圖為亞馬遜云科技CEO Adam Selipsky

文/在前線 老涼

云計(jì)算是數(shù)字時(shí)代的銀河戰(zhàn)艦，安全就是戰(zhàn)艦的核心武裝。亞馬遜云科技在云安全底線上堅(jiān)守，同樣是決不妥協(xié)。

業(yè)務(wù)上云變得越來越便捷和普及，與之而來的安全問題日益突出。作為全球云計(jì)算產(chǎn)業(yè)的風(fēng)向標(biāo)，亞馬遜云科技re:Invent每年都會(huì)對(duì)云的發(fā)展提出各種真知灼見，并推出大量新服務(wù)與新功能，而云安全方面也不例外，這同樣是亞馬遜云科技的核心優(yōu)勢(shì)之一。

在前不久召開的2022 re:Invent上，亞馬遜云科技推出了全新的Amazon Security Lake，來幫助用戶聚合、管理和分析日志及事件數(shù)據(jù)，實(shí)現(xiàn)更快的威脅檢測(cè)、調(diào)查和事件響應(yīng)。此外，亞馬遜云科技還推出Amazon GuardDuty RDS Protection和Amazon GuardDuty對(duì)容器運(yùn)行時(shí)的威脅檢測(cè)功能，前者可以在Amazon Aurora數(shù)據(jù)庫上運(yùn)行基于機(jī)器學(xué)習(xí)的智能威脅檢測(cè)，保護(hù)企業(yè)數(shù)據(jù)；后者主要用于確保容器安全。

在前線認(rèn)為，云安全是企業(yè)解決上云過程中所面臨內(nèi)部、外部威脅的必備能力。亞馬遜云科技一直重視云安全壁壘的構(gòu)建，在2022 re:Invent上，亞馬遜云科技推出Amazon Security Lake、Amazon GuardDuty RDS Protection等新的安全服務(wù)，從威脅檢測(cè)，數(shù)據(jù)處理，安全預(yù)防等多個(gè)方面幫助企業(yè)用戶打造更符合自身的安全措施。

上云趨勢(shì)下，云安全面臨三大難題

如今，云的規(guī)模和邊界在不斷擴(kuò)大，伴隨而來的，就是貫穿業(yè)務(wù)各個(gè)環(huán)節(jié)的數(shù)據(jù)安全問題。

據(jù)《Gartner中國(guó)云基礎(chǔ)設(shè)施和平臺(tái)服務(wù)市場(chǎng)指南》的數(shù)據(jù)，到2024年，中國(guó)將近40%的最終用戶在系統(tǒng)的基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施的軟件上支出將會(huì)轉(zhuǎn)到“云服務(wù)”上。從整個(gè)大環(huán)境來說，云計(jì)算產(chǎn)業(yè)也會(huì)呈現(xiàn)高速增長(zhǎng)的態(tài)勢(shì)，IDC預(yù)測(cè)，到2025年，全球云計(jì)算市場(chǎng)規(guī)模將逾1.3萬億美元，中國(guó)將超過萬億元人民幣。

亞馬遜云科技CEO Adam Selipsky在談到上云與云安全時(shí)指出，這好比人類探索大海的歷程。大海深不可測(cè)，不可知，令人望而生畏。目前，深海仍然為我們帶來挑戰(zhàn)和希望。但是，當(dāng)我們有了合適的設(shè)備和保護(hù)措施，就可以繼續(xù)安全、自信地探索海洋的奧秘。

我們看到，在私有云、公有云、混合云等多云融合的發(fā)展趨勢(shì)下，云安全的構(gòu)建也變得更加復(fù)雜，主要原因有以下三點(diǎn)：

其一，多云環(huán)境的普遍應(yīng)用，讓企業(yè)IT架構(gòu)變得復(fù)雜，數(shù)據(jù)類型、分布更加繁多、廣泛，這使得云安全的目標(biāo)隨之增多，構(gòu)建完善的安全制度難度變大，再加上近些年興起的云原生和Serverless、跨云等領(lǐng)域，為全面的云安全提出了更高要求；

其二，云計(jì)算安全閾值的接受度是很低的，這主要是因?yàn)閿?shù)據(jù)大規(guī)模爆發(fā)，云上運(yùn)行的業(yè)務(wù)越來越多，任何一個(gè)小問題都有可能成為影響企業(yè)業(yè)務(wù)發(fā)展的安全隱患。預(yù)防這些小概率事件，往往需要探究多重因素，并打造實(shí)時(shí)有效的安全技術(shù)和方案，將安全嵌入到業(yè)務(wù)流程中的每一個(gè)細(xì)小環(huán)節(jié)；

