构成安全防护效果的非常重要的机制。亚马逊云科技提供两种密钥管理方式:静态加密功能,由亚马逊来管理和控制密钥;Amazon KMS,由用户自行管理控制密钥,同时可根据业务负载自动扩容。
亚马逊云科技数据加密着重考虑价格和性能因素,价格设计得非常低,并且尽可能不影响性能,还提供Amazon CloudHSM专用安全模块,可帮助用户实现硬件加密。
有意思的是,亚马逊云科技提出了混合“后量子”密钥交换:将NIST发布的四个新算法和密码量子标准整合到亚马逊云科技的服务之中,把signal-to-noise代码库中实现TLS的代码进行开源,已经为三种服务的 TLS 连接提供了这些量子安全算法和选项:Amazon KMS、Amazon Certificate Manager 和 Amazon Secrets Manager,与互联网的标准制定方IETF机构合作研究新的TLS技术标准。
在开源领域,研发开源加密库LibCrypto。可用作开源加密库的替代品,如OpenSSL。针对云服务进行优化,可以在Gravition芯片上跑得更快申请LibCrypto FIPS 认证,FIPS是NIST发布的联邦信息处理标准,许多机构仍然将FIPS视为一项信息加密处理的高标准背书。
其次,自动化推理Provable Security,为安全提供真实证明:使用数学推理所有具体值、请求、网络、代码路径。亚马逊云科技推动了可证明的安全性的发展,并将自动化推理应用于核心服务,以确保它们的结果是数学上可证明的。
最后,亚马逊云科技分享了三个安全策略的行动建议:万事皆需加密:加密是良好数据保护策略的核心组成部分。禁止公开访问权限,这对于Amazon S3服务尤其重要。启用多因素认证(MFA), Amazon MFA是为访问云提供额外安全的最简单和最好的方法之一。
写在最后
在企业数字化转型的过程中,安全和合规是上云和用云的基石。越来越多的企业认识到构建云安全战略是一项持续性工作,需要有自上而下的顶层设计,要以安全为出发点构建云上应用。
对于中国客户来说,有着自己独特的安全合规要求和环境,亚马逊云科技需要深入到客户当中,发现众多的问题集中在隐私保护、数据跨境和云上安全建设,帮助客户解决云上安全合规最棘手的问题,享受云上的好日子。
“今年开始亚马逊云科技在中国举办CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。”陈晓建透露,亚马逊云科技举办CISO对话的目的,是创造一个互相交流的平台,输出亚马逊云在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。
京公网安备 11010202008829号