隐私保护、数据跨境、云安全建设“防患于未然” 原创

随着数据安全和漏洞数量增长等问题不断出现，企业开始意识到缺乏安全性的数字化转型将导致企业面临更大的风险。

亚马逊云科技大中华区产品部总经理陈晓建表示，云上安全的态势时刻变化，日新月异，我们必须进行前瞻性的思考，保持敏锐的洞察，源源不断为客户提供像水和空气一样无处不在的安全防护。

亚马逊云科技大中华区产品部总经理陈晓建

亚马逊云科技将近90%的服务都是来自于客户的反馈，一个特别重要的文化就是逆向工作法，在市场上推出什么样的安全产品，需要什么样的安全服务，与合作伙伴推出什么样的安全解决方案，最终都是客户告诉亚马逊云科技的。

最近，一年一度的亚马逊云科技全球安全大会2022 re:Inforce在美国召开，会上也发布了多项新的安全服务及功能。

安全需要防患于未然

亚马逊云科技认为，消防能解决火灾，但更应该在发现火灾之前把隐患解决，安全也是一样，与其去救火，更需要做的是防患于未然，这也是亚马逊云科技云安全一直秉承的安全理念。

亚马逊云科技要发现所有安全的基本问题，并且能够把这些基本问题在第一时间努力去解决。亚马逊云科技通过支持全球数百万客户的各种安全事件，把在每一个客户中所取得的实践，复用到其他客户中来，从而取得规模效益。

亚马逊云科技有一个非常独特“安全守护者”机制，将安全融入产品或服务的开发生命周期和运营当中，按照一定比例在产品团队中设置安全人员岗位，为产品和服务的所有安全负责，同时还设置了独立的应用安全审查流程，适用于所有产品的服务的更新与发布。

同时亚马逊云科技一直倡导，云中安全必须是洋葱式的多层防护，而不是一个鸡蛋。陈晓建指出，亚马逊云科技的云安全的洋葱机制分为五层，每层之间都实现互相递进的安全防护能力，任何安全的防护是不能依托于某一个单点的员工或者一个单点的服务的，依赖的是各个安全层次之间的配合。

比如，防火墙可以阻挡外部攻击，但不能解决恶意的内部攻击，这就需要访问控制，主机安全和数据加密来共同解决，这就是典型的多层防护。

企业需要安全文化

安全不只是CEO的责任，也不只是公司安全团队的责任，而是公司每个人的责任。亚马逊云科技还有一个特别机制，每周有一次安全会议，确保业务需求并关注安全问题，包括CEO也会参加，这种机制加强了安全文化。

除了强调每个人参与之外，安全还需要很多工具来帮助工作更高效。陈晓建表示，通过自动化工具来提高效率和竞争力，将安全嵌入整个开发过程。通过对基础问题或复杂问题使用不同的工具，开发者可以清楚了解安全的边界，使得开发过程更安全，审查效率也更高。

“安全不是为了给业务团队设置障碍，你的工作是帮业务团队找到一条更安全、更高效的实现路径。”陈晓建说道，安全应该是一条基线，并对业务产生尽可能小的影响。一个成功的安全团队不是对业务部门说不能做这个，不能做那个，而是说这个事情可以这样来做。

亚马逊云科技设置了两类可衡量指标，第一，针对产品团队，是否提出了好的安全建议，促进了哪些安全功能的发布；第二，针对安全团队，促进了多少新产品的发布，缩短了多少新产品上线的时间。

同时，亚马逊云科技通过多年为客户服务总结了四个最佳实践。

最小权限，任何数据分开对待，考虑用户的角色和职责范围，对访问权限设置有效期；

漏洞报告，设置对内对外两套漏洞报告机制，鼓励员工和客户发现并上报任何安全漏洞，而无需担心误报，亚马逊云科技后台的专业安全团队会评估和解决漏洞报告；

勒索软件，发现问题并做好预报，通过服务提供帮助：使用 Amazon Inspector 提前检测漏洞，使用 Amazon GuardDuty 检测异常活动，使用 Amazon Backup 的存储备份功能；

Log4J漏洞，严格限制来自互联网的访问、保持第三方产品更新到最新版本、深度防御、日志记录管理、拥有全面的软件清单及其使用方式。

引领安全新风向

在加密领域，为了应对未来量子计算的快速发展，亚马逊云科技推出混合后量子密钥交换，目前已经为Amazon Key Management Service （Amazon KMS）、Amazon Certificate Manager 和 Amazon Secrets Manager三种服务提供了量子安全算法。

2022 re:Inforce上也发布了四个新产品，涵盖威胁检测及响应、身份认证和访问控制、合规等方面。

1、Amazon Identity and Access Management (Amazon IAM) Roles Anywhere，该服务客户可为其本地服务器、容器和应用程序等工作负载设置临时凭证，客户在云上和本地的工作负载中使用相同的访问控件、部署管道和测试流程，将Amazon IAM对工作负载的管理能力扩展至客户的云环境之外，降低了运维成本和复杂度，还进一步提高了客户工作负载的安全性。

2、Amazon Detective for Elastic Kubernetes Service(Amazon EKS)，将Amazon Detective覆盖的数据源扩展至Amazon EKS，可帮助客户更加轻松分析和调查在Amazon EKS集群上的Kubernetes 潜在的安全问题或可疑活动，并找出根本原因，客户以此可以快速采取措施来解决问题，提升安全性。

3、Amazon GuardDuty Malware Protection, 可帮助客户检测运行在其云环境中的的恶意软件。

•该功能的推出进一步扩展了Amazon GuardDuty的威胁检测范围。Amazon GuardDuty可扫描多种文件系统，包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等，在扫描过程中，不会对云中相关资源的性能造成影响。

•Amazon Security Hub 和Amazon GuardDuty 之间的集成提升了集中化和单一管理的客户体验，让客户可以轻松地查找可能遇到的任何安全问题。使用该集成功能了解客户组织的整体安全状态，轻松搜索、过滤、分类、调查存在的任何安全发现，并采取行动。

•Amazon GuardDuty拥有专业合作伙伴提供恶意软件检测方案，还提供修复能力和机器学习能力。

4、Amazon Config新增合规性分数功能，帮助客户跟踪资源合规性。该新功能是Amazon Config的一项增强功能，以百分比的形式展现客户相关资源的合规程度，方便客户逐步对照并解决合规问题。

目前中国企业主要关注隐私保护、数据跨境、云安全建设。陈晓建表示，中国客户有着自己独特的安全合规要求和环境，最近亚马逊云科技也发起了一个项目，让客户有更好的安全策略，让云上业务就能够顺利发展。

另外，从今年开始亚马逊云科技在中国举办CISO对话，通过一起探讨安全管理，文化和技术，让安全与合规不再成为业务在云上快速增长的阻碍。目的是创造一个互相交流的平台，输出亚马逊云在安全合规方面的经验和实践，同时希望通过这个平台获取到用户CISO对于云安全合规的具体诉求和需要解决的问题。