其三，企業(yè)在全球化發(fā)展中面臨的安全合規(guī)問題，目前，全球已經(jīng)有132個(gè)國(guó)家跟地區(qū)制定了數(shù)據(jù)保護(hù)和隱私相關(guān)的法律法規(guī)，隨著數(shù)字化不斷演進(jìn)，更多地區(qū)對(duì)企業(yè)安全合規(guī)的要求會(huì)愈加嚴(yán)苛，成為企業(yè)全球化布局需要面臨的首要問題。

這三方面原因，讓眾多云服務(wù)商加大了在云安全領(lǐng)域的探索，而作為全球云計(jì)算的領(lǐng)導(dǎo)者，亞馬遜云科技在云安全方面投入的精力和兵力遠(yuǎn)超同行。

在Adam Selipsky看來，很多公司具備強(qiáng)勁的增長(zhǎng)潛力，但在現(xiàn)代IT中，由于缺乏安全與保障、數(shù)據(jù)與應(yīng)用保護(hù)這些先決條件，使得這些公司開展數(shù)字化轉(zhuǎn)型的底氣不足，難以走遠(yuǎn)走深，從而無法蛻變?yōu)轭I(lǐng)域的開拓者。正是如此，安全成為了亞馬遜云科技優(yōu)先級(jí)最高的工作，并始終堅(jiān)守這樣的理念。

一年兩大會(huì)，全面夯實(shí)云安全矩陣

亞馬遜云科技對(duì)云安全的重視程度，可以從其舉辦的系列安全相關(guān)活動(dòng)一探究竟。

從2019年開始，亞馬遜云科技每年都會(huì)舉辦re:Inforce全球云安全大會(huì)，時(shí)至今年已經(jīng)舉辦第四屆，re:Inforce全球云安全大會(huì)也成為了云安全領(lǐng)域的新風(fēng)向。再加上每年的re:Invent大會(huì)，亞馬遜云科技也會(huì)持續(xù)發(fā)布安全領(lǐng)域的新服務(wù)、新功能，使得自身的云安全矩陣不斷完善，進(jìn)而為用戶提供全方位的防護(hù)。

在7月底的2022 re:Inforce大會(huì)上，亞馬遜云科技推出了眾多安全領(lǐng)域的新服務(wù)和功能，涵蓋威脅檢測(cè)及響應(yīng)、身份認(rèn)證和訪問控制、合規(guī)等多個(gè)方面，包括：Amazon GuardDuty Malware Protection、Amazon IAM Roles Anywhere、Amazon Detective for EKS等，并將Amazon Detective覆蓋數(shù)據(jù)源擴(kuò)展至Amazon EKS，為 Amazon Config新增合規(guī)性分?jǐn)?shù)功能。

需要注意的是，Amazon IAM Roles Anywhere將Amazon IAM對(duì)工作負(fù)載的管理能力擴(kuò)展至客戶的云環(huán)境之外。通過該服務(wù)，客戶可為其本地服務(wù)器、容器和應(yīng)用程序等工作負(fù)載設(shè)置臨時(shí)憑證，并使用與云端工作負(fù)載相同IAM角色和策略來訪問相關(guān)資源?？蛻艨梢栽谠粕虾捅镜氐墓ぷ髫?fù)載中使用相同的訪問控件、部署管道和測(cè)試流程，這樣的好處十分明顯，降低運(yùn)維成本和復(fù)雜度的同時(shí)，還進(jìn)一步提高了客戶工作負(fù)載的安全性。

為了將安全融入到企業(yè)上云全周期的各個(gè)流程，亞馬遜云科技在2022 re:Invent上持續(xù)發(fā)力，推出專門針對(duì)用戶聚合、管理和分析日志及事件數(shù)據(jù)而構(gòu)建的安全數(shù)據(jù)湖Amazon Security Lake，旨在幫助用戶實(shí)現(xiàn)更快的威脅檢測(cè)、調(diào)查和事件響應(yīng)。

一般來講，為了能夠做到主動(dòng)識(shí)別潛在的威脅和漏洞，并作出相應(yīng)響應(yīng)，大多數(shù)企業(yè)都會(huì)依賴于不同來源的日志和事件數(shù)據(jù)，如應(yīng)用程序、防火墻、身份識(shí)別系統(tǒng)等，這些數(shù)據(jù)源可能運(yùn)行在云中或企業(yè)本地，各自使用獨(dú)特的、互不兼容的數(shù)據(jù)格式。

當(dāng)需要識(shí)別安全問題時(shí)，企業(yè)需要先將所有數(shù)據(jù)聚合并規(guī)范化為一致格式，然后才能分析、了解并作出反應(yīng)。隨著數(shù)據(jù)量和安全解決方案的增多，這種方式會(huì)變得越來越費(fèi)時(shí)費(fèi)力，當(dāng)下采用的創(chuàng)建中央存儲(chǔ)庫的方法不僅耗時(shí)長(zhǎng)，而且來自不同數(shù)據(jù)源的日志數(shù)據(jù)規(guī)模也會(huì)十分龐大，甚至?xí)_(dá)到PB級(jí)。

