企业云上业务创新机遇与挑战并存 安全将成为胜负手

  近年来，随着数字经济的蓬勃发展，让越来越多的企业意识到在自身上云过程中，安全正在成为一个新的挑战。

  众所周知，安全对于云计算乃至整体企业IT的重要性不言而喻，而对于云相关企业来讲，在安全领域的技术与理念创新，将会是促使云计算业务能够向前走多远的前提和保障。

  在此背景下，亚马逊云科技一年一度的全球云安全盛会re:Inforce在美国波士顿落下帷幕。今年亚马逊云科技通过主题演讲、技术分享和动手实践等上百场活动，与全球客户分享亚马逊云科技在云安全和合规领域的最新洞察、成功经验及最佳实践，并发布多项新的安全服务及功能 ，帮助客户更有效地构建云上安全环境及满足合规要求。

  此次，比特网有机会与亚马逊云科技大中华区产品部总经理陈晓建聊了聊他们在云上安全方面做出哪些尝试，以及未来将如何赋能企业。

 

亚马逊云科技大中华区产品部总经理陈晓建

  亚马逊云科技的安全理念

  亚马逊云科技的安全理念是什么呢？其实很简单，他们作为全球云计算的领导者，对于安全的重视程度从连续四年举办re:Inforce大会可以看出一斑。

  亚马逊云科技把安全的理念和安全工作嵌入到每一个产品和服务团队的日常工作流程中，主要通过两个机制实现。

  首先，在亚马逊云科技内部有一个独特机制，叫做安全守护者，或称为“应用安全审查流程中的安全大使”。这位“大使”是被派驻到各个业务团队的安全团队代表，其工作是保证所派驻团队的产品和服务能够实现安全责任。

  其次，除了安全守护者之外，对于任何产品和服务的发布，亚马逊云科技都会通过应用安全审核流程，也就是将所有应用和服务交给一个集中的安全团队进行审核。将“应用安全审查流程中的安全大使”与“应用安全审查流程”两个机制相配合，这既是亚马逊云科技自己的安全工作最佳实践，也是亚马逊云科技对外推荐的安全工作最佳实践。

  陈晓建表示：“云上安全的态势时刻变化，日新月异，我们必须进行前瞻性的思考，保持敏锐的洞察，源源不断为客户提供像水和空气一样无处不在的安全防护。亚马逊云科技始终将安全作为最高优先级的工作，将安全作为一种文化贯穿在亚马逊云科技整个企业运营当中。”

 

  因此，我们总结出亚马逊云科技的安全理念：

  一、安全的最高优先级是解决基本问题：在安全领域，亚马逊云科技在全球有着丰富的实践，并且已经将这些实践内置到了自己的云服务当中。

  二、规模效应：亚马逊云科技每一天都会处理全球海量的 API 请求和日志记录，能够通过监测快速解决发生在单个客户身上的异常情形，并且让其他用户免受同样的威胁或攻击。

  三、将安全融入产品或服务的开发生命周期和运营当中：设置安全守护者小组，按照一定比例在产品团队中设置安全人员岗位，使其为产品和服务的所有安全负责，同时还设置独立的应用安全审查流程，适用于所有产品的服务的更新与发布。

  四、将人和数据分开：安全中最重要的两大因素就是人和数据，而两个维度的交叉形成的交集，会是一个更加严谨的安全方案。

  五、洋葱型的多层防护：云中安全应该是一个洋葱型的多层防护，而不是一个鸡蛋。因此云上安全需要层层递进的防护机制，不同层次之间还有互补机制;不能过度依赖于某一个单点控制、单一服务或产品，否则点故障就会导致发生安全事件。譬如防火墙可以阻挡外部攻击，但不能解决恶意的内部攻击，这就需要访问控制，主机安全和数据加密来共同解决，这就是典型的多层防护。

  六、Stronger Together 聚力携手才能走向强大：从根本上来说，这些能力都来源于客户对安全的需求，促使亚马逊云科技不断进步和提升。亚马逊云科技再将这些发现、经验和实践总结出来，告诉更多的客户，与客户一起携手进步变得更加强大。

  re:Inforce的新发布

  今年已经是第四届亚马逊云科技re:Inforce全球云安全大会，在今年的大会上亚马逊云科技发布了一系列新洞察和新产品。

  在安全举措方面，推出了亚马逊云科技Marketplace Vendor Insights(预览版)，简化对供应商的安全合规评估并实现对风险的持续监测，亚马逊云科技通过该服务加速了对供应商的评估，将用户的采购时间从8-12周缩短到7天。

  亚马逊云科技还推出了专门为云计算设计的合规审计培训课程：Cloud Academy Audit，计划在今年将CAA的课程引入到中国，并增加等级保护的内容。为了让更多的用户受益，亚马逊云科技还不断公开亚马逊云科技内部员工安全意识培训内容。

  在新产品、新功能方面，亚马逊云科技推出了Amazon Identity and Access Management (Amazon IAM) Roles Anywhere, 通过该服务，客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外;

  推出Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，将Amazon Detective覆盖的数据源扩展至Amazon EKS，可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动，并找出根本原因;

  推出Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的恶意软件;Amazon Config新增合规性分数功能，帮助客户跟踪资源合规性。

  写在最后

  随着数字时代到来，云计算的价值更多体现在为企业业务赋能，那么安全就是为云计算本身赋能。我们看到，从亚马逊云科技的云上安全理念、策略再到实践，为云计算行业树立一个标杆。

  而且我们还看到，亚马逊云科技会加速安全理念、新的安全服务及功能在中国区域的落地，与中国客户一起解决云上安全和合规的棘手挑战，为国内企业云上业务创新保驾护航。