作为云安全保障工作中的重点和基础,常规的权限界定和对应的加密措施无疑是必须环节,然而伴随着量子计算机愈发强化的算力,传统的加密技术开始面对明显的威胁。不过,这也仅仅是现如今云安全众多威胁要素之一,对于如何能够为云上业务创新保驾护航,亚马逊云科技给出了更为完备的解决方案。
近日,re:Inforce 2022全球云安全大会在美国波士顿落幕的同时,亚马逊云科技同样在中国也举行了一场面向分析师和媒体的沟通会。这是亚马逊云科技连续第四年在全球范围内召开re:Inforce云安全盛会,正是因为在全球拥有数百万计的客户,每天追踪的事件多达数十亿条,从而使得亚马逊云科技在安全威胁感知与应对上始终处于最前沿的位置上,所以在云安全领域,亚马逊云科技无疑拥有极高的分量。用亚马逊云科技大中华区产品部总经理陈晓建的话来说,“云上安全的态势时刻变化,日新月异,因此必须进行前瞻性的思考,保持敏锐的洞察,源源不断为客户提供像水和空气一样无处不在的安全防护。”
亚马逊云科技大中华区产品部总经理陈晓建
本届re:Inforce大会上,亚马逊云科技通过主题演讲、技术分享和动手实践等上百场活动,与全球客户分享亚马逊云科技在云安全和合规领域的最新洞察、成功经验及最佳实践,不断根据客户需求持续丰富其安全服务及功能,帮助客户更有效地构建云上安全环境及满足合规要求。
在产品服务在加密方向上,为了应对未来量子计算的快速发展,亚马逊云科技推出混合后量子密钥交换,目前已经为Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager 和Amazon Secrets Manager三种服务提供了量子安全算法。亚马逊云科技还借助自动推理,通过数据逻辑的应用来检测可能存在的安全风险和配置错误,为云本身和云中的安全性提供更高的保障,并推动可证明的安全性的发展。亚马逊云科技在此次re:Inforce上发布了众多安全领域的新服务和功能,涵盖威胁检测及响应、身份认证和访问控制、合规等多个方面,并推出安全合作伙伴网络相关的新举措。
在恶意威胁方面,Amazon GuardDuty Malware Protection可帮助客户检测运行在其云环境中的的恶意软件。该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。Amazon GuardDuty可扫描多种文件系统,包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等,在扫描过程中,不会对云中相关资源的性能造成影响。当检测到恶意软件时,Amazon GuardDuty Malware Protection可自动向Amazon GuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective发送恶意软件调查结果及其潜在来源,客户可根据相关结果迅速采取对应措施。
在权限管理上,Amazon Identity and Access Management (Amazon IAM) Roles Anywhere将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外。通过该服务,客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证,并使用与云端工作负载相同 IAM 角色和策略来访问相关资源。客户可以在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程,这样不但降低了运维成本和复杂度,还进一步提高了客户工作负载的安全性。
在可疑防范方面,Amazon Detective for Elastic Kubernetes Service(AmazonEKS)将Amazon Detective覆盖的数据源扩展至Amazon EKS,可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes潜在的安全问题或可疑活动,并找出根本原因,客户以此可以快速采取措施来解决问题,提升安全性。
与此同时,为帮助客户跟踪资源合规性,Amazon Config还新增合规性分数功能。该新功能以百分比的形式展现客户相关资源的合规程度,方便客户逐步对照并解决合规问题。针对亚马逊云科技Marketplace上的第三方应用和服务,亚马逊云科技推出了Marketplace Vendor Insights(预览版),简化对供应商的安全合规评估并实现对风险的持续监测。亚马逊云科技通过该服务,加速了对供应商的评估,缩短了客户对亚马逊云科技Marketplace 服务的采购周期,实现其业务的快速上线。
值得一提的是,亚马逊云科技还推出了指导用户将云技术应用到日常的合规审计中的Cloud Audit Academy (CAA)云上审计教程,以及多种如Amazon GuardDuty入门、Amazon Certified Security (专业能力考试)等亚马逊云科技培训与认证,为客户提供安全合规指导和专业知识分享。
除了上述产品与服务之外,陈晓建还分享了有关亚马逊云科技在云安全体系上的特质和心得。他表示,安全的能力是在运营之中逐渐培养来得到的,在开展云服务16年来,亚马逊云科技与数百万客户协同积累了可观的经验。
防护体系结构上,陈晓建将亚马逊云科技的安全结构形容为“洋葱型的多层防护”,而不是传统的鸡蛋外壳概念。他认为,鸡蛋虽然有一个坚硬的外壳,但是它的防护就外壳这一层,如果一个点突破之后,整个安全体系就崩塌了。但是洋葱不一样,是多层防护的结构,不仅每层结构之间可以起到一个互相保护的作用,而且会有层层递进的访问机制。这是我们认为一个合理的安全机制所必须具备的。
另外,亚马逊云科技还拥有一套“安全守护者”的特殊机制,或者称之为“应用安全审查流程中的安全大使”。也就是将安全人员派驻到各个业务团队,从而保证他们所派驻的这个团队的产品和服务能够实现安全责任。而除了安全大使之外,亚马逊云科技还有一个独立的、统一的安全团队。亚马逊云科技任何产品、服务的发布,都会通过一个应用安全审核流程,也就是把所有的这些应用和服务交给一个集中的安全团队来做审核。他认为只有把安全融入到产品的整个生命周期中来和运营中来,这才是实现安全有效的办法。
对于中国市场上的云安全动向,目前,亚马逊云科技将在中国举办CISO对话,通过一起探讨安全管理,文化和技术,让安全与合规不再成为业务在云上快速增长的阻碍。亚马逊云科技举办CISO对话的目的,是创造一个互相交流的平台,输出亚马逊云科技在安全合规方面的经验和实践,同时也希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。“中国客户有着自己独特的安全合规要求和环境。我们深入到客户当中,发现众多的问题集中在隐私保护、数据跨境和云上安全建设,我们希望能帮助客户解决云上安全合规最棘手的问题,享受云上的好日子。“陈晓建为此总结道。