基于此，亞馬遜云科技推出了Amazon Security Lake，這是一個(gè)專門構(gòu)建的安全數(shù)據(jù)湖，可以根據(jù)客戶選擇的數(shù)據(jù)源，自動(dòng)聚合、規(guī)范來自亞馬遜云科技的數(shù)據(jù)，并將其與支持OCSF的第三方數(shù)據(jù)源結(jié)合，把數(shù)據(jù)優(yōu)化為易于存儲(chǔ)和查詢的格式。不僅如此，Amazon Security Lake使用Amazon S3和Amazon Lake Formation構(gòu)建安全數(shù)據(jù)湖，客戶可在其亞馬遜云科技帳戶中自動(dòng)配置安全數(shù)據(jù)湖的基礎(chǔ)設(shè)施，擁有對(duì)自身數(shù)據(jù)的完整控制權(quán)。

Amazon Security Lake的主要作用是幫助客戶改善整體安全態(tài)勢(shì)，為安全團(tuán)隊(duì)識(shí)別和了解安全事件提供更強(qiáng)大的可見性，并縮短安全問題的處理時(shí)間。目前，Amazon Security Lake 已在美國(guó)東部（弗吉尼亞北部）、美國(guó)東部（俄亥俄）、美國(guó)西部 (俄勒岡)、亞太地區(qū) (悉尼)、亞太地區(qū) (東京)、歐洲 (法蘭克福)和歐洲 (都柏林) 區(qū)域提供預(yù)覽版，其它亞馬遜云科技區(qū)域也將很快推出。

此外，在2022 re:Invent大會(huì)上，亞馬遜云科技進(jìn)一步擴(kuò)展了Amazon GuardDuty的威脅檢測(cè)范圍，推出Amazon GuardDuty RDS Protection和Amazon GuardDuty對(duì)容器運(yùn)行時(shí)的威脅檢測(cè)功能兩項(xiàng)服務(wù)，前者可以在Amazon Aurora數(shù)據(jù)庫上運(yùn)行基于機(jī)器學(xué)習(xí)的智能威脅檢測(cè)；后者主要用于檢測(cè)Amazon EKS容器服務(wù)上托管的Kubernetes容器環(huán)境是否存儲(chǔ)安全威脅。

Forrester 副總裁兼研究總監(jiān)戴鯤指出，“在持續(xù)動(dòng)蕩的全球宏觀經(jīng)濟(jì)環(huán)境下，廣大企業(yè)客戶亟需構(gòu)建兼具韌性、自適應(yīng)性和創(chuàng)造性的適應(yīng)未來的技術(shù)戰(zhàn)略。亞馬遜云科技在今年re:Invent大會(huì)上的產(chǎn)品與服務(wù)發(fā)布不僅一如既往地貫徹自身以客戶為中心的長(zhǎng)期主義，而且持續(xù)彰顯其作為全球公有云基礎(chǔ)設(shè)施與開發(fā)平臺(tái)市場(chǎng)領(lǐng)導(dǎo)者的前瞻性技術(shù)視野與快速產(chǎn)品創(chuàng)新能力。”

可以看到，亞馬遜云科技對(duì)于云安全的探索不斷加快、加深。在波詭云涌的云計(jì)算領(lǐng)域，企業(yè)上云的方式、規(guī)模，以及業(yè)務(wù)發(fā)展的場(chǎng)景、模式也在持續(xù)變化，而對(duì)安全性的要求也變得復(fù)雜。

正是在這種大環(huán)境下，亞馬遜云科技在云安全領(lǐng)域不斷滿足用戶需求的同時(shí)，也逐步豐富、完善自身的云安全矩陣，并以此打造堅(jiān)實(shí)的技術(shù)壁壘。值得一提的是，2023 re:Inforce全球安全大會(huì)將于2023年6月召開，屆時(shí)，亞馬遜云科技會(huì)有更多安全新服務(wù)和新功能發(fā)布。

與用戶共進(jìn)，打造云安全四大柱石

安全是用戶數(shù)字化轉(zhuǎn)型、變革的需求，防患于未然是亞馬遜云科技堅(jiān)守的底線。綜合來看，亞馬遜云科技已經(jīng)構(gòu)筑了四大安全柱石，為用戶的數(shù)字化轉(zhuǎn)型保駕護(hù)航：

一是將安全管理建設(shè)成為亞馬遜云科技基礎(chǔ)設(shè)施和服務(wù)的中心支柱。亞馬遜云科技對(duì)其基礎(chǔ)設(shè)施24×7全天候監(jiān)控，提供多種故障隔離功能以提高韌性，并允許對(duì)流經(jīng)亞馬遜云科技網(wǎng)絡(luò)的所有數(shù)據(jù)在其離開亞馬遜云科技安全設(shè)施前進(jìn)行加密。如今，亞馬遜云科技被公認(rèn)為高度安全的環(huán)境，已通過最高級(jí)別審查；

二是嚴(yán)格確保開發(fā)安全，并保障開發(fā)人員構(gòu)建安全應(yīng)用。亞馬遜云科技重視每一個(gè)服務(wù)的安全性，在內(nèi)部，其安全團(tuán)隊(duì)也會(huì)深度參與每一個(gè)新服務(wù)的開發(fā)，出現(xiàn)任何安全問題的新服務(wù)都不會(huì)予以啟動(dòng)。同時(shí)，針對(duì)廣泛的開發(fā)人員，亞馬遜云科技提供Amazon CodeWhisperer和Amazon CodeGuru等托管服務(wù)來幫助其進(jìn)行應(yīng)用開發(fā)，借助機(jī)器學(xué)習(xí)技術(shù)來改善開發(fā)人員的編碼安全狀況；

三是堅(jiān)決保護(hù)用戶的數(shù)據(jù)安全和擁有權(quán)，打造廣泛的安全重點(diǎn)服務(wù)，幫助用戶識(shí)別、修復(fù)和消除應(yīng)用程序中的漏洞和威脅。亞馬遜云科技不碰觸用戶數(shù)據(jù)，只提供方便快捷的云服務(wù)，用戶始終對(duì)數(shù)據(jù)具備擁有權(quán)，只需借助亞馬遜云科技提供的安全托管服務(wù)，如Amazon Inspector、Amazon Macie、Amazon Security Hub、Amazon Shield 、Amazon GuardDuty等來構(gòu)建符合自身的安全體系即可。

四是合規(guī)問題及更廣泛的安全途徑。目前，亞馬遜云科技已經(jīng)獲得98項(xiàng)安全標(biāo)準(zhǔn)與合規(guī)認(rèn)證，可以為用戶的全球化發(fā)展提供有力保障。同時(shí)，亞馬遜云科技也提供廣泛獲取市場(chǎng)上第三方解決方案的途徑，已有數(shù)千個(gè)第三方解決方案與亞馬遜云科技深度集成，涵蓋應(yīng)用安全、數(shù)據(jù)保護(hù)、邊界保護(hù)、合規(guī)性、身份和訪問控制等多個(gè)方面。

正是由于亞馬遜云科技在安全領(lǐng)域的持續(xù)深耕，讓其獲得了更多用戶的認(rèn)可，同時(shí)也為亞馬遜云科技在安全領(lǐng)域的創(chuàng)新提供了更多可能。據(jù)了解，亞馬遜云科技將近90%的服務(wù)都是來自于客戶的反饋。

這一點(diǎn)很重要，正是和客戶的緊密聯(lián)系，才讓亞馬遜云科技能夠不斷根據(jù)客戶需求持續(xù)豐富其安全服務(wù)及功能，從而會(huì)給客戶帶來更好的安全防護(hù)。比如在加密領(lǐng)域，為了滿足用戶應(yīng)對(duì)未來量子計(jì)算快速發(fā)展的需求，亞馬遜云科技推出混合后量子密鑰交換，目前已經(jīng)為Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三種服務(wù)提供了量子安全算法。

與客戶在安全領(lǐng)域共進(jìn)，促使亞馬遜云科技提出了安全責(zé)任共擔(dān)模型，這也成為了云計(jì)算行業(yè)內(nèi)通用的安全準(zhǔn)則之一。亞馬遜云科技負(fù)責(zé)底層云基礎(chǔ)設(shè)施和所提供云服務(wù)的安全，客戶負(fù)責(zé)自身云業(yè)務(wù)安全。

在前線認(rèn)為，萬物上云，安全是底線和生命線。亞馬遜云科技不但重視云服務(wù)的建設(shè)與創(chuàng)新，更在云安全領(lǐng)域持續(xù)創(chuàng)新、做出表率。亞馬遜云科技每年在云安全領(lǐng)域投入重兵，使自己的安全服務(wù)、功能不斷豐富，同時(shí)，加強(qiáng)與客戶聯(lián)系，通過客戶反饋獲得持續(xù)創(chuàng)新的動(dòng)力，并借此鞏固行業(yè)技術(shù)壁壘，與客戶共進(jìn)、共贏，引領(lǐng)云安全的新風(fēng)向。